Часто задаваемые вопросы об управлении воздействием внешних атак (EASM)
В ПО Ivanti Neurons for External Attack Surface Management (EASM) используются технологические партнерства, которые позволяют обнаруживать активы и выявлять уязвимости, придерживаясь известных отраслевых стандартов, таких как инфраструктуры MITRE ATT&CK, NIST, OWASP.
-
Протоколы, используемые для обнаружения активов.
Средства Ivanti Neurons for EASM используют протоколы уровней 4 и 7 для обнаружения открытых портов и уязвимостей активов. Уровень 4: UDP, TCP и ICMP. Уровень 7 охватывает более широкий набор обычно используемых протоколов и установленных рекомендаций. -
Как обнаруживаются ненадежные электронные письма?
Средства Ivanti Neurons for EASM обнаруживают электронные письма, анализируя общедоступные источники, такие как записи DNS, взломанные хранилища данных и каналы OSINT. -
Как обнаружить утечку данных?
ПО Ivanti Neurons for EASM объединяет данные из различных надежных источников безопасности для выявления потенциальных угроз, связанных с нарушениями в отношении организации. Это включает в себя обнаружение украденных учетных данных, раскрытых адресов электронной почты и других конфиденциальных данных, которые могут быть использованы злоумышленниками. Предоставляя раннюю информацию о таких рисках, Ivanti помогает организациям заблаговременно защитить информацию от атак до того, как угрозы материализуются. Мы собираем разведданные из множества проверенных источников, включая базы данных по утечкам и каналы исследований безопасности, гарантируя точность и актуальность, сохраняя при этом строгую конфиденциальность в отношении методов сбора данных. -
Как вы обнаруживать активы, особенно во вторичных доменах?
Слово "вторичный" происходит от одной из тактик, используемых в инфраструктуре MITRE ATT&CK -"вторичное движение". Ivanti использует комбинацию общедоступных данных и методов анализа безопасности для составления карты расширенной экосистемы доменов организации. Это гарантирует, что службы безопасности будут иметь полную видимость воздействия внешних атак, не полагаясь исключительно на внутренние инвентарные данные активов. -
Как определить, что актив уязвим?
ПО Ivanti Neurons for EASM оценивают уязвимости на основе множества сигналов, включая публично раскрытые уязвимости безопасности, неправильные конфигурации и устаревшие версии программного обеспечения. Такой подход обеспечивает точное обнаружение и сводит к минимуму ложные срабатывания, предоставляя службам безопасности полезную информацию для эффективного сокращения рисков. -
Все ли активы, указанные в EASM, доступны для публичного просмотра? Активы классифицируются как закрытые и публичные. Что означает "закрытый" в данном контексте?
Да, все активы могут быть обнаружены публично, но иногда из-за неправильной настройки DNS может случиться так, что актив хоста (поддомен) преобразуется в любой из внутренних диапазонов IP-адресов. Всякий раз, когда IP-адрес любого актива соответствует одному из внутренних диапазонов IP-адресов (класс A, класс B и класс C), этот актив помечается как закрытый. -
Если API, ASN или сетевой блок сконфигурированы в данных, будет ли сканирование искать исключительно похожие внешне опубликованные API или эти конкретные типы активов или оно также будет определять другие типы активов, например серверы в том же и другом домене?
Если API сконфигурирован как начальное значение, сканирование идентифицирует сервер, на котором размещен API, выполняет сканирование портов и обнаруживает уязвимости на этом сервере. Однако оно не ищет похожие внешне опубликованные API за пределами указанных данных. Для ASN (Autonomous System Number - номера автономных систем) сканирование идентифицирует все связанные netblock (CIDR), перечисляет отдельные IP-адреса в этих блоках, сканирует открытые порты и обнаруживает уязвимости. В обоих случаях сканирование фокусируется на инфраструктуре, связанной с данными, а не на широком поиске других типов активов, таких как домены или несвязанные серверы, если только они явно не связаны с областью действия данных. -
Есть ли различия в результатах сканирования во время использования API, ASN или сетевого блока в качестве начального значения по сравнению с использованием домена или URL-адреса?
Да, результаты сканирования различаются в зависимости от типа исходного актива, поскольку каждый из них по-разному влияет на область действия и обнаружение уязвимостей. Например, если в качестве начального значения используется домен, сканирование может использовать утечки учетных данных, обнаруженные в Интернете, и выполнить перечисление поддоменов - возможности, недоступные с использованием начальных значений API, ASN или NetBlock, поскольку в них отсутствует контекст домена, необходимый для таких результатов. Напротив, API и сетевые блоки больше фокусируются на информации на уровне сервера (например, портах и уязвимостях), в то время как ASN обеспечивают более широкое представление на уровне сети, что приводит к разным результатам в зависимости от начальной точки. -
Существуют ли особые сценарии или случаи использования, когда настройка API или ASN в данных особенно эффективна для обнаружения активов или уязвимостей?
Данные API функционирует аналогично данным URL-адресов, выдавая сопоставимые результаты, такие как информация о сервере, открытые порты и уязвимости, связанные с конкретной конечной системой. Это особенно полезно для идентификации уязвимостей конкретных сервисов. С другой стороны, данные ASN особенно ценны для компаний, управляющих центрами обработки данных или крупными сетевыми инфраструктурами. Эти организации часто отдают приоритет обнаружению открытых портов и служб, работающих за ними на своих серверах. В этом контексте данные ASN выделяются тем, что образуют комплексное представление сети, позволяя эффективно обнаруживать активы и выявлять угрозы в диапазонах собственных IP-адресов.