O que faz uma boa solução ASM se destacar

Jun 13, 2023

Nesta entrevista da Help Net Security, Patrice Auffret, CTO da Onyphe, explica como a visão tradicional de segurança baseada em perímetro está se tornando obsoleta. Ele sugere que as organizações redefinam seu conceito de superfície de ataque e discuta medidas proativas que podem tomar para fortalecer sua solução de gerenciamento de superfície de ataque (ASM).

Primeiro, vamos definir o ASM. O termo foi cunhado pelo Gartner em algum momento de 2020. É uma nova ferramenta no arsenal defensivo de segurança cibernética das organizações. O ASM deve ajudar as organizações a ter uma visão melhor dos seus ativos expostos à Internet, bem como ajudá-las a identificar os desconhecidos. Muitas soluções surgiram desde então na categoria ASM, mas nem todas são iguais. Uma boa solução ASM deve incorporar o Attack Surface Discovery (ASD), que é a capacidade de encontrar ativos desconhecidos. Atuamos nas categorias ASD e ASM há 6 anos, antes mesmo que esses termos existissem.

Em 2023, as organizações não poderão corrigir tudo rapidamente, o tempo todo. O ASM deve permitir que as equipes de TI se concentrem nas ameaças mais importantes: aquelas exploradas pelos cibercriminosos para penetrar nas redes e implantar ransomware. Sabemos, graças aos relatórios de inteligência de ameaças, que a grande maioria das invasões ocorre devido a serviços de Remote Desktop Protocol (RDP) expostos à Internet, dispositivos VPN e vulnerabilidades críticas (CVEs). Um relatório da Unidade 42 de Palo Alto de 2022 destaca que esses três vetores de acesso iniciais são responsáveis ​​por 46% das intrusões em redes baseadas na Internet.

Do ponto de vista do gerenciamento da superfície de ataque externo, pelo menos as empresas deveriam se concentrar nesses três vetores.

A superfície de ataque de uma organização pode incluir toda a tecnologia que sustenta seus processos e dados de negócios, incluindo infraestrutura e aplicativos terceirizados. É por isso que o TEA é tão essencial e um pré-requisito para um MAPE eficaz. Além disso, argumentamos que, para muitas organizações, a ASM é a parte mais fácil, e o desafio é ter um inventário completo dos seus activos expostos. É aí que entra uma solução ASD.

Outro benefício importante do ASD é que ele pode alimentar um scanner de vulnerabilidade tradicional com uma lista de endereços IP ou nomes de domínio totalmente qualificados (FQDNs) como complemento às soluções ASM.

Além disso, a abordagem obsoleta baseada na propriedade intelectual para o inventário de activos deve ser proibida. Hoje, é necessário adotar uma abordagem baseada em domínio para inventário de ativos. Por quê então? Simplesmente porque com a infraestrutura efêmera baseada em nuvem, os endereços IP estão sujeitos a alterações, enquanto os nomes de domínio devem permanecer consistentes ao longo do tempo, com novos domínios adicionados constantemente. Como podemos acompanhar mudanças e novos domínios? Uma boa solução ASD precisa coletar dados de diversas fontes, como DNS, registros de transparência de certificados (CTL), varredura baseada em IP em toda a Internet e, ainda mais importante, varredura baseada em URL. A última é crucial porque cada vez mais empresas protegem os seus websites com soluções CDN, como a Cloudflare. Se você verificar apenas os endereços IP do Clouflare, não conseguirá obter visibilidade de seus hosts da web reais, que podem ter problemas de segurança ocultos.

Ao aproveitar todas essas fontes de informação, uma organização pode começar a partir de um único nome de domínio, basear-se em palavras-chave e provedores de serviços conhecidos e, em seguida, iterar para criar um inventário de todos os ativos expostos. Então, você deve usar as ferramentas certas para encontrar endereços IP vinculados a todos os seus domínios e outros pivôs, como o campo de organização em certificados TLS ou rastreadores HTTP, como Google Analytics e Meta Pixels, encontrados em sites. Essa lista de padrões se torna seu inventário de ativos e você deve atualizá-la regularmente para encontrar novos ativos expostos.

Uma boa solução ASM deve ser independente de IP e, ao mesmo tempo, ser capaz de pesquisar por blocos de rede organizações com seus intervalos de IP ou datacenters.

O ASM interno é mais simples: você já deve ter a lista dos seus endereços IP ou blocos de rede. A varredura de seus intervalos deve ser feita regularmente, o que tem sido feito há décadas.