Ένας πρακτικός οδηγός για την ορατότητα της επιφάνειας συνεχούς επίθεσης

ΣΥΓΓΡΑΦΕΑΣ: Topher Lyons, Μηχανικός Λύσεων στο Sprocket Security

Τα Όρια Παθητικής Σάρωσης Δεδομένων Διαδικτύου

Οι περισσότεροι οργανισμοί είναι εξοικειωμένοι με την παραδοσιακή προσέγγιση της εξωτερικής ορατότητας: βασίζονται σε δεδομένα παθητικής σάρωσης στο Διαδίκτυο, σε σύνολα δεδομένων που βασίζονται σε συνδρομές ή σε περιστασιακή αναγνώριση σημείου σε χρόνο για να κατανοήσουν τι αντιμετωπίζουν το δημόσιο Διαδίκτυο. Αυτές οι πηγές παραδίδονται συνήθως ως στατικά στιγμιότυπα λιστών περιουσιακών στοιχείων, ανοιχτών θυρών ή εκθέσεων που παρατηρούνται κατά τη διάρκεια ενός περιοδικού κύκλου σάρωσης.

Αν και είναι χρήσιμα για την ευρεία επίγνωση των τάσεων, τα παθητικά σύνολα δεδομένων συχνά παρεξηγούνται. Πολλές ομάδες ασφαλείας υποθέτουν ότι παρέχουν μια πλήρη εικόνα για όλα όσα μπορούν να δουν οι επιτιθέμενοι. Αλλά στη σημερινή εξαιρετικά δυναμική υποδομή, τα παθητικά δεδομένα γερνούν γρήγορα.

Τα αποτυπώματα του cloud αλλάζουν μέρα με τη μέρα, οι ομάδες ανάπτυξης αναπτύσσουν συνεχώς νέες υπηρεσίες και οι εσφαλμένες διαμορφώσεις εμφανίζονται (και εξαφανίζονται) πολύ πιο γρήγορα από ό,τι μπορούν να συμβαδίσουν οι παθητικές σαρώσεις.

Ως αποτέλεσμα, οι οργανισμοί που βασίζονται αποκλειστικά σε παθητικά δεδομένα συχνά λαμβάνουν αποφάσεις βασισμένες σε μπαγιάτικες ή ελλιπείς πληροφορίες.

Για να διατηρήσουν μια ακριβή, αμυντική άποψη της εξωτερικής επιφάνειας επίθεσης, οι ομάδες χρειάζονται κάτι διαφορετικό: συνεχή, αυτοματοποιημένη, ενεργή αναγνώριση που επαληθεύει τι πραγματικά εκτίθεται καθημερινά.

Η σημερινή επιφάνεια επίθεσης: Γρήγορη κίνηση, κατακερματισμένη και δύσκολο να εντοπιστεί

Οι επιφάνειες επίθεσης ήταν σχετικά στατικές. Ένα περιμετρικό τείχος προστασίας, μερικοί διακομιστές που αντιμετωπίζουν το κοινό και μια ζώνη DNS ή δύο κατέστησαν την ανακάλυψη διαχειρίσιμη. Όμως οι σύγχρονες υποδομές έχουν αλλάξει τα πάντα.

• Η υιοθέτηση του cloud έχει αποκεντρώσει τη φιλοξενία, ωθώντας τα περιουσιακά στοιχεία σε πολλούς παρόχους και περιοχές.
• Οι κύκλοι ταχείας ανάπτυξης εισάγουν νέες υπηρεσίες, κοντέινερ ή τελικά σημεία.
• Η εξάπλωση περιουσιακών στοιχείων αυξάνεται αθόρυβα καθώς οι ομάδες πειραματίζονται, δοκιμάζουν ή αυτοματοποιούνται.
• Το Shadow IT προκύπτει από καμπάνιες μάρκετινγκ, εργαλεία SaaS, περιβάλλοντα που φιλοξενούνται από προμηθευτές και μη διαχειριζόμενους υποτομείς.

Ακόμη και οι φαινομενικά ασήμαντες αλλαγές μπορούν να δημιουργήσουν έκθεση υλικού. Μια εγγραφή DNS που παραπέμπει σε λάθος κεντρικό υπολογιστή, ένα πιστοποιητικό TLS που έχει λήξει ή μια ξεχασμένη παρουσία προγραμματιστή μπορεί όλα να εισάγουν κίνδυνο. Και επειδή αυτές οι αλλαγές συμβαίνουν συνεχώς, η ορατότητα που δεν ανανεώνεται συνεχώς θα είναι πάντα εκτός συγχρονισμού με την πραγματικότητα.

Εάν η επιφάνεια επίθεσης αλλάζει καθημερινά, τότε η ορατότητα πρέπει να ταιριάζει με αυτόν τον ρυθμό.

Γιατί τα παθητικά δεδομένα αποτυγχάνουν στις σύγχρονες ομάδες ασφαλείας

Μπαγιασμένα ευρήματα

Τα δεδομένα παθητικής σάρωσης ξεπερνιούνται γρήγορα. Μια εκτεθειμένη υπηρεσία μπορεί να εξαφανιστεί πριν καν δει μια ομάδα την αναφορά, ενώ προκύπτουν νέες εκθέσεις που δεν καταγράφηκαν καθόλου. Αυτό οδηγεί σε έναν κοινό κύκλο όπου οι ομάδες ασφαλείας αφιερώνουν χρόνο κυνηγώντας ζητήματα που δεν υπάρχουν πλέον, ενώ χάνουν αυτά που έχουν σημασία σήμερα.

Κενά περιβάλλοντος

Τα παθητικά σύνολα δεδομένων τείνουν να είναι ρηχά. Συχνά τους λείπουν:

• Ιδιοκτησία
• Απόδοση
• Λεπτομέρεια βασικής αιτίας
• Πλαίσιο επιπτώσεων
• Περιβαλλοντική συνείδηση

Χωρίς πλαίσιο, οι ομάδες δεν μπορούν να ιεραρχήσουν αποτελεσματικά. Ένα δευτερεύον πληροφοριακό ζήτημα μπορεί να μοιάζει πανομοιότυπο με μια σοβαρή έκθεση.

Χαμένα εφήμερα περιουσιακά στοιχεία

Η σύγχρονη υποδομή είναι γεμάτη από βραχύβια στοιχεία. Οι προσωρινές υπηρεσίες δοκιμών, οι κόμβοι cloud με αυτόματη κλίμακα και τα εσφαλμένα διαμορφωμένα περιβάλλοντα διαδρομής ενδέχεται να διαρκέσουν μόνο λεπτά ή ώρες. Επειδή οι παθητικές σαρώσεις είναι περιοδικές, αυτά τα φευγαλέα στοιχεία συχνά δεν εμφανίζονται ποτέ στο σύνολο δεδομένων, ωστόσο οι εισβολείς τα βρίσκουν και τα εκμεταλλεύονται τακτικά.

Διπλότυπα ή άσχετα τεχνουργήματα

Τα παθητικά δεδομένα περιλαμβάνουν συνήθως εναπομείνασες εγγραφές DNS, εκ νέου εκχωρημένο χώρο IP ή καταχωρήσεις ιστορικού που δεν αντικατοπτρίζουν πλέον το περιβάλλον. Οι ομάδες πρέπει να διαχωρίζουν χειροκίνητα τα ψευδώς θετικά από τα πραγματικά ζητήματα, αυξάνοντας την κούραση και τη σπατάλη χρόνου.

Συνεχής Αναγνώριση: Τι είναι (και δεν είναι)

Αυτοματοποιημένοι, Ενεργοί Καθημερινοί Έλεγχοι

Η συνεχής ορατότητα βασίζεται στην επαναλαμβανόμενη, ελεγχόμενη αναγνώριση που επαληθεύει αυτόματα την εξωτερική έκθεση. Αυτό περιλαμβάνει:

• Ανίχνευση υπηρεσιών που εκτέθηκαν πρόσφατα
• Παρακολούθηση αλλαγών DNS, πιστοποιητικών και φιλοξενίας
• Προσδιορισμός νέων προσπελάσιμων κεντρικών υπολογιστών
• Ταξινόμηση νέων ή άγνωστων περιουσιακών στοιχείων
• Επικύρωση τρέχουσας έκθεσης και κατάστασης διαμόρφωσης

Αυτό δεν είναι εκμετάλλευση, ή παρεμβατικές ενέργειες. Είναι ασφαλής, αυτοματοποιημένη απαρίθμηση κατασκευασμένη για άμυνα.

Ανακάλυψη με επίγνωση του περιβάλλοντος

Καθώς η υποδομή αλλάζει, η συνεχής επανεξέταση αλλάζει μαζί της. Νέες περιοχές cloud, νέοι υποτομείς ή νέα περιβάλλοντα δοκιμών εισέρχονται και εξέρχονται φυσικά από την επιφάνεια επίθεσης. Η συνεχής ορατότητα συμβαδίζει αυτόματα χωρίς να απαιτείται χειροκίνητη ανανέωση.

Τι αποκαλύπτει η συνεχής ορατότητα (Αυτά τα παθητικά δεδομένα δεν μπορούν)

Υπηρεσίες που εκτέθηκαν πρόσφατα

Αυτές οι εκθέσεις συχνά εμφανίζονται ξαφνικά και ακούσια:

• Ένας ξεχασμένος διακομιστής σταδιοποίησης που έρχεται στο διαδίκτυο
• Ένας προγραμματιστής που ανοίγει RDP ή SSH για δοκιμή
• Ένας πρόσφατα δημιουργημένος κάδος S3 έμεινε δημόσιος

Η καθημερινή επαλήθευση τα πιάνει πριν από τους εισβολείς.

Εσφαλμένες διαμορφώσεις που εισήχθησαν κατά τις αναπτύξεις

Οι γρήγορες αναπτύξεις εισάγουν ανεπαίσθητα σφάλματα:

• Τα πιστοποιητικά δεν εφαρμόστηκαν σωστά ή έληξαν
• Οι προεπιλεγμένες διαμορφώσεις αποκαταστάθηκαν
• Οι θύρες άνοιξαν απροσδόκητα

Η καθημερινή ορατότητα τα αναδεικνύει αμέσως.

Shadow IT και Rogue Assets

Δεν προέρχεται από τη μηχανική κάθε στοιχείο που εκτίθεται εξωτερικά. Οι μικροϊστότοποι μάρκετινγκ, οι υπηρεσίες που φιλοξενούνται από προμηθευτές, οι σελίδες προορισμού τρίτων και οι μη διαχειριζόμενες παρουσίες SaaS συχνά βρίσκονται εκτός των παραδοσιακών αποθεμάτων, αλλά παραμένουν δημόσια προσβάσιμες.

Επικύρωση σε πραγματικό χρόνο

Η συνεχής επανεξέταση διασφαλίζει ότι τα ευρήματα αντικατοπτρίζουν τη σημερινή επιφάνεια επίθεσης. Αυτό μειώνει δραματικά τη σπατάλη προσπάθεια και βελτιώνει τη λήψη αποφάσεων.

Μετατροπή της αναγνώρισης σε λήψη αποφάσεων

Προτεραιοποίηση μέσω επαλήθευσης

Όταν τα ευρήματα είναι επικυρωμένα και τρέχοντα, οι ομάδες ασφαλείας μπορούν να προσδιορίσουν με σιγουριά ποιες εκθέσεις αποτελούν τον πιο άμεσο κίνδυνο.

Triage Without Hunting Through Noise

Η συνεχής επανεξέταση αφαιρεί μπαγιάτικα, διπλότυπα ή άσχετα ευρήματα προτού φτάσουν ποτέ στην ουρά ενός αναλυτή.

Καθαρίστε τις διαδρομές ιδιοκτησίας

Η ακριβής απόδοση βοηθά τις ομάδες να κατευθύνουν ζητήματα στη σωστή εσωτερική ομάδα, όπως μηχανική, cloud, δικτύωση, μάρκετινγκ ή μια συγκεκριμένη ομάδα εφαρμογών.

Μειωμένη κόπωση συναγερμού

Οι ομάδες ασφαλείας παραμένουν εστιασμένες σε πραγματικά ζητήματα που μπορούν να εφαρμοστούν, αντί να διασχίζουν χιλιάδες μη επαληθευμένες καταχωρήσεις σάρωσης.

Πώς το Sprocket Security προσεγγίζει το ASM

Καθημερινή αναγνώριση σε κλίμακα

Sprocket Security εκτελεί αυτοματοποιημένους, συνεχείς ελέγχους σε ολόκληρο το εξωτερικό σας αποτύπωμα. Οι εκθέσεις ανακαλύπτονται και επικυρώνονται όπως εμφανίζονται, είτε επιμένουν για ώρες είτε για λεπτά.

Ενεργά ευρήματα

Μέσω του πλαισίου ASM μας, κάθε εύρημα ταξινομείται, επαληθεύεται, αποδίδεται και ιεραρχείται. Αυτό εξασφαλίζει σαφήνεια, πλαίσιο και αντίκτυπο χωρίς υπερβολικό όγκο.

Κατάργηση Guesswork από το ASM

Ένα επικυρωμένο εύρημα με βάση τα συμφραζόμενα λέει στις ομάδες:

• Τι άλλαξε
• Γιατί έχει σημασία
• Πόσο σοβαρό είναι
• Ποιος το κατέχει
• Τι ενέργειες να κάνετε

Σε σύγκριση με τα ανεπεξέργαστα δεδομένα σάρωσης, αυτό εξαλείφει την ασάφεια και μειώνει τον χρόνο που απαιτείται για την επίλυση προβλημάτων.

Λάβετε μια λαβή στην επιφάνεια επίθεσης σας

Ακολουθούν μερικοί από τους τρόπους με τους οποίους οι οργανισμοί μπορούν να διασφαλίσουν την ενδελεχή παρακολούθηση της επιφάνειας επίθεσης τους:

1. Διατηρήστε ένα ακριβές απόθεμα περιουσιακών στοιχείων.
2. Εφαρμόστε συνεχή παρακολούθηση.
3. Δώστε προτεραιότητα στα τρωτά σημεία με βάση τον κίνδυνο.
4. Αυτοματοποιήστε όπου είναι δυνατόν.
5. Να ενημερώνετε τακτικά και να επιδιορθώνετε τα συστήματα.

Για μια βαθύτερη βουτιά στη βελτίωση της τεχνογνωσίας επιφανειών σας, δείτε το πλήρες ιστολόγιό μας στο Παρακολούθηση επιφάνειας επίθεσης: Βασικές λειτουργίες, προκλήσεις και βέλτιστες πρακτικές.

Η σύγχρονη ασφάλεια απαιτεί συνεχή ορατότητα

Οι σημερινές επιφάνειες επίθεσης εξελίσσονται συνεχώς. Τα στατικά, παθητικά σύνολα δεδομένων απλά δεν μπορούν να συμβαδίσουν. Για να παραμείνουν μπροστά από τις αναδυόμενες εκθέσεις και να αποφευχθούν συμβάντα που μπορούν εύκολα να αποφευχθούν, οι ομάδες ασφαλείας χρειάζονται συνεχή, αυτοματοποιημένη αναγνώριση που αντικατοπτρίζει την πραγματική κατάσταση του περιβάλλοντος τους.

Το να βασίζεσαι αποκλειστικά σε παθητικά δεδομένα δημιουργεί τυφλά σημεία. Η συνεχής ορατότητα τα κλείνει. Καθώς οι οργανισμοί εκσυγχρονίζουν την υποδομή τους και επιταχύνουν τους κύκλους ανάπτυξης, η συνεχής αναγνώριση γίνεται το θεμέλιο της υγιεινής της επιφάνειας επίθεσης, της ιεράρχησης προτεραιοτήτων και της μείωσης του πραγματικού κινδύνου.

Χορηγός και γραμμένος από Sprocket Security.