O que é o Discovery?
Descrição geral
O Gerenciamento de Superfície de Ataque Externo do Microsoft Defender (Defender EASM) depende de nossa tecnologia de descoberta proprietária para definir continuamente a superfície de ataque exclusiva exposta à Internet da sua organização. O Discovery verifica ativos conhecidos pertencentes à sua organização para descobrir propriedades anteriormente desconhecidas e não monitoradas. Os ativos descobertos são indexados no inventário de um cliente, fornecendo um sistema dinâmico de registro de aplicativos da Web, dependências de terceiros e infraestrutura da Web sob o gerenciamento da organização por meio de um único painel de vidro.
Por meio desse processo, a Microsoft permite que as organizações monitorem proativamente sua superfície de ataque digital em constante mudança e identifiquem riscos emergentes e violações de políticas à medida que surgem. Muitos programas de vulnerabilidade não têm visibilidade fora de seu firewall, deixando-os inconscientes dos riscos e ameaças externos — a principal fonte de violações de dados. Ao mesmo tempo, o crescimento digital continua a superar a capacidade de uma equipe de segurança corporativa de protegê-lo. Iniciativas digitais e "shadow IT" excessivamente comuns levam a uma superfície de ataque em expansão fora do firewall. Nesse ritmo, é quase impossível validar controles, proteções e requisitos de conformidade. Sem o Defender EASM, é quase impossível identificar e remover vulnerabilidades e os scanners não podem ir além do firewall para avaliar toda a superfície de ataque.
Como funciona
Para criar um mapeamento abrangente da superfície de ataque da sua organização, o sistema primeiro recebe ativos conhecidos (conhecidos como "sementes") que são verificados recursivamente para descobrir mais entidades por meio de suas conexões com uma semente. Uma semente inicial pode ser qualquer um dos seguintes tipos de infraestrutura da Web indexados pela Microsoft:
- Domínios
- Blocos IP
- Anfitriões
- Contatos de e-mail
- ASNs
- Organizações WHOIS
Começando com uma semente, o sistema descobre associações com outra infraestrutura on-line para descobrir outros ativos de propriedade da sua organização; Em última análise, este processo cria o seu inventário da superfície de ataque. O processo de descoberta usa as sementes como nós centrais e aranhas para fora em direção à periferia de sua superfície de ataque, identificando toda a infraestrutura diretamente conectada à semente e, em seguida, identificando todas as coisas relacionadas a cada uma das coisas no primeiro conjunto de conexões, etc. Esse processo continua até chegarmos ao limite do que sua organização é responsável por gerenciar.
Por exemplo, para descobrir a infraestrutura da Contoso, você pode usar o domínio, contoso.com, como a semente de pedra angular inicial. A partir desta semente, poderíamos consultar as seguintes fontes e derivar as seguintes relações:
| Data source | Exemplo |
|---|---|
| Registos WhoIs | Outros nomes de domínio registrados no mesmo email de contato ou organização de registro usados para registrar contoso.com provavelmente também pertencem à Contoso |
| Registos WhoIs | Todos os nomes de domínio registrados em qualquer @contoso.com endereço de email provavelmente também pertencem à Contoso |
| Registos WHOIS | Outros domínios associados ao mesmo servidor de nomes que contoso.com também podem pertencer à Contoso |
| Registos DNS | Podemos supor que a Contoso também possui todos os hosts observados nos domínios que possui e todos os sites associados a esses hosts |
| Registos DNS | Domínios com outros hosts resolvendo os mesmos blocos IP também podem pertencer à Contoso se a organização for proprietária do bloco IP |
| Registos DNS | Os servidores de email associados a nomes de domínio de propriedade da Contoso também pertenceriam à Contoso |
| certificados SSL | A Contoso provavelmente também possui todos os certificados SSL conectados a cada um desses hosts e quaisquer outros hosts que usam os mesmos certificados SSL |
| Registos ASN | Outros blocos IP associados ao mesmo ASN que os blocos IP aos quais os hosts nos nomes de domínio da Contoso estão conectados também podem pertencer à Contoso – assim como todos os hosts e domínios que resolvem para eles |
Usando esse conjunto de conexões de primeiro nível, podemos rapidamente derivar um conjunto totalmente novo de ativos para investigar. Antes de executar mais recursões, a Microsoft determina se uma conexão é forte o suficiente para que uma entidade descoberta seja adicionada automaticamente ao seu Inventário Confirmado. Para cada um desses ativos, o sistema de descoberta executa pesquisas automatizadas e recursivas com base em todos os atributos disponíveis para encontrar conexões de segundo e terceiro nível. Esse processo repetitivo fornece mais informações sobre a infraestrutura on-line de uma organização e, portanto, descobre ativos díspares que podem não ter sido descobertos e, posteriormente, monitorados de outra forma.
Superfícies de ataque automatizadas versus personalizadas
Ao usar o Defender EASM pela primeira vez, você pode acessar um inventário pré-criado para sua organização para iniciar rapidamente seus fluxos de trabalho. Na página "Introdução", os usuários podem pesquisar sua organização para preencher rapidamente seu inventário com base em conexões de ativos já identificadas pela Microsoft. É recomendável que todos os usuários pesquisem a Superfície de Ataque pré-criada de sua organização antes de criar um inventário personalizado.
Para criar um inventário personalizado, os usuários criam Grupos de Descoberta para organizar e gerenciar as sementes que usam ao executar descobertas. Grupos de descoberta separados permitem que os usuários automatizem o processo de descoberta, configurando a lista de sementes e o cronograma de execução recorrente.
Inventário confirmado vs. ativos candidatos
Se o mecanismo de descoberta detetar uma forte conexão entre um ativo potencial e a semente inicial, o sistema incluirá automaticamente esse ativo no "Inventário confirmado" de uma organização. À medida que as conexões com essa semente são verificadas iterativamente, descobrindo conexões de terceiro ou quarto nível, a confiança do sistema na propriedade de quaisquer ativos recém-detectados é menor. Da mesma forma, o sistema pode detetar ativos que são relevantes para sua organização, mas podem não ser de propriedade direta deles.
Por esses motivos, os ativos recém-descobertos são rotulados como um dos seguintes estados:
| Nome do estado | Description |
|---|---|
| Inventário Aprovado | Uma parte da sua própria superfície de ataque; um item pelo qual você é diretamente responsável. |
| Dependency | Infraestrutura que pertence a terceiros, mas que faz parte da sua superfície de ataque porque suporta diretamente a operação dos seus ativos próprios. Por exemplo, você pode depender de um provedor de TI para hospedar seu conteúdo da Web. Embora o domínio, o nome do host e as páginas façam parte do seu "Inventário aprovado", você pode tratar o endereço IP que executa o host como uma "dependência". |
| Apenas monitor | Um ativo que é relevante para a sua superfície de ataque, mas não é diretamente controlado nem uma dependência técnica. Por exemplo, franqueados independentes ou ativos pertencentes a empresas relacionadas podem ser rotulados como "Somente monitor" em vez de "Inventário aprovado" para separar os grupos para fins de relatório. |
| Candidato | Um ativo que tem alguma relação com os ativos semente conhecidos da sua organização, mas não tem uma conexão forte o suficiente para rotulá-lo imediatamente como "Inventário Aprovado". Esses ativos candidatos devem ser revisados manualmente para determinar a propriedade. |
| Requer investigação | Um estado semelhante ao estado "Candidato", mas esse valor é aplicado a ativos que exigem investigação manual para validação. Isso é determinado com base em nossas pontuações de confiança geradas internamente que avaliam a força das conexões detetadas entre ativos. Ele não indica a relação exata da infraestrutura com a organização, tanto quanto denota que esse ativo foi sinalizado como exigindo revisão adicional para determinar como ele deve ser categorizado. |
Ao analisar ativos, é recomendável que você comece com os ativos rotulados com "Requer investigação". Os detalhes dos ativos são continuamente atualizados e atualizados ao longo do tempo para manter um mapa preciso dos estados e relacionamentos dos ativos, bem como para descobrir os ativos recém-criados à medida que eles surgem. O processo de descoberta é gerenciado colocando sementes em Grupos de Descoberta que podem ser agendados para serem executados novamente recorrentemente. Depois que um inventário é preenchido, o sistema EASM do Defender verifica continuamente seus ativos com a tecnologia de usuário virtual da Microsoft para descobrir dados novos e detalhados sobre cada um. Esse processo examina o conteúdo e o comportamento de cada página nos sites aplicáveis para fornecer informações robustas que podem ser usadas para identificar vulnerabilidades, problemas de conformidade e outros riscos potenciais para sua organização.