Часто задаваемые вопросы об управлении воздействием внешних атак (EASM)

В ПО Ivanti Neurons for External Attack Surface Management (EASM) используются технологические партнерства, которые позволяют обнаруживать активы и выявлять уязвимости, придерживаясь известных отраслевых стандартов, таких как инфраструктуры MITRE ATT&CK, NIST, OWASP.

  1. Протоколы, используемые для обнаружения активов.

    Средства Ivanti Neurons for EASM используют протоколы уровней 4 и 7 для обнаружения открытых портов и уязвимостей активов. Уровень 4: UDP, TCP и ICMP. Уровень 7 охватывает более широкий набор обычно используемых протоколов и установленных рекомендаций.

  2. Как обнаруживаются ненадежные электронные письма?

    Средства Ivanti Neurons for EASM обнаруживают электронные письма, анализируя общедоступные источники, такие как записи DNS, взломанные хранилища данных и каналы OSINT.

  3. Как обнаружить утечку данных?

    ПО Ivanti Neurons for EASM объединяет данные из различных надежных источников безопасности для выявления потенциальных угроз, связанных с нарушениями в отношении организации. Это включает в себя обнаружение украденных учетных данных, раскрытых адресов электронной почты и других конфиденциальных данных, которые могут быть использованы злоумышленниками. Предоставляя раннюю информацию о таких рисках, Ivanti помогает организациям заблаговременно защитить информацию от атак до того, как угрозы материализуются. Мы собираем разведданные из множества проверенных источников, включая базы данных по утечкам и каналы исследований безопасности, гарантируя точность и актуальность, сохраняя при этом строгую конфиденциальность в отношении методов сбора данных.

  4. Как вы обнаруживать активы, особенно во вторичных доменах?

    Слово "вторичный" происходит от одной из тактик, используемых в инфраструктуре MITRE ATT&CK -"вторичное движение". Ivanti использует комбинацию общедоступных данных и методов анализа безопасности для составления карты расширенной экосистемы доменов организации. Это гарантирует, что службы безопасности будут иметь полную видимость воздействия внешних атак, не полагаясь исключительно на внутренние инвентарные данные активов.

  5. Как определить, что актив уязвим?

    ПО Ivanti Neurons for EASM оценивают уязвимости на основе множества сигналов, включая публично раскрытые уязвимости безопасности, неправильные конфигурации и устаревшие версии программного обеспечения. Такой подход обеспечивает точное обнаружение и сводит к минимуму ложные срабатывания, предоставляя службам безопасности полезную информацию для эффективного сокращения рисков.

  6. Все ли активы, указанные в EASM, доступны для публичного просмотра? Активы классифицируются как закрытые и публичные. Что означает "закрытый" в данном контексте?

    Да, все активы могут быть обнаружены публично, но иногда из-за неправильной настройки DNS может случиться так, что актив хоста (поддомен) преобразуется в любой из внутренних диапазонов IP-адресов. Всякий раз, когда IP-адрес любого актива соответствует одному из внутренних диапазонов IP-адресов (класс A, класс B и класс C), этот актив помечается как закрытый.

  7. Если API, ASN или сетевой блок сконфигурированы в данных, будет ли сканирование искать исключительно похожие внешне опубликованные API или эти конкретные типы активов или оно также будет определять другие типы активов, например серверы в том же и другом домене?

    Если API сконфигурирован как начальное значение, сканирование идентифицирует сервер, на котором размещен API, выполняет сканирование портов и обнаруживает уязвимости на этом сервере. Однако оно не ищет похожие внешне опубликованные API за пределами указанных данных. Для ASN (Autonomous System Number - номера автономных систем) сканирование идентифицирует все связанные netblock (CIDR), перечисляет отдельные IP-адреса в этих блоках, сканирует открытые порты и обнаруживает уязвимости. В обоих случаях сканирование фокусируется на инфраструктуре, связанной с данными, а не на широком поиске других типов активов, таких как домены или несвязанные серверы, если только они явно не связаны с областью действия данных.

  8. Есть ли различия в результатах сканирования во время использования API, ASN или сетевого блока в качестве начального значения по сравнению с использованием домена или URL-адреса?

    Да, результаты сканирования различаются в зависимости от типа исходного актива, поскольку каждый из них по-разному влияет на область действия и обнаружение уязвимостей. Например, если в качестве начального значения используется домен, сканирование может использовать утечки учетных данных, обнаруженные в Интернете, и выполнить перечисление поддоменов - возможности, недоступные с использованием начальных значений API, ASN или NetBlock, поскольку в них отсутствует контекст домена, необходимый для таких результатов. Напротив, API и сетевые блоки больше фокусируются на информации на уровне сервера (например, портах и уязвимостях), в то время как ASN обеспечивают более широкое представление на уровне сети, что приводит к разным результатам в зависимости от начальной точки.

  9. Существуют ли особые сценарии или случаи использования, когда настройка API или ASN в данных особенно эффективна для обнаружения активов или уязвимостей?

    Данные API функционирует аналогично данным URL-адресов, выдавая сопоставимые результаты, такие как информация о сервере, открытые порты и уязвимости, связанные с конкретной конечной системой. Это особенно полезно для идентификации уязвимостей конкретных сервисов. С другой стороны, данные ASN особенно ценны для компаний, управляющих центрами обработки данных или крупными сетевыми инфраструктурами. Эти организации часто отдают приоритет обнаружению открытых портов и служб, работающих за ними на своих серверах. В этом контексте данные ASN выделяются тем, что образуют комплексное представление сети, позволяя эффективно обнаруживать активы и выявлять угрозы в диапазонах собственных IP-адресов.