Domande frequenti sulla Gestione superficie di attacco esterna (EASM)

Ivanti Neurons for External Attack Surface Management (EASM) vanta partnership tecnologiche che consentono l'individuazione degli asset e il rilevamento dell'esposizione, nel rispetto di noti standard di settore quali il framework MITRE ATTCK, NIST e OWASP.

1. Protocolli utilizzati per il rilevamento degli asset.
   
   Gli strumenti Ivanti Neurons for EASM utilizzano i protocolli Layer 4 e Layer 7 per rilevare porte aperte ed esposizioni sugli asset. Il livello 4 comprende UDP, TCP e ICMP. mentre il Livello 7 comprende un insieme più ampio di protocolli comunemente utilizzati e linee guida stabilite.

2. Come vengono individuate le e-mail compromesse?
   
   Gli strumenti Ivanti Neurons per EASM rilevano le e-mail analizzando fonti accessibili al pubblico, quali record DNS, repository di dati violati e feed OSINT.

3. Come si individuano le perdite di dati?
   
   Ivanti Neurons per EASM integra informazioni provenienti da una varietà di fonti di sicurezza affidabili per identificare potenziali esposizioni correlate a violazioni collegate a un'organizzazione. Ciò include il rilevamento di credenziali trapelate, indirizzi e-mail esposti e altri dati sensibili che gli avversari potrebbero sfruttare. Fornendo una visibilità precoce su tali rischi, Ivanti aiuta le organizzazioni a proteggere in modo proattivo la propria superficie di attacco prima che le minacce si materializzino. Aggreghiamo informazioni provenienti da più fonti verificate, tra cui database sulle violazioni e feed di ricerca sulla sicurezza, garantendo accuratezza e pertinenza e mantenendo al contempo la massima riservatezza sui metodi di raccolta.

4. Come si rilevano gli asset, in particolare i domini laterali?
   
   Il termine laterale deriva da una delle tattiche utilizzate nel framework MITRE ATTCK, ovvero il "movimento laterale". Ivanti si avvale di una combinazione di dati disponibili al pubblico e di tecniche di intelligence sulla sicurezza per mappare l'ecosistema di domini estesi di un'organizzazione. Ciò garantisce che i team di sicurezza abbiano una visibilità completa sulla superficie di attacco esterna, senza dover fare affidamento esclusivamente sugli inventari degli asset interni.

5. Come si stabilisce che un asset è vulnerabile?
   
   Gli strumenti Ivanti Neurons per EASM valutano le vulnerabilità in base a molteplici segnali, tra cui debolezze della sicurezza divulgate pubblicamente, configurazioni errate e versioni software obsolete. Questo approccio garantisce un rilevamento accurato riducendo al minimo i falsi positivi e fornendo ai team di sicurezza informazioni utili per ridurre i rischi in modo efficiente.

6. Tutti gli asset segnalati in EASM sono pubblicamente accessibili? Gli asset sono classificati come privati o pubblici. Cosa significa "privato" in questo contesto?
   
   Sì, tutti gli asset vengono individuati pubblicamente, ma a volte, a causa di una configurazione errata del DNS, può succedere che l'asset host (sottodominio) venga risolta in uno qualsiasi degli intervalli IP interni. Ogni volta che l'indirizzo IP di un asset si risolve in uno degli intervalli IP interni (classe A, classe B e classe C), tale asset viene contrassegnato come privato.

7. Se un'API, un ASN o un netblock è configurato come seed, la scansione cerca esclusivamente API simili pubblicate esternamente o quei tipi di asset specifici oppure identifica anche altri tipi di asset, come server all'interno dello stesso dominio e altri?
   
   Quando un'API è configurata come seed, la scansione identifica il server che ospita l'API, esegue la scansione delle porte e rileva le vulnerabilità su quel server. Tuttavia, non cerca API simili pubblicate esternamente oltre il seed specificato. Per un ASN (Autonomous System Number), la scansione identifica tutti i netblock associati (CIDR), enumera i singoli indirizzi IP all'interno di tali netblock, esegue la scansione delle porte aperte e rileva le vulnerabilità. In entrambi i casi, la scansione si concentra sull'infrastruttura collegata al seed, anziché cercare in modo più ampio altri tipi di asset, come domini o server non correlati, a meno che non siano esplicitamente collegati all'ambito del seed.

8. Ci sono variazioni nei risultati della scansione quando si utilizza un'API, un ASN o un netblock come seed rispetto all'utilizzo di un dominio o di un URL?
   
   Sì, i risultati della scansione variano a seconda del tipo di asset seed, poiché ognuno influenza in modi diversi l'ambito della scoperta e del rilevamento delle vulnerabilità. Ad esempio, quando un dominio viene utilizzato come seed, la scansione può scoprire perdite di credenziali esposte su Internet ed eseguire l'enumerazione dei sottodomini, funzionalità non disponibili con i seed API, ASN o netblock, poiché questi ultimi non dispongono del contesto di dominio richiesto per tali rilevamenti. Al contrario, i seed API e netblock si concentrano maggiormente su informazioni a livello di server (ad esempio, porte e vulnerabilità), mentre gli ASN forniscono una visione più ampia a livello di rete, con conseguenti risultati distinti in base al punto di partenza.

9. Esistono scenari o casi d'uso particolari in cui l'impostazione di un'API o di un ASN come seed risulta particolarmente efficace per l'individuazione degli asset o il rilevamento dell'esposizione?
   
   Un seed API funziona in modo simile a un seed URL, producendo risultati comparabili, come dettagli del server, porte aperte e vulnerabilità legate a quell'endpoint. Ciò è particolarmente utile per individuare le esposizioni in servizi specifici. Gli ASN, d'altro canto, sono particolarmente utili per le aziende che gestiscono data center o grandi infrastrutture di rete. Queste organizzazioni spesso danno priorità all'identificazione delle porte aperte e dei servizi in esecuzione dietro di esse sui loro server. In questo contesto, un seed ASN eccelle perché fornisce una visione completa della rete, consentendo un'efficace individuazione degli asset e il rilevamento dell'esposizione in tutti gli intervalli IP di proprietà.