Stejně jako váš trávník po dobrém dešti, i vaše útočná plocha se bude rychle rozrůstat, pokud ji nebudete kontrolovat. A s tímto nárůstem velikosti útočné plochy přichází i nárůst kybernetického rizika. I když riziko nelze zcela eliminovat (protože útočné plochy se neustále vyvíjejí), můžete ho řídit tak, abyste udrželi celkovou úroveň rizika v souladu s vaším rizikovým apetitem.
Proč je odhalování útočné plochy tak důležité?
Řízení kybernetických rizik začíná identifikací povrchových oblastí útoku vaší organizace. Konkrétněji je nutné identifikovat, co se skrývá pod povrchem – koncové body, zranitelnosti a další vektory útoku, které vystavují vaše prostředí rizikům.
Přední bezpečnostní rámce se shodují, že odhalování povrchů útoku je nezbytné pro silné bezpečnostní opatření. Například první funkcí Národního institutu pro standardy a technologie v rámci kybernetické bezpečnosti (NIST CSF) verze 1.1 je Identifikovat a NIST uvádí: „Činnosti ve funkci Identifikovat jsou základem efektivního používání rámce.“
Podobně CIS Controls v8 obsahuje následující ovládací prvky:
- Kontrola 1 – Inventarizace a řízení aktiv podniku.
- Kontrola 2 – Inventarizace a řízení softwarových aktiv.
- Kontrola 7 – Průběžné řízení zranitelností.
Jednoduše řečeno, nemůžete obhajovat to, o čem nevíte, že to máte. Ale jak zjistíte, co vlastně máte?
Jak začít s detekcí útočných povrchů?
Objevování útočných povrchů vyžaduje, abyste se podívali na vaši organizaci z pohledu útočníka, abyste našli zneužitelné prostředky a související zranitelnosti.
Vaše útočná plocha má tři složky: digitální útočnou plochu, fyzickou útočnou plochu a lidskou útočnou plochu. Zde se zaměříme především na objevení vaší digitální útočné plochy, i když se krátce dotkneme i dalších dvou aspektů.
Vaše digitální útočná plocha zahrnuje tradiční IT aktiva – hardware, jako jsou koncové body a servery, a také softwarové aplikace – a externí aktiva přístupná k internetu, jako jsou webové aplikace, IP adresy, doménová jména, SSL certifikáty a cloudové služby.
Vaším prvním krokem je zohlednit každý prvek vaší digitální útočné plochy a identifikovat mezery ve viditelnosti.
Každý prvek můžete klasifikovat jako:
- Známé známé: Kybernetická aktiva, o kterých víte, že jsou součástí vaší útočné plochy.
- Známé neznámé: Kybernetická aktiva, o kterých víte, že jsou součástí vaší útočné plochy, ale o kterých možná nemáte přehled a/nebo je nemáte pod správou.
- Neznámé neznámé: Kybernetická aktiva, která mohou, ale nemusí být součástí vaší útočné plochy – to nevíte.
- N/A: Kybernetická aktiva, o kterých víte se 100% jistotou, nejsou součástí vaší útočné plochy.
Pro komplexnější přehled prvků vaší útočné plochy použijte náš upravitelný kontrolní seznam útočných ploch k provedení inventury.
Nástroje pro objevování a správu vaší útočné plochy
Dalším krokem po klasifikaci typů aktiv je zjistit, jaké nástroje nebo přístupy vám umožní překlenout mezery ve viditelnosti a proměnit vaše známé neznámé a neznámé neznámé ve známé známé.
Existují specifičtější řešení, která spadají pod širší pojem správy povrchových útoků – správa povrchových útoků kybernetických aktiv (CAASM), správa povrchových útoků externích útoků (EASM) a služby ochrany před digitálními riziky (DRPS). Tyto nástroje agregují zjištění pro snadnější identifikaci zranitelností a některé mají také funkce pro prioritizaci a nápravu těchto zranitelností, což vám umožňuje rychle reagovat na poznatky o povrchových útokech a snižovat riziko.
Organizace však potřebovaly objevovat a spravovat své digitální útočné plochy již od doby, kdy se stala dostupná řešení ASM. Místo řešení ASM mnoho organizací využilo – a nadále využívá – jiné přístupy k tomu, aby toho dosáhly.
| Přístup | Popis | Výhody | Nevýhody |
|---|---|---|---|
| Nástroje pro vyhledávání aktiv | Vyhledejte a proveďte inventuru hardwarových a softwarových aktiv připojených k vaší síti. | Již nasazeno ve většině organizací. Lepší než tabulkové procesory. | Může mít slepá místa, jako je stínová IT, systémy třetích stran a obchodní aplikace. |
| Simulace narušení a útoku (BAS) | Automaticky testujte vektory hrozeb, abyste získali hlubší pochopení zranitelností v oblasti zabezpečení a ověřili bezpečnostní opatření. | Generuje zprávy o bezpečnostních mezerách a na základě rizika upřednostňuje nápravu. | Zaměřuje se pouze na známé útoky. Neposkytuje nápravu. |
| Správa cloudového zabezpečení (CSPM) | Pochopte změny v konfiguracích cloudu. | Poskytuje přehled o cloudových konfiguracích v reálném čase. | Neodhaluje, kdy se konfigurace odchylují od předpisů, ani potenciální dopad nově vznikajících hrozeb. |
| Databáze pro správu konfigurace (CMDB) | Sledujte změny provedené v systémech. | Již nasazeno ve většině organizací. | Neodhaluje, kdy se konfigurace odchylují od předpisů, ani potenciální dopad nově vznikajících hrozeb. |
| Domácí přístup | Kombinujte tabulky, skripty a manuální procesy pro správu povrchu útoku. | Levné nebo bezplatné z čistě nákladového hlediska (bez ohledu na hodiny analytiků). | Časově náročné a náchylné k chybám. Není škálovatelné ani nefunguje v reálném čase. |
| Správa IT aktiv (ITAM) | Sledujte a monitorujte aktiva po celou dobu jejich životního cyklu. | Již nasazeno ve většině organizací. Lepší než tabulkové procesory. | Zahrnuje pouze známá a spravovaná aktiva a přehlíží neznámé nebo nespravované aspekty povrchu útoku. |
| Penetrační testování (např. automatizované nástroje pro penetrační testování a penetrační testování jako služba) | Identifikujte zranitelnosti ve vaší síti a aplikacích simulací kybernetického útoku. | Uvádí příklady bezpečnostní situace a souvisejících rozpočtových priorit. | Zaměřuje se pouze na první fázi kybernetického ničicího řetězce: průzkum. Výsledky jsou také obvykle k dispozici v určitém časovém bodě a jsou jen tak dobré, jak dobří jsou penetrační testeři provádějící simulaci. |
| Červené týmové | Poskytuje komplexní obraz o stavu kybernetické bezpečnosti organizace provedením simulace kybernetického útoku proti sítím, aplikacím, fyzickým ochranným opatřením a zaměstnancům. | Jde nad rámec penetračního testování a zaměřuje se na další fáze kybernetického řetězce. Překračuje rámec digitálního povrchu útoku a dotýká se fyzických a lidských povrchů útoku. | Výsledky jsou obvykle k určitému časovému bodu a jsou jen tak dobré, jak dobří jsou penetrační testeři, kteří simulaci provádějí. |
| Informace o hrozbách | Získejte přístup k informacím o hrozbách a dalších problémech s kybernetickou bezpečností. | Vyzbrojte bezpečnostní experty informacemi o hrozbách a zranitelnostech. | Zaměřeno na organizace s vysoce rozvinutými bezpečnostními operacemi, které zahrnují kvalifikovaný personál a rozsáhlé zdroje. |
| Nástroje pro správu zranitelností (např. skenery) | Identifikujte a spravujte zranitelnosti ve vaší infrastruktuře a aplikacích. | Již nasazeno ve většině organizací. | Žádný přehled o neznámých aktivech. Ohromné množství dat. |
I když tyto metody nenabízejí všechny možnosti účelového řešení ASM, stále hrají důležitou roli v IT a bezpečnostních postupech organizace.
Nástroje CAASM ve skutečnosti nemohou fungovat bez dat z nástrojů pro vyhledávání aktiv, ITAM, správu zranitelností a/nebo správu oprav. Podobně EASM doplňuje výše uvedené služby v oblasti informací o hrozbách a bezpečnostního testování.
Jak identifikuji fyzické útočné plochy mé organizace?
První hlavní složka fyzického povrchu útoku vaší organizace se překrývá s vaším digitálním povrchem útoku. Tomu se říká povrch útoku koncových bodů a skládá se primárně ze všech koncových bodů, které se připojují k vaší síti: stolní počítače, notebooky, mobilní zařízení a zařízení IoT. I zde platí nástroje a techniky, které používáte k odhalení svého digitálního povrchu útoku.
Druhou hlavní složkou vašeho fyzického útočného povrchu jsou vaše kanceláře, datová centra a další zařízení. Techniky, které se již používají k identifikaci digitálního útočného povrchu, se opět překrývají s fyzickým útočným povrchem. V tomto případě se jedná o složku fyzického penetračního testování v rámci red teamingu.
Jak identifikuji oblast, kde je moje organizace vystavena rizikům lidského útoku?
Identifikace vaší lidské plochy pro útok začíná pohledem na vaši organizační strukturu. K vaší lidské ploše pro útok přispívá kdokoli, kdo je spojen s vaší organizací a má přístup k citlivým informacím – nebo brání ostatním v přístupu k těmto informacím – to zahrnuje nejen zaměstnance na plný úvazek, ale i zaměstnance na částečný úvazek, členy představenstva, dodavatele, partnery, dodavatele, dočasné zaměstnance a další.
Červené týmování, postup používaný k identifikaci prvků digitálního i fyzického povrchu útoku, lze také použít k identifikaci hlavní složky povrchu lidského útoku: náchylnosti zaměstnanců k sociálnímu inženýrství.
Nesprávné přiřazení uživatelských oprávnění je dalším významným faktorem přispívajícím k tvorbě povrchů pro lidské útoky. Dalším způsobem, jak identifikovat části tohoto povrchu, je kontrola systémů a dat, ke kterým mají přístup lidé přispívající k vašemu povrchu pro lidské útoky, a také úrovní přístupu, které mají.
Identifikoval(a) jsem oblast, kde by mohla být moje organizace napadena. Co teď?
Objevení vaší útočné plochy je prvním krokem na cestě k vašemu konečnému cíli: odstranění zranitelností, které představují největší riziko pro vaši organizaci. Celkově se tento proces nazývá správa expozice.
Odhalování povrchů útoku, jak jsme již zmínili, je jedním ze základů vaší bezpečnostní strategie – pokud o nich nevíte, nemůžete je ochránit. Řízení expozice přidává další základní pilíř, kterým je určení vaší ochota riskovat. Ten definuje, kolik rizika je vaše organizace ochotna podstoupit při dosahování vašich cílů. ( Pro prohlášení o ochota riskovat můžete použít tuto upravitelnou šablonu.)
Po vyřešení těchto dvou základních prvků můžete posoudit zranitelnosti, které jste objevili ve svém útočném povrchu, a určit, jaké riziko představují pro vaši organizaci a zda jsou v rámci vaší rizikové tolerance (proces, který podrobně rozebíráme v tomto průvodci objektivním hodnocením kybernetických rizik).
Zranitelnosti, které nespadají do vaší rizikové apetity, jsou vašimi prioritami pro nápravu, což vám umožňuje zaměřit své úsilí tam, kde mají největší dopad.
Zdroj: Ivanti
