Veelgestelde vragen over EASM (External Attack Surface Management = Beheer van extern aanvalsoppervlak)

Ivanti Neurons for External Attack Surface Management (EASM) heeft technologiepartnerships waarmee activa kunnen worden ontdekt en blootstelling kan worden gedetecteerd. Hierbij wordt voldaan aan bekende industriestandaarden zoals het MITRE ATTCK-framework, NIST en OWASP.

1. Protocollen die worden gebruikt voor het detecteren van activa.
   
   Ivanti Neurons voor EASM-tools maken gebruik van de protocollen Layer 4 en Layer 7 om open poorten en blootstellingen op activa te detecteren. Laag 4 omvat UDP, TCP en ICMP. terwijl Laag 7 een grotere set aan veelgebruikte protocollen en vastgestelde richtlijnen omvat.

2. Hoe worden de gecompromitteerde e-mails ontdekt?
   
   De hulpprogramma's van Ivanti Neurons voor EASM ontdekken de e-mails door openbaar toegankelijke bronnen te analyseren, zoals DNS-records, gelekte gegevensopslagplaatsen en OSINT-feeds.

3. Hoe detecteert u gegevenslekken?
   
   Ivanti Neurons voor EASM integreert informatie van diverse vertrouwde beveiligingsbronnen om mogelijke inbreuken die gekoppeld zijn met een organisatie, te identificeren. Dit omvat het detecteren van gelekte referenties, blootgestelde e-mailadressen en andere gevoelige gegevens die tegenstanders zouden kunnen misbruiken. Door vroegtijdig inzicht te bieden in dergelijke risico's, helpt Ivanti organisaties proactief hun aanvalsoppervlak te beveiligen voordat bedreigingen werkelijkheid worden. Wij verzamelen informatie uit meerdere gecontroleerde bronnen, waaronder databases met inbreuken en feeds voor beveiligingsonderzoek. Zo garanderen we nauwkeurigheid en relevantie terwijl we strikte vertrouwelijkheid bewaren rondom de verzamelmethoden.

4. Hoe detecteert u activa, vooral laterale domeinen?
   
   Het woord lateraal komt van een van de tactieken die wordt gebruikt in het MITRE ATTCK-framework "Laterale beweging". Ivanti gebruikt een combinatie van openbaar beschikbare gegevens en beveiligingsinformatietechnieken om het uitgebreide domein-ecosysteem van een organisatie in kaart te brengen. Hierdoor hebben beveiligingsteams volledig inzicht in hun externe aanvalsoppervlak, zonder dat ze uitsluitend op interne activa-inventarissen hoeven te vertrouwen.

5. Hoe bepaalt u of het activum kwetsbaar is?
   
   Met de hulpprogramma's van Ivanti Neurons voor EASM worden kwetsbaarheden beoordeeld op basis van meerdere signalen, waaronder openbaar gemaakte beveiligingsproblemen, verkeerde configuraties en verouderde softwareversies. Deze aanpak garandeert een nauwkeurige detectie terwijl en minimaliseert tegelijkertijd het aantal foutpositieve resultaten. Zo krijgen beveiligingsteams bruikbare inzichten om risico's efficiënt te beperken.

6. Kunnen alle in EASM gerapporteerde activa openbaar worden gedetecteerd? De activa worden geclassificeerd als privé of openbaar. Wat betekent 'privé' in deze context?
   
   Ja, alle assets zijn openbaar, maar soms kan het gebeuren dat door een verkeerde DNS-configuratie de hostactivum (subdomein) wordt omgezet naar een van de interne IP-bereiken. Wanneer het IP-adres van een activum overeenkomt met een van de interne IP-bereiken (klasse A, klasse B en klasse C), wordt dat activum gemarkeerd als privé.

7. Als een API, ASN of netblok is geconfigureerd als seed, zoekt de scan dan uitsluitend naar vergelijkbare extern gepubliceerde API's of naar die specifieke typen activa, of worden ook andere typen activa geïdentificeerd, zoals servers binnen hetzelfde domein en andere?
   
   Wanneer een API is geconfigureerd als seed, identificeert de scan de server die de API host, voert een poortscan uit en detecteert kwetsbaarheden op die server. Er wordt echter niet gezocht naar vergelijkbare extern gepubliceerde API's buiten de opgegeven seed. Voor een ASN (Autonoom systeemnummer) identificeert de scan alle gekoppelde netblokken (CIDR's), somt de afzonderlijke IP-adressen binnen die netblokken op, scant op open poorten en detecteert kwetsbaarheden. In beide gevallen richt de scan zich op de infrastructuur die gekoppeld is aan de seed, in plaats van dat er breed wordt gezocht naar andere typen activa, zoals domeinen of niet-gerelateerde servers, tenzij deze expliciet zijn gekoppeld aan de scope van de seed.

8. Is er sprake van variatie in de scanresultaten bij het gebruik van een API, ASN of netblok als seed in vergelijking met het gebruik van een domein of URL?
   
   Ja, de scanresultaten variëren afhankelijk van het type seed-asset, aangezien elk type de reikwijdte van de ontdekking en detectie van kwetsbaarheden op verschillende manieren beïnvloedt. Wanneer bijvoorbeeld een domein als seed wordt gebruikt, kan de scan referentielekken op internet ontdekken en de opsomming van subdomeinen uitvoeren. De capaciteiten zijn niet beschikbaar met API-, ASN- of netblock-seeds, omdat deze niet beschikken over de domeincontext die vereist is voor dergelijke bevindingen. API- en netblok-seeds richten zich daarentegen meer op inzichten op serverniveau (bijv. poorten en kwetsbaarheden), terwijl ASN's een bredere weergave op netwerkniveau bieden, wat resulteert in verschillende uitkomsten op basis van het startpunt.

9. Zijn er specifieke scenario's of use cases waarbij het instellen van een API of ASN als seed bijzonder effectief is voor het opsporen van activa of het detecteren van blootstellingen?
   
   Een API-seed werkt op een vergelijkbare manier als een URL-seed en levert vergelijkbare resultaten op, zoals servergegevens, open poorten en kwetsbaarheden die aan dat eindpunt gekoppeld zijn. Dit is vooral handig voor het vaststellen van blootstellingen bij specifieke services. ASN's zijn daarentegen vooral waardevol voor bedrijven die datacenters of grote netwerkinfrastructuren beheren. Deze organisaties geven vaak prioriteit aan het identificeren van open poorten en de services die erachter op hun servers draaien. In deze context blinkt een ASN-seed uit door een uitgebreid overzicht van het netwerk te bieden, waardoor effectieve detectie van activa en detectie van blootstelling in de eigen IP-bereiken mogelijk is.