ما هو الاكتشاف؟
نظرة عامة
يعتمد إدارة الأجزاء المعرضة للهجوم الخارجية في Microsoft Defender (Defender EASM) على تقنية الاكتشاف الخاصة بنا لتحديد سطح الهجوم الفريد المكشوف عبر الإنترنت لمؤسستك باستمرار. يفحص Discovery الأصول المعروفة المملوكة لمؤسستك للكشف عن خصائص غير معروفة وغير مراقبة مسبقا. تتم فهرسة الأصول المكتشفة في مخزون العميل، ما يوفر نظاما ديناميكيا لسجل تطبيقات الويب وتبعيات الجهات الخارجية والبنية الأساسية للويب تحت إدارة المؤسسة من خلال جزء واحد من الزجاج.
من خلال هذه العملية، تمكن Microsoft المؤسسات من مراقبة سطح الهجوم الرقمي المتغير باستمرار وتحديد المخاطر الناشئة وانتهاكات النهج عند ظهورها. تفتقر العديد من برامج الثغرات الأمنية إلى الرؤية خارج جدار الحماية الخاص بها، مما يجعلها غير مدركة للمخاطر والتهديدات الخارجية - المصدر الأساسي لخروقات البيانات. وفي الوقت نفسه، لا يزال النمو الرقمي يتجاوز قدرة فريق أمان المؤسسة على حمايته. تؤدي المبادرات الرقمية و"Shadow IT" الشائعة بشكل مفرط إلى توسيع سطح الهجوم خارج جدار الحماية. بهذه الوتيرة، من المستحيل تقريبا التحقق من صحة عناصر التحكم والحماية ومتطلبات التوافق. بدون Defender EASM، من المستحيل تقريبا تحديد الثغرات الأمنية والماسحات الضوئية وإزالتها لا يمكن أن تصل إلى ما بعد جدار الحماية لتقييم سطح الهجوم الكامل.
طريقة العمل
لإنشاء تعيين شامل لسطح هجوم مؤسستك، يستوعب النظام أولا الأصول المعروفة (المعروفة باسم "البذور") التي يتم فحصها بشكل متكرر لاكتشاف المزيد من الكيانات من خلال اتصالاتها بالبذور. قد تكون القيمة الأولية أي من الأنواع التالية من البنية الأساسية للويب المفهرسة بواسطة Microsoft:
- المجالات
- كتل IP
- المضيفون
- جهات اتصال البريد الإلكتروني
- ASNs
- منظمات Whois
بدءا من القيمة الأولية، يكتشف النظام بعد ذلك ارتباطات إلى بنية أساسية أخرى عبر الإنترنت لاكتشاف الأصول الأخرى المملوكة لمؤسستك؛ تنشئ هذه العملية في نهاية المطاف مخزون سطح الهجوم الخاص بك. تستخدم عملية الاكتشاف البذور كالعقد المركزية والعناكب إلى الخارج نحو محيط سطح الهجوم الخاص بك عن طريق تحديد جميع البنية الأساسية المتصلة مباشرة بالبذور، ثم تحديد جميع الأشياء المتعلقة بكل من الأشياء في المجموعة الأولى من الاتصالات، وما إلى ذلك. تستمر هذه العملية حتى نصل إلى حافة ما تتحمل مؤسستك مسؤولية إدارته.
على سبيل المثال، لاكتشاف البنية الأساسية لمجموعة Contoso، يمكنك استخدام المجال، contoso.com، كبنية أساسية أولية. بدءا من هذه البذور، يمكننا استشارة المصادر التالية واشتقاق العلاقات التالية:
| Data source | مثال |
|---|---|
| سجلات WhoIs | أسماء المجالات الأخرى المسجلة في نفس البريد الإلكتروني لجهة الاتصال أو المؤسسة المسجلة المستخدمة لتسجيل contoso.com من المحتمل أن تنتمي أيضا إلى Contoso |
| سجلات WhoIs | جميع أسماء المجالات المسجلة في أي @contoso.com عنوان بريد إلكتروني من المحتمل أن تنتمي أيضا إلى Contoso |
| سجلات Whois | قد تنتمي المجالات الأخرى المقترنة بنفس خادم الاسم مثل contoso.com أيضا إلى Contoso |
| سجلات DNS | يمكننا أن نفترض أن شركة Contoso تمتلك أيضا جميع المضيفين الملاحظين على المجالات التي تمتلكها وأي مواقع ويب مرتبطة بهؤلاء المضيفين |
| سجلات DNS | قد تنتمي المجالات التي تحتوي على مضيفين آخرين يحلون إلى كتل IP نفسها أيضا إلى Contoso إذا كانت المؤسسة تمتلك كتلة IP |
| سجلات DNS | خوادم البريد المقترنة بأسماء المجالات المملوكة ل Contoso تنتمي أيضا إلى Contoso |
| شهادات SSL | ربما تمتلك Contoso أيضا جميع شهادات SSL المتصلة بكل من هؤلاء المضيفين وأي مضيفين آخرين باستخدام نفس شهادات SSL |
| سجلات ASN | قد تنتمي كتل IP الأخرى المقترنة بنفس ASN مثل كتل IP التي يتصل بها المضيفون على أسماء مجالات Contoso إلى Contoso - كما هو الحال مع جميع المضيفين والمجالات التي يتم حلها لهم |
باستخدام هذه المجموعة من اتصالات المستوى الأول، يمكننا بسرعة اشتقاق مجموعة جديدة تماما من الأصول للتحقيق فيها. قبل إجراء المزيد من التكرارات، تحدد Microsoft ما إذا كان الاتصال قويا بما يكفي لإضافة كيان مكتشف تلقائيا إلى المخزون المؤكد. لكل من هذه الأصول، يقوم نظام الاكتشاف بتشغيل عمليات بحث تلقائية ومتكررة استنادا إلى جميع السمات المتاحة للعثور على اتصالات من المستوى الثاني والمستوى الثالث. توفر هذه العملية المتكررة مزيدا من المعلومات حول البنية الأساسية للمؤسسة عبر الإنترنت، وبالتالي تكتشف أصولا متباينة ربما لم يتم اكتشافها ومراقبتها لاحقا بخلاف ذلك.
أسطح الهجوم التلقائية مقابل الأسطح المخصصة للهجوم
عند استخدام Defender EASM لأول مرة، يمكنك الوصول إلى مخزون تم إنشاؤه مسبقا لمؤسستك لبدء مهام سير العمل بسرعة. من صفحة "البدء"، يمكن للمستخدمين البحث عن مؤسستهم لملء مخزونهم بسرعة استنادا إلى اتصالات الأصول التي حددتها Microsoft بالفعل. يوصى بأن يبحث جميع المستخدمين عن جهاز Surface الهجومي الذي تم إنشاؤه مسبقا لمؤسستهم قبل إنشاء مخزون مخصص.
لإنشاء مخزون مخصص، يقوم المستخدمون بإنشاء Discovery Groups لتنظيم وإدارة البذور التي يستخدمونها عند تشغيل الاكتشافات. تسمح مجموعات الاكتشاف المنفصلة للمستخدمين بأتمتة عملية الاكتشاف، وتكوين القائمة الأولية وجدول التشغيل المتكرر.
المخزون المؤكد مقابل الأصول المرشحة
إذا اكتشف محرك الاكتشاف وجود اتصال قوي بين أصل محتمل والبذئ الأولي، فسيتضمن النظام تلقائيا هذا الأصل في "المخزون المؤكد" للمؤسسة. نظرا لأن الاتصالات بهذه القيمة الأولية يتم مسحها ضوئيا بشكل متكرر، واكتشاف اتصالات من المستوى الثالث أو الرابع، فإن ثقة النظام في ملكية أي أصول تم اكتشافها حديثا أقل. وبالمثل، قد يكتشف النظام الأصول ذات الصلة بمؤسستك ولكن قد لا تكون مملوكة لهم مباشرة.
لهذه الأسباب، يتم تسمية الأصول المكتشفة حديثا على أنها إحدى الحالات التالية:
| اسم الولاية | الوصف |
|---|---|
| المخزون المعتمد | جزء من سطح الهجوم المملوك؛ عنصر أنت مسؤول مباشرة عنه. |
| Dependency | البنية الأساسية التي تملكها جهة خارجية ولكنها جزء من سطح الهجوم لأنها تدعم مباشرة تشغيل الأصول المملوكة. على سبيل المثال، قد تعتمد على موفر تكنولوجيا المعلومات لاستضافة محتوى الويب الخاص بك. بينما يكون المجال واسم المضيف والصفحات جزءا من "المخزون المعتمد"، قد ترغب في التعامل مع عنوان IP الذي يقوم بتشغيل المضيف على أنه "تبعية". |
| المراقبة فقط | أصل ذي صلة بسطح الهجوم الخاص بك ولكن لا يتم التحكم فيه مباشرة ولا التبعية التقنية. على سبيل المثال، قد يطلق على الامتيازات المستقلة أو الأصول التابعة للشركات ذات الصلة اسم "المراقبة فقط" بدلا من "المخزون المعتمد" لفصل المجموعات لأغراض الإبلاغ. |
| Candidate | أصل له بعض العلاقة بالأصول الأولية المعروفة لمؤسستك ولكن ليس لديه اتصال قوي بما يكفي لوصفه على الفور باسم "المخزون المعتمد". يجب مراجعة أصول المرشحين هذه يدويا لتحديد الملكية. |
| يتطلب التحقيق | حالة مشابهة لحالة "المرشح"، ولكن يتم تطبيق هذه القيمة على الأصول التي تتطلب تحقيقا يدويا للتحقق من صحتها. يتم تحديد ذلك استنادا إلى درجات الثقة التي تم إنشاؤها داخليا والتي تقيم قوة الاتصالات المكتشفة بين الأصول. لا يشير إلى العلاقة الدقيقة للبنية الأساسية بالمؤسسة بقدر ما يشير إلى أنه تم وضع علامة على هذا الأصل على أنه يتطلب مراجعة إضافية لتحديد كيفية تصنيفه. |
عند مراجعة الأصول، يوصى بالبدء بالأصول المسماة "يتطلب التحقيق". يتم تحديث تفاصيل الأصول باستمرار وتحديثها بمرور الوقت للحفاظ على خريطة دقيقة لولايات الأصول والعلاقات، بالإضافة إلى الكشف عن الأصول المنشأة حديثا عند ظهورها. تتم إدارة عملية الاكتشاف عن طريق وضع البذور في مجموعات الاكتشاف التي يمكن جدولتها لإعادة التشغيل على أساس متكرر. بمجرد ملء المخزون، يقوم نظام Defender EASM بمسح أصولك باستمرار باستخدام تقنية المستخدم الظاهري من Microsoft للكشف عن بيانات جديدة ومفصلة حول كل منها. تفحص هذه العملية محتوى كل صفحة وسلوكها داخل المواقع القابلة للتطبيق لتوفير معلومات قوية يمكن استخدامها لتحديد الثغرات الأمنية ومشكلات التوافق والمخاطر المحتملة الأخرى لمؤسستك.