Việc ứng dụng rộng rãi các cơ sở đám mây và sự phát triển liên tục của nhiều mạng lưới của tổ chức kết hợp với việc chuyển sang làm việc từ xa đã dẫn đến hậu quả trực tiếp là mở rộng quy mô bề mặt tấn công của các tổ chức và dẫn đến sự gia tăng số lượng điểm mù trong kiến trúc đã kết nối.
Hậu quả khôn lường của bề mặt tấn công mở rộng được giám sát phân mảnh này là sự gia tăng đáng kể về số lượng các cuộc tấn công mạng thành công, trong số loại tấn công đó thì khét tiếng nhất là ransomware. Các vấn đề chính là kẻ tấn công mạng dùng điểm mù không được giám sát để vi phạm cơ sở hạ tầng của tổ chức và tăng cường tấn công hoặc di chuyển khắp nơi nhằm tìm kiếm thông tin có giá trị.
Vấn đề nằm ở khả năng phát hiện. Hầu hết các tổ chức phát triển nhanh hơn khả năng theo dõi tất cả các phần phát triển có liên quan và nắm bắt để lập danh mục các tài nguyên trong quá khứ và hiện tại. Đây thường được xem là một nhiệm vụ phức tạp và tốn nhiều tài nguyên nhưng mang lại ít lợi ích tức thì.
Tuy nhiên, với chi phí tiềm ẩn của một vụ vi phạm thành công và khả năng tấn công mạng ngày càng tăng trong việc xác định và sử dụng các tài nguyên bị phát hiện, một tài nguyên không được giám sát đều có thể dẫn đến một vụ vi phạm nghiêm trọng.
Đây là lúc các công nghệ mới như Quản lý Bề mặt Tấn công (ASM) có thể phát huy tác dụng.
Quản lý Bề mặt Tấn công (ASM) là gì?
Quản Lý Bề Mặt Tấn Công (ASM) là công nghệ khai thác tập dữ liệu trên Internet và cơ sở dữ liệu chứng chỉ hoặc mô phỏng hành động sử dụng kỹ thuật do thám của kẻ tấn công. Cả hai phương pháp tiếp cận đều có mục tiêu tiến hành phân tích toàn diện tài sản của tổ chức của bạn được phát hiện trong quá trình phát hiện. Cả hai cách tiếp cận đều bao gồm quét các miền, miền phụ, IP, cổng, CNTT ngoài luồng, v.v., để tìm tài nguyên Internet trước khi phân tích các tài nguyên này để thăm dò các lỗ hổng bảo mật.
ASM bao gồm báo cáo về Trí tuệ nguồn mở (OSINT) có thể được sử dụng trong một cuộc tấn công phi kỹ thuật hoặc chiến dịch lừa đảo, chẳng hạn như thông tin cá nhân công khai trên phương tiện truyền thông xã hội hoặc thậm chí trên tài liệu như video, hội thảo trực tuyến, bài phát biểu trước công chúng và hội nghị.
Cuối cùng, mục tiêu của ASM là đảm bảo rằng không có nội dung hiển thị nào không được giám sát và loại bỏ bất kỳ điểm mù nào có khả năng biến thành điểm xâm nhập bị kẻ tấn công lợi dụng để đạt được để bước đầu tấn công vào hệ thống của bạn.
Đối tượng nào cần sử dụng ASM?
Trong hội thảo trực tuyến về Trạng thái Hiệu quả An ninh mạng năm 2021 của mình, chuyên gia về không gian mạng David Klein trực tiếp nêu ra những phát hiện liên quan do người dùng của Cymulate phát hiện khi áp dụng ASM. Trước khi khởi chạy ASM:
80% không có bản ghi email SPF chống giả mạo
77% không có đủ các biện pháp bảo vệ trang web
60% có tài khoản, cơ sở hạ tầng và dịch vụ quản lý bị hiển thị
58% có tài khoản email bị tấn công.
37% đã sử dụng Java được lưu trữ bên ngoài.
26% không có bản ghi DMARC nào được định cấu hình cho miền.
23% có máy chủ lưu trữ Chứng chỉ SSL không khớp.
Sau khi được xác định, những lỗ hổng bảo mật này có thể được lấp đầy, nhưng yếu tố đáng lo ngại là mức độ tiếp xúc trước khi xác định.
Người dùng ASM trong phân tích này đến từ một loạt các ngành dọc, khu vực và quy mô tổ chức . Điều này cho thấy rằng bất kỳ ai có cơ sở hạ tầng được kết nối đều có thể hưởng lợi từ việc áp dụng ASM là một phần không thể thiếu trong cơ sở hạ tầng an ninh mạng.
Bạn có thể tìm thấy ASM ở đâu?
Mặc dù công nghệ này vẫn còn mới nhưng ngày càng có nhiều nhà cung cấp ASM. Sẽ hiệu quả hơn nếu như xem ASM như một nền tảng phát triển hơn là một sản phẩm độc lập.
Trọng tâm của giải pháp ASM một phần do trọng tâm của các sản phẩm liên kết quyết định. Do đó, giải pháp ASM được liên kết với một bộ phản ứng như Phát hiện và phản hồi điểm cuối (EDR) có nhiều khả năng hơn dựa trên khả năng quét mở rộng, trong khi giải pháp ASM được đưa vào nền tảng chủ động như Quản lý tư thế an ninh mở rộng (XSPM) thì có nhiều khả năng tập trung vào việc tận dụng khả năng quét để mở rộng việc mô phỏng các kỹ thuật và công cụ do thám của những kẻ tấn công mạng.
Việc chọn một ASM tích hợp tạo điều kiện tập trung dữ liệu liên quan đến tư thế bảo mật của tổ chức trong một ngăn kính duy nhất, giúp giảm nguy cơ quá tải dữ liệu của các nhóm SOC.
Theo The Hacker News