משטח התקיפה של סביבת המחשוב הוא סכום הנקודות הכניסה השונות ואותם ווקטורי תקיפה שבהן התוקף חודר את הסביבה במטרה לאחוז, להתבסס ולחלץ נתונים. שמירה על שטח תקיפה קטן ככל האפשר הוא חלק מתוך גישה של היגיינת אבטחה בסיסית, אך במציאות קשה מאוד להשגה. במקרים רבים שטח, תקיפה פנימי או חיצוני אינו גלוי או אינו ידוע ולכן בנקודה הזאת ישנו לתוקף יתרון.
מהי הדרך לסרוק נכסים חיצוניים ואיך אפשר לדעת מי חשוף בצריח? והאם הראייה של כלי לסריקת נכסים חיצוניים שוות ערך למבט של תוקף? אז כמו המשפט הידוע שחוזר על עצמו "בשביל להגן על משהו צריך לדעת שהוא קיים", לא? והאם מודעות למצב קיים תוביל אותנו למקום בטוח יותר? לא בהכרח.
המאמר מתמקד במשטחי תקיפה, הצורך בניהול, מבט תוקף על משטחי תקיפה ועל הכלי החדש בשכונה Microsoft Defender External Attack Surface Management.
לפני שארחיב בנושא על היכולות והאפשרויות של Defender EASM צריך להבין מהו Attack surface management ואיך הוא בא לסייע ולהשלים לצרכי אבטחה קיימים, לצד האפשרויות בהשלמת כלים קיימים, ואיך הכלי, ובפרט הקטגוריה של EASM למרות הכל אינם שווי ערך לנעלי התוקף.
מציאות בשטח
ככל שארגונים מגדילים את הנכסים הדיגיטליים שלהם, כך גם הם מגדילים את נקודות התקיפה הפוטנציאליות שלהם – לראייה חדשנות דיגיטלית ובפרט המעבר לענן. כאשר הגישה ואמצעי ההגנה הקיימים נופלים בסביבות דינמיות, מנהלי אבטחת מידע צריכים לחפש פתרונות לניהול משטחי תקיפה בכדי להוריד ולצמצם בעיות אבטחה ותקיפות פוטנציאליות.
הצורך הגובר באבטחה מתקדמת הוא אחד הגורמים לעלייה בתקיפות, ולראייה משטחי התקיפה החיצוניים שהולכים וגדלים עם הזמן. יחד עם זאת מספר נקודות הכניסה שדרכן תוקפים יכולים לחדור לסביבה נתונה גדל בהתאם ומגיע לכמויות עצומות, ועל סמך הסביבות שהולכות וגדלות ניתן לראות נקודות תקיפה במשטחים השונים החל מתחומים ותתי-תחומים וכלה בספקי צד שלישי וכן בסביבות הפיתוח והתלויות שהן מציבות בכל סביבה.
לעיתים קרובות, כאשר פרצות אבטחה מתרחשות, זה דרך משטח תקיפה לא מאובטח ולעיתים כזה שגם נשכח – בין אם מדובר על איזה שרת שאף אחד לא מכיר בקיומו, או איזה דף נחיתה ישן, או נקודת כניסה עם סיסמאות חלשות ללא MFA או יישום עם חשיפה חיצונית והרשימה פשוט מתארכת מידי יום.
בתור אחד שמתמקד בתחום של DFIR גם בתגובה ותחקור אני תמיד שם את עצמי בנעלי התוקף ותמיד מגלה שהתוקפים מחפשים ומוצאים נקודות חלשות – ולעיתים מדובר על נקודות שאינן מוכרות ויתרה מכך גם לא הדרך הכי מתוחכמת לבצע חדירה.
כידוע הטכנולוגיות הן דינמיות ומהירות וככל שערימות הטכנולוגיה של ארגונים מתפתחות וכוללות נכסים שמתבססים בין היתר על Cloud-Native Apps אפשר לראות בצורה ברורה שסורקי אפליקציות שמסתמכים על בקשות ותגובות עשויים להתקשות ולגרום לפערים בין המציאות לבין הנראות של כלי הסריקה, למשל, בזיהוי בעיות ארכיטקטורה. באופן מעט דומה, ארגונים המיישמים שיטות DevSecOps עשויות לגלות שסורקי אפליקציות אינם פועלים היטב באופן מקומי ואינם תואמים לתהליך האינטגרציה של CI/CD.
משטח תקיפה
ראשית, חשוב להבין למה אנחנו מתכוונים כשאנחנו מדברים על משטח תקיפה. משטח תקיפה הוא סכום הנכסים החשופים לתוקפים של הארגון, בין אם נכסים דיגיטליים שהם מאובטחים או פגיעים, ידועים או לא ידועים, בשימוש פעיל או לא, וללא קשר למודעות של צוות IT ובפרט צוות אבטחה. משטח התקיפה של הארגון משתנה באופן רציף לאורך זמן, וכולל נכסים דיגיטליים הנמצאים באופן מקומי, בסביבות פיתוח, בענן וברשתות בנות, כמו גם כאלה בסביבות של ספקי צד שלישי וכן הלאה.
מהו ניהול משטח התקפה? כעת, לאחר שהגדרנו באופן כללי מהו משטח תקיפה, אנו צריכים לתת את הצד של ניהול משטחי תקיפה, ומה זה אומר ניהול משטחי תקיפה? זהו תהליך המאפשר גילוי, סיווג והערכה ללא הרף של האבטחה בנכסים של הארגון. ניתן לחלק את התהליך באופן כללי ונרחב לשתי קטגוריות ראשיות:
– פעילויות המבוצעות בניהול נכסים החשופים לרשת החיצונית ולאינטרנט – ניהול פעילויות בנכסים הנגישים רק מתוך הארגון
מדוע ניהול משטחי תקיפה הוא חשוב? לא צריך ללכת רחוק בכדי למצוא אירועי אבטחה או סיפורים על הסיכונים של משטחי תקיפה שהולכים וגדלים, ותמיד אפשר לקחת את הדוגמה של SolarWinds שבהן הוצגו תוכנות זדוניות דרך שרשראות האספקה של ארגונים, מסלולים שלעתים מסוימות מתעלמים מהם בהנחה שהם מאובטחים באופן מרומז (המודעות עלתה מאז אבל עדיין חסרה בשטח). ניצול זה ממשיך להעלות את קורבנות התקיפה, כולל מערכות לגאסי כמו מערכות דואר שדווקא נמצאות בסוכנויות סיוע ממשלתיות ובינלאומיות שמתחו ביקורת על מקרים כאלה לכאורה.
בנוסף לכך חשוב להזכיר את ווקטור התקיפה של תוכנה וחומרה מיושנות שעדיין נמצאות בשימוש, כגון פגיעויות ביצוע קוד מרחוק שמנוצלות ועדיין קיימות בשרתי Microsoft Exchange כבר בשנת 2010 ועד לגרסאות האחרונות. פגיעויות של ביצוע קוד מרחוק נוצלו גם בהתקפות נגד ארגונים מבוססים Accellion באמצעות מכשיר העברת הקבצים (FTA) מדור קודם.
דוגמה נוספת היא תקיפות כופר, כפי שהוכח על ידי מתקפת Colonial Pipeline התקיפה התמקדה בנכסים מרוחקים כגון Citrix, שולחן עבודה מרוחק ופרוטוקול עבודה מרוחק בכדי לקבל בתחילה גישה לא מורשית. מכיוון שארגונים עובדים עם תצורת עבודה מרחוק אז משטח התקיפה החיצוני והעובדה שיוזרים עובדים מרחוק כאן הוא חלק מהותי.
בכל אחת מהתקיפות הללו, התוקפים עשו את דרכם פנימה דרך נתיב שלא היה ידוע או לא מוכר מספיק על ידי צוות האבטחה או שנחשב חסר ערך וחסר חשיבות. בהתחשב במספר העצום של הנכסים המתפרשים על פני כל ארגון, קל לראות כיצד ניתן להתעלם מרכיבים שונים ומגוונים, במיוחד אם הבחינה של משטח התקיפה היא מנקודת המבט של רוב צוותי האבטחה – כלומר, מבפנים החוצה וכן מבט של בלו-טימרס.
בנוסף אני תמיד אוהב להזכיר מקרים שנשארו מתחת למכם ועדיין אי אפשר להזכיר שמות של ארגונים מקומיים, והם כל אותן סיטואציות של תצורות היברידיות שבהם היו תקיפות דרך הענן ללא צורך בהרשאות גבוהות, ומשם נעשתה תנועה במרחב הענני וכן תנועה ואחיזה בסביבה פנימית – התוצאה השתלטות על סביבה היברידית. מצב הרסני.
תמיד שמזכירים EASM או CART אנו חייבים להבין שלא כך חושבים התוקפים. התקיפות המתוחכמות של ימינו כוללות מאמצים שונים וביצוע גילוי ואנומרציה נרחבים המנתחים את משטח התקיפה הארגוני מבחוץ פנימה. נקודת מבט זו חושפת לעתים קרובות תמונה שונה לחלוטין של משטח תקיפה היחיד שחשוב – נקודה שהתוקפים יכולים לנצל וכזה שהארגון אינו מודע אליו.
הדרך היחידה להתגונן ביעילות מפני תקיפות אלה היא לנקוט בגישת ניהול משטחי תקיפה המספקת את אותה נראות מתמשכת של פערי האבטחה כמו שיש לתוקפים – בחוץ פנימה (בשאיפה למצב תוקף). במצב כזה יהיה ניתן לתקן בעיות לפני שהן מנוצלות. חשוב להדגיש כי זה הכי קרוב למציאות של התוקף אך עדיין לא תהיה כזאת!
רגע לפני שנדבר על כלי EASM ובפרט על Defender EASM צריך להבין את התמונה של ASM קודם לכן.
על ASM וכאלה
רגע לפני שנתחיל לדבר על Microsoft Defender EASM צריך לקבל את התמונה הכללית על Attack Surface Management על מנת שנוכל להבין את הנקודות החשובות ביומיום של ניהול משטחי תקיפה.
תכונות של כלי ASM
כלי לניהול משטחי תקיפה כולל גילוי וניהול נכסים חיצוניים ומיקוד בתשתיות ענניות ומערכות מנוהלות עם קשרים ויחסים חיצוניים, ולכן כלי ASM מגלים באופן אוטומטי את הנכסים החיצוניים שתוקפים יכולים לראות ולהעריך אותם מול בינת איומים מסחריות, קוד פתוח וקנייניות בכדי ליצור דירוגי אבטחה עבור מצב האבטחה הכולל של הארגון. למשל, דוחות ASM יכולות להיות שימושיות עבור בעלי עניין לא טכניים, הנהלה בכירה, שותפים פוטנציאליים ולקוחות.
תכונות הניטור הרציף של כלי ASM צריכות להפיק מידע בזמן אמת על פרופיל הסיכון הכולל של הארגון, כמו גם על סיכונים בודדים בתוך התשתית, ואף ישנם כלי ASM מסויימים שמחפשים בדארק ווב אישורים/קרדס שנחשפו בפרצות נתונים של צד שלישי ומאפשרות לשלב כלי אבטחה אחרים באמצעות ממשקי API.
לצד זה, כלי ASM אחרים משלבים דירוגי איומים וסיכונים עם ערך עסקי והשפעה בכדי להעריך את האפקטיביות של בקרות אבטחה קיימות כדי ובכדי לסייע בתעדוף. כמו כן, כלי ASM עשויים להציע תכונות שימושיות נוספות המאפשרות לצוותי אבטחה לנטר שינויים במשטח התקיפה ולראות שיפורים פוטנציאליים באבטחה כמו תיקון סיכונים או להציף קבוצת סיכונים.
פונקציות הליבה של ASM
כיצד ניתן לנהל משטחי התקיפה ולהגן מפני תקיפות סייבר? ישנם פריימווריקים, מתודולוגיות, כלים רבים ותהליכים מגוונים אבל ניהול יעיל של משטחי תקיפה הוא תהליך רציף בן חמישה שלבים המשמש לעדכון הארגון עם ווקטורי ההתקפה החשובים ביותר והצגת תובנות ומצב קיים על משטח התקיפה החיצוני.
תהליכי וצורת עבודה יכולים להשתנות בין תהליכים וכלים שונים אך תמיד חייבים להתבסס על העקרונות הבאים:
גילוי נכסים – לא ניתן לנהל נכס אם אינוי ידוע שהוא קיים כלל. לרוב הארגונים יש מגוון הפתעות כשאר מדובר על נכסים כמו זה של "אלמונים לא מוכרים", כגון נכסים השוכנים באתרי שותפים או של צד שלישי, וורקלואדים בסביבות ענן (zombie app/api), התקני IoT, כתובות IP, מכונות ברשתות שונות, קרדס מאוחסנים בצד שלישי והרשימה ארוכה. כידוע, כלים ותהליכים שאינם שייכים לדור החדש יכולים לפספס בקלות רבה את הנכסים במשטחי התקיפה האלה, אך ניתן למצוא אותם בצורה טובה יותר על ידי תוכנית ופתרונות מתקדמים לניהול משטחי תקיפה המשתמשים בטכניקות של גילוי.
בדיקה רציפה – אין אפשרות לבדוק באופן שטחי (אחת לתקופה או סריקה של רכיב ספציפי) את המשטח החיצוני, בגלל שמשטח התקיפה גדל בכל יום, ובגלל שהוא הוא ממשיך להתרחב ככל שהארגון מתפתח ומוסיף מכשירים, משתמשים, וורקלואדים וכן ושירותים חדשים. התוצאה היא שהסיכונים לפגיעויות חדשות מתרחב, כמו גן תצורות שגויות, חשיפות נתונים או פערי אבטחה אחרים. חשוב לבדוק אם יש את כל ווקטורי התקיפה האפשריים, וחשוב לעשות זאת באופן רציף כדי למנוע מהבנה קיימת להיות מציאות מיושנת.
יחסים והקשרים – מכיוון שלא כל ווקטורי התקיפה נוצרו שווים, היחס וההקשר העסקי והבעלות הם חלקים חיוניים בניהול משטח התקיפה. יחד עם זאת, כלים ותהליכי אבטחה מדור קודם אינם מספקים בדרך כלל הקשר באופן עקבי, מה שמקשה על תעדוף אבטחה (מי אמר Threat Modeling עם Business Objectives). גישה יעילה לניהול משטחי תקיפה דורשת מידע של סוגי נכסים, האם הם נמצאים בשימוש נוכחי, רגישות ארגונית, מטרתו, בעלים, החיבורים שלו לנכסים אחרים ופגיעויות אפשריות הכלולות בו. זה יכול לעזור לצוות האבטחה לתעדף את הסיכון ולקבוע האם צריך להסיר או למחוק את הנכס, לתקן אותו או פשוט לנטר את הנכס.
תעדוף – רשימת ווקטורי התקיפה הפוטנציאליים שניתן לגלות היא בוודאות יותר ממה שצוות האבטחה יכול לאמת ובוודאות מה שצוות IT יכול אולי לתקן במסגרות זמן קצרות/ביניים. לכן חשוב לאסוף הקשרים ויחסים בכדי שיהיה ניתן לקבוע היכן למקד את מאמצי התיקון. שימוש בקריטריונים כגון קלות הניצול, יכולת הגילוי, עדיפות התוקף ומורכבות התיקון, בנוסף להקשר העסקי מסייעים להבטיח שאנו מתעדפים את הסיכונים הקריטים ביותר.
תיקון – לאחר שמשטח התקיפה ממופה ביסודיות ומקושר, ניתן להתחיל בחלק הבעייתי והוא בתיקון לפי סדר העדיפות בכדי להפוך את התיקון ליעיל ככל האפשר. ישנן שיטות עבודה שונות שיכולות להקל (ואף להפוך לאוטומטית) כמו מסירת מידע מהכלים והצוותים שמבינים את הסיכונים ואת סדרי העדיפויות שלהם (בדרך כלל צוותי תפעול אבטחה). צוותים אלה האחראים על ביצוע העבודה של הסרתם (צוותי תפעול IT). שיתוף הקשר עסקי ומידע כיצד לתקן מייעל את התהליך ומסייע ביצירת אמון.
כלי ASM והתאמה לכלי אבטחה
תפיסה מוטעית נפוצה בקרב צוותי אבטחה היא שכלי ASM יכול להחליף כלי אבטחה אחרים ולהיפך. במקום זאת, כלי ASM משתלב בצורה חלקה במערך האבטחה ויכול להשלים את התרומות הייחודיות של כל כלי לזיהוי ותגובה לאיומים. שילוב זה חשוב במיוחד כשמדובר בפתרונות אבטחה בענן כי 65% מהסיכונים הגבוהים והקריטיים נמצאים בנכסי ענן (כולל היברידי), וצוותי אבטחה צריכים להשתמש בכלים ובפתרונות עם התובנות המקיפות ביותר של הנכסים החיצוניים ובפרט הענן.
מכאן חשוב לגעת בכלים השונים לצד ASM עם מבט על Posture Management, Shadow IT ושאר ירקות. נקודות ספציפיות אל מול כלים בעלי חפיפה.
כלי ASM אל מול CASB – כלי CASB נמצאים איתנו המון זמן והם נותנים יכולות רבות כמו נראות (הרבה Shadow IT) ומאפשרים ליישם מדיניות אבטחה. ניהול משטחי תקיפה של נכסים מספק הערכת סיכוני אבטחת סייבר של הנכסים עצמם. בעוד שכלים אלה חשובים לתהליך האבטחה של משטח התקיפה בענן, הם מספקים רק תובנות לגבי התשתית הפנימית של הארגון. ASM משלים את התמונה על ידי סריקת האינטרנט כולו וכל המקורות החיצוניים כדי לזהות ולהעריך את הפגיעות של נכסים מחוץ לתשתית הפנימית.
תצורות שגויות של CSPM – כידוע הענן הוא בעיה נפוצה עבור צוותי אבטחה וניהול מצב אבטחה בענן (CSPM) מנטר באופן רציף שירותי ענן ידועים בכדי לזהות תצורות שגויות. יחד עם זאת כלי CSPM נועד רק לזהות הגדרות שגויות בסביבות הענן שהוא יודע לסרוק. ASM, לעומת זאת, סורק את כל האינטרנט של אותו נכס, שירותי ענן אחרים בכדי לזהות תצורות שגויות מעבר לאלה הידועות רק של CSPM.
דירוג אבטחה של SRS – כידוע, SRS מתמקדים בסיכון אבטחה של צד שלישי על ידי איסוף נתונים ממקורות ציבוריים ופרטיים, ניתוח הנתונים ודירוג מצב האבטחה של ישויות באמצעות מתודולוגיית ניקוד. עם זאת, SRS בפני עצמה אינה יכולה לבצע הערכת סיכוני אבטחת סייבר מלאה ללא גישה לנתוני אבטחה חשובים, ולעתים קרובות לא ידועים. שילוב פתרון ASM משלים את SRS על ידי תובנות נוספות לגבי שותפי צד שלישי באמצעות כל מקורות האינטרנט והענן.
ASM לעומת VM – ניהול פגיעויות (VM) כולל זאת של הגישה החדשה מדמה את הטקטיקות, הטכניקות והנהלים (TTPs) שיכולים לספק נראות לגבי יעילות האבטחה הקיימת ולהציע תובנות לגבי טיפול בכל הבעיות. VM מתרכז בתובנות ובנקודות תורפה מבוססות קוד כדי לטפל בהיגיינת אבטחה. ASM עובד עם VM על ידי לקיחת צעד אחורה כדי לבחון את האבטחה של התשתית כולה, פנימית וחיצונית, על ידי סריקת כל פינה באינטרנט, שירותי ענן וסביבות חיצוניות אחרות.
נקודות תקיפה אל מול ASM
האם אפשר לעמוד בקצב של משטחי תקיפה חיצוניים שמתרחבים וגדלים עם הזמן? שאלה לא פשוטה והבעיה שאין לה תשובה חד משמעית, לדעתי אין, כי החדשנות מציבה רף גבוה והתשובות לכך מגיעות הצד המסחרי/עסקי. בצד הטכני זה יילך ויתרחב עם הזמן וכך גם התקיפות וחומרת האירועים.
שמדברים על משטחי תקיפה אז הצעד הראשון הוא להיות מודעים לנכסים בתוך משטח התקיפה, החל מהדגשים של הבנת שטח התקיפה, הגברת מודעות, היכן הם נמצאים ומהם הנכסים החשופים. האינפורמציה הזאת היא ראשונית בלבד אבל נותנת אינדיקציות שמאפשרות להבין כיצד להפחית סיכונים בצורה טובה יותר ולהימנע מהתקפות הרסניות. כלי EASM שעליהם נדבר בהמשך משיגים זאת בצורה מסויימת על ידי תצוגה של הנכסים ומה שקורה בתוך משטח התקיפה ומתריעים על כל שינוי או אנומליה בנכסים.
בעוד שארגונים רק מתחילים להבין את החשיבות של הבנת הארכיטקטורה הפונה לרשת החיצונית ולאינטרנט, תוקפים עוקבים מקרוב אחר משטחי התקיפה במשך שנים, וקוצרים את הפירות על נקודות תקיפה וממצאים שכבר מוכרים להם הרבה יותר מאשר צוותי האבטחה. חשוב להדגיש כי אף צוות אבטחה אינו יכול לשמור על נראות מלאה של כל נכס הפונה לאינטרנט, ולכן כלי EASM הופכים את התהליך הזה לאוטומטי, ויתרה מכך, כוללים תובנות של האקרים אתיים.
כלי EASM שונים מפתרונות וכלים אחרים כמו סורקי אפליקציות מכיוון שהם לא רק מחפשים פגיעויות והם פועלים בכדי לזהות נכסים הפונים לאינטרנט שאינם אמורים להיות נגישים חיצונית או שאינם מוגדרים כראוי ולכן חושפים נתונים רגישים. דוגמאות לכך יכולות לכלול אתר שנשכח או את מאתר באגים כמו מאתר הבאגים של Flask שהוביל לפריצה.
כאשר ישנה נראות מקיפה לגבי כל רכיב במערכת (חלום רטוב של כל מנהל אבטחת מידע), כך ישנה אפשרות לנטר את הנקודות הניתנות לתקיפה של כל רכיב עבור פגיעויות ידועות והן עבור פגיעויות של Zero-Day, וזה כולל תובנה לגבי מה שתוקפים רואים כשהם מביטים אל הסביבה הארגונית, למשל, מסתכלים לתוך סביבת פיתוח או הענן וזיהוי הנקודות החלשות ביותר הניתנות לניצול.
ישנם גם מקרים בהם ייתכן שמדובר בחומרה ובתוכנה מיושנות שאם אינן מסומנות בבדיקה, הן חושפות נתונים רגישים או משבשות את הפעילות העסקית, ולכן סיטואציות של תוקפים שיכולים לגשת בקלות לנתוני בריאות מוגנים ולמידע על תשלומים כמו PCI או HIPAA היא משהו מוכר מהיומיום.
מכאן אפשר להבין שהאבטחה נעה כל הזמן, ומערכת מאובטחת היום עלולה להיות פגיעה מחר – גם ללא שינויים או עדכונים. כאשר מתרחשים שינויים בתשתית, השינוי חייב להיות מוצדק ולא "יוצא דופן", שכן שינויים לא רגילים אלה מובילים לעתים קרובות לבעיות.
הציפייה של כלי EASM היא למנף תובנות של תוקפים שיכולים להיות חיוניים למנהלי אבטחה (ציפייה ותוצאות שאינם עומדים במבחן המציאות). לכן, ככל שמשטחי התקיפה ימשיכו להתרחב, אין ספק שהאבטחה תעמוד בפני התקפות תכופות יותר. תובנות המבוססות על ידע כלי EASM אמורות להעניק למנהל האבטחה את המבט הנוסף שהוא צריך בכדי לאבטח את משטח התקיפה החיצוני.
נקודת מבט של תוקף
מערכות וכלי אבטחה הם טובים ונדרשים אך הם לא יכולים בשום אופן להחליף גורם אנושי – במיוחד כלים שמתבססים על הצד ההתקפי.
כידוע, המעבר לענן מאפשר לארגונים להפחית את העלויות הקשורות לתפעול העסקי היומיומי, ובמקביל, הטרנספורמציה הדיגיטלית מרחיבה את משטח התקיפה, ומקשה על צוותי אבטחה לעמוד בקצב של גורמי האיום והסיכונים. בעזרת כלים חיצוניים לניהול משטחי תקיפה, Red Teams יכול לנצל את התובנות ולבצע תקיפות ספציפיות וע"יכך להעלות את המודעות לנכסים קריטיים.
המעבר לתשתיות מבוססות ענן מוסיף אתגרים חדשים, מה שהופך את זה לקשה יותר וגוזל זמן עבור צוות אבטחה לבדוק ולאמת כראוי שיטות עבודה וטכנולוגיות, והצד זה נותן לתוקף משטחי תקיפה ונקודות תקיפה רבות ומגוונות. אפשר למנות בין היתר את הנקודות הבאות שבמחינת תוקף הם יתרון ברור:
מיקומים – כאשר ארגונים מוסיפים משאבים חדשים מבוססי ענן, הם מגדילים את המורכבות של הסביבות שלהם ואת טביעת הרגל הדיגיטלית שלהם. כל טכנולוגיה מציעה כלי ניטור אבטחה משלה, אבל זה פשוט מוסיף עוד מקומות לבדיקת האבטחה וכאן נכנס התוקף ומנצל נקודות תקיפה שאינן מוכרות ואינן מנוטרות.
תצורות היברידיות ומרובות עננים – ארגונים רבים משתמשים ביותר מספק שירותי ענן ראשי אחד ומשמעות הדבר היא שצוותי אבטחה צריכים להגן על סביבה רחבה יותר ולחפש פגיעויות אבטחה בפלטפורמות ענן ממוצעות. תוקף גם כן צריך ללמוד את הסביבה אבל תהיה לו פחות עבודה ושטח פורה לעבוד איתו על פני סביבה רחבה יותר – קשה מאוד לזהות תוקף שנע בתצורה היברידית.
רכיבי SaaS – ארגונים ממשיכים להוסיף יישומי SaaS נוספים. ארגונים עם 500-2,000 עובדים בממוצע עם 650 יישומים שונים (רק הגדרה דיפולטית של Office 365 מכילה 200 יישומים). לכן, גם אם רק מחצית מהיישומים הללו משתייכים לקטגוריות של "סיכון גבוה", זה עדיין אומר שצוותי הגנה צריכים להגן על אינפסור נכסים, בעיות ופערי אבטחה. תוקפים מודעים למצב הזה הרבה יותר משאר צוותי אבטחה ולכן מנצלים אפליקציות בעלי סיכון גבוה (ועם הרשאות גבוהות) בכדי לחדור לענן.
נקודות כשל – יתר על כן, כל קשר מוביל לנקודת כשל פוטנציאלית כמו ווקטורי התקיפה הפוטנציאליים הבאים:
– גישת משתמש מכל מקום אל הענן – ממשקי API פתוחים (מי אמר Zombie API?) – וורקלואדים חשופים בענן – פונקציות שמוגדרות מפתחות ואלה חשופות לרשת החיצונית – משאבים שהוגדרו באופן שגוי כמו מיסקונפיגורציה של מכונות, או Storage ענני וכו
משאבי ענן יכולים להיות מבופלשים לענן תוך זמן קצר מאוד ולכן הגישה של צוות הגנה כולל כלי ASM אל מול הצוות התוקף לא תהיה שוות ערך ולכן צוות תקיפה או כניסה לנעלי התוקף יכולה לפצות על האופי הדינמי של הענן. כאשר נכסים מתחברים ללא הרף לתשתית הארגון ומתנתקים ממנה, Red Teamers יכולים בקלות לנצל פגיעויות פוטנציאליות.
משאבים ומוטיבציה – לצוותי הגנה אין את המשאבים הדרושים כמו לצוותים אדומים ולכן המגבלות של כלים, משאבי כ"א ובפרט מוטיבציה, משאירים את הצוותים הכחולים מאחור ורודפים אחרי ארנבים שהוצבו ע"י תוקפים – הארנב האמיתי כבר מבצע הצפנה.
מיומנויות – בעוד שכלי קוד פתוח עשויים לעמוד בתקציב החברה, הם גם דורשים סט של כישורים. מחסור במשאבים כספיים מוביל לבעיה. ארגון עשוי להיות מסוגל למצוא אנשי מקצוע בתחום האבטחה עם סט הכישורים הנכון, אך ייתכן שלא יוכל להרשות לעצמו את השכר. בנוסף, ארגונים רבים מגלים שהם צריכים לבחור בין העסקת אנשי מקצוע מיומנים או רכישת כלי אבטחה נוספים. לרוב, תוקפים מגיעים עם סט מיומנויות וסל כלים שהארגון מבעוד מועד אינו יכול להרשות לעצמו.
הנקודה האחרונה מזכירה לי את המשפט של "אם צוות כחול אינו יכול להגן מפני צוות אדום, אז איך הוא יכול לעצור תוקף אמיתי?" נקודה למחשבה.
אגב, כאשר נכנסים לנעלי התוקף אפשר להשתמש בכלי הזה כנגד ארגונים ולאסוף עליהם כמויות של המידע מתוך כלי לגיטימי, וזה ממש דומה מאוד לכלים שאנו משתמשים בהם ביומיום, כמו Censys, או Shodan והרבה אחרים.
מציאות אל מול כלי ASM
בחזרה לחלק של מציאות בשטח אבל הפעם בהלימה עם כלי ASM ונקודה בעייתית מאוד שמגיעה מתוך יצרנים רבים והיא – ASM מביס את התוקפים. אפשר לומר בבירור שזה חלום רטוב של כל צוות האבטחה והמציאות בשטח היא אחרת. תוקף תמיד נמצא מספר צעדים לפני הגנה ארגונית.
לצד זה אפשר לומר שבמקרים מסוימים כלי ASM משנה מחדש את החשיבה של צוות אבטחה, ולכן הגישה הזאת מציבה את צוותי האבטחה בעמדה מעט טובה יותר וכזאת שיכולה לתעדף אזורים במשטח התקיפה. לצד זה, בדיקות חדירה וצוותים אדומים מספקים תובנות לגבי נקודת המבט של התוקף בצורה יעילה יותר. כידוע, תקיפות משוגרות בדרך כלל בסביבה מבוקרת או נגד היבט מסוים של הסביבה, ולכן כדאי לשים לב לנקודה שהאופי המשתנה והמתרחב של רוב הסביבות מאפשר לפגיעויות להיעלם מעיניהם ולנכסים להישאר ללא בדיקה וכתוצאה מכך בדיקות התקפיות שאינן רלוונטיות.
צוותי אבטחה חייבים לנוע מהר יותר מהתוקפים כאשר פגיעויות וניצול לרעה נחשפות ומצבים כאלה נתרשחים בסביבות מאוד ספציפיות ורק אם משטח התקיפה ממופה על בסיס רציף עם המיומנויות הנדרשות ועם המשאבים הנדרשים.
אם נקח לדוגמה Shadow IT אז הוא נתפס כסיכון אבטחה מרכזי במשך שנים רבות ולכן הורדת נכסים לא ידועים שאנו מגלים באמצעותו חיוני להפחתת איומים. המטרה במצבי Shadow IT עם כלי ASM הוא להסיר במהירות נכסי Shadow, אפליקציות לא ידועות ויתומות, מסדי נתונים וממשקי API חשופים ונקודות כניסה פוטנציאליות אחרות כדי למתן פגיעויות שמתעוררות – לא כך פני הדברים בשטח.
אסטרטגיות אבטחה התרכזו תמיד סביב הגנה, סיווג וזיהוי של נכסים דיגיטליים ולכן ASM הופך פעילויות אלה לאוטומטיות ומכסה נכסים מחוץ לתחום של בקרות מיפוי מסורתיות, הגנה על נקודות קצה ועוד. כלי ASM מספקים ניתוח משטחי תקיפה בזמן אמת וניהול פגיעויות כדי למנוע כשלים בבקרת אבטחה ולהפחית את הסיכון לדליפות נתונים. המטרה היא למצוא נכסים ולבדוק אם יש וקטורי התקפה אפשריים, כולל:
– סיסמאות חלשות – מערכות מיושנות – הגדרות שגויות
השאלה הגדולה היא, האם אפשר להשיג את כל היכולות המוזכרות מעלה יחד עם היומיום שלנו שמצריך ביצוע פעולות אינפסופיות והתעעסקות עם כלים רבים לצד צוות שאינו גדל, שחיקה של אנשים ובפרט מיומנויות שלא תמיד שוות ערך לתוקף.
חשוב להדגיש שהמציאות בשטח של משטח תקיפה עם כלי ASM מביאה יתרונות וחסרונות ומצריכה התאמה לכל צוות אבטחה, ארגון ונקודות נוספות. ולצד זה אין ליצרנים את האפשרות להשוות בין צוות מגן וכן כלי ASM לצוות תוקף כי ידם של תוקפים תמיד על העליונה.
אז אחרי מבט חטוף על משטחי תקיפה ועל ASM ומצבו כיום בו נעבור אל האפשרויות של Microsoft Defender EASM ונבין את היכולות, איך יכול לסייע ביומיום, איך מגדירים ותובנות נוספות.
כלי ASM מוכר הוא הכלי של Censys ASM שמביא את החוזק והיכולות המוכרות של חיפוש נכסים באינטרנט אך בהתאמה ספציפית לארגון. כמו Censys ASM ישנם וונדורים אחרים עם כלי ASM שקיימים זמן רב.
מהו Defender EASM
הכלי Microsoft Defender External Attack Surface Management או בקצרה Defender EASM הוא הילד החדש במשפחת הדפדנדרים וכמו האחרים הוא משלים חלק מהותי בפאזל של Kill-Chain תוך שמירה על המאפיינים המוכרים של המשפחה עם אינטגרציה לכלים אחרים, התממשקות אל Security Graph, העברת נתונים בין כלים אחרים ועוד.
ניהול משטחי התקיפה החיצוניים של Defender EASM מגלה וממפה ללא הרף את משטח התקיפה הדיגיטלי כדי לספק תובנות של התשתית החיצוניתו והמקוונת. נראות זו מאפשרת לצוותי אבטחה לזהות חברים לא ידועים, לתעדף סיכונים, למנוע איומים ולהרחיב את בקרת הפגיעות והחשיפה מעבר לבקרות קלאסיות.
הכלי Defender EASM ממנף את טכנולוגיית הסריקה של Microsoft כדי לגלות נכסים הקשורים לתשתית החיצונית והמקוונת, וסורק באופן פעיל נכסים אלה כדי לגלות חיבורים חדשים לאורך זמן. תובנות על פני השטח של התקיפה נוצרות על-ידי מינוף נתוני פגיעות ותשתית כדי להציג את ממצאים עיקריים וקריטיים.
גילוי ואינבנטורי
טכנולוגיית הגילוי של Defender EASM מחפשת באופן רקורסיבי תשתית עם חיבורים נצפים לנכסים לגיטימיים ידועים כדי להסיק מסקנות לגבי הקשר של תשתית זו לארגון ולחשוף מאפיינים שלא היו ידועים קודם לכן ולא היו מפוקחים עד כה. נכסים לגיטימיים ידועים אלה נקראים גילוי "זרעים" (seeds) ולכן Defender EASM מגלה תחילה קשרים חזקים לישויות נבחרות אלה, וחוזר על עצמו כדי לחשוף חיבורים נוספים ובסופו של דבר מהרכיב את משטח התקיפה באופן רציף תוך כדי זיהוי בעיות או שינויים ברשת החיצונית.
Defender EASM כולל את הגילוי של סוגי הנכסים הבאים:
תחומים
שמות מארחים
דפי אינטרנט
בלוקי IP
כתובות IP
ASNs
תעודות SSL
אנשי קשר של WHOIS
הנכסים שהתגלו מאונדקסים ומסווגים במלאי Defender EASM שלך, ומספקים רשומה דינמית של כל תשתיות האינטרנט תחת ניהול הארגון. הנכסים מסווגים כאחרונים (פעילים כעת) או היסטוריים, ויכולים לכלול יישומי אינטרנט, תלות של צד שלישי וחיבורי נכסים אחרים.
Defender EASM מספק סדרה של דשבורדים המסייעים להבין במהירות את התשתית החיצונית והמקוונת ואת כל הסיכונים המרכזיים. דשבורדים אלה נועדו לספק תובנות לגבי תחומי סיכון ספציפיים, כולל פגיעויות, תאימות והיגיינת אבטחה. תובנות אלה מסייעות בטיפול מהיר ברכיבי משטח התקיפה המהווים את הסיכון הקריטי.
ניתן לסנן את האינבנטורי כדי לחשוף את התובנות הספציפיות החשובות להם ביותר. סינון מציע רמה של גמישות והתאמה אישית המאפשרת למשתמשים לגשת לתת-קבוצה ספציפית של נכסים. במצב כזה ניתן למנף את נתוני Defender EASM בהתאם למקרה השימוש הספציפי, בין אם אתה מחפשים נכסים שמתחברים לתשתית שהוצאה משימוש או כאשר ישנו זיהוי של משאבי ענן חדשים.
הבנת הנכסים
טכנולוגיית הגילוי מחפשת באופן רקורסיבי תשתית עם יחסים וקשרים נצפים לנכסים לגיטימיים ידועים (לדוגמה, גילוי סיד/זרעים כדי להסיק מסקנות לגבי הקשר של תשתית זו לארגון ובכדי לחשוף מאפיינים שלא היו ידועים קודם לכן ולא היו מנוטרים/מפוקחים. Defender EASM כולל את הגילוי של סוגי הנכסים הבאים:
דומיינים ותחומים
שמות המארחים
דפי ווב
IP וסאבנטים
מספרי מערכת אוטונומית (ASN)
תעודות SSL
אנשי קשר של WHOIS
סוגי נכסים אלה מרכיבים את מלאי משטחי התקיפה ומשם Defender EASM מגלה נכסים הפונים כלפי חוץ החשופים לאינטרנט הפתוח מחוץ לבקרות המסורתית. לכן צריך לעקוב ולתחזק במטרה למזער סיכונים ולשפר את מצב האבטחה. ניהול משטחי התקיפה החיצוניים מגלה ומנטר באופן פעיל נכסים אלה, ולאחר מכן חושף תובנות מרכזיות המסייעות לטפל ביעילות בכל הפערים, סיכונים ובעיות.
מצבי נכסים
כל הנכסים מסומנים בהתאם למצבים הבאים:
מצב
תיאור
אינבנטורי/נכס מאושר
חלק ממשטח התקיפה שבבעלותך – נכס שיש עליו אחריות ישירה.
תלות
תשתית שנמצאת בבעלות צד שלישי אך היא חלק ממשטח התקיפה וכזאת שתומכת ישירות בתפעול הנכסים שבבעלותך. לדוגמה, ייתכן שתסמוך על ספק IT שיארח את תוכן האינטרנט שלך. בעוד שהתחום, שם המארח והדפים יהיו חלק מהאינבנטורי/נכס המאושר, ייתכן שנרצה להתייחס לכתובת IP שבה פועל המארח כאל תלות.
ניטור בלבד
נכס רלוונטי למשטח ההתקפה שלך אך אינו נשלט באופן ישיר או תלות טכנית. לדוגמה, נכסים השייכים לחברות קשורות עשויים להיות מסומנים כניטור בלבד ולא כאינבנטורי/נכס מאושר.
מועמד
נכס שיש לו קשר כלשהו לנכסים הידועים של הארגון, אך אין לו קשר חזק מספיק כדי לתייג אותו באופן מיידי כאינבטורי מאושר. נכסים מועמדים אלה חייבים להיבדק באופן ידני כדי לקבוע את הבעלות.
נדרשת חקירה
דומה למצב מועמד, אך ערך זה חל על נכסים הדורשים חקירה ידנית ואימות. במצב כזה הקבעיה נעשית לפי דירוג אבטחה שנוצר, וכאלה המעריכים את עוצמת הקשרים שזוהו בין נכסים. לצד זה הוא אינו מציין את הקשר המדויק של התשתית לארגון באותה מידה שהוא מציין כי נכס זה סומן כמחייב בדיקה נוספת כדי לקבוע כיצד יש לסווג אותו.
טיפול בנכסים שונים -מצבי נכסים אלה מעובדים ומנוטרים באופן ייחודי בכדי להבטיח נראות ברורה לגבי הנכסים הקריטיים ביותר כברירת מחדל. לדוגמה, נכסים מאושרים מוצגים תמיד ונסרקים מידי יום כדי להבטיח שחזור נתונים. כל סוגי הנכסים האחרים אינם כלולים כברירת מחדל. יחד עם זאת, ניתן להתאים את מסנני האינבנטורי כדי להציג נכסים במצבים שונים לפי הצורך. באופן דומה, נכסים מועמדים נסרקים רק במהלך תהליך הגילוי. חשוב לסרוק נכסים אלה ולשנות את מצבם לאינבנטורי מאושר ורק אם הם בבעלות הארגון.
גילוי
ניהול משטחי התקיפה החיצוניים מוגדרים באופן רציף. הגילוי וסריקת נכסים ידועים בבעלות הארגון חושף נכסים שלא היו ידועים קודם לכן ולא היו מפוקחים. הנכסים שהתגלו כלולים באינדקס ומספקים מערכת דינמית של תיעוד יישומי אינטרנט, תלות של צד שלישי ותשתית אינטרנט תחת ניהול הארגון. באמצעות תהליך זה אנו ניתן לנטר באופן יזום את משטח התקיפה הדיגיטלי המשתנה ללא הרף ולזהות סיכונים מתפתחים והפרות מדיניות כאשר הם מתגלים. פגיעויות רבות נמצאות ללא נראות מחוץ לבקרות קלאסיות מה שמשאיר אותן ללא מודעות לסיכונים ולאיומים חיצוניים – מקור נוסף לדליפות נתונים.
איך זה עובד
בכדי ליצור מיפוי מקיף של משטח התקיפה, המערכת צורכת תחילה נכסים ידועים (זרעים) שנסרקים באופן רקורסיבי כדי לגלות ישויות נוספות באמצעות החיבורים שלהן. Seed ראשוני עשוי להיות כל אחד מהסוגים הבאים של תשתית אינטרנט הכלולה באינדקס:
דפי ווב
שם מארח
דומיינים
SSL Cert
כתובת דוא"ל ליצירת קשר
IP
ASN
המערכת מגלה אסוציאציות לתשתיות מקוונות אחרות כדי לגלות נכסים אחרים שבבעלות הארגון שלך ותהליך כזה יוצר בסופו של דבר אינבנטורי של משטח התקיפה. תהליך הגילוי משתמש בזרעים כצמתים המרכזיים וב Nodes כלפי חוץ לכיוון הפריפריה של משטח התקיפה שלך על ידי זיהוי כל התשתית המחוברת ישירות לסיד, ולאחר מכן זיהוי כל הקשרים לכל אחד מהם בקבוצת החיבורים הראשונה וכו'. תהליך זה הוא רציף עד שמגיע לכל הקצוות.
משטחי תקיפה אוטומטיים והתאמות – בשימוש הראשון של Defender EASM, אפשר לגשת לאינבנטורי שנבנה מראש עבור הארגון כדי להתחיל במהירות את תהליכי הליבה של ASM. ניתן לעבוד ישירות עם יכולות החיפוש הקיימות כדי לאכלס במהירות את האינבנטורי בהתבסס על חיבורי נכסים שכבר זוהו על ידי Microsoft. מומלץ לחפש את משטח התקיפה שנבנה מראש של הארגון לפני יצירת אינבנטורי מותאם אישית.
כדי לבנות אינבנטורי מותאם אישית, ניתן ליצור קבוצות גילוי כדי לארגן ולנהל את הזרעים שבהם צריך להשתמש בעת הפעלת הגילוי. קבוצות גילוי נפרדות מאפשרות לתהליך להיות כגילוי אוטומטי, תוך קביעת התצורה של רשימת הזרעים ולוח הזמנים החוזר של הריצה.
נכס מאושר לעומת מועמד – אם מנוע הגילוי מזהה קשר חזק בין נכס פוטנציאלי לבין הזרע הראשוני, המערכת תכלול באופן אוטומטי נכס זה כנכס מאושר. מכיוון שהחיבורים לזרע זה נסרקים באופן איטרטיבי, ומגלים חיבורים ברמה השלישית או הרביעית וכן הלאה, האמון של המערכת בבעלות על כל הנכסים שזוהו לאחרונה נמוך יותר. באופן דומה, המערכת עשויה לזהות נכסים שרלוונטיים לארגון שלך אך ייתכן שאינם בבעלות ישירה שלהם.
פרטי הנכסים מתעדכנים ללא הרף לאורך זמן כדי לשמור על מפה מדויקת של מצבי הנכסים והקשרים, כמו גם כדי לחשוף נכסים חדשים שנוצרו כשהם מופיעים. תהליך הגילוי מנוהל על ידי הצבת זרעים בקבוצות דיסקברי שניתן לתזמן על בסיס חוזר. לאחר איכלוס אינבנטורי מתבצעת סריקה באופן רציף של הנכסים כדי לחשוף נתונים חדשים ומפורטים על כל אחד מהם. תהליך זה בוחן את התוכן וההתנהגות של כל נכס רלוונטי כדי לספק מידע חזק שניתן להשתמש בו כדי לזהות פגיעויות, בעיות תאימות וסיכונים פוטנציאליים אחרים לארגון.
הבנת פרטי הנכס – Defender EASM סורק לעתים קרובות את כל הנכסים ואוסף מטה-נתונים וקשרים שמפעילים את נתוני השימוש של משטח התקיפה. ניתן לצפות בנתונים אלה באופן פרטני, כמו גם הנתונים שסופקו וגם כאלה שהתשנו בהתאם לסוג הנכס. לדוגמה, הפלטפורמה מספקת נתוני WHOIS ייחודיים עבור דומיינים, מארחים וכתובות IP ונתוני אלגוריתם חתימות עבור אישורי SSL. הכלי מאפשר להציג את פרטי נכס עבור כל נכס ואפשר להציג סיכום נכסים המספק מידע מרכזי אודות נכס מסוים. לרוב מורכב בעיקר מנתונים החלים על כל סוגי הנכסים, אם כי ערכים נוספים יהיו זמינים.
גישה למשטח ההתקפה האוטומטי – Microsoft הגדירה מראש את משטחי התקיפה של ארגונים רבים, ומיפתה את משטח התקיפה הראשוני שלהם על-ידי גילוי תשתית המחוברת לנכסים ידועים. מומלץ לחפש את משטח התקיפה של הארגון לפני יצירת משטח התקפה מותאם אישית והפעלת יכולות גילוי נוספות. הדבר מאפשר גישה מהירה למלאי כאשר Defender EASM מרענן את הנתונים, ומוסיף נכסים נוספים והקשר עדכני למשטח ההתקפה.
בשלב זה, הגילוי ירוץ ברקע. אם נבחר משטח תקיפה מוגדר מראש מרשימת הארגונים הזמינים, נוכל לקבל מבט כולל בממשק, שם יוצגו תובנות לגבי תשתית הארגון במצב תצוגה ראשוני. מכן ניתן לסקור תובנות של הממשק כדי להכיר את משטח התקיפה בזמן שממתינים לנכסים נוספים שיתגלו ויאוכלסו במלאי.
כאשר מבחינים בנכסים חסרים או שיש ישויות אחרות לניהול שייתכן שלא יתגלו באמצעות תשתית המקושרת בבירור לארגון, יש אפשרות לבחור הפעלת גילוי מותאמות אישית כדי לזהות נכסים חריגים אלה.
התאמה אישית של הגילוי – גילוי מותאם אישית הוא אידיאלי עבור ארגונים הדורשים נראות עמוקה יותר לתשתית שייתכן שלא תקושר באופן מיידי לנכסי הזרעים העיקריים שלהם. גילוי מותאם אישית יכול גם לסייע לארגונים למצוא תשתיות שונות שעשויות להתייחס ליחידות עסקיות עצמאיות ולחברות שנרכשו.
קבוצות גילוי – גילוי מותאם אישית מאורגן בקבוצות גילוי והם זרעים עצמאיים המרכיבים ריצה אחת של גילוי ופועלים על פי לוחות זמנים. מכאן ניתן לבחור ולארגן את קבוצות הגילוי כדי להגדיר נכסים בכל דרך שתטיב עם הארגון בצורה הטובה ביותר. האפשרויות הנפוצות כוללות ארגון לפי צוות אחראי, יחידה עסקית, מותגים או חברות בנות.
לסיכום
היבט על משטח תקיפה חיצוני הוא חשוב כמו היבטים אבטחה אחרים ולכן אנו חייבים לשלב אותם בצורה נכונה עם הצוות התוקף בארגון בכדי לקבל תמונה מדוייקת ככל האפשר. תמונה מדוייקת של נכסים שאינם ידועים יכולים להשתלב בצורה אינטגרלית עם הצוות האדום בארגון ולהרחיב את יעדי התקיפה בהתאם לעדיפויות. יעדי תקיפה חייבים להיות תקיפות דינמיות בהתאם לשינוי שמתבצע בארגון, כולל השינויים שאנו לא תמיד מועדים אליהם. כלים ופתרונות לא חסרים ויש בשפע, ולכן הדבר החשוב כאן הוא להתאים את הכלים והפתרונות לפי התנהגות תוקף, לפי מדדי אבטחה ובהתאם למיומנויות הקיימות בארגון.
[…] שטח תקיפה חיצוני – המעבר לענן שהתחיל כבר בשנת 2010 הרחיב את שטח התקיפה החיצוני בצורה מהותית, וכזאת שאיננה ניתנת למדידה ברמת היומיום. כמות הנכסים שנמצאים בחשיפה עלולים להיות רגישים או כאלה שעלולים להוביל לנקודות תקיפה. הבעיה הגדולה לצוותי הגנה בשטח תקיפה החיצוני הוא שאין להם אפשרות לדעת במקרים רבים מי מבצע פעולות Recon, או מי מתחיל בשלב תקיפה ראשוני? לעיתים הזיהוי נעשה בשלב מאוחר של גישה ראשונית. משטחי תקיפה וכלי Defender EASM (eshlomo.blog). […]
1 Response
[…] שטח תקיפה חיצוני – המעבר לענן שהתחיל כבר בשנת 2010 הרחיב את שטח התקיפה החיצוני בצורה מהותית, וכזאת שאיננה ניתנת למדידה ברמת היומיום. כמות הנכסים שנמצאים בחשיפה עלולים להיות רגישים או כאלה שעלולים להוביל לנקודות תקיפה. הבעיה הגדולה לצוותי הגנה בשטח תקיפה החיצוני הוא שאין להם אפשרות לדעת במקרים רבים מי מבצע פעולות Recon, או מי מתחיל בשלב תקיפה ראשוני? לעיתים הזיהוי נעשה בשלב מאוחר של גישה ראשונית. משטחי תקיפה וכלי Defender EASM (eshlomo.blog). […]