Журнал "Information Security/ Информационная безопасность" #1, 2024

Решение F.A.C.C.T. Attack Surface Management позволяет на основе данных из глобального графа соби- рать выборку активов, кото- рые относятся к конкретно- му заказчику. Организация начинает расти. И поскольку этот про- цесс зачастую не всегда хорошо документируется, люди забывают актуализи- ровать данные в сканере об активах. От общего к частному Attack Surface Manage- ment – относительно молодой продукт, он появился в 2021 г. В его основе лежит его более ранняя разработка инженеров F.A.C.C.T. – граф сетевой инфраструктуры, который пока- зывает связь между доменами, IP-адресами, сервер-сертифи- катами, злоумышленниками, ВПО и другими цифровыми сущностями в глобальном Интернете. Изначально граф создавался для проведения расследова- ний. Например, чтобы по известному домену, который использовали злоумышленни- ки, сразу увидеть все актуаль- ные связи: группировки, используемые TPP, командные центры, IP-адреса и многое, многое другое. Теперь решение F.A.C.C.T. Attack Surface Management поз- воляет на основе данных из этого глобального графа соби- рать выборку активов, которые относятся к конкретному заказчику. Именно эти активы будут считаться поверхностью атаки, причем данные будут автоматически обновляться вместе с общим графом кибер- разведки. Активами на поверхности атаки будет считаться то, что доступно извне: домены, IP- адреса, порты, серверные сертификаты, формы логина. При этом ASM совсем не интересует инфраструктура компании внутри ее перимет- ра. Несовершенные сканеры и человеческий фактор Практика показывает, что злоумышленникам неинтересно атаковать основной домен ком- пании, ведь, скорее всего, он хорошо защищен, там установ- лено актуальное ПО и исполь- зуются сложные пароли. Гораздо интереснее попробо- вать проверить какой-либо под- домен, который найдется в DNS, или отдельно стоящий почтовый сервер в другом домене, потому что неосновным активам обычно уделяется гораздо меньше вни- мания администраторов, вплоть до нуля. Долгое время сканеры уязви- мостей были весьма простыми: в них заносился список доменов и IP-адресов, по которым про- водилось периодическое ска- нирование. Такая схема пре- красно работает первые несколько месяцев: сканер находит уязвимости, люди их исправляют. Но потом организация начи- нает расти. И поскольку этот процесс зачастую не всегда хорошо документируется, люди забывают актуализировать дан- ные в сканере об активах. Полу- чается, что сканер показывает, что все отлично. И все счастли- вы до момента, когда происхо- дит инцидент. А в процессе рас- следования выясняется, что просто забыли занести в сканер адрес новых активов – и они оказались в тени. Впрочем, в последнее время сканеры быстро эволюциони- руют, но по-прежнему часть задач для них остаются нере- шаемыми. Attack Surface Management, самостоятельно находя новые активы, может через API авто- матически дополнять в скане- ры информацию о них. Такая схема уже намного более качественно защищена от человеческого фактора. А дополнительным плюсом, который дает Attack Surface Management, становится информация об утечках, упо- минаниях в Дарквебе и вредо- носном ПО. Эту информацию обычный сканер уже не может собрать, поскольку она посту- пает из базы системы киббер- разведки F.A.C.C.T. Threat Intel- ligence, одной из лучших в Рос- сии и даже в мире. Если ASM обнаруживает новый домен или поддомен, связанный с определенным клиентом, он предлагает вклю- чить эти активы в исследуемую поверхность атаки. Компания может либо про- игнорировать новые активы, либо, наоборот, подтвердить, что они важны, а значит, долж- ны быть включены в подсвечи- ваемую для компании часть общего графа. В таком случае Attack Surface Management будет более углубленно иссле- довать эти активы. Коррекция на пилоте Для Attack Surface Manage- ment проблема ложных сраба- тываний актуальна только во время пилота. Есть два типо- вых случая. Первый случай – когда Attack Surface Management показы- вает заказчику активы, кото- рые ему не интересны. Бывает, 34 • СПЕЦПРОЕКТ Attack Surface Management: с чего начинать управление уязвимостями Как правило, проникновения в корпоративные сети не связаны с эксплуатацией уязвимостей нулевого дня или использованием сложных инструментов. Большинство взломов происходит из-за многочисленных неотслеживаемых уязвимостей периметра, таких как непропатченные серверы, некорректные конфигурации баз данных и неконтролируемые теневые ИТ. К Николай Степанов, руководитель направления F.A.C.C.T. Attack Surface Management Фото: F.A.C.C.T.