От устройств IoT до облачной инфраструктуры, от веб-приложений и межсетевых экранов до VPN-шлюзов: количество принадлежащих компаниям активов, подключенных к Интернету, увеличивается в геометрической прогрессии. Они обеспечивают доступ к данным, датчикам, серверам, интернет-магазинам, веб-сайтам и другим приложениям. Но с каждым дополнительным активом поверхность внешних атак растёт, а вместе с ней и риск успешных вторжений.
Эта статья предназначена для директоров по информационной безопасности и ИТ-департаментов, менеджеров ИТ-проектов и ИТ-специалистов небольших компаний, которые только встали на путь формирования защищенной инфраструктуры. Здесь содержатся общие рекомендации, которые подсказывают направление для дальнейших действий.
Обнаружения активов недостаточно
Для многих компаний внешняя поверхность атаки изменчива, сложна и доставляет много проблем. Необходимо всегда следить за тем, какие (новые) активы доступны через Интернет, и узнавать о любых обнаруженных пробелах в киберзащите. Поэтому директоры по информационной безопасности должны остро чувствовать возможные уязвимости и неправильные конфигурации. У них также должна быть команда, которая знает, как смягчить обнаруженные угрозы и какие действия предпринять.
Но какую уязвимость безопасности следует закрыть в первую очередь? Для эффективной защиты ИТ-инфраструктуры компании необходима многоуровневая концепция управления поверхностью внешних атак (EASM), которая также включает в себя взвешивание индивидуального фактического риска уязвимостей. Этот процесс можно условно разделить на четыре последовательных этапа.
Шаг 1: Определение и классификация активов
Только тот, кто знает все активы, может эффективно их защитить и активно управлять поверхностью атак. Организациям среднего размера и более крупным корпорациям с многочисленными дочерними компаниями трудно уследить за всем, что доступно извне. Этому также способствует и теневой ИТ, когда сотрудники, например, устанавливают несанкционированные программные приложения или используют облачные сервисы без ведома и официального согласия внутреннего ИТ-отдела, что противоречит действующим правилам комплаенса.
Чтобы получать релевантный обзор всех активов, ответственные лица должны регулярно и автоматически проверять поверхность внешней атаки. В идеале не только идентифицируются все соответствующие активы, но и распределяются между соответствующими суборганизациями, дочерними компаниями и т. д.
Управление поверхностью внешних атак выходит далеко за рамки классического обнаружения активов и сканирования уязвимостей. Оно также нацелено на «слепые зоны» — такие как забытые облачные активы и ИТ-инфраструктуры, а также IoT, которые больше не используются или неправильно настроены.
Шаг 2: Идентификация рисков
Чтобы определить, какие уязвимости существуют и какой потенциальный риск они представляют для компании, проводятся процедуры тестирования на разных уровнях. Например с помощью динамического тестирования безопасности приложений (DAST) можно узнать, исходит ли потенциальная угроза от определенных приложений. Также следует проверить, не могут ли уже быть непреднамеренно доступны через Интернет данные, важные для безопасности, например, для управления производственной системой. Ещё одна угроза безопасности — несанкционированный вход в систему. Именно здесь в игру вступает проверка учётных данных. Кроме того, компании должны постоянно следить за тем, подвержены ли их активы известным уязвимостям безопасности.
Шаг 3: Оценка риска
Все обнаруженные уязвимости несут определённый уровень риска, но он не всегда один и тот же. Чтобы реалистично оценить и классифицировать его, основное внимание уделяется трём вопросам:
Существуют ли на самом деле известные векторы атак для конкретной уязвимости безопасности, или она носит скорее теоретический характер и ещё не использовалась?
Является ли уязвимость актива или целевой системы интересной для атаки? Например, центральная база данных гораздо более ценна, чем актив в подразделении, который не обеспечивает доступ к другим системам.
Насколько быстро и легко компания может назначить актив в качестве потенциальной цели. Например находится ли он непосредственно на веб-сайте или «спрятан» как малоизвестный риск в дочерней организации?
Шаг 4: Расстановка приоритетов и исправление ситуации
Наиболее важным фактором является максимально короткое время реагирования на действительно критические риски. Это относится не только к выявлению, но, конечно же, и к своевременному закрытию соответствующих уязвимостей. Но что делать, если на информационной панели отображается больше проблем, чем людей, готовых их исправить?
Необходимо разумно расставить приоритеты для уязвимостей, чтобы максимально быстро и эффективно минимизировать общий риск успешных атак. Например прямой незащищённый доступ извне к базе данных клиентов без аутентификации обычно гораздо более важен, чем уязвимость IP-камеры, которую ранее можно было использовать только теоретически. Для оперативной команды по обеспечению безопасности речь идет в первую очередь не о том, чтобы как можно быстрее закрыть как можно больше брешей, а, скорее, о наиболее важных из них.
Заключение
Для эффективной защиты поверхности внешних атак и сведении к минимуму внешних киберрисков, необходимо постоянно (желательно, автоматически) проверять и отслеживать общедоступные облачные активы и приложения компании, включая все подразделения.