Jak zjistím útočnou plochu mé organizace?
Řízení tohoto rizika začíná identifikací místa útoku vaší organizace. Přesněji řečeno, musíte určit, co se skrývá pod povrchem – koncové body, zranitelnosti a další útočné vektory, které odhalují vaše prostředí.
Abychom citovali CIS Critical Security Controls (CIS Controls) v8: „Podniky nemohou bránit to, o čem nevědí, že mají.“ Ale jak se dá zjistit, co mají? Pokud vás nebo někoho z vašeho týmu někdy napadlo totéž, jste na správném místě.
Na konci tohoto příspěvku objevíte odpovědi na tyto otázky a lépe pochopíte, jak identifikovat útočnou plochu vaší organizace pomocí moderních osvědčených postupů:
Jak zjistím povrch digitálního útoku mé organizace?
Identifikace povrchu digitálního útoku může být s tradičními nástroji a postupy obtížná, zvláště když se zdá, že se tento povrch každým rokem exponenciálně rozšiřuje. Naštěstí se poskytovatelé technologií a služeb mobilizují, aby tomuto okamžiku vyhověli s nabídkami správy povrchu útoků (ASM).
Správa útočného povrchu (ASM)
Získání přehledu o IT aktivech nasazených ve vaší organizaci – plus jejich vystavení a souvisejícím rizikům – je zásadní pro dosažení silné pozice v oblasti kybernetické bezpečnosti. Tento postoj potvrzují přední bezpečnostní rámce. Například první funkcí Národního institutu standardů a technologického rámce kybernetické bezpečnosti (NIST CSF) verze 1.1 je Identify a NIST uvádí: „Činnosti ve funkci Identify jsou základem efektivního používání rámce. Podobně CIS Controls v8 obsahuje následující ovládací prvky:
- Kontrola 1: Inventarizace a kontrola podnikových aktiv
- Kontrola 2: Inventarizace a kontrola softwarových aktiv
- Kontrola 7: Průběžná správa zranitelnosti
Taková viditelnost je také klíčem k definování vašeho povrchu digitálního útoku. Bohužel se organizace dlouho snažily dosáhnout vysoké úrovně viditelnosti.
Výzkum Randori a Enterprise Strategy Group (ESG) ukazuje, že organizace mají v průměru o 30 % více vystavených aktiv, než uvádějí tradiční programy správy aktiv. Toto číslo poroste, pokud společnosti nebudou jednat tak, jak Gartner předpovídá, že 75 % zaměstnanců do roku 2027 získá, upraví nebo vytvoří technologie mimo oblast IT.
Společnosti musí zacelit mezeru mezi počtem aktiv vystavených útočníkům a počtem, o kterém vědí. Musí odstranit tato slepá místa a neřízenou technologii ze svého prostředí. ASM to dělá. Podle Gartner si ASM klade za cíl odpovědět na otázku: „Jak moje organizace vypadá z pohledu útočníka a jak by měla najít a upřednostnit problémy, které útočníci uvidí jako první?“
Co je správa povrchu útoku (ASM)?
Tím, že ASM vezme perspektivu útočníka, umožňuje týmům zabezpečení získat přehled o aktivech, nad nimiž IT postrádá správu a kontrolu, jako jsou stínové IT, systémy třetích stran a podnikové aplikace.
Funguje tak, že kombinuje lidi, procesy, technologie a služby za účelem neustálého zjišťování, inventarizace a správy interních a externích aktiv organizace. Tím ASM zajišťuje, že všechny nově identifikované expozice jsou řešeny dříve, než je mohou zneužít zákeřní aktéři.
ASM se skládá ze tří oblastí: povrchová správa kybernetických útoků (CAASM), správa povrchu externích aktiv (EASM) a služby ochrany digitálních rizik (DRPS). Každá oblast se zaměřuje na konkrétní případ použití: CAASM pro aktiva a zranitelnosti, EASM pro externí aktiva a DRPS pro digitální aktiva.
Když se jejich schopnosti zkombinují, mohou výrazně pomoci 47 % bezpečnostních profesionálů, kteří se zúčastnili průzkumu Ivanti Government Cybersecurity Status Report, kterým chybí přehled o všech uživatelích, zařízeních, aplikacích a službách sídlících v jejich sítích.
Co je správa povrchu kybernetických útoků (CAASM)?
CAASM poskytuje úplný, aktuální a konsolidovaný pohled na interní a externí aktiva organizace, jako jsou koncové body, servery, zařízení a aplikace. Produkty CAASM umožňují tuto viditelnost tím, že shromažďují data ze stávajících interních zdrojů, jako je zjišťování aktiv, správa aktiv IT, zabezpečení koncových bodů, správa zranitelnosti a nástroje pro správu oprav a také systémy pro prodej vstupenek prostřednictvím integrací API.
Shromážděná data jsou automaticky agregována, normalizována a deduplikována, poté prezentována v jediném uživatelském rozhraní, čímž odpadá nutnost, aby IT a bezpečnostní týmy ručně shromažďovaly a slučovaly data aktiv. Produkty CAASM také umožňují těmto týmům dotazovat se na shromážděná data, identifikovat slabá místa zabezpečení, odhalit mezery v bezpečnostních kontrolách a napravit problémy.
Gartner uvádí, že méně než 1 % společností mělo implementovanou funkcionalitu CAASM v roce 2022, ale očekává, že 20 % bude do roku 2026. Předpokládá se, že přijetí bude pomalé, protože CAASM spoléhá na stávající technologie, ale nenahrazuje žádnou z nich. Pravděpodobně to lze také přičíst skutečnosti, že v prostoru CAASM je v současné době omezený počet prodejců
Co je externí správa povrchu útoku (EASM)?
Jak jeho celý název napovídá, EASM se zaměřuje na vnější útoky organizace pomocí procesů, technologií a spravovaných služeb k odhalování aktiv a systémů směřujících k internetu a souvisejících zranitelností.
Příklady externích aktiv a systémů, které EASM objeví, zahrnují webové aplikace, internetové protokoly (IP), názvy domén, certifikáty Secure Sockets Layer (SSL) a cloudové služby. Mezi příklady zranitelností objevených EASM dále patří – ale nejen – odhalené servery, přihlašovací údaje, nesprávná konfigurace služeb veřejného cloudu, odhalení hlubokého webu a temného webu a zranitelnosti v softwarovém kódu partnerů třetích stran.
Kromě vyhledávání aktiv nabízejí produkty EASM běžně další funkce, včetně:
- Aktivní externí skenování cloud, IT, IoT a OT prostředí.
- Analýza aktiv s cílem určit, zda jsou riziková, zranitelná nebo se chovají anomálně.
- Stanovení priority aktiv na základě obchodního dopadu, pravděpodobnosti zneužití zákeřným aktérem a dalších faktorů.
- Pracovní postup nápravy a integrace třetích stran se systémy pro vydávání lístků, orchestrace zabezpečení, řešení pro automatizaci a odezvu (SOAR) a další nástroje.
Hlavními výhodami EASM jsou jeho schopnost poskytovat viditelnost neznámých digitálních aktiv a pohled zvenčí na vnější povrch útoku organizace. Tyto výhody pomohly 31 % společností s řešením EASM najít nevědomky vystavená citlivá data, 30 % objevit neznámá webová aktiva nebo webová aktiva hostovaná třetí stranou a 29 % odhalit neznámé chybné konfigurace a zranitelné systémy.
Výhody EASM také přiměly 34 % organizací k nasazení specializované nabídky EASM. Stejně jako produkty CAASM, ani produkty EASM nenahrazují žádné stávající technologie – což znamená, že vyžadují nové čisté výdaje – a v současné době jich na trhu není příliš mnoho. Na rozdíl od CAASM však nejsou produkty EASM při provozu závislé na žádných existujících technologiích, což usnadňuje jejich přijetí.
Co jsou služby ochrany digitálních rizik (DRPS)?
DRPS kombinuje technologie a služby k ochraně digitálních aktiv a dat před vnějšími hrozbami. Činí tak rozšířením detekce a monitorování mimo podnikový perimetr – na otevřený web, deep web, dark web, sociální média a tržiště aplikací – za účelem hledání hrozeb pro podnikové digitální zdroje, včetně IP adres, domén a aktiv souvisejících se značkou.
Vzhledem k tomu, že se organizace zapojují do stále více online aktivit, je pro bezpečnostní týmy zásadní přijmout funkce DRPS a podívat se za hrozby v rámci podnikové sítě.
Podle společnosti Gartner produkty DRPS nejen identifikují hrozby, ale poskytují užitečné informace o aktérech hrozeb a také o nástrojích, taktikách a procesech, které využívají k provádění škodlivých aktivit. Kromě toho DRPS také umožňuje bezpečnostním týmům zmírňovat aktivní hrozby pomocí kombinace lidí, procesů a technologií a provádět činnosti potřebné k potlačení budoucích hrozeb a ochraně digitálních aktiv.
Ve svém Hype Cycle for Security Operations 2022 Gartner uvedl, že DRPS je dva až pět let od dosažení poslední klíčové fáze životního cyklu technologie. Tato fáze – považovaná za plošinu produktivity – je definována takto:
Adopce hlavního proudu se začíná rozjíždět. Kritéria pro posuzování životaschopnosti poskytovatelů jsou jasněji definována. Široká tržní použitelnost a relevance této technologie se jednoznačně vyplácí.
Zpožděné přijetí DRPS a dalších řešení ASM, jako je CAASM a EASM, lze pravděpodobně přičíst zmatkům na trhu ohledně rozdílu mezi takovými řešeními. Část zmatků vymažeme v další části.
Jaký je rozdíl mezi CAASM, EASM a DRPS?
CAASM, EASM a DRPS jsou všechny součásti ASM. Kromě toho se všechny zaměřují na správu bezpečnostních aktiv a prioritizaci problémů. Tyto podobnosti způsobily zmatek na trhu mezi těmito různými řešeními.
Následující tabulka zdůrazňuje rozdíly mezi CAASM, EASM a DRPS, aby vám pomohla rozlišit mezi různými řešeními:
| Funkce / Schopnost | CAASM | EASM | DRPS |
| Oblast zaostření | Aktiva a slabá místa | Externí aktiva | Digitální riziko |
| Použitelná aktiva |
|
|
|
| Složení |
|
|
|
| Schopnosti |
|
|
|
| Zdroje dat | Pasivní sběr dat prostřednictvím integrací API se stávajícími interními nástroji:
Nástroje CAASM běžně také shromažďují data z nástrojů DRPS a EASM. |
|
Sledování:
|
| Ukázkoví prodejci |
|
|
|
V budoucnu nemusí na rozdílech mezi těmito řešeními příliš záležet. Gartner předpovídá, že 70 % všech funkcí CAASM, EASM a DRPS bude do roku 2026 součástí širších již existujících bezpečnostních platforem a nebudou poskytovány samostatnými dodavateli jako dnes.
Existují nějaké možnosti kromě nabídky ASM pro identifikaci povrchů digitálního útoku?
Organizace musely identifikovat a spravovat své povrchy digitálních útoků ještě předtím, než byla k dispozici řešení ASM. Namísto řešení ASM mnoho organizací k tomu využilo – a nadále využívá – jiné přístupy:
| Přístup použitý namísto řešení ASM | Popis | Pro | Ošidit |
| Nástroje pro zjišťování aktiv | Najděte a inventarizujte hardwarové a softwarové prostředky připojené k vaší síti. | Již nasazeno ve většině organizací. Lepší než tabulky. | Často má slepá místa, jako jsou stínové IT, systémy třetích stran a obchodní aplikace. |
| Simulace narušení a útoku (BAS) | Automaticky testujte vektory hrozeb, abyste hlouběji porozuměli zranitelnostem pozice zabezpečení a ověřili bezpečnostní kontroly. | Generuje zprávy o bezpečnostních mezerách a upřednostňuje nápravu na základě rizika. | Zaměřuje se pouze na známé útoky. Neposkytuje nápravu. |
| Správa pozice zabezpečení cloudu (CSPM) | Pochopte změny v konfiguracích cloudu. | Schopnost porozumět změnám konfigurace cloudu. | Neodhalí, kdy se konfigurace odchylují od shody nebo potenciální dopad vznikajících hrozeb. |
| Databáze správy konfigurace (CMDB) | Sledujte změny provedené v systémech. | Již nasazeno ve většině organizací. Vědět, kdy jsou provedeny změny konfigurace. | Neodhalí, kdy se konfigurace odchylují od shody nebo potenciální dopad vznikajících hrozeb. |
| Domácí přístup | Kombinujte tabulky, skripty a manuální procesy pro správu povrchu útoku. | Levné nebo zdarma z čistě nákladového hlediska (přehlížející hodiny analytika). | Časově náročné a náchylné k chybám. Není škálovatelné nebo v reálném čase. |
| správa IT aktiv (ITAM) | Sledujte a monitorujte aktiva po celou dobu jejich životního cyklu. | Již nasazeno ve většině organizací. Lepší než tabulky. | Pokrývá pouze známá a spravovaná aktiva a zároveň přehlíží neznámé nebo nespravované aspekty povrchu útoku. |
| Penetrační testování (např. nástroje pro automatizované penetrační testování a penetrační testování jako služba) | Identifikujte zranitelná místa ve vaší síti a aplikacích simulací kybernetického útoku. | Poskytuje příklady postoje zabezpečení a souvisejících rozpočtových priorit. | Zaměřuje se pouze na první fázi řetězce kybernetického zabíjení: průzkum. Výsledky jsou také obvykle k určitému bodu v čase a pouze tak dobré jako penetrační testeři provádějící simulaci. |
| Červený tým | Poskytuje komplexní obraz o stavu kybernetické bezpečnosti organizace pomocí simulace kybernetického útoku proti sítím, aplikacím, fyzickým ochranám a zaměstnancům. | Přesahuje penetrační testování tím, že se zaměřuje na další fáze řetězce kybernetického zabíjení. Také přesahuje povrch digitálního útoku a dotýká se povrchů fyzických a lidských útoků. | Výsledky jsou obvykle časově závislé a pouze tak dobré, jako penetrační testeři provádějící simulaci. |
| Inteligence hrozeb | Získejte přístup k informacím o hrozbách a dalších problémech kybernetické bezpečnosti. | Odborníci na bezpečnost zbraní se zpravodajskými informacemi o hrozbách a zranitelnostech. | Zaměřeno na organizace s vysoce vyspělými bezpečnostními operacemi sestávajícími z kvalifikovaného personálu a rozsáhlých zdrojů. |
| Nástroje pro správu zranitelnosti (např. skenery) | Identifikujte a spravujte zranitelná místa ve vaší infrastruktuře a aplikacích. | Již nasazeno ve většině organizací. | Žádná viditelnost neznámých aktiv. Ohromné množství dat. |
I když tyto technologie, služby a další přístupy nenabízejí všechny schopnosti a výhody, které poskytují účelová řešení CAASM, EASM a DRPS, většina z nich má stále své místo v IT a bezpečnostních postupech organizace. Nástroje CAASM ve skutečnosti nemohou fungovat bez dat z vyhledávání aktiv, ITAM, správy zranitelnosti a/nebo nástrojů pro správu oprav.
Podobně podle společnosti Gartner EASM doplňuje několik výše uvedených technologií a služeb. Patří mezi ně zpravodajství o hrozbách a různé typy bezpečnostních testů, včetně simulace narušení a útoků, penetrační testování jako služba a automatizované penetrační testování a nástroje červeného týmu.
Jak zjistím povrch fyzického útoku mé organizace?
První hlavní složkou fyzického útočného povrchu organizace je to, co může být označováno jako její povrch pro útok na koncové body, protože se skládá především ze všech koncových bodů, které se připojují k síti organizace: stolní počítače, notebooky, mobilní zařízení a zařízení internetu věcí.
Naštěstí lze tuto součást plochy digitálního útoku identifikovat pomocí jakéhokoli nástroje CAASM používaného k identifikaci stejných prvků plochy digitálního útoku, což eliminuje potřebu nákupu další nové technologie. Další, i když méně schopné, možnosti jsou nástroje pro zjišťování aktiv a ITAM.
Druhou hlavní součástí povrchu fyzického útoku organizace jsou její kanceláře, datová centra a další zařízení. Opět se naštěstí techniky již používané při identifikaci povrchu digitálního útoku překrývají s těmi, které lze použít k identifikaci povrchu fyzického útoku. V tomto případě by to byla složka fyzického penetračního testování červeného týmu.
Jak mohu identifikovat povrch lidského útoku mé organizace?
Identifikace povrchu lidského útoku začíná pohledem na organizační schéma. Kdokoli spojený s vaší organizací, který má možnost přístupu k citlivým informacím vaší organizace – nebo může zabránit ostatním v přístupu k těmto informacím – může přispět k vašemu útoku na člověka.
To zahrnuje nejen zaměstnance na plný úvazek, ale také zaměstnance na částečný úvazek, členy představenstva, dodavatele, partnery, dodavatele, dodavatele, brigádníky a další.
Kromě toho zahrnuje jak lidi, kteří jsou v současné době v těchto rolích, tak kohokoli, kdo tyto role zastával v minulosti. Press Reset: Zpráva o stavu kybernetické bezpečnosti z roku 2023 ukazuje, že téměř polovina bezpečnostních profesionálů věří nebo zná, že přihlašovací údaje některých bývalých zaměstnanců a dodavatelů jsou stále aktivní, což těmto jednotlivcům umožňuje přístup k firemním systémům a datům.
Záludné na tom je, že to nejsou lidé samotní, ale jejich činy – nebo nečinnosti – co tvoří povrch lidského útoku. Tyto akce a nečinnosti je těžké odhalit, protože se často dějí v okamžiku a mimo dohled ostatních, zvláště když stále více lidí pracuje na dálku.
Red teaming, postup používaný k identifikaci prvků jak digitálních, tak fyzických útočných ploch, může být také použit k identifikaci hlavní složky lidského útočného povrchu: náchylnosti zaměstnanců k sociálnímu inženýrství. Red teamers toho dosahuje tím, že se snaží zmanipulovat zaměstnance, aby nabízeli citlivé informace, jako jsou přístupové údaje prostřednictvím phishingu, smishingu, vishingu a dalších taktik.
Nesprávné přiřazení uživatelských oprávnění je dalším hlavním přispěvatelem k útokům na lidi. Dalším způsobem, jak identifikovat části tohoto povrchu, je kontrola systémů a dat, k nimž mají lidé, kteří přispívají k vašemu povrchu lidského útoku, přístup a úrovně přístupu, které mají.
Identifikace většiny ostatních prvků lidských útoků vyžaduje, aby zaměstnanci byli ostražití kvůli problémům a aby ostatní brali k odpovědnosti. Řekněme například, že jeden zaměstnanec vidí, že jiný napsal své heslo na lístek a přilepil ho na svůj monitor nebo že prodejce HVAC otevřel zadní dveře do kancelářské budovy.
Tento zaměstnanec by měl zdvořile informovat ostatní, že porušují osvědčené bezpečnostní postupy – a pravděpodobně také firemní politiku – a požádat je, aby své kroky napravili. V případě potřeby by měli zapojit také bezpečnostní tým organizace.
