В заключительной части исследования эксперты СайберОК сравнивают предоставление информации ASM-системами с точки зрения пользователя. Первая часть доступна к прочтению тут, вторая часть — тут.
Полный текст исследования опубликован здесь.
1.6 Сравнение предоставляемой информации
В данном разделе представлено сравнение рассматриваемых ASM-систем с точки зрения пользователя.
1.6.1 Сравнение по техническим характеристикам
В Таблице 12 представлены данные о том, какую информацию об узле предоставляют системы, какие есть возможности для группировки результатов, а также возможности API.
1.6.2 Сравнение по качеству UI/UX
В Таблице 13 представлено сравнение ASM-сервисов с точки зрения качества UI/UX. Удобство запросов оценивалось субъективно: так, у Shodan построение запроса интуитивно понятно, у CriminalIP — аналогично. У Netlas стоит отметить удобный интерфейс с возможностью поиска необходимого параметра — своего рода «конструктор» запросов. У Hunter.how можно выделить несколько большую функциональность: например, можно сделать запрос на количество открытых портов. Censys также обладает большой функциональностью: поддерживает символы «?» и «*», спец. символы «n», «t», возможность поиска по CPE и т.д.
1.6.3 Сравнение по качеству данных
Случайным образом были выбраны 8 различных узлов для
сравнения. На каждом из них открыто несколько портов, запущено несколько
сетевых сервисов. Собиралась информация о том, какие порты, продукты и домены
определят ASM’ы. Достоверная информация
об открытых портах собиралась с помощью утилиты nmap.
Корректность определения доменов проводилась с помощью отправки прямых DNS-запросов (в качестве результата возвращается IP-адрес,
связанный с соответствующим доменным именем). Если сетевой порт, сервис,
технология или домен были ошибочно определены ASM,
то в таблице 14 эти значения выделяются красным цветом.
Методика оценивания точности определения открытых портов:
для каждого узла находится доля открытых портов по сравнению с результатами
сканирования средствами nmap. После
этого вычисляется сумма долей и нормируется по 5-бальной шкале. Данная методика
применяется поскольку доподлинно известно какие открытые порты находятся на
узле.
Методика оценивания точности доменов, связанных с узлом:
каждому ASM-у присваивается 16 баллов
(по 2 за каждый узел); за каждый узел, для которого система нашла хотя бы один
неверный домен с верным доменом второго уровня вычитается 0,5 балла; за каждый
узел с хотя бы одним неверно определённым доменом второго уровня вычитается 1
балл; за каждый узел с количеством неверно определённых доменов более половины
от общего числа определённых доменов у ASM-a вычитается 2 балла; для каждого узла, для которого система
не определила ни одного домена, из оценки вычитается 2 балла. Итоговый балл
нормируется по 5-бальной шкале. Данная методика применяется поскольку
достоверно не известно точное число доменов, связанных с рассматриваемым ip-адресом, а большое количество (более половины) неверных
результатов может мешать пользователю сервиса.
Пример 1. Система определила узлу домены test.abc.ru,
test2.abc.ru, test3.abc.ru, при этом только первый не
соответствовал ответу на прямой DNS-запрос. Тогда,
поскольку остальные домены проверку прошли и abc.ru —
верный домен второго уровня, для этого узла вычитается 0,5 балла.
Пример 2. Система определила узлу домены test.def.ru,
test2.abc.ru, test3.abc.ru, при этом только первый не
соответствовал ответу на прямой DNS-запрос. Тогда,
поскольку остальные домены проверку прошли, и abc.ru —
верный домен второго уровня, для этого узла вычитается 1 балл.
В Таблице 15 представлены результаты оценки качества данных
для рассматриваемых сервисов.
Заключение
Подводя
итоги, можно сказать, что ни один из рассмотренных сервисов не превосходит
остальных по всем категориям. Однако выбор ASM-a стоит основывать исходя из поставленной задачи. Одни лучше
справляются с определением открытых портов и используемых на исследуемом узле
продуктах. У других — более удобный API или
интерфейс в веб-приложении. Кроме того, некоторые рассмотренные сервисы
предлагают больше возможностей, но в рамках данной статьи проводилось сравнение
одинаковой по смыслу функциональности.
Автор: Пушкин Максим, специалист направления развития экспертизы CyberOK.
Оригинал публикации на сайте CISOCLUB: "Таинственные EASM и где они обитают. Часть 3. Где ты?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.