Журнал "Information Security/ Информационная безопасность" #1, 2024

Важно понимать, что Attack Surface Management – это не строгий учитель, который стоит и требует, чтобы все проблемы были закрыты. Применять Attack Surface Management нужно, когда администратор не может назвать точное количество IP-адресов и поддоменов, находящихся у него в управ- лении. что от компании отделилась дочерняя структура и часть изначальной инфраструктуры перестала ей принадлежать. Во время пилота с клиентом определяются границы пери- метра, которые ему точно инте- ресны. Через несколько ите- раций Attack Surface Manage- ment начинает показывать только то, что ожидает заказ- чик. Второй случай связан с инди- видуальностью уровня критич- ности проблем для каждой ком- пании. Для кого-то отсутствие записи DMARC для домена – это конец света, а где-то об этом вообще никогда не заду- мывались. Это, конечно, не в полном смысле ложноположи- тельное срабатывание. Но для того чтобы Attack Surface Man- agement корректно работал полностью автоматически, без эксперта, который верифици- ровал бы все результаты, в таких случаях подключаются разработчики и по запросу кор- ректируют работу алгоритмов. Приоритизация уязвимостей Приоритизация уязвимостей происходит по четырем уров- ням: критичный, высокий, сред- ний, низкий. У каждого раздела уязвимо- стей есть свои правила. Напри- мер, уязвимости выше 7,5 относятся к критическому уров- ню опасности. А проблемы с SPF- и DMARC- записями относятся к высокому уровню, поскольку очень много атак сейчас происходят через элек- тронную почту с подменой отправителя, за что как раз и отвечает SPF-запись в DNS. Для разных инфраструктур одна и та же уязвимость может иметь разный уровень критич- ности. Сейчас ведется работа над тем, чтобы ввести в ASM систему тегов, которая позво- лить кастомизировать уровень критичности. Например, если для компании критично, что SSL-сертификат скоро истечет, она сможет это отметить. В Attack Surface Management есть специальный модуль, который автоматически пере- водит выявленные проблемы в список решенных. Например, если была обнаружена уязви- мость, заказчик обновил ПО и три последующих дня пробле- ма не проявляется. Сложнее дело обстоит с обнаруженными аккаунтами из утечек, потому что Attack Sur- face Management не может легально проверить, является ли все еще актуальной пара логина и пароля из утечки. Поэтому такие проблемы заказчик должен закрывать сам. Важно понимать, что Attack Surface Management – это не строгий учитель, который стоит и требует, чтобы все проблемы были закрыты. Это инструмент, который помогает специали- стам определить, на что стоить обратить свое внимание. Сценарии развития Применять Attack Surface Management нужно, когда администратор не может назвать точное количество IP- адресов и поддоменов, нахо- дящихся у него в управлении. То есть когда в инфраструк- туре два IP-адреса и три доме- на, которые можно не заду- мываясь назвать, будет быстрее и дешевле все про- верять вручную. Но как только начинаются сомнения, 23 домена у нас или 25, вот тогда Attack Surface Manage- ment и необходим. После начала использования Attack Surface Management для заказчика есть два типовых сценария развития. Первый – начинать смотреть во внешнюю историю: утечки, ВПО, Дарквеб. Эти три модуля подключаются из данных киберразведки. Если компании интересно идти в этом направ- лении, чтобы улучшить защиту от угроз, которые находятся не внутри его сети, а вовне, то для этого есть киберразведка F.A.C.C.T. Второй сценарий возникает, когда информации о внешних активах хватает и есть жела- ние посмотреть, что происхо- дит внутри периметра. В этом случае решением становится MXDR. Иногда возникает и третий сценарий – когда компания считает, что закрыла все уязвимости, просит проверить, насколько хорошо все защи- щено. Запрос аудита – это подход очень зрелых компа- ний, к нему надо тщательно готовиться. Эволюция систем класса ASM Мы видим два пути развития систем управления поверх- ностью атаки. Первым идут некоторые ком- пании на российском рынке: система ASM автоматизирова- на, но на стороне вендора работает аналитик, который может готовить отчеты, под- сказать или провести собст- венный анализ и т.п. Резуль- таты при таком подходе ока- зываются более глубокими, но их подготовка занимает боль- шее время и стоит дороже. Второе направление – это полная автоматизация, компа- ния F.A.C.C.T. идет по этому пути. Все возможные сканеры уязвимостей собираются в еди- ный комплекс и работают пол- ностью автоматически, без участия человека. Цель такого подхода – ускорить процесс, сделать его более надежным и независимым от человека. Какое из этих направлений окажется более правильным и удобным для клиента, покажет время. Заключение Первое, что может взять ком- пания, которая хочет заняться своей безопасностью, чтобы не тратить много финансов и человеческих ресурсов, – это система управления поверх- ностью атаки. Решение Attack Surface Management подходит компаниям любого размера и любой сферы деятельности. ASM "прокачает" экспертизу специалистов компании и сэко- номит их время, необходимое для обнаружения и закрытия потенциальных уязвимостей и киберугроз. l • 35 Управление Уязвимостями www.itsec.ru АДРЕСА И ТЕЛЕФОНЫ F.A.C.C.T. см. стр. 70 NM Реклама Рисунок: F.A.C.C.T.