Co to jest odnajdywanie?
Omówienie
Zarządzanie zewnętrznym obszarem podatnym na ataki w usłudze Microsoft Defender (Defender EASM) opiera się na naszej własnościowej technologii odnajdywania w celu ciągłego definiowania unikatowej powierzchni ataków narażonych na Internet w organizacji. Odnajdywanie skanuje znane zasoby należące do organizacji, aby odkryć wcześniej nieznane i niemonitorowane właściwości. Odnalezione zasoby są indeksowane w spisie klienta, zapewniając dynamiczny system rejestrowania aplikacji internetowych, zależności innych firm i infrastruktury internetowej w ramach zarządzania przez organizację za pomocą jednego okienka szkła.
Dzięki temu procesowi firma Microsoft umożliwia organizacjom aktywne monitorowanie stale zmieniającej się powierzchni ataków cyfrowych i identyfikowanie pojawiających się zagrożeń i naruszeń zasad w miarę ich wystąpienia. Wiele programów podatnych na luki w zabezpieczeniach nie ma widoczności poza zaporą, pozostawiając im nieświadome zewnętrznych zagrożeń i zagrożeń — podstawowe źródło naruszeń danych. Jednocześnie rozwój cyfrowy nadal przewyższa zdolność zespołu ds. zabezpieczeń przedsiębiorstwa do ochrony. Inicjatywy cyfrowe i nadmiernie wspólne "niezatwierdzonych zasobów IT" prowadzą do rozszerzania obszaru ataków poza zaporą. W tym tempie niemal niemożliwe jest weryfikowanie mechanizmów kontroli, ochrony i wymagań dotyczących zgodności. Bez usługi Defender EASM nie można zidentyfikować i usunąć luk w zabezpieczeniach oraz skanerów, które nie mogą dotrzeć poza zaporę, aby ocenić pełną powierzchnię ataków.
Jak to działa
Aby utworzyć kompleksowe mapowanie powierzchni ataków organizacji, system najpierw spożywa znane zasoby (nazywane "nasionami"), które są rekursywnie skanowane w celu odnalezienia większej liczby jednostek za pośrednictwem ich połączeń z nasionami. Początkowe inicjatory mogą być dowolnym z następujących rodzajów infrastruktury internetowej indeksowanej przez firmę Microsoft:
- Domeny
- Bloki adresów IP
- Hosts
- Kontakty e-mail
- Numery ASN
- Organizacje Whois
Począwszy od inicjacji, system odnajduje skojarzenia z inną infrastrukturą online w celu odnalezienia innych zasobów należących do organizacji; ten proces ostatecznie tworzy spis powierzchni ataków. Proces odnajdywania wykorzystuje nasiona jako węzły centralne i pająki na zewnątrz w kierunku peryferii powierzchni ataku, identyfikując całą infrastrukturę bezpośrednio połączoną z nasionami, a następnie identyfikując wszystkie elementy związane z każdym z elementów w pierwszym zestawie połączeń itp. Ten proces będzie kontynuowany, dopóki nie osiągniemy krawędzi tego, co organizacja jest odpowiedzialna za zarządzanie.
Aby na przykład odnaleźć infrastrukturę firmy Contoso, możesz użyć domeny, contoso.com jako początkowego inicjatora klucza. Począwszy od tego inicjatora, możemy skonsultować się z następującymi źródłami i uzyskać następujące relacje:
| Źródło danych | Przykład |
|---|---|
| Rekordy whoIs | Inne nazwy domen zarejestrowane w tej samej kontaktowej organizacji poczty e-mail lub rejestrującego używane do rejestrowania contoso.com prawdopodobnie również należą do firmy Contoso |
| Rekordy whoIs | Wszystkie nazwy domen zarejestrowane na dowolnym @contoso.com adresie e-mail prawdopodobnie również należą do firmy Contoso |
| Rekordy Whois | Inne domeny skojarzone z tym samym serwerem nazw co contoso.com mogą również należeć do firmy Contoso |
| Rekordy DNS | Możemy założyć, że firma Contoso jest również właścicielem wszystkich obserwowanych hostów w domenach, które są jej właścicielami i wszystkimi witrynami internetowymi skojarzonymi z tymi hostami |
| Rekordy DNS | Domeny z innymi hostami rozpoznawanymi w tych samych blokach IP mogą również należeć do firmy Contoso, jeśli organizacja jest właścicielem bloku IP |
| Rekordy DNS | Serwery poczty skojarzone z nazwami domen należących do firmy Contoso również należą do firmy Contoso |
| certyfikaty SSL | Firma Contoso prawdopodobnie jest również właścicielem wszystkich certyfikatów SSL połączonych z każdym z tych hostów i innych hostów przy użyciu tych samych certyfikatów SSL |
| Rekordy ASN | Inne bloki adresów IP skojarzone z tą samą nazwą ASN co bloki adresów IP, do których są połączone hosty w nazwach domen firmy Contoso, mogą również należeć do firmy Contoso — podobnie jak wszystkie hosty i domeny, które są z nimi rozpoznawane |
Korzystając z tego zestawu połączeń pierwszego poziomu, możemy szybko uzyskać zupełnie nowy zestaw zasobów do zbadania. Przed wykonaniem kolejnych rekursji firma Microsoft określa, czy połączenie jest wystarczająco silne, aby odnaleziona jednostka została automatycznie dodana do potwierdzonego spisu. Dla każdego z tych zasobów system odnajdywania uruchamia zautomatyzowane, cyklicznego wyszukiwania na podstawie wszystkich dostępnych atrybutów w celu znalezienia połączeń drugiego poziomu i trzeciego poziomu. Ten powtarzalny proces zawiera więcej informacji na temat infrastruktury online organizacji i w związku z tym odnajduje różne zasoby, które mogły nie zostać odnalezione, a następnie monitorowane w inny sposób.
Zautomatyzowane i dostosowane powierzchnie ataków
Korzystając z usługi Defender EASM, możesz uzyskać dostęp do wstępnie utworzonego spisu dla organizacji, aby szybko rozpocząć uruchamianie przepływów pracy. Na stronie "Wprowadzenie" użytkownicy mogą wyszukać swoją organizację, aby szybko wypełnić spis na podstawie połączeń zasobów już zidentyfikowanych przez firmę Microsoft. Zaleca się, aby wszyscy użytkownicy wyszukiwali wstępnie utworzoną powierzchnię ataków w organizacji przed utworzeniem niestandardowego spisu.
Aby utworzyć dostosowany spis, użytkownicy tworzą grupy odnajdywania w celu organizowania nasion używanych podczas uruchamiania odnajdywania i zarządzania nimi. Oddzielne grupy odnajdywania umożliwiają użytkownikom automatyzowanie procesu odnajdywania, konfigurowanie listy inicjujących i cyklicznego harmonogramu uruchamiania.
Potwierdzono spis a zasoby kandydata
Jeśli aparat odnajdywania wykryje silne połączenie między potencjalnym zasobem a początkowym inicjatorem, system automatycznie uwzględni ten zasób w organizacji "Potwierdzony spis". Ponieważ połączenia z tym inicjatorem są skanowane iteracyjnie, odnajdywanie połączeń trzeciego lub czwartego poziomu, zaufanie systemu do własności wszelkich nowo wykrytych zasobów jest niższe. Podobnie system może wykrywać zasoby, które są istotne dla Twojej organizacji, ale nie mogą być bezpośrednio ich własnością.
Z tych powodów nowo odnalezione zasoby są oznaczone jako jeden z następujących stanów:
| State name | opis |
|---|---|
| Zatwierdzony spis | Część obszaru ataków należących do użytkownika; element, za który jesteś bezpośrednio odpowiedzialny. |
| Dependency | Infrastruktura należąca do innej firmy, ale jest częścią obszaru ataków, ponieważ bezpośrednio obsługuje działanie posiadanych zasobów. Na przykład możesz zależeć od dostawcy IT do hostowania zawartości internetowej. Podczas gdy domena, nazwa hosta i strony będą częścią "Zatwierdzonego spisu", możesz traktować adres IP, na którym działa host jako "Zależność". |
| Tylko monitorowanie | Zasób, który jest istotny dla powierzchni ataków, ale nie jest ani bezpośrednio kontrolowany, ani zależność techniczna. Na przykład niezależni franczyzobiorcy lub aktywa należące do powiązanych firm mogą być oznaczone jako "Tylko monitorowanie", a nie "Zatwierdzony spis", aby oddzielić grupy do celów raportowania. |
| Kandydat | Zasób, który ma pewne relacje ze znanymi zasobami inicjujących w organizacji, ale nie ma wystarczająco silnego połączenia, aby natychmiast oznaczyć go jako "Zatwierdzony spis". Aby określić własność, należy ręcznie przejrzeć te zasoby kandydatów. |
| Wymaga badania | Stan podobny do stanu "Kandydat", ale ta wartość jest stosowana do zasobów, które wymagają ręcznego badania w celu zweryfikowania. Jest to określane na podstawie naszych wewnętrznie wygenerowanych wyników ufności, które oceniają siłę wykrytych połączeń między elementami zawartości. Nie wskazuje to dokładnej relacji infrastruktury z organizacją, ponieważ oznacza to, że ten zasób został oflagowany jako wymagający dodatkowego przeglądu w celu określenia, w jaki sposób ma być kategoryzowany. |
Podczas przeglądania zasobów zaleca się rozpoczęcie od zasobów oznaczonych etykietą "Wymaga badania". Szczegóły zasobu są stale odświeżane i aktualizowane wraz z upływem czasu, aby zachować dokładną mapę stanów i relacji zasobów, a także odkrywać nowo utworzone zasoby w miarę ich pojawiania się. Proces odnajdywania jest zarządzany przez umieszczenie nasion w grupach odnajdywania, które można zaplanować do ponownego uruchomienia na podstawie cyklicznego. Po wypełnieniu spisu system EASM usługi Defender stale skanuje zasoby przy użyciu technologii użytkownika wirtualnego firmy Microsoft, aby odkryć nowe, szczegółowe dane dotyczące każdego z nich. Ten proces analizuje zawartość i zachowanie każdej strony w odpowiednich witrynach w celu udostępnienia niezawodnych informacji, które mogą służyć do identyfikowania luk w zabezpieczeniach, problemów ze zgodnością i innych potencjalnych zagrożeń dla organizacji.