Czym jest powierzchnia ataku?
Powierzchnia ataku to cały obszar organizacji lub systemu, który jest podatny na atak ze źródła zewnętrznego. Składa się ze wszystkich punktów dostępu, których nieautoryzowana osoba może użyć do wejścia do systemu. Obejmuje to wszystko, od nazw domen, certyfikatów SSL i protokołów po systemy operacyjne, urządzenia IoT i usługi sieciowe. Zasoby te są rozproszone po środowiskach lokalnych, chmurowych, spółkach zależnych i stanowią jedne z najłatwiejszych punktów wejścia do sieci wewnętrznych i zawartych w nich wrażliwych danych.
W miarę jak organizacje coraz częściej wdrażają usługi w chmurze i hybrydowe modele pracy, ich sieci i powiązane powierzchnie ataków stają się z dnia na dzień większe i bardziej złożone. Im większa jest powierzchnia ataku, tym trudniej jest chronić . Według raportu Randori The State of Attack Surface Management 2022 w ciągu dwóch poprzedzających lat w 67% organizacji powiększyły się powierzchnie ataków. Analityk branżowy Gartner uznał ekspansję powierzchni ataku za trend nr 1 w zakresie bezpieczeństwa i zarządzania ryzykiem w roku 2022.
Zmniejszenie rozmiaru powierzchni ataku może zminimalizować ryzyko naruszenia bezpieczeństwa. Postępując zgodnie z pięcioma poniższymi wskazówkami, organizacje mogą: zmniejszyć liczbę możliwości, jakie mają cyberprzestępcy, wzmocnić swój poziom cyberbezpieczeństwa i aktywnie chronić cenne zasoby przed złośliwymi podmiotami.
Najważniejsze wskazówki, jak zmniejszyć ekspozycję powierzchni na ataki zewnętrzne
1. Nie zezwalaj na połączenia protokołu RDP (Remote Desktop Protocol) spoza sieci Twojej organizacji
Istnieje mnóstwo produktów i rozwiązań typu open source oferujących zdalny dostęp do zasobów firmy. Gdy protokół RDP jest otwarty w Internecie, często nie jest monitorowany i jest podatny na ataki. Co zrobić?- Stwórz serwer znajdujący się poza granicami Twojej sieci
- Zainstaluj nmap lub inny skaner sieciowy, który najlepiej Ci pasuje
- Pobierz listę zakresów adresów IP
- Skonfiguruj zadanie cron, aby stale skanować w poszukiwaniu portu 3389
- Zbieraj logi co tydzień
- Użyj tej listy, aby znaleźć osobę w Twojej organizacji, która jest właścicielem lub jest odpowiedzialna za każdego hosta, który odpowiedział na porcie 3389
Wskazówki:
- Nazwa domeny (jeśli dotyczy)
- Uwagi dotyczące zakresu adresów IP IPAM
- Banery logowania
- W przypadku wszystkich hostów, które muszą mieć dostęp do protokołu RDP w Internecie, włącz uwierzytelnianie wieloskładnikowe (MFA) , usuń je z powyższego skryptu skanowania i kontynuuj proces skanowania
- Użyj uwierzytelniania na poziomie sieci, funkcji usług pulpitu zdalnego, która wymaga uwierzytelnienia użytkownika przed połączeniem się z serwerem
2. Unikaj zezwalania na wyświetlanie katalogów na swoich serwerach internetowych
Listy katalogów narażają serwer na ataki i wiele różnych luk w zabezpieczeniach. Ponadto serwer WWW może zawierać pliki, które nie powinny być ujawniane poprzez linki znajdujące się na stronie. Upewnij się, że Twój serwer nie udostępnia list katalogów, a jeśli to konieczne, upewnij się, że katalogi nie zawierają poufnych informacji.
Co zrobić?
- Stwórz serwer znajdujący się poza granicami Twojej sieci
- Zainstaluj nmap lub inny skaner sieciowy, który najlepiej Ci pasuje
- Pobierz listę zakresów adresów IP
- Skonfiguruj zadanie cron, aby stale skanować w poszukiwaniu otwartego protokołu HTTP
- Zbieraj logi co tydzień
- W przypadku każdego hosta odpowiadającego na porcie HTTP lub HTTPS użyj tej listy jako danych wejściowych dla wybranego narzędzia do skanowania aplikacji internetowych (takiego jak nikto lub dirsearch)
Wskazówki:
- Nazwa domeny (jeśli dotyczy)
- Uwagi dotyczące zakresu adresów IP IPAM
- Banery logowania
- Inne informacje o stronie internetowej
3. Umieść środowiska testowe za VPN
Upewnij się, że żadne z Twoich środowisk programistycznych i testowych nie jest narażone na dostęp do Internetu. Środowiska te często nie są dobrze zabezpieczone i w wielu przypadkach mają dostęp do ograniczonych zasobów. Co zrobić?- Zidentyfikuj wszystkie środowiska produkcyjne:
- Zainstaluj nmap lub inny skaner sieciowy, który najlepiej Ci pasuje
- Uzyskaj przejrzystą listę domen i zakresów adresów IP od administratora IT, dostawców sieci dostarczania treści i dostawców zapór sieciowych dla aplikacji internetowych
- Zapytaj o wyszukiwanie wsteczne Whois pod nazwą swojej organizacji (jest do tego wielu dostawców i narzędzi typu open source)
- Wszystkie inne środowiska (domeny, subdomeny i maszyny z adresami IP skierowanymi na zewnątrz) powinny być chronione za pomocą VPN i MFA
4. Unikaj wrogich przejęć subdomen
Upewnij się, że żadna z Twoich subdomen nie wygasła ani nie wskazuje na strony i konta stron trzecich, które już nie istnieją, ponieważ mogą być podatne na wrogie przejęcie subdomen. Jeśli znajdziesz takie subdomeny, skonfiguruj ponownie ustawienia DNS lub usuń wpis DNS wskazujący usługę zewnętrzną. Co zrobić?- Porozmawiaj ze swoim zespołem administratorów IT i uzyskaj dostęp do swojego DNS
- Wykonaj transfer strefy we wszystkich domenach należących do Twojej organizacji
- Uzyskaj listę wszystkich zakresów adresów IP
- Przeanalizuj adresy IP na podstawie znanej listy zakresów adresów IP
- W przypadku adresów IP, które nie są częścią Twojej infrastruktury, dowiedz się, do kogo należą (wyszukiwanie Whois, opublikowana lista zakresów adresów IP dostawców usług w chmurze)
- Ustal, czy wskazują na coś, co wiesz, że posiadasz
- Każdą nieużywaną subdomenę należy odpowiednio wycofać:
- Użyj rekordu „Null MX”.
- Użyj konfiguracji DMARC, aby uniemożliwić wysyłanie jakichkolwiek wiadomości e-mail w imieniu subdomeny
5. Wymuszaj sprawdzanie poprawności danych wejściowych
Wymuszaj sprawdzanie poprawności danych wejściowych na wszystkich wejściach wewnętrznych i zewnętrznych, aby zapobiec atakom typu „wstrzykiwanie”. Najlepsze praktyki sprawdzania poprawności danych wejściowych obejmują: wstępne zdefiniowanie ograniczenia rozmiaru danych wejściowych na pole i typ (str/int, jeśli ma to zastosowanie), stosowanie maksymalnej liczby ponownych prób dla pól hasła i użytkownika oraz egzekwowanie ścisłej logiki zaplecza, aby zapobiec wstrzyknięciom (przygotowane instrukcje ze sparametryzowanymi zapytaniami, procedurami przechowywanymi, wszystkie dane wprowadzone przez użytkownika itp.). Co zrobić?- Postępuj zgodnie ze dokumentem dotyczącym sprawdzania poprawności danych wejściowych OWASP (https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html)
- Załóż, że wszystkie zewnętrzne dane wejściowe zdefiniowane przez użytkownika są powierzchnią ataku:
- Pola formularzy
- Jednolite identyfikatory zasobów (URI)
- APIs
- Załączniki
- I więcej
Podsumowanie
Zabezpieczenie rozszerzającej się powierzchni ataku jest dużym wyzwaniem. Dynamiczny charakter większości nowoczesnych ekosystemów IT oznacza, że bezpieczne zasoby mogą nagle zostać nieświadomie ujawnione z powodu błędu, niewłaściwej konfiguracji lub zwykłego niedopatrzenia. Ta kategoria zapomnianych zasobów może rosnąć z wielu powodów: pracownicy z odwołanym dostępem, inżynierowie z utrzymującymi się uprawnieniami do tokenów w chmurze lub nieobsługiwane bazy danych, które w ogóle nie powinny były być ujawniane. Co więcej, zdarzają się przypadki porzucenia aktywów, które przez dłuższy czas pozostają nieużywane lub niesklasyfikowane, przez co działy IT pozostają bez ewidencji, a co za tym idzie, nie mają możliwości ich zabezpieczenia. Niezależnie od pochodzenia, aktywa te stwarzają poważne ryzyko dla bezpieczeństwa. Oprócz wykonania powyższych kroków, posiadanie skutecznego systemu zarządzania powierzchnią ataku może pomóc zespołom ds. bezpieczeństwa proaktywne monitorować i zabezpieczać ekosystemy IT, co ma zasadnicze znaczenie dla ochrony całej powierzchni ataku.Zobacz także:
Potęga rozwiązania VMware SD-WAN by VeloCloud – Dynamic Multipath Optimization (DMPO)
Dynamic Multi-path Optimization (DMPO) Potężne rozwiązanie VMware SD-WAN by VeloCloud (zwane również VMware NSX SD-WAN) umożliwia przedsiębiorcom klasy Enterprise oraz oczywiście mniejszym organizacjom jak najlepsze jednoczesne wykorzystanie posiadanych łączy WAN (w...
Ridgebot
Czym jest Ridgebot? RidgeBot, stworzony przez firmę Ridge Security, to w pełni zautomatyzowany robot do testów penetracyjnych. Korzysta z technologii opartej na sztucznej inteligencji do oceny i identyfikacji luk bezpieczeństwa, obejmując nie tylko aplikacje, lecz...
Deep dive Hybrid Entra Join
Co się dzieje z maszyną w trakcie hybrydowego dołączenia (hybrid entra join)? Deep dive Hybrid Entra Join. Proces wdrożenia hybrydowego maszyn jest procesem złożonym i skomplikowanym przez co bardzo często mogą pojawić się błędy na etapie dodawania. W tym wpisie...
