Найти в Дзене
DigiNews
1819 подписчиков

Управление поверхностью атаки: руководство по выбору решения

8 мин
Регулярного сканирования сети недостаточно для защиты поверхности атаки. Инструменты CAASM и EASM помогают квантифицировать, минимизировать и укреплять поверхность атаки, предоставляя злоумышленникам минимум информации. Обзор 12 ведущих решений. — csoonline.com Регулярного сканирования сети уже недостаточно для обеспечения надежной поверхности атаки. Для гарантии безопасности корпоративных ресурсов и данных клиентов необходим непрерывный мониторинг новых ресурсов и отклонений в конфигурации. Инструменты в области управления поверхностью атаки кибероборудования (Cyber Asset Attack Surface Management, CAASM) и управления внешней поверхностью атаки (External Attack Surface Management, EASM) предназначены для того, чтобы: поверхность атаки компаний. Цель состоит в том, чтобы предоставить злоумышленникам как можно меньше информации об уровне безопасности компании, одновременно поддерживая критически важные бизнес-сервисы. При этом все большую роль играет агентный ИИ (Agentic AI). Следующие
Оглавление

Регулярного сканирования сети недостаточно для защиты поверхности атаки. Инструменты CAASM и EASM помогают квантифицировать, минимизировать и укреплять поверхность атаки, предоставляя злоумышленникам минимум информации. Обзор 12 ведущих решений. — csoonline.com

Регулярного сканирования сети уже недостаточно для обеспечения надежной поверхности атаки. Для гарантии безопасности корпоративных ресурсов и данных клиентов необходим непрерывный мониторинг новых ресурсов и отклонений в конфигурации. Инструменты в области управления поверхностью атаки кибероборудования (Cyber Asset Attack Surface Management, CAASM) и управления внешней поверхностью атаки (External Attack Surface Management, EASM) предназначены для того, чтобы:

  • квантифицировать,
  • минимизировать и
  • укреплять

поверхность атаки компаний. Цель состоит в том, чтобы предоставить злоумышленникам как можно меньше информации об уровне безопасности компании, одновременно поддерживая критически важные бизнес-сервисы. При этом все большую роль играет агентный ИИ (Agentic AI).

12 инструментов управления поверхностью атаки

Следующие двенадцать решений помогут вам выявлять риски и управлять ими.

Axonius Cyber Asset Attack Surface Management

Этот пакет CAASM от Axonius охватывает все важные аспекты мониторинга поверхности атаки. Сначала инструмент создает инвентаризацию активов, которая автоматически обновляется и дополняется контекстом из внутренних источников данных и ресурсов.

Также можно настраивать процессы мониторинга, основанные на таких политиках, как PCI или HIPAA. Это позволяет выявлять конфигурации или уязвимости, которые им противоречат, и принимать соответствующие меры.

Bugcrowd EASM

В мае 2024 года Bugcrowd приобрела Informer.io и интегрировала ее предложение EASM в свою платформу безопасности. Это автоматизирует обнаружение активов в веб-приложениях, API и других «общедоступных» компонентах ИТ-стека.

Решение непрерывно отслеживает активы, при этом выявленные риски приоритизируются в режиме реального времени. Кроме того, доступны дополнительные услуги, такие как ручные проверки рисков или тесты на проникновение. Система реагирования, основанная на рабочих процессах, обещает более простую интеграцию нескольких команд за счет интеграции существующих инструментов тикетов и коммуникации. Практичной является и возможность проверки изменений конфигурации или обновлений системы, чтобы убедиться, что выявленные угрозы действительно устранены.

CrowdStrike Falcon Exposure Management

Crowdstrike расширила свое предложение Falcon Surface от автономного инструмента EASM до основного компонента Falcon Exposure Management. Теперь решение также поддерживается нативным кодом на базе ИИ для выявления и устранения рисков. Кроме того, технология используется для сценариев Adversarial-AI.

Решение Crowdstrike также может:

  • коррелировать риски с бизнес-контекстом,
  • проверять возможность эксплуатации и
  • инициировать прямые меры по устранению через платформу Falcon.

Инструмент должен помочь компаниям получить устойчивое представление о своей поверхности атаки и обнаруживать риски или угрозы с помощью множества методов. К ним относятся активное, пассивное и API-ориентированное сканирование для идентификации ресурсов, подключенных к Интернету.

Falcon Exposure Management не входит в пакет корпоративного программного обеспечения Crowdstrike. Его можно приобрести в виде лицензии по подписке на основе управляемых конечных точек.

CyCognito Attack Surface Management

Продукт CAASM от CyCognito обеспечивает непрерывный мониторинг и инвентаризацию активов. При этом не имеет значения, находятся ли они локально (On-Premises), в облаке, у стороннего поставщика или в дочерней компании.

Для облегчения процесса сортировки (triage) и приоритизации рисков может быть добавлен бизнес-контекст (например, взаимосвязи между отдельными активами). Это помогает сосредоточиться на наиболее важных сетевых рисках. Инструмент CyCognito также отслеживает изменения конфигурации, что позволяет быстро выявлять новые риски для корпоративной инфраструктуры.

JupiterOne Cyber Asset Attack Surface Management

JupiterOne позиционирует свое решение CAASM как способ «беспрепятственно агрегировать данные кибероборудования в едином представлении». Контекст добавляется автоматически по мере необходимости, а взаимосвязи между активами могут быть определены и оптимизированы для улучшения анализа уязвимостей и возможностей реагирования на инциденты.

Пользовательские запросы позволяют командам по кибербезопасности отвечать на сложные вопросы, в то время как инвентаризация активов может быть исследована с помощью интерактивной карты. Вы можете интегрировать уже приобретенные инструменты безопасности, что обеспечивает целостную, централизованную перспективу уровня безопасности.

Microsoft Defender External Attack Surface Management

Microsoft Defender EASM обнаруживает неуправляемые активы и ресурсы, развернутые через теневые ИТ (Shadow IT) или находящиеся на других облачных платформах. После идентификации активов и ресурсов инструмент ищет уязвимости на каждом уровне технологического стека, включая базовую платформу, фреймворки приложений, веб-приложения, компоненты и основной код.

Defender EASM позволяет ИТ-специалистам быстро устранять уязвимости в недавно обнаруженных ресурсах, поскольку они категоризируются и приоритизируются в режиме реального времени после обнаружения. По своей сути, Defender EASM тесно интегрируется с другими решениями Microsoft, такими как Security Copilot.

Outpost24 EASM

Шведский поставщик Outpost24 приобрел бельгийского поставщика EASM Sweepatic в 2023 году и интегрировал его инструмент в свою коллекцию модулей для Threat Intelligence, Data Leakage и Pentesting. Это решение EASM доступно как автономное, так и в виде управляемой услуги (Managed Service) и может собирать данные либо пассивно через DNS и другие TCP/IP-детали, либо через прямые подключения к облачным провайдерам, таким как AWS и Azure, а также к решениям крупных поставщиков программного обеспечения (например, ServiceNow, Slack или Atlassian).

Palo Alto Networks Cortex Xpanse

Xpanse является частью продуктовой линейки XSIAM от Palo Alto, но может быть приобретен и отдельно. Однако автономный продукт имеет несколько ограниченный набор функций.

Инструмент Palo Alto также поддерживает интеграцию с инструментами сторонних производителей, такими как Qualys, Jira и ServiceNow. Кроме того, продукт располагает впечатляющим набором готовых правил обнаружения (Detection Rules), виджетов для создания запросов и процедур обнаружения, а также настраиваемых панелей данных.

Rapid7 Surface Command

Surface Command — лишь один из многочисленных модулей, предлагаемых Rapid7 (включая управление уязвимостями и инцидентами, а также облачную безопасность). Инструмент объединяет угрозы (Threat Exposure), обнаружение (Detection) и реагирование (Response) и обещает непрерывный «взгляд с высоты птичьего полета» на все уязвимости — от конечной точки до облака.

Инструмент Rapid7 разработан для обнаружения слепых зон в безопасности, а также для ускорения реагирования и устранения последствий. Для последнего также включены функции ИИ на основе агентов.

RiskProfiler EASM

Через платформу RiskProfiler можно управлять всеми внешними угрозами. Инструмент позволяет, например, отслеживать мониторинг даркнета (Dark-Web_monitoring), цифровой мониторинг, а также хакерские кампании, уязвимости и атаки на цепочки поставок. Полученная информация об угрозах уплотняется ИИ-агентами в единый корпус.

Инструмент также включает более 13 000 предустановленных правил, сочетающих алгоритмы с открытым исходным кодом и собственные запатентованные алгоритмы. Анализируются также оценки рисков сторонних поставщиков. Настраиваемая панель управления визуализирует данные в различных представлениях.

SOCRadar AttackMapper

С помощью AttackMapper (часть набора инструментов для команд SOC) SOCRadar стремится предоставить пользователям возможность видеть активы глазами злоумышленников. Инструмент динамически отслеживает активы в режиме реального времени с помощью агентного ИИ, выявляет новые или измененные и анализирует их на предмет потенциальных уязвимостей.

Результаты коррелируются с известными методами атак для поддержки процесса принятия решений и сортировки. При этом AttackMapper отслеживает не только уязвимости конечных точек и программного обеспечения, но и SSL-уязвимости, истекшие сертификаты, записи DNS и конфигурации. Инструмент обнаруживает даже атаки типа Website Defacement, что может иметь решающее значение для защиты репутации бренда.

Tenable Attack Surface Management

Tenable уже несколько лет предлагает инструменты для обнаружения уязвимостей — и текущий набор инструментов также отвечает современным требованиям ИТ-безопасности. Tenable Attack Surface Management — это EASM-модуль компании, интегрированный в ее платформу управления экспозицией «One».

Tenable Attack Surface Management предоставляет контекст и детали об активах и уязвимостях не только с технической точки зрения, но и на уровне бизнеса, что необходимо для всесторонней приоритизации мер.

7 вопросов перед инвестициями в ASM

Прежде чем подписать договор, вам и потенциальным поставщикам решений по управлению поверхностью атаки следует задать себе следующие вопросы.

  • Нужно ли нашему предприятию решение EASM или CAASM? Ответ зависит от того, ищете ли вы внутренних или внешних злоумышленников и какова доля вашей локальной инфраструктуры.
  • Насколько обширна и эффективна автоматизация инструмента? Надежно ли он обнаруживает все уязвимые ресурсы, включая цифровые сертификаты, раскрытые учетные данные, а также подключенные к сети серверы и сервисы? Какие метаданные и дополнительные сведения предоставляет решение?
  • Как решение устраняет уязвимости, когда находит их? Это происходит автоматически или требуются ручные вмешательства?
  • Поддерживает ли инструмент непрерывный мониторинг (Continuous Monitoring)? И если да, то как отслеживаются изменения?
  • Как уязвимости передаются или интегрируются с другими инструментами SOC?
  • Существуют ли разные панели управления для руководства и для других целей? Или: как можно адаптировать инструмент для разных групп пользователей?
  • Какова ваша ценовая политика в деталях? Убедитесь, что вы действительно понимаете структуру ценообразования выбранного поставщика. В большинстве случаев вы столкнетесь со сложными моделями выставления счетов, зависящими от использования.

(фм)

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Автор – Tim Ferrill

Оригинал статьи

Гаджеты и электроника
5,73 млн интересуются