Поиск по сайту:

Что такое поверхность атаки и почему вас это должно волновать


Ваша поверхность атаки — это сумма возможностей в вашей сети, которые киберпреступник может атаковать и использовать. Чтобы свести к минимуму кибер-риск, вам необходимо понимать и управлять поверхностью атаки.

Ваша поверхность атаки

Поверхность атаки организации часто описывается как сумма способов взлома организации. Это самоограничивающая точка зрения. Предполагается, что набор известных векторов атак представляет собой полный список уязвимостей, которые могут попытаться использовать киберпреступники.

Лучшее определение состоит в том, что ваша поверхность атаки представляет собой сумму всех ИТ-активов, открытых для злоумышленников. Независимо от того, есть ли у них известные уязвимости или нет, любой незащищенный ИТ-объект — от серверов до API — должен рассматриваться как часть поверхности вашей атаки. Новая уязвимость, которая ставит под угрозу один из ваших активов, может быть обнаружена в любое время.

Все, что подвергается кибер-риску, что в основном соответствует внешнему миру, является потенциальной целью. Ваша поверхность атаки — это общая целевая область, которую вы предоставляете киберпреступникам. Излишне говорить, что чем меньше общая целевая площадь, тем лучше. Но, не будучи полностью вне сети, организация не может не иметь поверхности атаки в той или иной форме.

Если вы собираетесь застрять на поверхности атаки, единственный разумный способ действий — это понять ее, попытаться рационализировать и свести к минимуму, а также максимально защитить то, что осталось.

Отображение вашей поверхности атаки

Пандемия COVID-19 в 2020 году привела к внезапной миграции многих сотрудников с офисной работы на домашнюю. Назвать это «миграцией», возможно, будет любезно. Во многих случаях то, что происходило, больше походило на покидание корабля. В любом случае, это был пример непредвиденных и драматических изменений в сфере ИТ.

При нормальных обстоятельствах нетривиальные изменения — теоретически — планируются заблаговременно и осуществляются контролируемым и взвешенным образом. Переход от одного важного бизнес-приложения к другому или переход от локальных к облачным вычислениям — вот примеры того, что обычно подразумевается под «миграцией».

Если оставить в стороне различия в исполнении, в обоих случаях вы изменили поверхность атаки. Как запланированные, так и вынужденные изменения подвергают риску различные ИТ-активы. Но они вполне могут устранить или снизить риски в других областях.

Нелегко все это визуализировать и оценить влияние изменений. Для многосайтовых организаций проблема еще сложнее. Один из способов справиться с этим — отобразить ваши ИТ-активы, включая программное обеспечение, на одной оси графика, а угрозы и уязвимости — на другой. Для каждой уязвимости, относящейся к активу, поместите маркер в месте их пересечения. Полученный график является приближением вашей поверхности атаки.

Доступны программные пакеты, которые помогут спланировать поверхность атаки. Автоматизация процесса гарантирует, что вы не забудете о полубездействующих устаревших системах, программном обеспечении или API-интерфейсах, которые можно легко упустить из виду. Эти пакеты особенно полезны при выявлении «халтурных» инициатив и других теневых ИТ, которые не были поставлены и развернуты вашей ИТ-командой. Программное обеспечение для управления поверхностью атаки (ASM) также обеспечивает функции мониторинга и оповещения.

Проект Open Web Application Security Project (OWASP) создал детектор поверхности атаки с открытым исходным кодом, предназначенный для выявления конечных точек, параметров и типов данных параметров веб-приложения. Он работает как подключаемый модуль для популярных платформ тестирования безопасности OWASP ZAP и PortSwigger Burp Suite.

Подобные инструменты сосредоточены на цифровых аспектах вашей поверхности атаки. Они не учитывают ни физическую безопасность вашего помещения, ни осведомленность вашего персонала о кибербезопасности. Меры физической безопасности и доступа контролируют, кто может попасть в ваше здание и куда они могут пойти, оказавшись внутри. Обучение по вопросам кибербезопасности позволяет вашим сотрудникам применять передовые методы кибербезопасности, распознавать фишинговые атаки, методы социальной инженерии и, как правило, побуждает их проявлять осторожность.

Независимо от того, объединяете ли вы их вместе со своей службой цифровых атак в одну поверхность uber-атаки или нет, обучение физическому доступу и кибербезопасности нельзя ни игнорировать, ни относиться к нему как к гражданам второго сорта. Все они являются частью вашего общего управления безопасностью. Просто имейте в виду, что большинство программного обеспечения ASM дает преимущества только при рассмотрении вашей цифровой поверхности атаки.

Рационализируйте и контролируйте поверхность атаки

Вооружившись информацией из вашего ручного аудита поверхности атаки или отчетами вашего программного обеспечения ASM, вы можете критически проанализировать атрибуты вашей поверхности атаки. Что именно делает его таким размером и насколько он уязвим?

Активы необходимо сгруппировать в соответствии с их критичностью и чувствительностью. Они имеют решающее значение, если они могут значительно негативно повлиять на работу вашей организации. если они были скомпрометированы. Они чувствительны, если они обрабатывают личные данные или любую конфиденциальную информацию компании.

Все ли активы требуются в их текущей форме? Можно ли объединить некоторые из них, повысив безопасность и сократив расходы? Нужно ли закрывать теневые ИТ-проекты или переводить их в корпоративную собственность? Является ли топология вашей сети по-прежнему оптимальной для нужд вашей организации на сегодняшний день с точки зрения функциональности, производительности и безопасности? Есть ли у всех административных или других привилегированных учетных записей обоснованное экономическое обоснование?

После того, как вы задали все вопросы, поднятые в ходе аудита, и согласовали ответы, почти наверняка потребуется корректирующая работа, необходимая для закрытия уязвимостей и обеспечения безопасности сети. Как только это будет завершено, выполните повторное сканирование или повторный аудит вашей сети, чтобы установить базовый уровень вашей поверхности атаки, а затем отслеживайте изменения.

Полезная информация

Системы управления поверхностью атаки предоставляют — в разной степени — панель мониторинга, показывающую в режиме реального времени состояние ресурсов, составляющих поверхность атаки. Оповещения уведомляют вас о дополнениях или изменениях, влияющих на поверхность атаки. Критичность и конфиденциальность ваших ИТ-ресурсов будут определять их приоритетность. Убедитесь, что высокоприоритетные активы отображаются на панели управления на видном месте или, по крайней мере, к ним применяются наиболее полные механизмы оповещения.

Получение информации о вашей поверхности атаки, рационализация, ее защита и мониторинг — все это важные шаги, но они ничего не значат, если вы не собираетесь реагировать на информацию, которую предоставляет ваше программное обеспечение ASM. Это может быть так же просто, как установка исправлений или расследование необъяснимых событий.

У вас уже будет тщательный процесс управления исправлениями и расписание для обработки запланированных выпусков исправлений и внеочередных экстренных исправлений. Если ваш ASM сообщает, что конечная точка с уязвимостями была подключена к сети, ваша команда может решить, следует ли удалить ее из сети или обновить до последней версии. Обработка исключений из вашего обычного режима установки исправлений значительно упрощает процесс выявления выбросов.

Развивайтесь, чтобы выжить

Управление поверхностью атаки становится приоритетом для многих организаций. Количество и типы устройств, подключенных к сетям, растут и меняются. Одним из примеров является ночное переключение на домашнюю работу. Взрывной рост устройств Интернета вещей и гибридных или облачных вычислений — другие.

Поверхность атаки развивается быстрее, чем когда-либо. Вот почему упреждающее управление и мониторинг являются обязательными.