Что такое управление направлениями атак?
Основные выводы
- Направления атак включают каждую точку, где ваша организация уязвима для потенциальных угроз.
- Управление направлениями атак помогает обнаруживать, отслеживать и снижать цифровые угрозы для всех ресурсов (известных и неизвестных).
- Успешный подход к управлению направлениями атак требует постоянной видимости, четких приоритетов и тесной связи с операциями по обеспечению безопасности.
- У Майкрософт есть инструменты и средства искусственного интеллекта, которые помогут управлять направлениями атак и опережать меняющиеся угрозы.
Что такое направления атак?
Ключевые компоненты направления атак включают:
- Локальные ресурсы. Сюда входят локальные серверы, центры обработки данных, рабочие станции, внутренние приложения и устройства сотрудников. Все они могут содержать конфиденциальные данные или стать точками входа, если их не обновлять и не настраивать должным образом.
- Облачные ресурсы. Облачные рабочие нагрузки, хранилища, API, контейнеры и приложения SaaS теперь являются основой большинства бизнес-процессов, но они также создают новые точки доступа, которые могут быть доступны извне или не отслеживаться средствами мониторинга и оценки рисков.
- Внешние ресурсы. Это системы, которые напрямую подключены к Интернету, например веб-сайты, порталы клиентов, конечные точки VPN и средства удаленного доступа. Поскольку они открыты для Интернета, именно в этих системах злоумышленники часто в первую очередь ищут уязвимости.
- Сети дочерних подразделений и сторонних организаций. Среды партнеров и цепочек поставок могут быть скрытой частью ваших направлений атак. Если эти подключенные системы скомпрометированы, они могут создать скрытые точки доступа в основную среду.
В каждой из этих областей могут быть слабые места, например устаревшее программное обеспечение, простые пароли, неверно настроенные службы или подверженные рискам API. Злоумышленники часто ищут такие пробелы, чтобы незаметно проникнуть в систему, перемещаться по ней или получить доступ к конфиденциальным данным. Они используют такие методы, как фишинг, вредоносные программы, поиск пропущенных обновлений или обнаружение открытых облачных хранилищ.
По мере роста и изменения цифровой среды становится легче что-то упустить, и именно в упущенных моментах злоумышленники ищут возможности. Без четкой видимости всех этих уровней команды обеспечения безопасности могут пропустить важные угрозы, которые приводят к нарушениям безопасности данных, простоям или проблемам с соответствием требованиям.
Что такое управление направлениями атак?
- Системы, доступные из Интернета.
- Облачные службы.
- Конечные точки (например, ноутбуки или мобильные устройства).
- Инструменты, подключенные к поставщикам или партнерам.
Чтобы сохранять безопасность, нужна аналитика в реальном времени по всем системам, включая:
- Известные ресурсы.
- Неизвестные или неотслеживаемые системы.
- Недавно добавленные приложения, службы или устройства — часто без контроля со стороны ИТ-отдела.
Такая видимость помогает устранять критические пробелы и поддерживать более надежные и профилактические операции по обеспечению безопасности.
Превращение полезных сведений в действия
После понимания того, что входит в ваши направления атак, следующая задача — разобраться в этом и принять меры. Именно здесь управление направлениями атак обеспечивает ценность: оно превращает сложный набор цифровых ресурсов в понятный, упорядоченный обзор того, что важнее всего для снижения пробелов в безопасности.
Постоянно обнаруживая ресурсы во всей организации (локально, в облаке или за пределами сети), система управления направлениями атак помогает определить, что требует защиты. Затем эти ресурсы классифицируются на основе следующего:
- Уровень подверженности риску.
- Ценность для бизнеса.
- Потенциальное влияние в случае компрометации.
Оценка организации
Процесс включает четыре основных элемента:
1. Идентификация. Первый шаг — обнаружить все ресурсы, которые формируют направления атак в вашей организации.
К распространенным уязвимостям относятся:
- Локальная инфраструктура. Устаревшие серверы, которые по-прежнему подключены к Интернету, но больше не обслуживаются и не обновляются регулярно.
- Облачные службы. Неотслеживаемые или неверно настроенные сегменты облачных хранилищ, которые случайно открывают публичный доступ к конфиденциальным данным.
- Удаленные конечные точки. Ноутбуки сотрудников, на которых отсутствуют обновления безопасности или установлена устаревшая антивирусная программа, при подключении из-за пределов корпоративной сети.
- Платформы партнеров. Системы сторонних поставщиков, которые подключены к вашей среде, но не имеют надежных средств контроля доступа или регулярных проверок безопасности.
- Теневые ИТ: приложения SaaS или средства совместной работы, которые отдельные команды настраивают без согласования с ИТ-отделом или без его ведома, часто без шифрования или безопасных параметров входа.
2. Классификация. После обнаружения ресурсов следующий шаг — упорядочить их по функциям, уровню конфиденциальности, владельцам и степени возможной уязвимости. Так командам обеспечения безопасности проще ранжировать задачи.
К распространенным уязвимостям относятся:
- Публичные веб-приложения, обрабатывающие данные клиентов.
- Внутренние инструменты без надлежащей проверки подлинности.
- Среды разработки или тестирования с высоким уровнем доступа.
К распространенным уязвимостям относятся:
- Устаревшие системы, в которых отсутствуют критически важные обновления системы безопасности, даже если известные уязвимости уже публично документированы.
- Открытые порты или незащищенные API.
- Неправильно настроенные политики системы управления идентификацией и доступом.
Это важно, потому что ресурс, который был защищен вчера, сегодня может оказаться уязвимым. Без непрерывной видимости и анализа быстро возникают слепые зоны, предоставляя злоумышленникам нужную им точку опоры.
Вместе эти элементы формируют основу подхода к ASM на основе рисков, который адаптируется по мере развития среды. В виде непрерывного процесса управление направлениями атак помогает командам обеспечения безопасности реагировать быстрее и увереннее.
Ключевые преимущества и распространенные проблемы
Ключевые преимущества для организаций
Улучшенное понимание рисков помогает управлению направлениями атак повышать общую готовность системы безопасности и упрощает для организаций быстрое принятие интеллектуальных, своевременных решений.
Некоторые основные преимущества:
Более четкое представление о цифровой среде, которое помогает командам выявлять неуправляемые, скрытые или упущенные из виду ресурсы, способные представлять угрозу.
Более быстрое реагирование на угрозы за счет вывода на первый план наиболее критичных рисков в режиме реального времени и поддержки более быстрых и уверенных действий.
Более эффективная поддержка соблюдения нормативных требований и управления с актуальной аналитикой ресурсов, которая упрощает выполнение аудиторских и нормативных требований, например Общего регламента по защите данных.
Меньше сбоев и более надежная непрерывность бизнес-процессов благодаря раннему выявлению проблем, которые могут привести к простоям, потере данных или даже к кибератаке.
Более интеллектуальное планирование безопасности, так как аналитика ASM помогает принимать решения об инвестициях, облачной стратегии и управлению рисками.
Распространенные трудности, с которыми сталкиваются организации
Хотя ASM предоставляет весомые преимущества, для его эффективного внедрения требуется координация, правильные инструменты и постоянные усилия.
К наиболее распространенным проблемам относятся:
Слишком много систем, распределенных по разным средам (от локальных до гибридных и многооблачных), из-за чего сложно получить полное представление.
Неотслеживаемые инструменты и внешние подключения, которые часто выходят за рамки традиционного ИТ-контроля и создают скрытые слепые зоны.
Недостаток персонала или автоматизации, из-за чего сложно успевать за новыми угрозами и своевременно выполнять устранение проблем.
Устаревшие методы, например периодические сканирования, которые могут не заметить новые ресурсы или изменения, произошедшие между оценками.
Если сделать управление направлениями атак важной частью программы кибербезопасности, можно опережать риски и уверенно защищать самое важное.
Создание тактического плана
Внедрение ASM начинается с четкого плана, который соответствует вашей конфигурации, уровню допустимого риска и ежедневным потребностям. Выберите подходящие инструменты, чтобы создать среду, которая обеспечивает долгосрочную видимость, безопасность и простоту управления.
Разработка стратегии ASM
Хорошо продуманная стратегия управления направлениями атак начинается с того, чтобы ваши цели безопасности поддерживали бизнес-цели. Это означает четкое понимание того, как выглядит успех, например полное знание своих ресурсов, концентрация на самых серьезных угрозах и более быстрое реагирование на них.
Вот несколько ключевых шагов для начала:
Ознакомьтесь со своей средой. Определите все системы и службы, от которых вы зависите: в локальной инфраструктуре, облачных рабочих нагрузках, приложениях SaaS, удаленных устройствах и платформах поставщиков.
Уточните роли и обязанности. Убедитесь, что все в команде знают, кто отвечает за поиск ресурсов, оценку пробелов в безопасности и устранение возникающих проблем.
Создайте согласованные политики. Установите понятные и простые для выполнения инструкции по учету ресурсов, определению приоритетов угроз и эффективному устранению проблем.
Свяжите ASM с более широкими усилиями в области безопасности. Обеспечьте интеграцию с существующими программами, такими как управление уязвимостями, обнаружение и нейтрализация угроз и соблюдение требований, чтобы получить максимальную ценность от собираемой аналитики.
Как успевать за изменениями
Направления атак меняются быстро, так как постоянно появляются новые системы, инструменты и риски. Именно поэтому для сохранения видимости и контроля так важны автоматизация и интеллектуальные инструменты.
Технологии помогают эффективно управлять направлениями атак с помощью следующего:
Автоматическое обнаружение новых систем и служб, в том числе добавленных вне поля зрения ИТ-отдела, например теневых ИТ и сторонних подключений.
Отслеживание изменений и проблем конфигурации, которые могут создавать новые уязвимые места.
Использование ИИ для кибербезопасности и оценки рисков с целью выделения критических уязвимостей, чтобы команды могли сосредоточиться на самом важном.
Интеграция со средствами, которые вы уже используете, например с решениями управления информационной безопасностью и событиями безопасности (SIEM) и платформой Microsoft Defender XDR.
SIEM собирает и анализирует данные в режиме реального времени из приложений, устройств, серверов и пользователей по всей организации. Инструменты SIEM обеспечивают четкое и полное представление об общей безопасности.
Defender XDR использует Extended Detection and Response на платформе ИИ и автоматизации, чтобы помогать организациям эффективнее и результативнее обнаруживать, исследовать и нейтрализовывать сложные кибератаки.
Рекомендации по снижению рисков
Снижение рисков начинается с надежной повседневной практики. Эти шаги помогают уменьшить подверженность риску и создать более устойчивую основу безопасности.
Поддерживайте инвентаризацию ресурсов в актуальном состоянии. Используйте автоматизированные инструменты обнаружения, чтобы не упустить ничего важного.
Удалите или защитите системы, которые больше не нужны. Отключите неиспользуемые инструменты или ограничьте доступ к ним, если они все еще нужны.
Ограничивайте доступ только необходимыми элементами. Применяйте принцип минимальных привилегий, чтобы у пользователей и систем был только необходимый доступ — и ничего лишнего.
Сегментируйте сеть, чтобы сдерживать угрозы. Разделите среду на зоны, чтобы в случае компрометации одной области остальные оставались защищенными.
Советы по безопасности
Практические советы по безопасности и быстрые улучшения могут сразу помочь укрепить усилия по управлению направлениями атак. Вот несколько ключевых шагов, которые можно предпринять.
Поддерживайте актуальность систем. Регулярно обновляйте приложения, встроенное ПО и операционные системы, особенно ресурсы, доступные из Интернета, и наиболее ценные цели.
Укрепите средства контроля доступа. Принудительно внедрите многофакторную проверку подлинности, применяйте доступ на основе ролей и проверяйте наличие наращивания привилегий.
Подготовьтесь к инцидентам. Создайте планы реагирования на сценарии с неизвестными ресурсами или внешними рисками и проводите моделирования, чтобы проверять готовность.
Улучшения должны быть постоянными. Используйте выводы из инцидентов и регулярных оценок, чтобы постепенно улучшать свой подход.
Объединив стратегию, автоматизацию и надежные операционные процессы, организации могут перейти от реагирующей системы безопасности к профилактической защите. Рекомендации по управлению направлениями атак помогают создать надежную основу для обеспечения устойчивости, более быстрого реагирования и более тесной согласованности между кибербезопасностью и бизнес-целями.
Решения по обеспечению безопасности от Майкрософт
Подробнее об управлении направлениями атак
Унифицированные операции по обеспечению безопасности
Знакомство с направлениями атак и снижение риска
Отчет о цифровой защите Microsoft за 2024 год
Вопросы и ответы
- Мониторинг направлений атак — это отслеживание в режиме реального времени изменений или уязвимостей в цифровой среде, например новых ресурсов, неправильных настроек или уязвимостей. Управление направлениями атак — это более широкий непрерывный процесс, который включает мониторинг, а также выявление ресурсов, оценку рисков, ранжирование угроз и постепенное снижение подверженности рискам.
- Динамическое тестирование безопасности приложений сосредоточено на сканировании и проверке веб-приложений на наличие уязвимостей снаружи, с моделированием реальных атак. Управление направлениями атак охватывает более широкий спектр задач — непрерывное выявление, мониторинг и устранение пробелов в безопасности для всех доступных ресурсов, а не только для приложений.
- Управление направлениями атак помогает выявлять и отслеживать все подверженные рискам ресурсы (известные и неизвестные), чтобы понимать, где возникают риски в вашей среде. Управление уязвимостями выявляет и устраняет слабые места в этих ресурсах, как правило на основе известных программных недостатков или неправильных настроек.
- Управление направлениями атак помогает организациям выявлять, отслеживать и снижать подверженность рискам, определяя все доступные ресурсы и потенциальные точки входа. Моделирования бреши в системе безопасности и атак проверяет существующие средства защиты, безопасно воспроизводя реальные методы атак, чтобы выявить пробелы в обнаружении и реагировании.
Следите за новостями Microsoft Security