外部アタック サーフェス管理 (EASM) に関するよくある質問

Ivanti Neurons for External Attack Surface Management (EASM) は、MITRE ATT&CK フレームワーク、NIST、OWASP などのよく知られた業界標準に準拠し、資産の検出とエクスポージャの検出を可能にするテクノロジー パートナーシップを結んでいます。

1. 資産検出に使用されるプロトコル。
   
   Ivanti Neurons for EASM ツールは、レイヤー4およびレイヤー7プロトコルを使用して、資産上の開いているポートとエクスポージャを検出します。 レイヤー4には、UDP、TCP、ICMP が含まれます。 一方、レイヤー7には、一般的に使用されるプロトコルと確立されたガイドラインのより広範なセットが含まれます。

2. 侵害された電子メールはどのようにして発見されるのでしょうか?
   
   Ivanti Neurons for EASM ツールは、DNS レコード、侵害されたデータ リポジトリ、OSINT フィードなどの公開されているソースを分析することで、侵害された電子メールを検出します。

3. データ漏洩をどのように検出しますか?
   
   Ivanti Neurons for EASM は、さまざまな信頼できるセキュリティ ソースからの情報を統合し、組織に関連する潜在的な侵害関連のエクスポージャを特定します。 これには、漏洩した認証資格情報、無防備な電子メール アドレス、および攻撃者が悪用する可能性のあるその他の機密データの検出が含まれます。 Ivanti は、このようなリスクを早期に可視化することで、脅威が現実化する前に組織がアタック サーフェスを積極的に保護できるよう支援します。 当社は、侵害データベースやセキュリティ調査フィードなど、複数の審査済みソースからの情報を集約し、収集方法に関する厳格な機密性を維持しながら、正確性と妥当性を確保しています。

4. 資産、特に水平ドメインをどのように検出しますか?
   
   水平という単語は、MITRE ATT&CK フレームワークで使用される戦術の1つである「水平展開」に由来します。 Ivanti は、公開されているデータとセキュリティ インテリジェンス技術を組み合わせて、組織の拡張されたドメイン エコシステムをマッピングします。 これにより、セキュリティ チームは、内部資産インベントリだけに頼ることなく、外部アタック サーフェスを完全に可視化できるようになります。

5. 資産が脆弱であるとは、どのように判断しますか?
   
   Ivanti Neurons for EASM ツールは、公開されているセキュリティ上の弱点、誤った構成、古いソフトウェア バージョンなど、複数のシグナルに基づいて脆弱性を評価します。 このアプローチにより、誤検知を最小限に抑えながら正確な検出が保証され、リスクを効率的に軽減するためのすぐに実施可能なインサイトがセキュリティ チームに提供されます。

6. EASM で報告された資産はすべて公開されますか? 資産は、非公開資産または公開資産に分類されています。 この場合の「非公開」とはどういう意味ですか?
   
   はい、すべての資産は公開されますが、DNS の構成ミスにより、ホスト資産 (サブドメイン) が内部 IP 範囲のいずれかに解決されることがあります。 いずれかの資産の IP アドレスが内部 IP 範囲 (クラス A、クラス B、クラス C) のいずれかに解決されるたびに、その資産は非公開としてタグ付けされます。

7. API、ASN、またはネットブロックがシードとして構成されている場合、スキャンでは外部に公開されている類似の API または特定の資産タイプのみが検索されますか? それとも同じドメイン内のサーバなど、他の資産タイプも識別されますか?
   
   シードとして構成されている API がある場合、スキャンはその API をホストしているサーバを識別し、ポート スキャンを実行し、そのサーバ上の脆弱性を検出します。 ただし、指定されたシードを超えて、外部に公開されている類似の API を検索することはありません。 ASN (自律システム番号) の場合、スキャンは関連付けられているネットブロック (CIDR) を識別し、それらのネットブロック内の個々の IP アドレスを列挙し、開いているポートがないかスキャンして、脆弱性を検出します。 どちらの場合も、スキャンは、ドメインや無関係なサーバなど他の資産タイプ (が明示的にシードの範囲に接続されている場合を除き、それらを) 広範囲に検索するのではなく、シードに紐付けられたインフラストラクチャに重点を置きます。

8. API、ASN、またはネットブロックをシードとして使用した場合と、ドメインまたは URL を使用した場合とでは、スキャン結果に違いはありますか?
   
   はい、スキャン結果はシード資産のタイプによって異なります。シード資産のタイプによって検出や脆弱性検出の範囲にさまざまな影響が及ぶためです。 たとえば、ドメインをシードとして使用すると、スキャンはインターネット上にさらされた認証資格情報の漏洩を発見し、サブドメインの列挙を実行できます。API、ASN、またはネットブロック シードでは、このような検出に必要なドメイン コンテキストがないため、これらの機能は利用できません。 逆に、API およびネットブロック シードでは、サーバ レベルのインサイト (ポートや脆弱性など) に重点を置いていますが、ASN はより広範なネットワーク レベルのビューを提供するため、開始点に基づいて異なる結果が得られます。

9. API または ASN をシードとして設定することが、資産の検出やエクスポージャの検出に特に効果的であるような、特定のシナリオやユース ケースはありますか?
   
   API シードは URL シードと同様に機能し、サーバの詳細、開いているポート、そのエンドポイントに紐付けられた脆弱性など、同等の結果を生成します。 これは、特定のサービスにおけるエクスポージャを正確に特定するのに特に役立ちます。 一方、ASN は、データ センターや大規模なネットワーク インフラストラクチャを管理する企業にとって特に価値があります。 これらの組織では、多くの場合、開いているポートや、背後でサーバをまたいで実行されているサービスを特定することを優先します。 このコンテキストでは、ASN シードは、ネットワークの包括的なビューを提供することで優れており、組織が所有する IP 範囲全体で効果的な資産検出とエクスポージャ検出を可能にします。