U današnjem digitalnom okruženju, razumijevanje površine napada vaše organizacije ključno je za održavanje snažne cyber sigurnosti. Da biste efikasno upravljali i ublažili cyber rizike koji se kriju u modernim površinama napada, važno je usvojiti pristup koji je fokusiran na napadača.
U ovom članku ćemo detaljnije istražiti površinu napada kompanije, šta se može zaboraviti ili previdjeti u svakodnevnim poslovima i kako stručnjaci za cyber sigurnost mogu povratiti kontrolu uz pomoć alata za upravljanje vanjskom površinom napada (EASM – External Attack Surface Management).
Šta čini površinu napada vaše organizacije?
Stručnjaci za sigurnost obično definišu površinu napada kao zbir svih mogućih tačaka u sistemu ili mreži putem kojih napadači mogu izvršiti napad. Drugim riječima, to je suma svih potencijalnih napadnih vektora. Međutim, oni koji su odgovorni za sigurnost u kompanijama trebaju koncept koji im pomaže u odbrani svojih mreža.
Preporučujemo pristup koji započinje iz perspektive napadača (poznate metode napada, iskorištene ranjivosti itd.) i postavlja prioritete prijetnje s najvećim rizikom za kompaniju. Da biste ovo lakše i sistematičnije odredili, možete podijeliti elemente svoje površine napada u odgovarajuće kategorije.
Koristan početni pregled relevantnih tačaka napada – iz perspektive napadača – mogao bi izgledati ovako:
- Online dostupne tačke napada (npr. slabe ili kompromitovane lozinke, ranjivosti u softveru ili komunikacijskim protokolima, greške u konfiguraciji, serveri podložni iskorištavanju).
- Tačke napada kroz socijalni inženjering (zaposlenici sa posebnim privilegijama, dozvolama ili informacijama).
- Polazne tačke za napade na lanac snabdijevanja (npr. procesi ažuriranja).
- Tačke napada koje zahtijevaju fizički pristup hardveru (npr. USB uređaji sa keyloggerima i malverima, pristup nezaštićenim Wi-Fi mrežama za goste).
- Potencijalni cyber rizici koji ranije nisu bili poznati ili prijetnje koje se javljaju čak i prije nego što imovina povezana s kompanijom bude pogođena.
Prva kategorija – ukupnost online dostupnih tačaka napada – često se naziva vanjska površina napada. Vanjska površina napada je najkompleksniji dio – što ne znači da su ostali elementi manje važni. Naprimjer, zaposlenici su ključni faktor u upravljanju površinom napada. Međutim, vanjska površina napada se ističe po tome što se njome može upravljati u velikoj mjeri automatizovano uz pomoć AI-a, Threat Intelligencea i podataka.
Slika 1: Kojim domenima treba da upravljate vi, a koji bi mogli biti potencijalni pokušaji krađe identiteta ili squatting domena?
Otkrivanje i mapiranje vanjske površine napada
Sada kada smo definisali najvažnije elemente koje čine prijetnje kompaniji, možemo pogledati kako odrediti vlastitu prijetnju i ciljano je smanjiti.
Međutim, nije jednostavno obuhvatiti vanjsku prijetnju kao “ukupnost online dostupnih tačaka napada” jer postoji mnogo područja koja treba uzeti u obzir. To uključuje:
- Ukradene kredencijale(lozinke, korisnička imena)
- Pogrešno konfigurisane servere za e-mail, DNS, web stranice i baze podataka
- Slabu enkripciju i problematične SSL certifikate
- Pogrešno konfigurisane cloud servise
- Nedovoljno zaštićene lične podatke i neispravne cookie politike
Glavni problem nije samo broj zahvaćenih područja ili potencijalnih tačaka napada. Pravi problem je što mnoge IT ranjivosti u kompanijama nisu poznate sigurnosnom timu.
Česti problemi uključuju:
- Nepoznata ili neodokumentovana konfiguracija servera
- Zaboravljeni korisnički nalozi ili servisi koji se više ne koriste
- Nepraćenje IT procesa
- Nedostatak sigurnosnih ažuriranja softvera i operativnih sistema
- Svaki dan se otkrivaju i eksploatišu nove softverske ranjivosti
Jedan od posebnih izazova je tzv. shadow IT – softver, SaaS servisi, serveri ili hardver koji su povezani na mrežu kompanije bez znanja IT odjela. Takvi neovlašteni sistemi mogu omogućiti nezaštićene i nemonitorisane pristupne tačke.
Slika 2: Imajte pregled nad površinom napada!
Mapiranje i analiza površine napada pomoću EASM alata
Prvi zadatak upravljanja površinom napada je dobiti kompletan pregled vaše IT infrastrukture, IT imovine i povezanih ranjivosti. Danas se to može postići samo pomoću specijalizovanih alata kao što je Outpost24 EASM platforma.
Ovi alati omogućavaju:
- Identifikaciju i procjenu svih imovina povezane s vašim poslovanjem
- Neprekidno skeniranje IT resursa povezanih s internetom
- Analizu ranjivosti softvera, sigurnosnih konfiguracija, enkripcije i prijetnji iz Threat Intelligence izvora
Posebno korisna funkcionalnost je “zero-knowledge pristup” – ne morate pružiti nikakve informacije osim polazne tačke (npr. IP adrese ili domene). Platforma sama pasivno skenira povezane i potencijalno relevantne resurse.
Slika 3: Da li znate svu imovinu koja je povezana sa vašom kompanijom i kako je povezana jedna s drugom?
Sigurnosna analiza površine napada
EASM alati oponašaju rad hakera – koriste iste metode prikupljanja podataka kako bi idenfikovali moguće ranjivosti. Alati poput Outpost24 EASM automatski analiziraju podatke o imovini kako bi pronašli:
- Softverske ranjivosti
- Nesigurne e-mail konfiguracije (SPF, DMARC, DKIM)
- Ukradene kredencijale
- Slabu enkripciju (npr. zastarjele SSL/TLS protokole)
- Opasne daljinske pristupne protokole (Telnet, RDP, VNC)
- Web stranice koje iskorištava vaš brend (phishing)
- Pominjanja vaših podataka na dark webu
Procjena i izvještavanje
Što je veća IT infrastruktura, to je analiza kompleksnija. Zbog toga EASM alati nude funkcije za procjenu sigurnosnog stanja kroz Attack Surface Score (ocjenu sigurnosti površine napada), koja se računa na osnovu sedam dimenzija:
- Ranjivosti – koristi li se softver sa poznatim sigurnosnim propustima?
- Konfiguracija – jesu li svi IT resursi pravilno podešeni?
- Izložene usluge – postoje li servisi koji ne bi trebali biti dostupni?
- Enkripcija – koristi li se sigurna enkripcija?
- Reputacija – da li su vaši IP-ovi na spam listama?
- IT higijena – postoje li zastarjeli sistemi koji otkrivaju previše informacija?
- Threat Intelligence – postoje li procureli podaci vaše kompanije na dark webu?
Slika 4: Spominjanje dark mreže koje zahtijeva dalju istragu
Određivanje prioriteta protivmjera zasnovano na riziku
Poznavanje vaših slabih tačaka je prvi korak ka poduzimanju efikasnih mjera opreza. Međutim, broj nalaza može brzo postati ogroman, posebno kada je površina napada velika. Pa odakle uopšte početi?
Generalno, trebali biste dati prioritet onim protumjerama koje smanjuju postojeće rizike što je više moguće uz najmanje napora. Rizik povezan sa specifičnim uspešnim napadom povećava se sa njegovom vjerovatnoćom nastanka i potencijalnom štetom. Zato je prvo što treba učiniti je eliminisati one tačke napada koje omogućavaju direktne napade na kritične sisteme i podatke, kao što su izloženi servisi bez adekvatne zaštite (zaštita prijave, enkripcija), procurjeli podaci za prijavu ili softverske ranjivosti koje već aktivno iskorištavaju hakeri – moguće u kampanji koja je trenutno u toku. U isto vrijeme, mjere koje se mogu brzo i lako implementirati trebale bi biti više na listi prioriteta – na primjer, preuzimanje izloženih hostova ili usluga koje ne moraju odmah biti na mreži.
Karakteristike mapiranja, praćenja i bodovanja EASM platformi pružaju korisne smjernice za ovo određivanje prioriteta. Pravilo je da što je lošiji rezultat u određenom području, to je hitnija moguća potreba za djelovanjem. Takođe ima smisla kombinovati EASM sa upravljanjem ranjivostima zasnovanim na riziku. EASM pomaže da se identifikuju dosad nepoznata sredstva tako da se mogu uključiti u detaljnije skeniranje kao dio vašeg VM procesa u budućnosti.
Zaključak
Vaša površina napada se stalno mijenja – dodaju se novi IT resursi, mijenjaju se konfiguracije, otkrivaju nove ranjivosti i pojavljuju se nove prijetnje.
Izvor:Help Net Security
