Perguntas frequentes sobre Gerenciamento da Superfície de Ataque Externa

O Ivanti Neurons for External Attack Surface Management (EASM) tem parcerias tecnológicas que permitem a descoberta de ativos e a detecção de exposições, seguindo padrões amplamente reconhecidos no setor, como MITRE ATT&CK, NIST e OWASP.

1. Protocolos usados para detecção de ativos.
   
   As ferramentas do Ivanti Neurons for EASM utilizam protocolos de Camada 4 e Camada 7 para detectar portas abertas e exposições em ativos. A Camada 4 inclui UDP, TCP e ICMP, enquanto a Camada 7 abrange um conjunto maior de protocolos comumente usados e diretrizes consagradas.

2. Como os e-mails comprometidos são descobertos?
   
   As ferramentas do Ivanti Neurons for EASM descobrem os e-mails analisando fontes publicamente acessíveis, como registros de DNS, repositórios de dados violados e feeds OSINT.

3. Como você detecta vazamentos de dados?
   
   O Ivanti Neurons for EASM congrega inteligência de várias fontes de segurança confiáveis para identificar potenciais exposições por violação vinculadas a uma organização. Isso inclui detectar credenciais vazadas, endereços de e-mail expostos e outros dados confidenciais que os adversários possam explorar. Ao propiciar visibilidade antecipada desses riscos, a Ivanti ajuda as organizações a proteger proativamente sua superfície de ataque antes que as ameaças se materializem. Agregamos inteligência de diversas fontes verificadas, incluindo bancos de dados de violações e feeds de pesquisa de segurança, garantindo precisão e relevância ao mesmo tempo em que mantemos estrita confidencialidade em relação aos métodos de coleta.

4. Como você detecta ativos, especialmente domínios laterais?
   
   A palavra lateral vem de uma das táticas usadas no framework MITRE ATT&CK, "Movimento Lateral". A Ivanti usa uma combinação de dados públicos e técnicas de inteligência em segurança para mapear o ecossistema de domínios expandido de uma organização. Isso garante que as equipes de segurança tenham visibilidade completa de sua superfície de ataque externa sem depender apenas dos inventários de ativos internos.

5. Como determinar se o ativo é vulnerável?
   
   As ferramentas do Ivanti Neurons for EASM avaliam vulnerabilidades com base em diversos sinais, como falhas de segurança publicamente conhecidas, configurações incorretas e versões desatualizadas de software. Essa abordagem garante detecção precisa ao mesmo tempo em que minimiza falsos positivos, fornecendo às equipes de segurança insights práticos para reduzir riscos de forma eficiente.

6. Todos os ativos relatados no EASM podem ser descobertos publicamente? Os ativos são classificados como privados ou públicos. O que significa "privado" nesse contexto?
   
   Sim, todos os ativos podem ser descobertos publicamente, mas às vezes, devido à configuração incorreta do DNS, pode acontecer de o ativo host (subdomínio) ser resolvido para algum dos intervalos de IP internos. Sempre que o endereço IP de um ativo qualquer for resolvido para algum um dos intervalos de IP internos (Classe A, Classe B e Classe C), esse ativo será marcado como Privado.

7. Se uma API, ASN ou bloco de rede forem configurados como semente, a varredura se limita apenas a buscar APIs semelhantes publicadas externamente (ou ativos desses tipos específicos) ou também identifica outros tipos de ativo, como servidores dentro do mesmo domínio, entre outros?
   
   Quando uma API é configurada como semente, a varredura identifica o servidor que hospeda a API, executa a verificação de portas e detecta vulnerabilidades nesse servidor. No entanto, ele não busca APIs semelhantes publicadas externamente além da semente especificada. Para um ASN (Número de Sistema Autônomo), a varredura identifica os blocos de rede associados (CIDRs), enumera os endereços IP individuais dentro desses blocos de rede, verifica se há portas abertas e detecta vulnerabilidades. Em ambos os casos, a varredura se concentra na infraestrutura vinculada à semente, em vez de buscar amplamente outros tipos de ativo, como domínios ou servidores não relacionados, a menos que estejam explicitamente conectados ao escopo da semente.

8. Há alguma variação nos resultados da varredura ao usar uma API, ASN ou bloco de rede como semente em comparação ao uso de um domínio ou URL?
   
   Sim, os resultados da varredura variam conforme o tipo de ativo inicial, pois cada um influencia o escopo da descoberta e a detecção de vulnerabilidades de maneiras diferentes. Por exemplo, quando um domínio é usado como semente, a varredura pode descobrir vazamentos de credenciais expostos na Internet e executar enumeração de subdomínios — recursos não disponíveis com sementes tipo API, ASN ou bloco de rede, pois estas não têm o contexto de domínio necessário para tais descobertas. Por outro lado, as sementes de API e bloco de rede se concentram mais em insights no nível do servidor (por exemplo, portas e vulnerabilidades), enquanto os ASNs fornecem uma visão mais ampla no nível da rede, acarretando resultados distintos com base no ponto de partida.

9. Existem cenários ou casos de uso específicos em que definir uma API ou ASN como semente é particularmente eficaz para descoberta de ativos ou detecção de exposição?
   
   Uma semente API funciona de forma semelhante a uma semente URL, produzindo resultados comparáveis, como detalhes do servidor, portas abertas e vulnerabilidades atreladas ao ponto de extremidade. Isso é particularmente útil para identificar exposições em serviços específicos. Os ASNs, por outro lado, são especialmente valiosos para empresas que gerenciam data centers ou grandes infraestruturas de rede. Essas organizações geralmente priorizam identificar portas abertas e os serviços executados por trás, nos servidores delas. Nesse contexto, a semente ASN se destaca ao fornecer uma visão abrangente da rede, permitindo a descoberta eficaz de ativos e a detecção de exposição em seus próprios intervalos de IP.