W tym artykule zajmiemy się terminem Attack Surface Management (ASM), który na język polski tłumaczymy jako zarządzanie powierzchnią ataku. Istnieje też inne rozwinięcie skrótu ASM w ITSec, a mianowicie Application Security Management, ale nie o tym dziś piszemy.
Zarządzanie powierzchnią ataku (ASM) to system, procedura lub zestaw narzędzi, które stale wykrywają, monitorują, oceniają, ustalają priorytety i korygują narażenie na ataki w infrastrukturze IT przedsiębiorstwa. Powierzchnia ataku obejmuje wszystkie możliwe punkty wejścia z zewnątrz, które potencjalnie mogą umożliwić atakującym włamanie do aplikacji, systemu, urządzenia lub sieci organizacji.
ASM przypomina wykrywanie zasobów i zarządzanie nimi, często obecne w ogólnych rozwiązaniach bezpieczeństwa IT. Jednak główna różnica polega na tym, że ASM podchodzi do wykrywania zagrożeń i zarządzania lukami z perspektywy atakującego. Takie podejście skłania organizacje do identyfikowania i oceniania zagrożeń zarówno dla znanych, jak i nieznanych zasobów dla działów IT.
Dlaczego ASM jest dzisiaj tak ważne?
Nawet małe organizacje mogą mieć dużą powierzchnię ataku. Sprawa dodatkowo komplikuje się ze względu na to, że powierzchnia ataku stale ulega zmianom i rośnie. Przejście na pracę zdalną, zwiększona migracja do chmury oraz rosnące wykorzystanie urządzeń osobistych do celów służbowych tworzą nowe obszary ataków, które organizacje muszą wziąć pod uwagę.
Hakerzy używają zautomatyzowanych narzędzi rozpoznawczych do analizowania zewnętrznych powierzchni ataku i identyfikowania punktów wykorzystania. Zespoły ds. bezpieczeństwa muszą przeprowadzić oceny na tym samym poziomie, aby zrozumieć narażenie na ataki od swojej strony. W związku z tym organizacje muszą wdrażać narzędzia zapewniające widoczność i ciągłe monitorowanie od zewnątrz, by wykrywać zagrożenia i zarządzać ryzykiem, zanim atakujący odkryją je pierwsi.
Co dają narzędzia do ASM?
Niektóre organizacje polegają na narzędziach do wykrywania zasobów, aby lepiej zrozumieć swoje rozproszone środowisko IT. Jednak chociaż narzędzia te są przydatne, nie mogą w pełni wykryć powierzchni ataku organizacji.
Narzędzia typu asset discovery zapewniają jedynie obraz zasobów IT z obszaru bezpieczeństwa wewnętrznego firmy. Większość atakujących znajduje się poza granicami polityk bezpieczeństwa, skanując publiczne systemy organizacji w poszukiwaniu podatności, które można wykorzystać. Rozwiązanie do zarządzania powierzchnią ataku może wypełnić lukę między tym, co widzą systemy wewnętrzne, a tym, co atakujący mogą wykorzystać.
Narzędzia ASM mogą pomóc organizacji poprzez:
- identyfikację widocznych elementów infrastruktury,
- identyfikację shadow IT, artefaktów wynikających z fuzji i działań partnerów, urządzeń IoT i transformacji w chmurze,
- identyfikację informacji o organizacji w DarkNecie,
- identyfikację słabych punktów w wykrytych zasobach,
- ocenę słabych punktów w systemie oceny ryzyka w celu ustalenia priorytetów działań naprawczych,
- pomoc we wdrażaniu mechanizmów zwiększających bezpieczeństwo, takich jak segmentacja sieci, kontrola dostępu oparta na rolach (RBAC) i modele bezpieczeństwa o zerowym zaufaniu.
Proces działania systemów ASM
Poniżej omówimy kroki podejmowane przez większość narzędzi ASM w celu wykrywania zasobów, testowania ich pod kątem słabych punktów, ustalania priorytetów zagrożeń i ich korygowania.
1. Odkrycie zasobów
Nie można zarządzać zasobem, nie wiedząc, że ten istnieje. W nowoczesnym środowisku cyfrowym istnieje wiele artefaktów, jak przestarzałe adresy IP, stare poświadczenia, shadow IT, środowiska chmurowe i urządzenia IoT. Domyślne narzędzia i procesy mogą łatwo przegapić takie zasoby, które stanowią ważną powierzchnię ataku. Jednak są one szybko wykrywane dzięki nowoczesnym rozwiązaniom ASM, które wykorzystują te same zaawansowane techniki rozpoznania, co osoby atakujące.
2. Dodanie kontekstu
Kontekst biznesowy i wyznaczenie właścicieli są kluczowymi elementami zarządzania powierzchnią ataku. Istniejące narzędzia do wykrywania zasobów często nie zapewniają spójnego kontekstu, co utrudnia ustalanie priorytetów działań naprawczych.
Skuteczne praktyki ASM zapewniają, że zasoby są wzbogacane o informacje, takie jak adres IP, typ urządzenia, bieżące wykorzystanie, cel, właściciel, połączenie z innymi zasobami i potencjalne luki w zabezpieczeniach. Dzięki temu zespoły ds. bezpieczeństwa mogą ustalać priorytety zagrożeń cybernetycznych i określać, czy zasoby powinny zostać usunięte, wyłączone, załatane lub monitorowane.
3. Priorytetyzacja
W prawie wszystkich przypadkach nie będzie możliwe zweryfikowanie i naprawienie całej listy potencjalnych wektorów ataku na wszystkie zasoby. Dlatego ważne jest, aby móc wykorzystać informacje kontekstowe do określenia celu i priorytetów. Zespoły ds. bezpieczeństwa mogą dodawać kryteria, takie jak możliwość wykorzystania, wykrywalność, priorytet atakującego i środki zaradcze, aby nadać priorytet najpilniejszym zadaniom.
4. Ciągłe testowanie
Jednokrotne przetestowanie obszaru ataku ma ograniczoną wartość, ponieważ obszary ataku rosną i zmieniają się za każdym razem, gdy dodawane jest nowe urządzenie, konto użytkownika, podsieć lub usługa. Każdy nowy element w układance stwarza ryzyko błędnej konfiguracji, znanych luk w zabezpieczeniach, Zero-Dayów czy na przykład ujawnienia poufnych danych.
Ważne jest, aby stale testować wszelkie możliwe wektory ataków na wszystkich powierzchniach i zawsze odnosić się do najbardziej aktualnej wersji przeskanowanej infrastruktury.
5. Naprawa
Gdy obszar ataku zostanie w pełni zmapowany i osadzony w kontekście, można rozpocząć naprawę. W oparciu o priorytety organizacja może zaradzić słabym punktom bezpieczeństwa. Można to zrobić przez:
- zautomatyzowane narzędzia, które mogą korygować niektóre typy luk w zabezpieczeniach bez interwencji człowieka,
- zespoły operacyjne bezpieczeństwa, które są odpowiedzialne za zarządzanie ryzykiem,
- zespoły operacyjne IT, które są odpowiedzialne za obsługę systemów, których dotyczy problem,
- zespoły deweloperskie, które budują, aktualizują i utrzymują zasoby/aplikacje.
Zespoły potrzebują kontekstu ryzyka biznesowego i jasnych wskazówek, jak rozwiązać problemy z bezpieczeństwem, zbudować zaufanie i zapewnić skuteczną obsługę środków zaradczych.