⚙️ Что такое управление поверхностью атаки?

Введение

В этой статье мы объясним, что такое поверхность атаки, какие их виды существуют, а также расскажем, как использовать управление поверхностью атаки (ASM).

Что такое поверхность атаки?

Давайте начнем с реального примера.

Если кто-то начинает работать в технологической компании, ИТ-отдел, скорее всего, предоставит ему компьютер с минимальными привилегиями.

Потому что такие политики строятся так, чтобы максимально снизить риск.

Определив поверхность атаки, мы сможем понять, как снизить риск.

В двух словах, все дело в снижении риска.

Под поверхностью атаки понимается совокупность различных частей, через которые неавторизованный человек может попытаться проникнуть в среду или извлечь из нее данные.

В области программного обеспечения она включает в себя все возможности, функции, аппаратное и программное обеспечение, а также сетевые интерфейсы.

Злоумышленник может потенциально использовать эти среды для нанесения вреда или извлечения данных из них.

Уменьшение поверхности атаки является фундаментальным методом повышения безопасности системы.

Поэтому, как мы уже говорили, большинство ИТ-отделов снижают риск, ограничивая поверхность атаки.

🔍 Активная и пассивная разведка: объяснение

Поверхности атак

Специалисты по безопасности классифицируют поверхности атак на три отдельные подповерхности:

Цифровые, физические и социально-инженерные поверхности атак.

Если рассматривать всю область программного обеспечения, то такие категории вполне уместны.

Цифровая поверхность атаки

Как можно понять из названия, цифровая поверхность атаки относится ко всем цифровым уязвимостям, через которые злоумышленник может попытаться получить несанкционированный доступ к системе или данным.

Она включает в себя уязвимости в программном обеспечении, оборудовании и сетевые интерфейсы.

Например, базы данных, приложения и операционные системы могут иметь некоторые уязвимости.

Из-за ключевого слова “цифровой” мы можем подумать, что это относится только к программному обеспечению, но физические устройства и их интерфейсы могут иметь аппаратные уязвимости.

🕵️ Разбираем виды тестирования на проникновение

Сеть – еще одна важная тема в ASM.

Например, открытые порты, связанные с ними службы и их слабые места могут иметь сетевые уязвимости.

На изображении показана атака сканирования портов:

 

Поверхность цифровых атак может расширяться при использовании облачных сервисов, мобильных устройств, устройств IoT и других цифровых технологий.

Цель практик безопасности – минимизировать поверхность цифровой атаки, чтобы снизить вероятность несанкционированного доступа или утечки данных.

Физическая поверхность атаки

Вторая категория – это физическая поверхность атаки.

Она относится к физическим точкам, через которые злоумышленник может попытаться получить доступ к системе или данным.

Она включает в себя физический доступ к системам или аппаратному обеспечению, таким как серверы, рабочие станции и портативные устройства.

Несанкционированный физический доступ может привести к краже данных, повреждению или несанкционированному управлению системой.

Физические интерфейсы, такие как USB-порты, CD-приводы и физические свитчи, также являются частью физической поверхности атаки.

Опять же, главная цель практик безопасности – минимизировать физическую поверхность путем защиты физического доступа и интерфейсов.

На изображении мы видим пример атаки с использованием USB-портов:

Поверхность атаки социальной инженерии

Последняя, но не менее важная область атак социальной инженерии охватывает человеческие ресурсы.

Злоумышленники могут пытаться манипулировать людьми, заставляя их раскрывать конфиденциальную информацию и выполнять действия, которые ставят под угрозу безопасность.

Эта зона атаки включает в себя техники манипулирования и, следовательно, заставляет людей нарушать обычные процедуры безопасности.

Распространенными методами являются фишинг, байтинг, приманка.

Фишинг – одна из самых распространенных тактик обмана людей, которая даже стала темой различных мемов в социальных сетях, и происходит она так, как показано на рисунке.

Обычно это происходит через электронные письма, которые представляются письмами из надежных источников.

Цель этого метода – обманом заставить человека раскрыть конфиденциальную информацию.

Атаки социальной инженерии могут привести к несанкционированному доступу, утечке данных и финансовым потерям.

С помощью обучения пользователей, повышения их осведомленности и надежных политик безопасности ИТ-отделы стремятся свести к минимуму вероятность атак с использованием социальной инженерии:

Что такое ASM и как его использовать?

До этого момента мы определяли различные категории поверхностей атаки и говорили о том, что главная цель – максимально сократить эти поверхности.

Именно здесь на сцену выходит ASM, который создает различные принципы, стратегии и методологии для систематической борьбы с уязвимостями.

Таким образом, он предполагает использование стратегий и инструментов.

Рассматривая их, мы смотрим с точки зрения злоумышленника на выявление и постоянный мониторинг потенциальных уязвимостей организации.

Мы можем рассмотреть некоторые из них по отдельности, чтобы лучше понять общую картину:

Непрерывное обнаружение и мониторинг

Прежде всего, нам необходимо определить части, которые могут стать причиной уязвимости, чтобы принять меры. Это можно начать с ведения актуальной инвентаризации всех ИТ-активов, выходящих в Интернет. Сюда входят как локальные, так и облачные ресурсы. Основное внимание уделяется выявлению известных активов, а также упущенных и забытых ИТ-приложений или устройств. После идентификации эти активы постоянно отслеживаются на предмет любых изменений.

Анализ поверхности атаки и приоритезация рисков

После обнаружения таких уязвимостей или поверхностей атаки инструменты ASM оценивают активы на основе их уязвимостей и рисков безопасности.

После этого они определяют приоритеты для реагирования на угрозы.

Этот принцип важен, так как расстановка приоритетов влияет на другие этапы работы с уязвимостями.

Сокращение поверхности атаки

На этом этапе начинается самая интересная часть работы ИБ-отдела, на которой пользователи могут пострадать от ограниченного взаимодействия со своими устройствами.

Основываясь на результатах анализа, ИБ-команды могут предпринять немедленные действия по минимизации поверхности атаки.

Это может быть введение более надежных паролей, отключение неиспользуемых приложений и устройств, а также применение патчей.

Кроме того, к уменьшению площади атаки можно отнести обучение пользователей распознаванию попыток фишинга, внедрение биометрических средств контроля доступа или обновление политик безопасности.

Подход с нулевым доверием ( Концепция Zero Trust)

Наконец, еще одной стратегией сокращения поверхности атаки является подход с нулевым доверием.

Он требует, чтобы все пользователи, даже те, которые уже находятся в сети, проходили аутентификацию и авторизацию.

Принципы нулевого доверия – это непрерывная проверка подлинности, наименее привилегированный доступ, непрерывный мониторинг и микросегментация сети.

Эти принципы помогают устранить многие векторы атак и предоставляют ценные данные для постоянного анализа поверхности атаки.

Заключение

В этой статье мы рассказали о поверхности атаки и ее различных категориях.

В заключение следует отметить, что понимание поверхности атак и эффективное управление ею – важнейшие аспекты обеспечения надежной кибербезопасности.