Mi az a felderítés?
Áttekintés
Microsoft Defender külső támadásifelület-kezelő (Defender EASM) a saját fejlesztésű felderítési technológiánkra támaszkodik, hogy folyamatosan meghatározza a szervezet egyedi internetes támadási felületét. A felderítés megvizsgálja a szervezet tulajdonában lévő ismert objektumokat, hogy felderítse a korábban ismeretlen és nem figyelt tulajdonságokat. A felderített eszközök indexelhetők az ügyfél leltárában, így a szervezet felügyelete alatt álló webalkalmazások, külső függőségek és webes infrastruktúra dinamikus rekordrendszerét biztosítják egyetlen panelen keresztül.
Ezzel a folyamattal a Microsoft lehetővé teszi a szervezetek számára, hogy proaktívan monitorozzák a folyamatosan változó digitális támadási felületüket, és azonosíthassák a felmerülő kockázatokat és szabályzatsértéseket. Számos biztonságirés-programnak nincs láthatósága a tűzfalon kívül, így nem tud a külső kockázatokról és fenyegetésekről – ez az adatszivárgások elsődleges forrása. Ugyanakkor a digitális növekedés továbbra is túllépi a vállalati biztonsági csapat azon képességét, hogy megvédje azt. A digitális kezdeményezések és a túl gyakori "árnyék INFORMA" egy egyre bővülő támadási felületet eredményeznek a tűzfalon kívül. Ilyen ütemben szinte lehetetlen ellenőrizni a vezérlőket, a védelmet és a megfelelőségi követelményeket. A Defender EASM nélkül szinte lehetetlen azonosítani és eltávolítani a biztonsági réseket, és a szkennerek nem érhetik el a tűzfalon túl a teljes támadási felület felméréséhez.
Működés
A szervezet támadási felületének átfogó leképezéséhez a rendszer először olyan ismert objektumokat (pl. "magokat") fog beolvasni, amelyeket rekurzívan vizsgálnak, hogy további entitásokat fedezhessenek fel a magokkal való kapcsolatukon keresztül. A kezdeti mag a Microsoft által indexelt alábbi webes infrastruktúratípusok bármelyike lehet:
- Szervezetnevek
- Tartományok
- IP-blokkok
- Hosts
- Email névjegyek
- ASN-ek
- Whois-szervezetek
A rendszer egy maggal kezdve felderíti a más online infrastruktúrához való társításokat, hogy felderítse a szervezet tulajdonában lévő egyéb eszközöket; ez a folyamat végül létrehozza a támadási felület leltárát. A felderítési folyamat a magokat használja központi csomópontként és pókként a támadási felület perifériája felé. Ehhez azonosítja a maghoz közvetlenül kapcsolódó összes infrastruktúrát, majd azonosítja az első kapcsolatkészletben lévő dolgokhoz kapcsolódó összes dolgot stb. Ez a folyamat addig folytatódik, amíg el nem érjük a szervezet kezeléséért felelős peremhálózatot.
A Contoso infrastruktúrájának felderítéséhez például használhatja a contoso.com tartományt a kezdeti kulcskő-magként. Ezzel a maggal kezdve a következő forrásokból származtathatjuk a következő kapcsolatokat:
Adatforrás | Példa |
---|---|
WhoI rekordok | Az ugyanahhoz a kapcsolattartó e-mail-címhez vagy regisztráló szervezethez regisztrált egyéb tartománynevek, amelyek contoso.com valószínűleg a Contoso-hoz is tartoznak |
WhoI rekordok | Minden olyan tartománynév, amely bármely @contoso.com e-mail-címre regisztrálva van, valószínűleg a Contoso-hoz is tartozik |
Whois-rekordok | A contoso.com névkiszolgálóval társított egyéb tartományok is tartozhatnak a Contosóhoz |
DNS records | Feltételezhetjük, hogy a Contoso az összes megfigyelt gazdagép tulajdonosa az általa birtokolt tartományokban és az ezekhez a gazdagépekhez társított webhelyeken |
DNS records | Az azonos IP-blokkokra feloldó más gazdagépekkel rendelkező tartományok a Contosóhoz is tartozhatnak, ha a szervezet az IP-blokk tulajdonosa |
DNS records | A Contoso tulajdonában lévő tartománynevekkel társított levelezési kiszolgálók szintén a Contoso-hoz tartoznának |
SSL-tanúsítványok | A Contoso valószínűleg az összes olyan SSL-tanúsítvány tulajdonosa is, amely ezekhez a gazdagépekhez és az azonos SSL-tanúsítványokat használó többi gazdagéphez csatlakozik |
ASN-rekordok | A Contoso tartományneveinek gazdagépeihez tartozó IP-blokkokkal azonos ASN-hez társított egyéb IP-blokkok is tartozhatnak a Contosóhoz – ugyanúgy, mint a számukra feloldott összes gazdagép és tartomány |
Ezzel az első szintű kapcsolatkészlettel gyorsan létrehozhatunk egy teljesen új adategység-készletet, amelyet ki kell vizsgálnunk. A további rekurziók végrehajtása előtt a Microsoft meghatározza, hogy a kapcsolat elég erős-e ahhoz, hogy egy felderített entitás automatikusan hozzá legyen-e adva a megerősített leltárhoz. Ezen objektumok mindegyikéhez a felderítési rendszer automatizált, rekurzív kereséseket futtat az összes elérhető attribútum alapján a második és harmadik szintű kapcsolatok kereséséhez. Ez az ismétlődő folyamat több információt nyújt a szervezet online infrastruktúrájára vonatkozóan, és így felderíti azokat a különálló eszközöket, amelyeket esetleg nem fedeztek fel és nem figyeltek meg másként.
Automatizált és testreszabott támadási felületek
A Defender EASM első használatakor hozzáférhet egy előre összeállított leltárhoz a szervezet számára, hogy gyorsan elindítsa a munkafolyamatokat. A "Első lépések" lapon a felhasználók megkereshetik a szervezetüket, hogy gyorsan feltöltsék a leltárukat a Microsoft által már azonosított eszközkapcsolatok alapján. Javasoljuk, hogy egyéni leltár létrehozása előtt minden felhasználó keresse meg a szervezet előre elkészített Attack Surface felületét.
Testreszabott leltár létrehozásához a felhasználók felderítési csoportokat hoznak létre a felderítések futtatásakor használt magok rendszerezéséhez és kezeléséhez. A különálló felderítési csoportok lehetővé teszik a felhasználók számára a felderítési folyamat automatizálását, a kezdőlista konfigurálását és az ismétlődő futtatási ütemezést.
Megerősített leltár és jelölt eszközök
Ha a felderítési motor erős kapcsolatot észlel egy lehetséges objektum és a kezdeti mag között, a rendszer automatikusan belefoglalja ezt az objektumot a szervezet "Megerősített leltár" elembe. Mivel a maggal való kapcsolatokat iteratív módon ellenőrzik, és felderítik a harmadik vagy negyedik szintű kapcsolatokat, a rendszer kevésbé bízik az újonnan észlelt eszközök tulajdonjogában. Hasonlóképpen, a rendszer észlelheti a szervezet szempontjából releváns, de nem közvetlen tulajdonú eszközöket. Ezen okokból az újonnan felderített objektumok a következő állapotok egyikének minősülnek:
Állapot neve | Description |
---|---|
Jóváhagyott leltár | A saját támadási felület egy része; egy olyan elem, amelyért Ön közvetlenül felelős. |
Függőség | Az infrastruktúra, amely egy harmadik fél tulajdonában van, de a támadási felület része, mivel közvetlenül támogatja a saját tulajdonú eszközök működését. Előfordulhat például, hogy egy informatikai szolgáltatótól függ a webes tartalom üzemeltetéséhez. Bár a tartomány, az állomásnév és a lapok a "Jóváhagyott leltár" része lennének, érdemes lehet a gazdagépet futtató IP-címet "Függőségként" kezelni. |
Csak figyelés | Olyan objektum, amely a támadási felület szempontjából releváns, de nem közvetlenül vezérelhető, és nem is műszaki függőség. Előfordulhat például, hogy a független franchise-k vagy a kapcsolódó vállalatokhoz tartozó eszközök "Csak figyelési" címkével vannak ellátva a "Jóváhagyott leltár" helyett a csoportok jelentéskészítési célokra való elkülönítéséhez. |
Jelölt | Olyan objektum, amely kapcsolatban áll a szervezet ismert kezdőeszközeivel, de nem rendelkezik elég erős kapcsolattal ahhoz, hogy azonnal "Jóváhagyott leltár" címkével lássa el. Ezeket a jelölt eszközöket manuálisan kell felülvizsgálni a tulajdonjog meghatározásához. |
Vizsgálatot igényel | A "Jelölt" állapothoz hasonló állapot, de ez az érték olyan eszközökre lesz alkalmazva, amelyek manuális vizsgálatot igényelnek az ellenőrzéshez. Ezt a belsőleg generált megbízhatósági pontszámok alapján határozzuk meg, amelyek felmérik az eszközök közötti észlelt kapcsolatok erősségét. Nem jelzi az infrastruktúra és a szervezet közötti pontos kapcsolatot, mivel azt jelzi, hogy az objektumot további felülvizsgálatra szorulóként jelölték meg annak meghatározásához, hogy hogyan kell kategorizálni. |
Az eszköz adatai folyamatosan frissülnek és frissülnek az eszközállapotok és kapcsolatok pontos térképének fenntartása érdekében, valamint az újonnan létrehozott eszközök megjelenésekor. A felderítési folyamat úgy kezelhető, hogy olyan magokat helyez el a felderítési csoportokban, amelyek ütemezhetők ismétlődő futtatásra. A leltár feltöltése után a Defender EASM rendszer folyamatosan megvizsgálja az eszközöket a Microsoft virtuális felhasználói technológiájával, hogy friss, részletes adatokat tárjon fel mindegyikről. Ez a folyamat megvizsgálja az egyes lapok tartalmát és viselkedését a megfelelő webhelyeken, hogy robusztus információkat nyújtson, amelyek segítségével azonosíthatja a biztonsági réseket, a megfelelőségi problémákat és a szervezetet érintő egyéb potenciális kockázatokat.