Apa itu Penemuan?
Gambaran Umum
Manajemen Permukaan Serangan Eksternal Microsoft Defender (Defender EASM) bergantung pada teknologi penemuan eksklusif kami untuk terus menentukan permukaan serangan unik organisasi Anda yang terekspos Internet. Penemuan memindai aset yang diketahui dimiliki oleh organisasi Anda untuk mengungkap properti yang sebelumnya tidak diketahui dan tidak dipantau. Aset yang ditemukan diindeks dalam inventarisasi pelanggan, menyediakan sistem catatan aplikasi web yang dinamis, dependensi pihak ketiga, dan infrastruktur web di bawah manajemen organisasi melalui satu panel kaca.
Melalui proses ini, Microsoft memungkinkan organisasi untuk secara proaktif memantau permukaan serangan digital mereka yang terus bergeser dan mengidentifikasi risiko dan pelanggaran kebijakan yang muncul saat muncul. Banyak program kerentanan tidak memiliki visibilitas di luar firewall mereka, membiarkan mereka tidak menyadari risiko dan ancaman eksternal—sumber utama pelanggaran data. Pada saat yang sama, pertumbuhan digital terus melampaui kemampuan tim keamanan perusahaan untuk melindunginya. Inisiatif digital dan "IT bayangan" yang terlalu umum menyebabkan permukaan serangan yang berkembang di luar firewall. Dengan kecepatan ini, hampir tidak mungkin untuk memvalidasi kontrol, perlindungan, dan persyaratan kepatuhan. Tanpa Defender EASM, hampir tidak mungkin untuk mengidentifikasi dan menghapus kerentanan dan pemindai tidak dapat mencapai di luar firewall untuk menilai permukaan serangan penuh.
Cara kerjanya
Untuk membuat pemetaan komprehensif permukaan serangan organisasi Anda, sistem terlebih dahulu memasukkan aset yang diketahui (yaitu "benih") yang dipindai secara rekursif untuk menemukan entitas tambahan melalui koneksi mereka ke benih. Seed awal mungkin salah satu jenis infrastruktur web berikut yang diindeks oleh Microsoft:
- Nama Organisasi
- Domain
- Blok IP
- Host
- Kontak Email
- ASN
- Organisasi Whois
Dimulai dengan benih, sistem kemudian menemukan asosiasi ke infrastruktur online lainnya untuk menemukan aset lain yang dimiliki oleh organisasi Anda; proses ini pada akhirnya menciptakan inventori permukaan serangan Anda. Proses penemuan menggunakan benih sebagai node pusat dan laba-laba ke luar menuju perifer permukaan serangan Anda dengan mengidentifikasi semua infrastruktur yang terhubung langsung ke benih, dan kemudian mengidentifikasi semua hal yang terkait dengan masing-masing hal di set koneksi pertama, dll. Proses ini berlanjut sampai kami mencapai tepi apa yang bertanggung jawab untuk dikelola organisasi Anda.
Misalnya, untuk menemukan infrastruktur Contoso, Anda dapat menggunakan domain, contoso.com, sebagai benih keystone awal. Dimulai dengan benih ini, kita dapat berkonsultasi dengan sumber-sumber berikut dan memperoleh hubungan berikut:
| Sumber data | Contoh |
|---|---|
| Catatan WhoIs | Nama domain lain yang terdaftar ke email kontak atau organisasi pendaftar yang sama yang digunakan untuk mendaftar contoso.com kemungkinan juga milik Contoso |
| Catatan WhoIs | Semua nama domain yang terdaftar ke alamat email apa pun @contoso.com kemungkinan juga milik Contoso |
| Rekaman whois | Domain lain yang terkait dengan server nama yang sama dengan contoso.com mungkin juga milik Contoso |
| Rekaman DNS | Kita dapat berasumsi bahwa Contoso juga memiliki semua host yang diamati pada domain yang dimilikinya dan situs web apa pun yang terkait dengan host tersebut |
| Rekaman DNS | Domain dengan host lain yang menyelesaikan blok IP yang sama mungkin juga milik Contoso jika organisasi memiliki blok IP |
| Rekaman DNS | Server email yang terkait dengan nama domain milik Contoso juga akan menjadi milik Contoso |
| Sertifikat SSL | Contoso mungkin juga memiliki semua sertifikat SSL yang terhubung ke masing-masing host tersebut dan host lain menggunakan sertifikat SSL yang sama |
| Rekaman ASN | Blok IP lain yang terkait dengan ASN yang sama dengan blok IP tempat host pada nama domain Contoso terhubung juga dapat menjadi milik Contoso - seperti halnya semua host dan domain yang mengatasinya |
Dengan menggunakan set koneksi tingkat pertama ini, kita dapat dengan cepat memperoleh serangkaian aset yang sama sekali baru untuk diselidiki. Sebelum melakukan rekursi tambahan, Microsoft menentukan apakah koneksi cukup kuat untuk entitas yang ditemukan untuk ditambahkan secara otomatis ke Inventori Yang Dikonfirmasi. Untuk setiap aset ini, sistem penemuan menjalankan pencarian otomatis dan rekursif berdasarkan semua atribut yang tersedia untuk menemukan koneksi tingkat kedua dan tingkat ketiga. Proses berulang ini memberikan informasi lebih lanjut tentang infrastruktur online organisasi dan oleh karena itu menemukan aset berbeda yang mungkin belum ditemukan dan kemudian dipantau sebaliknya.
Permukaan serangan otomatis versus serangan yang disesuaikan
Saat pertama kali menggunakan Defender EASM, Anda dapat mengakses inventaris bawaan bagi organisasi Anda untuk memulai alur kerja Anda dengan cepat. Dari halaman "Memulai", pengguna dapat mencari organisasi mereka untuk mengisi inventarisasi mereka dengan cepat berdasarkan koneksi aset yang sudah diidentifikasi oleh Microsoft. Disarankan agar semua pengguna mencari Attack Surface bawaan organisasi mereka sebelum membuat inventaris kustom.
Untuk membangun inventarisasi yang disesuaikan, pengguna membuat Grup Penemuan untuk mengatur dan mengelola benih yang mereka gunakan saat menjalankan penemuan. Grup Penemuan terpisah memungkinkan pengguna untuk mengotomatiskan proses penemuan, mengonfigurasi daftar benih dan jadwal eksekusi berulang.
Inventori yang dikonfirmasi vs. aset kandidat
Jika mesin penemuan mendeteksi koneksi yang kuat antara aset potensial dan nilai awal, sistem akan secara otomatis menyertakan aset tersebut dalam "Inventarisasi yang Dikonfirmasi" organisasi. Karena koneksi ke benih ini dipindai secara berulang, menemukan koneksi tingkat ketiga atau keempat, keyakinan sistem terhadap kepemilikan aset yang baru terdeteksi lebih rendah. Demikian pula, sistem dapat mendeteksi aset yang relevan dengan organisasi Anda tetapi mungkin tidak dimiliki secara langsung oleh mereka. Untuk alasan ini, aset yang baru ditemukan diberi label sebagai salah satu status berikut:
| Nama negara | Deskripsi |
|---|---|
| Inventori yang Disetujui | Bagian dari permukaan serangan milik Anda; item yang bertanggung jawab langsung kepada Anda. |
| Dependensi | Infrastruktur yang dimiliki oleh pihak ketiga tetapi merupakan bagian dari permukaan serangan Anda karena secara langsung mendukung pengoperasian aset milik Anda. Misalnya, Anda mungkin bergantung pada penyedia TI untuk menghosting konten web Anda. Meskipun domain, nama host, dan halaman akan menjadi bagian dari "Inventori yang Disetujui", Anda mungkin ingin memperlakukan Alamat IP yang menjalankan host sebagai "Dependensi." |
| Pantau Saja | Aset yang relevan dengan permukaan serangan Anda tetapi tidak dikontrol secara langsung atau dependensi teknis. Misalnya, waralaba atau aset independen milik perusahaan terkait mungkin diberi label sebagai "Pantau Saja" daripada "Inventori yang Disetujui" untuk memisahkan grup untuk tujuan pelaporan. |
| Calon | Aset yang memiliki beberapa hubungan dengan aset benih organisasi Anda yang dikenal tetapi tidak memiliki koneksi yang cukup kuat untuk segera memberinya label sebagai "Inventarisasi yang Disetujui." Aset kandidat ini harus ditinjau secara manual untuk menentukan kepemilikan. |
| Membutuhkan Investigasi | Status yang mirip dengan status "Kandidat", tetapi nilai ini diterapkan pada aset yang memerlukan penyelidikan manual untuk memvalidasi. Ini ditentukan berdasarkan skor keyakinan yang dihasilkan secara internal kami yang menilai kekuatan koneksi yang terdeteksi antar aset. Ini tidak menunjukkan hubungan infrastruktur yang tepat dengan organisasi sebanyak yang menunjukkan bahwa aset ini telah ditandai sebagai memerlukan tinjauan tambahan untuk menentukan bagaimana hal itu harus dikategorikan. |
Detail aset terus di-refresh dan diperbarui dari waktu ke waktu untuk mempertahankan peta status dan hubungan aset yang akurat, serta untuk mengungkap aset yang baru dibuat saat muncul. Proses penemuan dikelola dengan menempatkan benih di Grup Penemuan yang dapat dijadwalkan untuk dijalankan ulang secara berulang. Setelah inventarisasi diisi, sistem Defender EASM terus memindai aset Anda dengan teknologi pengguna virtual Microsoft untuk mengungkap data segar dan terperinci tentang masing-masing aset. Proses ini memeriksa konten dan perilaku setiap halaman dalam situs yang berlaku untuk memberikan informasi kuat yang dapat digunakan untuk mengidentifikasi kerentanan, masalah kepatuhan, dan potensi risiko lainnya bagi organisasi Anda.