Việc áp dụng rộng rãi các phương tiện đám mây và sự phát triển như nấm sau đó của các mạng lưới của các tổ chức, kết hợp với việc di chuyển gần đây sang làm việc từ xa, là hậu quả trực tiếp của việc mở rộng phạm vi tấn công của các tổ chức và dẫn đến ngày càng nhiều điểm mù trong kết nối kiến trúc.
Kết quả không lường trước được của bề mặt tấn công mở rộng và được giám sát phân mảnh này là sự gia tăng đáng kể về số lượng các cuộc tấn công mạng thành công, nổi tiếng nhất là ransomware, nhưng cũng bao gồm một loạt các loại tấn công khác. Các vấn đề chính là các điểm mù không được giám sát được sử dụng bởi những kẻ tấn công mạng để xâm phạm cơ sở hạ tầng của các tổ chức và leo thang tấn công hoặc di chuyển ngang dọc, tìm kiếm thông tin có giá trị.
Vấn đề nằm ở chỗ khám phá. Hầu hết các tổ chức đã phát triển nhanh hơn khả năng theo dõi tất cả các bộ phận chuyển động liên quan và bắt kịp danh mục tất cả các tài sản trong quá khứ và hiện tại thường được coi là một nhiệm vụ phức tạp và tốn nhiều tài nguyên với ít lợi ích trước mắt.
Tuy nhiên, với chi phí tiềm ẩn của một vụ vi phạm thành công và khả năng ngày càng tăng của những kẻ tấn công mạng trong việc xác định và sử dụng các tài sản bị lộ, việc để bất kỳ tài sản nào không được giám sát đều có thể dẫn đến một vụ vi phạm nghiêm trọng.
Đây là nơi mà các công nghệ mới nổi như Quản lý bề mặt tấn công (ASM) có thể là vô giá.
Quản lý bề mặt tấn công (ASM) là gì?
ASM là công nghệ khai thác cơ sở dữ liệu Internet và cơ sở dữ liệu chứng chỉ hoặc mô phỏng những kẻ tấn công chạy các kỹ thuật do thám. Cả hai cách tiếp cận đều nhằm mục đích thực hiện phân tích toàn diện về tài sản của tổ chức bạn được phát hiện trong quá trình khám phá. Cả hai cách tiếp cận đều bao gồm quét các miền, miền phụ, IP, cổng, CNTT ẩn, v.v., để tìm các nội dung sử dụng internet trước khi phân tích chúng để phát hiện các lỗ hổng bảo mật và lỗ hổng bảo mật.
ASM nâng cao bao gồm các khuyến nghị giảm thiểu có thể hành động cho từng lỗ hổng bảo mật được phát hiện, các đề xuất từ dọn dẹp các tài sản không sử dụng và không cần thiết để giảm bề mặt tấn công đến cảnh báo các cá nhân rằng địa chỉ email của họ có sẵn và có thể bị lợi dụng cho các cuộc tấn công lừa đảo.
ASM bao gồm báo cáo về Trí tuệ nguồn mở (OSINT) có thể được sử dụng trong một cuộc tấn công kỹ thuật xã hội hoặc chiến dịch lừa đảo, chẳng hạn như thông tin cá nhân có sẵn công khai trên phương tiện truyền thông xã hội hoặc thậm chí trên tài liệu như video, hội thảo trên web, bài phát biểu trước công chúng và hội nghị.
Cuối cùng, mục tiêu của ASM là đảm bảo rằng không có nội dung bị lộ nào không được giám sát và loại bỏ bất kỳ điểm mù nào có khả năng biến thành điểm xâm nhập bị kẻ tấn công lợi dụng để đạt được chỗ đứng ban đầu trong hệ thống của bạn.
Ai cần ASM?
Trong hội thảo trên web của mình về Trạng thái hiệu quả an ninh mạng năm 2021, nhà truyền giáo không gian mạng David Klein trực tiếp giải quyết những phát hiện liên quan đã được phát hiện bởi người dùng của Cymulate khi áp dụng ASM. Không biết về họ, trước khi chạy ASM:
80% không có tính năng chống giả mạo, bản ghi email SPF 77% không có đủ các biện pháp bảo vệ trang web 60% có tài khoản, cơ sở hạ tầng và dịch vụ quản lý bị lộ 58% có tài khoản email bị tấn công. 37% đã sử dụng java được lưu trữ bên ngoài. 26% không có bản ghi DMARC nào được định cấu hình cho miền. 23% có máy chủ lưu trữ Chứng chỉ SSL không khớp.
Sau khi được xác định, những lỗ hổng bảo mật này có thể được lấp đầy, nhưng yếu tố đáng lo ngại là mức độ phơi nhiễm chưa biết trước khi nhận dạng chúng.
Người dùng ASM trong phân tích này đến từ một loạt các ngành dọc, khu vực và quy mô tổ chức. Điều này cho thấy rằng bất kỳ ai có cơ sở hạ tầng được kết nối đều có thể hưởng lợi từ việc áp dụng ASM như một phần không thể thiếu của cơ sở hạ tầng an ninh mạng của họ.
Bạn có thể tìm thấy ASM ở đâu?
Mặc dù công nghệ này vẫn còn mới nhưng ngày càng có nhiều nhà cung cấp ASM. Như mọi khi, sẽ hiệu quả hơn nếu xem xét thêm ASM như một phần của nền tảng phát triển hơn thay vì một sản phẩm độc lập.
Trọng tâm của giải pháp ASM một phần được quyết định bởi trọng tâm của rổ sản phẩm mà nó được liên kết. Do đó, giải pháp ASM được liên kết với một bộ phản ứng như Phát hiện và phản hồi điểm cuối (EDR) có nhiều khả năng hơn đối với tôi dựa trên khả năng quét mở rộng, trong khi giải pháp ASM được đưa vào nền tảng chủ động như Quản lý tư thế bảo mật mở rộng (XSPM) thì có nhiều khả năng tập trung vào việc tận dụng khả năng quét để mở rộng việc mô phỏng các kỹ thuật và công cụ do thám của những kẻ tấn công mạng.
Việc chọn một ASM tích hợp tạo điều kiện thuận lợi cho việc tập trung dữ liệu liên quan đến tư thế bảo mật của tổ chức trong một ô kính duy nhất, giảm nguy cơ quá tải dữ liệu của các nhóm SOC.
.
