משטח התקיפה – סכום כלל נקודות התקיפה, נקודות כניסה וחשיפות אפשריות, או, בקיצור, סך כל ווקטורי התקיפה שבהם יכול להשתמש תוקף או גורם לא מורשה – כל אלה גדלים במהירות במציאות של טכנולוגיות דינמיות ועסקיות. לנו נשאר להבין מהם הנכסים, לאמץ אותם לבנק המטרות שלנו, וחשוב מכך, להבין את הרגישות של נכסים בעלי ערך ולהוריד אותם ממטרות התקיפה.

משטח תקיפה פנימי או משטח תקיפה חיצוני מעסיק מנהלי אבטחה וצוותי אבטחה רבים כחלק מאתגרי אבטחה ועליהם להתמודד עם נקודות כניסה פוטנציאליות הולכות וגדלות לאין שיעור, ובפרט להגן עליהן נפני תקיפות ונזק לארגון. בעוד התקפות חיצוניות תופסות את הכותרות הגדולות ביותר, ביומיום יש תריסרי התקפות שאינן מתוקשרות וחלקן בעלי נזק הרסני.

אנליסט בכיר בפורסטר מעלה נקודה חשובה בהקדמה לדו”ח האחרון של חברת המחקר על מצב הפריצות לארגונים:

“החששות מפני סוגי פריצות רחוקים מאוד מהמציאות בשטח. מקבלי ההחלטות בתחום האבטחה מודאגים מהתקפות חיצוניות יותר מכל וקטור תקיפה אחר, עם זאת, פריצות מגיעות בדרכים שונות, והן מפוזרות בתדירות הרבה יותר שווה בין התקפות חיצוניות, נכסים שאבדו/נגנבו, תקריות פנימיות וספקי צד שלישי”.

מרחב הסייבר החיצוני

נכסים דיגיטלים הם אירעיים ודינמיים והשילוב על תשתיות מולטי-ענניות יחד עם לגאסי שנשאר בסביבה המקומית מציב אתגר עם חשיפות חיצוניות. ניהול משטח תקיפה חיצוני הינו תהליך מתמשך שמעסיק חלקים מגוונים בצוותי אבטחה, החל מהצוות האמון עליו, דרך צוות IT ועד צוותי תקיפה. האחרון שבהם מנצל פלטפורמות קיימות לטובתו.

כאמור ניהול משטח תקיפה חיצוני הינו תהליך מתמשך של זיהוי, סיווג, תעדוף ואבטחה של נקודות תקיפה/כניסה פוטנציאליות ומטרתו היא להפחית את הסיכון הכולל לחשיפות ופריצות. התהליך מכוון לכל המערכת המחשוב האקולוגית של הארגון וניתן לחלק אותו לקטגוריות רחבות החולקות את אותה מטרה – זיהוי והפחתת סיכונים לפני שתוקפים יכולים לנצל אותם:

• ניהול משטח תקיפה חיצוני (EASM): מתמקד בחלק החיצוני של משטח התקיפה של הארגון – הנכסים החשופים לאינטרנט וכאלה הנגישים לתוקפים פוטנציאליים בכל מקום ברשת החיצונית. זה עשוי לכלול אתרי אינטרנט, יישומים מבוססי ענן, מכשירים המחוברים לאינטרנט או נכסים דיגיטליים המשויכים למותג של ארגון שעשויים להיות ממוקדים, למשל, קמפיינים של דיוג. (המאמר מתמקד בו).
• ניהול נכסים פנימי: תהליך ניהול נכסים הנגישים רק למשתמשים מורשים בארגון, כולל, לדוגמה, נתונים, יישומים ומערכות ענניות.
• ניהול נכסי לגאסי: תהליך ניהול נכסים הנגישים רק למשתמשים מורשים בארגון בסביבה מקומית, למשל, מערכת Active Directory מקומית.

Breaches By The Numbers: Adapting To Regional Challenges Is Imperative

ניהול משטח תקיפה חיצוני כתווך מרכזי בשדרת האבטחה

האם ניהול משטח תקיפה חיצוני (EASM) מתפתח כעמוד תווך מרכזי בשדרת האבטחה הארגונית? ניהול משטחי תקיפה, כמושג וכפרקטיקה, גדל בתגובה לסביבות דיגיטליות מורכבות יותר ויותר ולאיומים מתקדמים שהתפתחו במהלך השנים האחרונות. בפרט בשנתיים האחרונות.

האימוץ הנרחב של שירותי ענן, או מולטי-ענן, התקני IoT, כמו גם הפרקטיקה של עבודה מרחוק, הובילו להרחבה נוספת של משטח ההתקפה. כתוצאה מכך, אמצעי אבטחה מסורתיים מבוססי פרימטר, הפכו לפחות יעילים כאשר נתונים ושירותים עברו מחוץ לרשת הארגונית. החלק האחרון כבר ניצפה בשנת 2016 עם מעבר לניידות של משתמשי קצה בארגון, ומשם, זה הלך והתפתח לביזוריות ארגונית. (אומנם נתון ישן, אבל כזה שחשוב להזכיר שוב ושוב).

בתגובה לשינויים אלה, עלה הצורך בניהול משטחי תקיפה, זיהוי ואבטחה של כל נקודות הכניסה הפוטנציאליות, ולא רק הגנה על המערכת. שינוי זה נבע גם מהדרישות הרגולטוריות ההולכות וגוברות מארגונים לנהל את סיכוני אבטחת הסייבר שלהם. כאמור, ניהול משטחי תקיפה הוא מרכיב מרכזי בכל אסטרטגיית אבטחת סייבר. היא כוללת לא רק אמצעים טכניים כמו סריקת פגיעויות וניהול תיקונים, אלא גם אסטרטגיות רחבות יותר כמו הכשרת עובדים, ניהול סיכונים של צד שלישי ותכנון תגובה לאירועים.

אצבעות בסכר הפגיעות

ישנו משל ישן ומוכר על ילד הולנדי (Dutch boy and the dam) שתוקע את אצבעו בסכר כדי לשמור על הכפר מפני הצפות, משל זה אינו מספיק טוב ליומיום של אבטחה ארגונית. אגב, מה קרה עם הסכר? והילד?

שמנסים לצמצם בעיות בסכר התשתית כדי למנוע חדירה של תוקפים, זה כבר סיפור אחר. הדלפות חדשות נראות קרובות כשאתה לומד על פגיעות אחת אחרי השנייה, ואין אפשרות לדעת אילו סדקים מהווים סכנות גדולות יותר מאחרים.

כל מה שניתן לדעת הוא שנקודות תורפה וחשיפות נפוצות חדשות נרשמות מידי יום ומצפים מכם לעצור את כולן איכשהו. זה מאבק יומיומי, אבל אין לך באמת מושג טוב האם הפעולות נחוצות מלכתחילה, או אם משהו אחר צריך למשוך את תשומת הלב של צוות האבטחה. אתה לא יכול ״להימנע מלשחק״ (קורה בשטח וזה לא מוביל לתוצאות רצויות), אבל אתה גם לא יכול שלא להרגיש שלפחות חלק ממה שאתה עושה הוא חסר תועלת. גרוע מכך, אתה מרגיש שאין סוף באופק.

תנו לי נכסים להגן עליהם…

מהם הנכסים החשובים בארגון? האם יש לך מושג על מה להגן? אם אתה כמו רוב צוותי האבטחה העמוסים שעסוקים בבירוקרטיה ארגונית, סביר להניח שאין את המיקוד או ההבנה הנדרשת של מהם נכסי הארגון. רוב הארגונים – מניסיוני, לקחו מלאי של הנכסים בארגון וביצעו מיפוי כלשהוא, לעיתים עם גיליון אלקטרוני שהתעדכן מעת לעת. התוצאה, אין הבנה מלאה ומעודכנת של הנכסים החשובים והרגישים בארגון.

שיטת הגיליון האלקטרוני או כל דבר דומה אינו אלא פעולה שגוזלת זמן, היא גם לא מצליחה לתת לך הבנה מציאותית של מה שמכונה כיום “משטח התקיפה אל מול נכסים חשובים” – מכפילי נקודות הכניסה לתוקפים שנוצרו ע״י כל הנכסים המקושרים לארגון שלך.

הדוגמה המוכרת והמצוינת של Shadow IT מכה שוב ושוב. רוב הסיכויים שבמקום כלשהו בארגון, גורם מסוים או צוות הגדירו יישום או משתמשים במכשיר שאינו מופיע במיפוי. עם זאת, הוא מחובר לתשתית שלך ואם חודרים אליו, הוא עלול בסופו של דבר לאפשר לתוקף להגיע לנתונים רגישים או להביא להפסקת הפעילות שלך.

ייתכן שצוות מסוים הוסיף נקודות קצה חדשות מבלי ליידע אותך. לחלופין, משתמש קצה מרוחק מתחבר ממכשיר לא מאובטח שאינך מודע לו. אלה לא רק אפשרויות, אלה עובדות ומקרים שמתרחשים בשטח. ללא שיטה לאיתור נכסים עם חשיפות, כמעט בלתי אפשרי לקבל מיפוי מדויק ועדכני מול הנכסים.

מידי יום אני מגלה שארגונים נמצאים ללא Busines Objectives ואין מיפוי הולם – אז שאין ידיעה על מה להגן – מכאן התוצאה ידועה. אין אפשרות למקד את משטחי התקיפה אל מול הנכסים הרגישים ומשם נוצרים אינספור נקודות כניסה שלעיתים יכולים להיות בעלי חשיבות נמוכה אל מול נכסים בעלי חשיבות גבוהה וקריטית.

טעות נפוצה במשטחי תקיפה היא לחפש נקודות כניסה בערימות של מידע, מהו מידע קריטי במצב כזה?

דילמת ריבוי הכלים

משם זה לוקח אותנו לנקודה נוספת – דילמת ריבוי הכלים. למי יש מעל 20 כלים, או 40 כלי אבטחה בארגון? או 60? או קרוב למאה כלים? אומנם זה תלוי בגודל הארגון, אבל בכל המקרים יש דילמה של ריבוי כלים בגלל חפיפה של כלים דומים, או, קונפליקט בין ספקים, או, חוסר במיצוי של כלים. משטח התקיפה יכול לסייע במצבים כאלה.

ייתכן שצוות האבטחה בארגון שלך הצליח לרכוש כלים שיסייעו למאמצי האבטחה בארגון, אך מתגלה כי הם לא מסייעים כפי שמצופה מהם. זה קורה חדשות לבקרים. כלי אחד אינו מתממשק עם כלי אחר, מה שמשאיר אותך לנייד את המידע באופן ידני – משימה לא יעילה שעלולה להיות לא מדויקת ולא יעילה. או שאתה מקבל התראות שונות מבלי להבין למי להגיב מכיוון שאין לך הקשר להתראות: האם זו פונקציה קריטית בסיכון או טריוויאלית?

דילמת ריבוי הכלים אינה ייחודית לארגון ספציפי. ארגונים מוצאים את עצמם מתקשים לתאם את ריבוי היישומים והפלטפורמות שרכשו לאורך השנים. עם כלים מרובים, אנשים או מחלקות מרובים מוקצים לכל אחד מהם, מה שגורם ליותר מאגרי נתונים מבודדים ומקשה על ניטור ותגובה ככוח מאוחד.

מקרים רבים מצביעים על כך שצוותי אבטחה אינם מנצלים כלים רבים, ואף כמעט מחצית מהם החליטו להפסיק לעבוד עם ספק מסוים בגלל חוסר מיצוי של כלי אבטחה, למשל, כלים שאינם משולבים עם שאר הכלים או התשתיות שלהם, ולכן, היו קשים לשימוש וחלשים באוטומציה/העשרות ידע/אינטגרציה בסיסית, משם הבינו כי הכלים יקרים ולא יעילים.

למעשה, זה המקום שאליו הולכת תעשיית הסייבר – אינטגרציה ואוטומציה היכן שאפשר בין כלי האבטחה. בדגש על היכן שאפשר.

נחסוך את ההיסטוריה של השיטות השונות שיצרו ספקים בניסיון לצייד חברות בהגנות ראויות. די לומר שחלק מהספקים מבינים כעת שמה שנדרש הוא תוכנית מקיפה להורדת בעיות אבטחה, צמצום חשיפות, איסוף כל המידע במקום אחד, מתן הקשר להתקפות וסיוע לצוותי אבטחה לתעדף את תגובותיהם. ספקי אבטחה מבינים זאת אך המטרה עדיין רחוקה.

ארגונים נכשלים בצמצום החשיפה שלהם לאיומים להערכה עצמית של סיכונים בגלל גישות לא מציאותיות, מבודדות וממוקדות כלים שאינם תואמים את הנדרש. צוותי אבטחה חייבים ליזום ולהבשיל תוכנית מתמשכת לניהול משטחי תקיפה חיצונים וחשיפה לאיומים כדי להקדים את האיומים.

אז איך נראית הטכנולוגיה הבאה?

אם כך, במצב שבו ישנו ריבוי כלים ודילמה של האם לרכוש כלים נוספים, עולות שאלות נוספות, כמו, האם אנו צריכים להוסיף כלי שיעזור לזהות את משטח התקיפה החיצוני? ובכן אסטרטגיות סייבר משתנות עם הזמן, החל מבגרות אבטחה ארגונית ועד דרישות ספציפיות. כל אלה לוקחים אותנו למסקנות ותובנות שאנו צריכים לשנות אסרטגיה וטקטיקות מעת לעת בכדי להתמודד עם האיומים והתוקפים שגם הם בתורם מתעדכנים ומשתכללים בצורה הרבה יותר מהירה מאיתנו.

אז מה רלוונטי לארגון?

משטח התקיפה החיצוני מורכב מכל נכסי הארגון שלך (ופוטנציאלית, נכסים של השותפים העסקיים הקשורים אליך, אבל זה למאמר או דיון אחר). הנכסים הדיגיטליים החיצונים שלך משתנים כל הזמן במספרים, וגם כאן צריך מערכת שתוכל לזהות את כל אלה.

לא פחות חשוב, צריך להבין את הסטטוס של כל אחד מהנכסים האלה. האם יש להם את העדכונים האחרונים כדי להיות פחות פגיעים נגד פגיעויות שזוהו לאחרונה? לאילו חלקים אחרים של התשתית הם מחוברים? מי משתמש בהם? והאם הם מורשים לעשות זאת? האם ישנה התנהגות חריגה בנכסים אלה? האם הקמת תשתית עננית גרמה לחשיפה כלשהיא? ועוד.

רוב הסיכויים שהארגון שלך אינו מודע לכל נכסיו, שלא לדבר על מרכיבים חשובים של מצב האבטחה שלהם.

ניהול משטח תקיפה חיצוני צריך לכלול תרחישים רבים ומגוונים ולא תמיד בחלק הטכני, למשל, ארגונים יכולים להשתמש בתהליך קנייני כדי לגלות את הנכסים האלה ואז לעדכן את הסטטוס שלהם בפירוט באופן סדיר – בדרך כלל, כל מספר ימים – ומשם להראות מתי כל נכס התגלה ונסרק לאחרונה. בנוסף, נדרש לראות פרטים נוספים על הקישוריות שלו, מצב הפגיעות וכדומה.

יצירת מידע משמעותי ובר פעולה

כעת יש לנו פיסות מידע מרכזיות: נקודות התורפה שחשוב להיות מודעים אליהן והנכסים הקיימים שאנו מודעים אליהם וכאלה שעשויים להיות מושפעים מהן. אלה צריכים להיות משולבים וגלויים במערכות, כאשר כל שילוב של סיכון/פגיעות ונכס מחושב כחלק מתוך משטח התקיפה החיצוני ומדרוג “כציון וסיכון הנכסים הכולל”.

החלק האחרון של המשוואה שקובע הוא משהו שאתה חייב להוסיף, שהוא גורם “השפעה עסקית” מותאם אישית. נכס המכיל מידע ארגוני קנייני בעל ערך רב או נתוני לקוחות פרטיים בבירור צריך לקבל את הדירוג הגבוה ביותר עבור גורם ההשפעה העסקית. תמיד אפשר לבצע זאת אוטומטית על סמך המידע המתקבל והמידע הידוע.

למשל, מלכודת דבש שהוגדרה במטרה להרחיק תוקפים אינה בעלת השפעה עסקית. לכן, ציון הסיכון הכולל של הנכס גבוה עבור נכס המידע הקנייני ונמוך עבור נכס מלכודת הדבש. משם הפלטפורמה של משטח התקיפה החיצוני מאפשרת לך להתעמק בנכס ולראות באיזו סביבה הוא נמצא, בין היתר, כך שתוכל לקבוע תוך כדי תנועה אם אתה צריך לנקוט פעולה או לא, גם אם לא הספקת לקבוע את גורם ההשפעה העסקית שלו.

מאחר שכל המידע יכול להיות מרוכז עם יתר חברי הצוות, באפשרותך להקצות פעולות ביעילות לאנשים או לקבוצות שונים האחראים למשימה נתונה.

דוגמה מתוך Defender EASM מאפשרת תיוג נכסים (תיוג עסקי/ייצור/קריטי ועוד), ידנית או אוטומטית. ברגע שמתייגים נכס כלשהוא התיוג מוביל אותנו להתנהלות נוספת מול אותם נכסים, החל משיוך אל נכסים אחרים, או ניטור התיוג ושילוב מול מזהים אחרים בתשתית היטור של Microsoft Sentinel ועוד.

אתגרים סביב מיפוי משטח תקיפה חיצוני?

אתגרי אבטחה יש למכביר, וכמו גם אתגרי אבטחה במרח בהחיצוני וכן ניהול משטח תקיפה חיצוני. הרבה לכך תרמו המעבר לענן, בילוב מספר תשתיות ענניות, והן הדמוקרטיזציה של המחשוב יצרו מציאות חדשה בשטח, בעיקר מציאות דינמית. לרוב הארגונים יש שטחים מתים גדולים ונראות מוגבלת לגבי, למשל, Shadow IT, חשיפת נכסי ענן לרשת הציבורית ועוד. הניסיון למפות את משטח התקיפה החיצוני עם הנראות שמספקים הכלים המסורתיים ואפילו כאלה שאינם מתקדמים מספיק הוא כמעט בלתי אפשרי. מספר סיבות לכך:

מערכות אקולוגיות מבוזרות של IT – הימים שבהם לארגונים הייתה רשת היקפית מוגדרת היטב חלפו מזמן (אנו לא ב 2016 – אלא במציאות של מספר ספקי ענן שונים). היום, הנכסים נמצאים בכל מקום. בנוסף לרשת הליבה, יש ארגונים אזוריים וחברות בנות, ספקים שונים, שותפים עסקיים – כל אלה מחוברים לרשת הארגונית. ככל שיותר ויותר נכסים מתארחים מול הסביבה שלך, נעשה קשה יותר ויותר לנהל ולנטר אותם ביעילות!

צוותים מבודדים – צוותים רבים בתוך הארגונים מתמודדים עם נכסים המחוברים לאינטרנט. מנהלי IT, אנשי DevOps ואף צוותי שאינם טכניים הם רק חלק יחסי. לעיתים קרובות צוותים אלה עומדים בפני הדילמה של הצורך לספק תוצאות במהירות לעומת הצורך לציית למדיניות אבטחה. מופעי ענן לא רשמיים, אתרים לא מוכחים ונכסים אחרים ייווצרו לעתים קרובות מבלי לעבור דרך ערוצים רשמיים.

משטח התקיפה החיצוני משתנה ללא הרף – כאשר נכסים רבים עם דינמיים ואירעיים, מעקב אחר המיפוי/מלאי הפונה לאינטרנט בשיטות שאינן מתקדמות הוא כמעט בלתי אפשרי (שיטות לגאסי אינן בתמונה כבר שנים). בנוסף, שינויים תכופים במשטח התקיפה החיצוני יכולים להגיע גם מכיוונים אחרים. לחיצה קטנה על כפתור לא נכון עלולה לגרום לחשיפה מסוכנת לא מכוונת של נכס לאינטרנט. הענן אוהב מיסקונפיג.

מהם הסיכונים הכרוכים בנראות מוגבלת של משטח ההתקפה? דוח דליפת הנתונים האחרון של Verizon מצביע על כך שאחוז גבוה מההתקפות מתבצעות ע״י גורמים חיצוניים. תוקפים אלה רואים את המצב בצורה ברורה ומנצלים נקודות תורפה במעטפת הרשת שחברות משאירות ללא הגנה. זה לא מפתיע, שכן הנתונים מראים כי בממוצע, ארגונים אינם מודעים לרוב הנכסים המחוברים לאינטרנט.

כיצד פתרון חיצוני לניהול משטח תקיפה מסייע?

ניהול משטח תקיפה חיצוני הוא פשוט דרך מצוינת לגלות, לזהות, לנהל ולנטר את הרשת החיצונית ללא היקפים בקנה מידה גדול. כאשר Shadow IT נפוץ כל כך וטעויות אנוש בלתי נמנעות, ניהול משטח תקיפה חיצוני תופס את מרכז הבמה עם יותר ויותר חברות המקימות צוותים ייעודיים לניהול וצמצום שטחי תקיפה (לרוב חברות גדולות).

מה תפקידם של צוותים אלה וכיצד הפתרון מסייע? בין היתר:

זיהוי סיכונים וחשיפות לא ידועים בזמן אמת – מיפוי ויצירה אוטומטית של מלאי נכסים מלא וגילוי נכסים לא מוכרים ולא ידועים, משם, לקבל התראות על חשיפות חדשות, פגיעויות ובעיות אבטחה אחרות.

ייעול התפעול – תעדוף סיכונים אוטומטי והכוונות לתיקון יחסכו זמן יקר ויסייעו במיקוד של פעולות חשובות יותר. היכולת לשתף ממצאים בקלות עם צוותים פנימיים כמו גם ספקי צד שלישי תגביר את היעילות התפעולית ותיישר את המדיניות מול צוותים אחרים.

תובנות חדשות אל מול מערך האבטחה הקיים – כיצד ניתן להפעיל סורק חולשות או בדיקות אבטחה על נכסים שאינך יודע שהם קיימים כלל? תצוגה מעודכנת של כל הנכסים מאפשרת למקסם באופן מלא את הכלים הנוכחיים שבהם משתמשים (דילמת ריבוי כלים, אמרנו?).

למטב עלויות האבטחה – ניהול נכון של משטח תקיפה חיצוני יכול לזהות חוסר שימוש של מערכות מדור קודם, כלים ושרתים שאינם בשימוש כדי להפחית עלויות IT, וכן יצירת אפשרויות לחסכון בזמן יקר, וכן האפשרות לבצע אוטומציות היכן שאפשר.

מכאן זה לוקח אותנו למקום שאנו צריכים לדעת מהם הרכיבים החיוניים לניהול משטח תקיפה חיצוני. בין היתר אפשר למנות את הנקודות הבאות:

• נכסים חשופים – יצירת מיפוי, מלאי וזיהוי אוטומטי של כל הנכסים החשופים, בין אם הם ידועים או לא ידועים, בכל הסביבות ובשרשרת האספקה.
• תובנות בהקשר עסקי – יכולת להבין בדיוק לאיזו יחידה עסקית, חברת בת או ספק צד שלישי שייך כל נכס שנחשף וכיצד הוא מחובר לרשת הליבה.
• תיוג וסיווג נכסים אוטומטי – יכולת לראות באופן מיידי את כל הנכסים החשופים לפי קטגוריה, פלטפורמה וסוג שירות.
• ניטור רציף של השטח החיצוני – יצירת תובנות אבטחה ותעדוף סיכונים בהתבסס על הקשר עסקי, כך שאפשר להתמקד בנכסים החשובים.

לסיכום – ניהול משטחי תקיפה מהווה הזדמנות משמעותית לטובת שיפור מצב האבטחה, וככל שהאיומים ממשיכים להתפתח, אימוץ אסטרטגיות כאלה יהיה המפתח לשמירה טובה יותר על הנכסים החיצוניים בארגון.

מאמרים נוספים בנושאי משטח תקיפה חיצוני:

https://cyberdom.blog/category/microsoft-defender-easm/

https://atomic-temporary-126860513.wpcomstaging.com/?s=easm