BLOG

Attack Surface Management – czyli jak zarządzać podatnościami w Twojej firmie

Małgorzata Stanilewicz
Małgorzata Stanilewicz
07/08/2024
Attack Surface Management

Łańcuch jest tak silny jak jego najsłabsze ogniwo – tak jest także w cyberbezpieczeństwie, a największy problem polega na tym, że nie zawsze ten najsłabszy element da się łatwo zidentyfikować. By skutecznie chronić swoje zasoby, organizacje muszą przede wszystkim rozpoznać, co konkretnie ma być chronione oraz w jakim miejscu w infrastrukturze się to znajduje. Dopiero potem przychodzi czas na pytanie jak i przy pomocy jakiego narzędzia można bronić się przez atakami.

W identyfikacji zasobów wymagających ochrony pomaga procedura Attack Surface Management, czyli ASM, polegająca na szukaniu słabych punktów w organizacji zanim zrobią to hakerzy.

Czym jest Attack Surface Management (ASM)?

ASM, czyli Attack Surface Management, często jest błędnie utożsamiany z OSINTem (Open-Source Intelligence), w języku polskim znanym jako biały wywiad. Jednak podczas gdy OSINT polega jedynie na zbieraniu informacji o organizacji z otwartych, ogólnodostępnych źródeł, ASM idzie o krok dalej – pokazuje, jak dane o firmie zbierają hakerzy.

ASM polega na kompleksowym analizowaniu i skanowaniu widoczności zasobów firmy w sieci, a także ryzyk z tym związanych. W procesie ASM identyfikuje się podatności mogące stanowić cel ataku, priorytetyzuje się je na podstawie oceny ryzyka, jakie stwarzają oraz opracowuje plan, jak to ryzyko zniwelować.

ASM powinien być regularnie powtarzany, by podążać za wzrostem organizacji i jej zasobów, a jednocześnie stanowić skuteczną ochronę przed działaniami cybeprzestępców, którzy także stale rozwijają swoje narzędzia i wiedzę o nowych podatnościach i technikach ataku.

W poszukiwaniu luk w bezpieczeństwie IT

W ukierunkowanych atakach hakerzy najpierw przystępują do rekonesansu – szukają słabych stron organizacji przeglądając ogólnodostępne źródła danych, skanują w poszukiwaniu otwartych portów i oprogramowania z podatnościami, sprawdzają czy w darkwebie nie pojawiają się hasła pracowników. Poszukują starych i testowych wersji stron lub serwerów backupowych, analizują certyfikaty i rekordy DNS.

Wszystkie te działania są przeprowadzane w taki sposób, by jak najmniej ingerować bezpośrednio w zasoby klienta, co mogłoby wzbudzić jego czujność. Jeśli jakieś informacje przestępcy są w stanie zdobyć z innych źródeł niż organizacja znajdująca się na ich celowniku, chętnie to wykorzystują. Według raportu Randori State of Attack Surface Management 2022, 69% procent firm zostało zaatakowanych z powodu nieznanego lub źle zarządzanego zasobu wystawionego w Internecie.

Najczęstsze podatności według zespołu SOC360

Jako zespół SOC, często mamy do czynienia z atakami, których dana firma mogłaby uniknąć, gdyby zdawała sobie sprawę ze swoich słabości. Oto najczęstsze z nich:

Use case 1: Nie wszystkie zasoby są znane.

Nasze doświadczenie w branży pokazuje, że inwentaryzacja zasobów (zarówno hostów i programów) jest zazwyczaj niekompletna i nieaktualna.

Use case 2: Nie wszystkie zasoby są objęte ochroną.

Przy większej ilości zasobów, praktycznie zawsze jakiś procent zostaje pominięty przy instalacji odpowiednich zabezpieczeń lub też te zabezpieczenia przestają z różnych przyczyn działać. By tego uniknąć, monitorowane hosty powinny być porównywane z kompletną listą hostów działających w sieci organizacji w celu znalezienia luk.

Use case 3: Współpracownik wystawił maszynę do sieci z otwartym dostępem RDP, żeby łatwiej było mu się zalogować w trakcie pracy zdalnej.

Otwarty port RDP (czy dowolnego oprogramowania do zdalnego dostępu) na zapomnianej czy "nielegalnej" maszynie z adresacją publiczną stanowi bardzo łakomy kąsek dla wszelkiej maści hakerów. Niestety bywa, że dana organizacja dowiaduje się o tej podatności dopiero podczas analizy po poważnym incydencie.

Use case 4: Stara strona testowa zawiera jawne informacje o strukturze i stosowanych zabezpieczeniach, podatne oprogramowanie czy też testowe, niezabezpieczone panele logowania do produkcyjnych zasobów.

Strony testowe zazwyczaj nie są monitorowane ani należycie zabezpieczone. Domyślnie miały działać tylko na chwilę, dla testów, ale z różnych przyczyn (zapomnienie, lenistwo, brak świadomości) pozostają ciągle dostępne. Bywa, że taka strona ma działające dostępy do faktycznych zasobów a przy tym... domyślne hasła.

Występowanie tego rodzaju podatności jest niejako wpisane w działalność organizacji, a im jest ona większa – im więcej zatrudnia pracowników oraz im większą i bardziej skomplikowaną posiada infrastrukturę – tym ryzyko jest wyższe. Właśnie dlatego Attack Surface Management (ASM), to rozwiązanie, które powinno na dobre gościć w strategii bezpieczeństwa firmy, uszczelniając jej ochronę i znacząco podnosząc bezpieczeństwo.

Wykorzystanie Attack Surface Management w ochronie przed cyberatakami

Wyniki ASM dają wiedzę o ryzykach, wskazują konkretne słabe punkty, które wymagają zaopiekowania oraz pomagają nie tylko chronić organizację przed atakiem hakerskim, ale także usprawniają proces reagowania na incydenty, dając analitykom aktualną wiedzę o firmie, i kontekst dla alertów bezpieczeństwa, pomocny w analizie.

Dzięki podejściu Attack Surface Management możliwe jest uzyskanie odpowiedzi na takie pytania jak:

  • Czy na stronie internetowej firmy nie ma zapomnianych paneli logowania?
  • Czy na pewno otwarte są tylko niezbędne porty?
  • Czy wersje oprogramowania użyte do budowy strony zawierają jakieś podatności, które mogą być wykorzystane do wejścia do systemu?
  • Czy loginy i hasła pracowników są dostępne w darkwebie?
  • Czy domeny firmy pojawiają się na blacklistach?
  • Czy ktoś próbuje się podszyć pod stronę internetową lub aplikację mobilną organizacji?
  • Czy ktoś przechowuje firmowe dokumenty na ogólnie dostępnych serwerach?
  • Czy pracownicy wrzucili wrażliwe informacje na Github/StackOverflow, szukając pomocy w rozwiązaniu swojego problemu?
  • Czy rekordy DNS są odpowiednio zabezpieczone?
  • Czy serwery pocztowe firmy mogą być wykorzystywane do rozsyłania spamu?
  • Jakie domeny mogą być wykorzystane do podszywania się (typosquatting) pod domenę firmy?

Komponenty ASM

Proces ASM składa się z czterech głównych etapów:

  1. Inwentaryzacja zasobów Należy zdać sobie sprawę, że zasobem może być wszystko – komputer, aplikacja, konto użytkownika, folder w chmurze czy kopia zapasowa dokumentacji (zawierająca dane wrażliwe). Inwentaryzacja zasobów to wiele więcej niż tylko spis komputerów z numerami IP. To także informacje o wersjach kluczowego oprogramowania oraz np. o tym, czy urządzenie ma dostęp uprzywilejowany lub dostęp do wrażliwych danych i kto jest za nie odpowiedzialny. To również wykrywanie “zapomnianych” urządzeń (np. komputerów testowych, drukarek czy urządzeń sieciowych), otwartych portów w sieci czy urządzeń podłączonych przez pracowników, bez wiedzy administratora – czyli tzw. Shadow IT.

  2. Klasyfikacja zasobów To nadanie danym zasobom pewnych priorytetów z uwzględnieniem takich czynników jak łatwość ataku, dostęp do ważnych informacji (np. danych płatniczych), czy możliwość eskalacji uprawnień (np. słabo zabezpieczone kontrolery domeny AD mogą umożliwić wykradzenie i złamanie haseł administratorów lub założenie dodatkowego konta).

  3. Naprawa / kontrola Każda z wykrytych luk bezpieczeństwa, zarówno w konfiguracji jak i w oprogramowaniu, powinna zostać naprawiona (i przetestowana) albo przynajmniej powinna zostać dodana odpowiednia kontrola, która zmniejszy ryzyko w znaczny sposób.

  4. Monitoring To nie tylko regularny monitoring własnych zasobów (i zewnętrznych źródeł danych), ale także ulepszenie procesów (np. procedura wdrażania nowych komputerów), by od razu wiedzieć jakie nowe ryzyko wdrażamy razem z nowym zasobem.

Zarządzaj procesem ASM z ekspertami SOC360

Zespół SOC360 wspiera firmy w skutecznym zarządzaniu procesem ASM zarówno na etapie wdrożenia jak i aktywnej obsługi narzędzia. Przy dzisiejszej infrastrukturze, mocno ukierunkowanej chmurowo oraz z wykorzystaniem usług hostingowych dbamy wspólnie z klientem o odpowiednie wyfiltrowanie zasobów, w celu wyeliminowania niepotrzebnego szumu informacyjnego i skupieniu się na odpowiednich zasobach.

Zespół SOC360 prowadzi także dodatkowe analizy i priorytetyzację zgłoszeń pochodzących z systemów klasy ASM, tak aby do klienta jak najszybciej trafiały zweryfikowane i istotne alerty, co do których może być konieczne podjęcie dodatkowej reakcji. Może się to tyczyć m.in. błędnej konfiguracji usług, pojawienia się nowych podatności (w szczególności krytycznych), a także wykrycia wycieków danych związanych z domeną klienta.

W przypadku narzędzi typu ASM czy CTI, kluczowe jest nie samo pozyskanie danych, których ilość może być przytłaczająca dla organizacji, ale przede wszystkim odniesienie się do tych wymagających uwagi. Jako SOC360 zapewniamy wsparcie w tym zakresie 24 godziny na dobę, 7 dni w tygodniu.

Jeśli nie zidentyfikowałeś jeszcze podatności bezpieczeństwa Twojej firmy – koniecznie skontaktuj się z nami już dziś.

Autor tekstu:
Małgorzata Stanilewicz
Małgorzata Stanilewicz , SOC360 Operations Manager , 4Prime Group
W branży cyberbezpieczeństwa od 5 lat. Szczególnie interesują ją ludzie oraz sposób, w jaki postrzegają i rozumieją cyberzagrożenia. Posiada doświadczenie w zarządzaniu zespołem oraz obszarem zarządzania wiedzą.

Atak na Twoją firmę mógł się zacząć już miesiąc temu.

Sprawdź, jak możesz zapewnić bezpieczeństwo swojej organizacji już dziś.