Condividi tramite


Che cos'è Individuazione?

Panoramica

Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) si basa sulla tecnologia di individuazione proprietaria per definire continuamente la superficie di attacco internet esposta univoca dell'organizzazione. L'individuazione analizza gli asset noti di proprietà dell'organizzazione per scoprire le proprietà precedentemente sconosciute e non monitorate. Gli asset individuati vengono indicizzati nell'inventario di un cliente, fornendo un sistema dinamico di record di applicazioni Web, dipendenze di terze parti e infrastruttura Web nella gestione dell'organizzazione tramite un unico riquadro di vetro.

Screenshot della schermata di configurazione individuazione

Attraverso questo processo, Microsoft consente alle organizzazioni di monitorare in modo proattivo la superficie di attacco digitale in continua evoluzione e identificare i rischi emergenti e le violazioni dei criteri in quanto si verificano. Molti programmi di vulnerabilità non hanno visibilità al di fuori del firewall, lasciandoli inconsapevoli di rischi esterni e minacce, ovvero l'origine primaria delle violazioni dei dati. Allo stesso tempo, la crescita digitale continua a superare la capacità del team di sicurezza aziendale di proteggerla. Iniziative digitali e "shadow IT" comuni portano a un'espansione della superficie di attacco all'esterno del firewall. A questo ritmo, è quasi impossibile convalidare i controlli, le protezioni e i requisiti di conformità. Senza Defender EASM, è quasi impossibile identificare e rimuovere vulnerabilità e scanner non possono raggiungere oltre il firewall per valutare la superficie di attacco completa.

Funzionamento

Per creare un mapping completo della superficie di attacco dell'organizzazione, il sistema esegue prima gli asset noti (ad esempio "semi") analizzati in modo ricorsivo per individuare entità aggiuntive tramite le relative connessioni a un seed. Un inizializzazione può essere uno dei tipi seguenti di infrastruttura Web indicizzati da Microsoft:

  • Nomi dell'organizzazione
  • Domains
  • Blocchi IP
  • Hosts
  • Email Contatti
  • ASN
  • Organizzazioni Whois

A partire da un seed, il sistema individua le associazioni ad altre infrastrutture online per individuare altri asset di proprietà dell'organizzazione; questo processo crea infine l'inventario della superficie di attacco. Il processo di individuazione usa i semi come nodi centrali e ragni verso l'esterno verso la periferia della superficie di attacco identificando tutta l'infrastruttura direttamente connessa al seed, quindi identificando tutte le cose correlate a ogni elemento nel primo set di connessioni e così via. Questo processo continua fino a raggiungere il bordo di ciò che l'organizzazione è responsabile della gestione.

Ad esempio, per individuare l'infrastruttura di Contoso, è possibile usare il dominio, contoso.com, come inizializzazione del keystone. A partire da questo seed, è possibile consultare le origini seguenti e derivare le relazioni seguenti:

Origine dati Esempio
WhoIs record Altri nomi di dominio registrati nello stesso indirizzo di posta elettronica di contatto o organizzazione registrante usati per registrare contoso.com probabilmente appartengono anche a Contoso
WhoIs record Tutti i nomi di dominio registrati in qualsiasi @contoso.com indirizzo di posta elettronica probabilmente appartengono anche a Contoso
Record Whois Altri domini associati allo stesso server nome di contoso.com possono appartenere anche a Contoso
Record DNS È possibile presupporre che Contoso possiede anche tutti gli host osservati nei domini proprietari e tutti i siti Web associati a tali host
Record DNS I domini con altri host che risolvono gli stessi blocchi IP potrebbero appartenere anche a Contoso se l'organizzazione possiede il blocco IP
Record DNS I server di posta associati ai nomi di dominio di proprietà di Contoso appartengono anche a Contoso
Certificati SSL Contoso probabilmente possiede anche tutti i certificati SSL connessi a ognuno di questi host e a tutti gli altri host usando gli stessi certificati SSL
Record ASN Altri blocchi IP associati allo stesso ASN dei blocchi IP a cui sono connessi gli host nei nomi di dominio di Contoso possono appartenere anche a Contoso, come tutti gli host e i domini che li risolvono

Usando questo set di connessioni di primo livello, è possibile derivare rapidamente un set completamente nuovo di asset da analizzare. Prima di eseguire operazioni aggiuntive, Microsoft determina se una connessione è abbastanza forte per l'aggiunta automatica di un'entità individuata all'inventario confermato. Per ognuno di questi asset, il sistema di individuazione esegue ricerche automatiche e ricorsive in base a tutti gli attributi disponibili per trovare connessioni di secondo livello e di terzo livello. Questo processo ripetitivo fornisce altre informazioni sull'infrastruttura online di un'organizzazione e quindi individua asset diversi che potrebbero non essere stati individuati e successivamente monitorati in caso contrario.

Superfici di attacco automatizzate e personalizzate

Quando prima si usa Defender EASM, è possibile accedere a un inventario predefinito per l'organizzazione per avviare rapidamente i flussi di lavoro. Dalla pagina "Introduzione" gli utenti possono cercare rapidamente l'organizzazione per popolare rapidamente l'inventario in base alle connessioni di asset già identificate da Microsoft. È consigliabile che tutti gli utenti cerchino La superficie di attacco predefinita dell'organizzazione prima di creare un inventario personalizzato.

Per creare un inventario personalizzato, gli utenti creano gruppi di individuazione per organizzare e gestire i semi usati durante l'esecuzione di individuazioni. I gruppi di individuazione separati consentono agli utenti di automatizzare il processo di individuazione, configurando l'elenco di inizializzazione e la pianificazione di esecuzione ricorrente.

Screenshot della schermata di selezione della superficie di attacco automatizzata

Inventario confermato e asset candidati

Se il motore di individuazione rileva una connessione forte tra un potenziale asset e il seed iniziale, il sistema includerà automaticamente tale asset in "Inventario confermato" di un'organizzazione. Poiché le connessioni a questo seed vengono analizzate in modo iterativo, l'individuazione di connessioni di terzo o quarto livello, la fiducia del sistema nella proprietà di qualsiasi asset appena rilevato è inferiore. Analogamente, il sistema può rilevare gli asset rilevanti per l'organizzazione, ma potrebbe non essere direttamente di proprietà di essi. Per questi motivi, gli asset appena individuati vengono etichettati come uno degli stati seguenti:

Nome dello stato Descrizione
Inventario approvato Parte della superficie di attacco di proprietà; un elemento per cui sei direttamente responsabile.
Dipendenza Infrastruttura di proprietà di una terza parte, ma fa parte della superficie di attacco perché supporta direttamente l'operazione degli asset di proprietà. Ad esempio, è possibile dipendere da un provider IT per ospitare il contenuto Web. Anche se il dominio, il nome host e le pagine fanno parte dell'"inventario approvato", è possibile considerare l'indirizzo IP che esegue l'host come "Dipendenza".
Solo monitoraggio Un asset rilevante per la superficie di attacco, ma non è controllato direttamente né una dipendenza tecnica. Ad esempio, i franchise indipendenti o gli asset appartenenti a società correlate potrebbero essere etichettati come "Solo monitoraggio" anziché "Inventario approvato" per separare i gruppi a scopo di creazione di report.
Candidato Un asset che ha una relazione con gli asset di inizializzazione noti dell'organizzazione, ma non ha una connessione abbastanza forte per etichettarla immediatamente come "Inventario approvato". Questi asset candidati devono essere esaminati manualmente per determinare la proprietà.
Richiede l'indagine Uno stato simile agli stati "Candidati", ma questo valore viene applicato agli asset che richiedono l'analisi manuale per convalidare. Ciò è determinato in base ai punteggi di attendibilità generati internamente che valutano la forza delle connessioni rilevate tra gli asset. Non indica la relazione esatta dell'infrastruttura all'organizzazione quanto indica che questo asset è stato contrassegnato come richiede una revisione aggiuntiva per determinare come deve essere classificato.

I dettagli degli asset vengono aggiornati e aggiornati in modo continuo nel tempo per mantenere una mappa accurata degli stati e delle relazioni degli asset, nonché per scoprire gli asset appena creati man mano che emergono. Il processo di individuazione viene gestito inserendo semi in Gruppi di individuazione che possono essere pianificati per eseguire di nuovo su base ricorrente. Dopo aver popolato un inventario, il sistema Defender EASM analizza continuamente gli asset con la tecnologia utente virtuale di Microsoft per scoprire dati aggiornati e dettagliati su ognuno di essi. Questo processo esamina il contenuto e il comportamento di ogni pagina all'interno dei siti applicabili per fornire informazioni affidabili che possono essere usate per identificare vulnerabilità, problemi di conformità e altri potenziali rischi per l'organizzazione.

Passaggi successivi