Что такое обнаружение?
Общие сведения
Управление направлением внешних атак Microsoft Defender (EASM Defender) использует нашу собственную технологию обнаружения для непрерывного определения уникальной уязвимой для вашей организации области атак через Интернет. Обнаружение сканирует известные ресурсы, принадлежащие вашей организации, чтобы обнаружить ранее неизвестные и неотслеживаемые свойства. Обнаруженные ресурсы индексируются в инвентаризации клиента, предоставляя динамическую систему записи веб-приложений, сторонних зависимостей и веб-инфраструктуры под управлением организации через единую панель управления.
Благодаря этому корпорация Майкрософт позволяет организациям упреждающе отслеживать постоянно меняющиеся направления цифровых атак и выявлять возникающие риски и нарушения политик по мере их возникновения. Многие программы с уязвимостями не имеют видимости за пределами брандмауэра, поэтому они не знают о внешних рисках и угрозах, которые являются основным источником нарушений безопасности данных. В то же время рост цифровых технологий по-прежнему опережает возможности команды корпоративной безопасности по защите. Цифровые инициативы и слишком распространенные "теневые ИТ" приводят к расширению направлений атак за пределами брандмауэра. В таком темпе практически невозможно проверить элементы управления, защиту и требования к соответствию. Без EASM Defender практически невозможно выявить и удалить уязвимости, а сканеры не могут получить доступ за пределы брандмауэра для оценки всей зоны атак.
Принцип работы
Чтобы создать комплексное сопоставление направлений атак вашей организации, система сначала забирает известные ресурсы (т. е. "семена"), которые рекурсивно сканируются для обнаружения дополнительных сущностей через их соединения с начальным значением. Начальным значением может быть любой из следующих типов веб-инфраструктуры, индексированных корпорацией Майкрософт:
- Названия организаций
- Домены
- Блоки IP-адресов
- Узлы
- Контакты Email
- Номера ASN
- Организации WHOIS
Начиная с начального значения, система обнаруживает связи с другой сетевой инфраструктурой для обнаружения других ресурсов, принадлежащих вашей организации; этот процесс в конечном итоге создает инвентаризацию направлений атак. Процесс обнаружения использует семена в качестве центральных узлов и пауков наружу к периферии вашей области атак путем идентификации всей инфраструктуры, непосредственно связанной с начальным значением, а затем выявления всех вещей, связанных с каждой из вещей в первом наборе подключений и т. д. Этот процесс продолжается до тех пор, пока мы не дойдем до тех пор, пока ваша организация не будет отвечать за управление.
Например, чтобы обнаружить инфраструктуру Contoso, можно использовать домен, contoso.com, в качестве начального начального значения ключа. Начиная с этого начального значения, можно обратиться к следующим источникам и создать следующие связи:
| Источник данных | Пример |
|---|---|
| Записи WhoIs | Другие доменные имена, зарегистрированные в той же организации электронной почты контакта или регистрирующегося лица, которые используются для регистрации contoso.com, скорее всего, также принадлежат компании Contoso |
| Записи WhoIs | Все доменные имена, зарегистрированные на любой @contoso.com адрес электронной почты, скорее всего, также принадлежат компании Contoso. |
| Записи WHOIS | Другие домены, связанные с тем же сервером имен, что и contoso.com, также могут принадлежать Contoso |
| Записи DNS | Можно предположить, что contoso также владеет всеми наблюдаемыми узлами в доменах, которыми она владеет, и любыми веб-сайтами, связанными с этими узлами. |
| Записи DNS | Домены с другими узлами, разрешающимися в те же блоки IP-адресов, также могут принадлежать компании Contoso, если организация владеет блоком IP-адресов. |
| Записи DNS | Почтовые серверы, связанные с доменными именами contoso, также будут принадлежать Contoso |
| SSL-сертификаты | Contoso, вероятно, также владеет всеми SSL-сертификатами, подключенными к каждому из этих узлов и другим узлам, использующим те же SSL-сертификаты. |
| Записи ASN | Другие блоки IP-адресов, связанные с тем же ASN, что и блоки IP-адресов, к которым подключены узлы в доменных именах Contoso, также могут принадлежать contoso , как и все узлы и домены, которые разрешаются в них. |
Используя этот набор подключений первого уровня, мы можем быстро создать совершенно новый набор ресурсов для исследования. Перед выполнением дополнительных рекурсий корпорация Майкрософт определяет, достаточно ли надежное подключение для автоматического добавления обнаруженной сущности в подтвержденные данные инвентаризации. Для каждого из этих ресурсов система обнаружения выполняет автоматический рекурсивный поиск на основе всех доступных атрибутов для поиска подключений второго и третьего уровней. Этот повторяющийся процесс предоставляет дополнительные сведения о сетевой инфраструктуре организации и, следовательно, обнаруживает разнородные ресурсы, которые, возможно, не были обнаружены и впоследствии отслеживались в противном случае.
Автоматизированные и настраиваемые направления атак
При первом использовании DEFENDER EASM вы можете получить доступ к предварительно созданной инвентаризации для вашей организации, чтобы быстро запустить рабочие процессы. На странице "начало работы" пользователи могут искать свою организацию для быстрого заполнения запасов на основе подключений к ресурсам, уже определенных корпорацией Майкрософт. Рекомендуется, чтобы все пользователи искали предварительно созданную поверхность атаки своей организации перед созданием пользовательского инвентаризации.
Чтобы создать настраиваемые данные инвентаризации, пользователи создают группы обнаружения для организации и управления начальными значениями, которые они используют при выполнении обнаружений. Отдельные группы обнаружения позволяют пользователям автоматизировать процесс обнаружения, настраивать начальный список и расписание повторяющихся запусков.
Подтвержденные запасы и потенциальные активы
Если подсистема обнаружения обнаруживает надежную связь между потенциальным ресурсом и начальным значением, система автоматически включает этот ресурс в подтвержденную инвентаризацию организации. Так как подключения к этому начальному значению итеративно сканируются, обнаруживая подключения третьего или четвертого уровня, уверенность системы в владении новыми обнаруженными ресурсами снижается. Аналогичным образом система может обнаруживать ресурсы, относящиеся к вашей организации, но не принадлежащие им напрямую. По этим причинам вновь обнаруженные ресурсы помечаются как одно из следующих состояний:
| Имя состояния | Описание |
|---|---|
| Утвержденные инвентаризации | Часть собственной уязвимой зоны; элемент, за который вы несете прямую ответственность. |
| Зависимость | Инфраструктура, которая принадлежит третьей стороне, но является частью направлений атак, так как она напрямую поддерживает работу принадлежащих вам ресурсов. Например, вы можете использовать ИТ-поставщик для размещения веб-содержимого. Хотя домен, имя узла и страницы будут частью утвержденной инвентаризации, ip-адрес, на котором выполняется узел, может потребоваться рассматривать как "зависимость". |
| Только мониторинг | Ресурс, который относится к направлению атак, но не контролируется напрямую и не является технической зависимостью. Например, независимые франчайзи или активы, принадлежащие связанным компаниям, могут быть помечены как "Только мониторинг", а не "Утвержденные запасы", чтобы разделить группы для целей отчетности. |
| Кандидат | Ресурс, который имеет некоторую связь с известными начальными ресурсами вашей организации, но не имеет достаточно надежного соединения, чтобы сразу пометить его как "Утвержденные инвентаризации". Эти потенциальные ресурсы необходимо проверить вручную, чтобы определить владение. |
| Требуется исследование | Состояние, аналогичное состоянию "Кандидат", но это значение применяется к ресурсам, для проверки которых требуется ручное исследование. Это определяется на основе наших внутренних показателей достоверности, которые оценивают надежность обнаруженных подключений между ресурсами. Он не указывает на точную связь инфраструктуры с организацией, так как указывает на то, что этот ресурс был помечен как требующий дополнительной проверки, чтобы определить, как его следует классифицировать. |
Сведения об активах постоянно обновляются и обновляются с течением времени для поддержания точной карты состояний и связей активов, а также для выявления вновь созданных ресурсов по мере их появления. Процесс обнаружения управляется путем размещения семян в группах обнаружения, которые можно запланировать для повторного запуска на регулярной основе. После заполнения инвентаризации система EASM Defender постоянно сканирует ваши ресурсы с помощью технологии виртуального пользователя Майкрософт, чтобы получить свежие, подробные данные о каждом из них. Этот процесс проверяет содержимое и поведение каждой страницы на соответствующих сайтах, чтобы предоставить надежную информацию, которую можно использовать для выявления уязвимостей, проблем соответствия требованиям и других потенциальных рисков для вашей организации.