Что такое цифровой отпечаток организации?
Цифровой отпечаток компании, или внешняя поверехность атаки, — это все ресурсы, составляющие цифровое присутствие организации в сети Интернет. В цифровой отпечаток входят все приложения и цифровые активы, которые организация открыла для сети Интернет, а также инфраструктура, поддерживающая эти приложения.
Внешняя поверхность атаки современной организации состоит из веб-сайтов и онлайн-сервисов, мобильных приложений, профилей социальных сетей, инфраструктуры IoT и облачных сервисов. Многие из этих активов появляются, меняются и становятся уязвимыми без ведома и надзора службы безопасности, что является существенным риском.
Состав цифрового отпечатка
Известные активы | Неизвестные активы | Мошеннические и вредоносные активы |
— Корпоративный сайт — Известные микросайты, управляемые маркетингом — Маркетинговые посадочные страницы — Веб-приложения — Домены, принадлежащие компании — Собственные или арендованные блоки IP — Известные общедоступные демо-серверы, dev и staging | — Сторонние скрипты JavaScript — Микросайты, созданные поставщиками или разовые страницы — Активы и домены, купленные вне официальных процедур — Неизвестные, общедоступные демо-серверы, серверы разработки и staging-а — Серверы, сайты и веб-страницы, которые были частью M&A, но не были учтены | — Ваши веб-приложения c внедренным вредоносным JavaScript — Забытые серверы или доменные имена — Страницы, созданные вне стандартных процедур — Неавторизованные захваченные домены — Ваши активы, зараженные вредоносами — Ваши активы, указывающие на известно вредоносные сайты |
Крайне важно не только знать и отслеживать активы, входящие в цифровой отпечаток, но и активно защищать их.
Почему важно защищать цифровой отпечаток?
Злоумышленники, проводящие разведку своих целей, часто находят неизвестные, незащищенные и неконтролируемые активы для использования их в качестве векторов атак. У крупных организаций зачастую существуют сотни неизвестных активов и, как правило, их легко найти даже начинающим хакерам и группировкам. Поскольку эти активы не контролируются, они обеспечивают легкие способы проникновения в или из организации. Чтобы защищать себя, организациям необходимо знать, что видят злоумышленники, когда изучают их. В конце концов, позиция «мы не знали, что актив существует» не уменьшает нанесенный атакой или взломом ущерб.
Помимо простого знания о том, что актив существует, крайне важно знать его специфику, в том числе тип сервера, программное обеспечение и платформы, работающие на этом сервере, а также уязвимости, связанные с ними. Эксплуатация уязвимостей интернет-ресурсов являются основной причиной утечки данных в атаках с внешними злоумышленниками.
Обладая точной и подробной информацией об инвентаризации внешних активов, гораздо проще проанализировать ситуацию, расставить приоритеты и принять корректные меры, направленные на защиту внешних активов организации. Перечень внешних активов также важен для соблюдения многочисленных регуляторных требований и отраслевых стандартов.
Что не увидят сканеры уязвимостей
Использование традиционных сканеров уязвимостей позволяет решить часть описанных проблем, и было особенно эффективно несколько лет назад.
Однако с ростом теневых ИТ, социальных сетей, IoT, мобильных приложений и облачных сервисов стало очевидно, что адресное пространство, формально принадлежащее организации, является лишь частью ее реального цифрового отпечатка. Поэтому RiskIQ разработал сервис Digital Footprint, который позволяет находить и оценивать всю инфраструктуру организации, в том числе и ту часть, о которой она не знает.
По статистике вендора, неизвестная часть составляет в среднем 30% от количества реальных внешних активов организации. Это могут быть сервисы, запущенные различными департаментами в нарушение существующих процессов и процедур, на внешних ресурсах, ранее используемые и забытые, или полученные в результаты сделок M&A и т.п. Злоумышленники могут использовать эти ресурсы в качестве потенциальных векторов атаки как на саму организацию, так и на ее клиентов.
Кроме того, сканеры уязвимости анализируют только наиболее простые аспекты, такие как наличие уязвимостей и истекающие SSL-сертификаты, но не способы анализировать контент, выявлять связи между ресурсами, попытки фишинга и прочие современные угрозы.
Поэтому использование сканеров уязвимостей позволяет решить лишь часть проблемы, оставляя большую, и, возможно, самую уязвимую, часть инфраструктуры без мониторинга и защиты.
Как RiskIQ Digital Footprint позволяет отслеживать и защищать внешний периметр
Используя технологию виртуальных пользователей, RiskIQ каждый день сканирует миллионы веб-страниц и IP-адресов, собирая телеметрические данные для построения карты всего Интернета.
Виртуальные пользователи RiskIQ выходят за рамки простого сканирования, посещая веб-сайты с использованием различных браузеров, меняющихся паттернов кликов и времени, проведенного на странице, что полностью имитирует поведение реальных пользователей. Технология RiskIQ позволяет непрерывно контролировать веб-сайты, избегая попытки заблокировать их посещение. Виртуальные пользователи запускаются из постоянно растущей прокси-сети с более чем 500 точками выхода в более чем 40 странах, включая источники трафика в жилых, офисных и мобильных сетях.
Используя сеть из десятков тысяч таких виртуальных пользователей, RiskIQ сканирует весь интернет и собирает телеметрические данные, инвентаризируя все цифровые активы, связанные с организацией заказчика. Этот процесс позволяет находить веб-сайты, собственные и сторонние скрипты JavaScript, мобильные приложения, URL-адреса, контент веб-страниц, ASN, IP-адреса и именные серверы, многие из которых неизвестны организации, но составляют ее реальный цифровой отпечаток.
RiskIQ выявляет все цифровые активы, появляющиеся в сети и связанные с заказчиком, что позволяет службам безопасности осуществлять мониторинг поверхность атаки за пределами периметра, устанавливать контроль над неизвестными активами и анализировать свой цифровой отпечаток с точки зрения внешнего злоумышленника.
Помимо точной, актуальной инвентаризации всех цифровых активов организации, доступных из сети Интернет, Digital Footprint также отслеживает их на предмет изменений, дефейсмента, соответствия политикам и появления вредоносного ПО или JavaScript-кода.
Истории успеха заказчиков RiskIQ
American Express
Крупнейший глобальный банк American Express использует RiskIQ в качестве единственного поставщика сервисов по мониторингу внешних угроз.
Результаты работы Digital Footprint используются в банком для управления и мониторинга внешним присутствием организации, а также построения процесса инвентаризации и мониторинга активов. После того как данные проанализированы, и из них удалены ложные срабатывания и неавторизованные ресурсы, они становятся белым списком легитимных ресурсов банка.
На следующем этапе другие подразделения банка полагаются на эту информацию в своей работе, в том числе для оперативного отслеживания новых угроз, имперсонаций и попыток фрода от имени банка. Все ресурсы, которые не входят в белый список, расследуются в соответствии с внутренними процедурами.
Standard Bank
Standard Bank выбрал RiskIQ в качестве партнера по управлению цифровыми угрозами в рамках решения RiskIQ Digital Footprint.
RiskIQ Digital Footprint осуществляет непрерывный мониторинг веб-сайтов банка, выявляя новые и обновленные цифровые активы, основываясь на таких атрибутах, как диапазон IP-адресов, название и айдентика бренда. Сервис также предоставляет подробную информацию об этих активах и указывает на потенциальные риски.
Служба безопасности Standard Bank использует полученную информацию для мониторинга цифровых активов и соответствия корпоративным стандартам, вне зависимости от того, где размещается ресурс. Digital Footprint также дает информацию о новых переадресациях веб-страниц, которые могут указывать на взлом сайта.
Команда безопасности также использовала аналитику RiskIQ для приведения в порядок регистрационных данных доменов и сертификатов, включая стандартизацию контактных данных, что помогло наладить надежное получение важных сообщений, в том числе о продлении или истечении срока регистрации доменов. Кроме того, они смогли обнаружить и обновить старые и недоверенные сертификаты на всех веб-ресурсах банка.
Публичными референсами RiskIQ также являются Disney, Amazon, Facebook, Toyota, Pepsi и Box.
Бесплатный аудит присутствия компании в сети Интернет Digital Footprint Snapshot
Ограниченный период времени RiskIQ предоставляет цифровой отпечаток присутствия организации в сети Интернет бесплатно в формате PDF.
Отталкиваясь от ключевого актива организации, такого как доменное имя или блок IP-адресов, RiskIQ выявляет все публичные активы, связанные с названием, брендом и инфраструктурой организации, и предоставляет информацию об их защищенности и существующих рисках.
Для того, чтобы разобраться в предоставленных данных и оценить уровень риска уязвимых ресурсов, которые могут быть использованы злоумышленниками для осуществления атаки, RiskIQ и Тайгер Оптикс также проводят бесплатные онлайн-консультации с представителями заказчиков по материалам предоставленного отчета.
Воспользуйтесь этой ссылкой, чтобы заказать бесплатный аудит цифрового отпечатка вашей компании.