Blootstellingsbeheer en uw aanvalsoppervlak

Lees het volledige artikel voor de belangrijkste punten van de recente lezing van Intruder’s VP of Product, Andy Hornegold, over exposure management. Als u Andy’s inzichten uit de eerste hand wilt horen, bekijk dan Intruder’s on-demand webinar. Neem vandaag nog contact op met hun team voor meer informatie over het verkleinen van uw aanvalsoppervlak.

Beheer van aanvalsoppervlakken versus blootstellingsbeheer

Attack surface management (ASM) is het voortdurende proces van het ontdekken en identificeren van assets die door een aanvaller op internet kunnen worden gezien, waarbij wordt aangegeven waar beveiligingslekken bestaan, waar ze kunnen worden gebruikt om een ​​aanval uit te voeren en waar de verdediging sterk genoeg is om een ​​aanval af te weren. Als er iets op internet is dat door een aanvaller kan worden uitgebuit, valt het doorgaans onder attack surface management.

Exposure management gaat nog een stap verder en omvat data-assets, gebruikersidentiteiten en cloudaccountconfiguratie. Het kan worden samengevat als de reeks processen waarmee organisaties continu en consistent de zichtbaarheid, toegankelijkheid en kwetsbaarheid van hun digitale assets kunnen evalueren.

De voortdurende reis van het beheren van bedreigingen

Continue management is om een ​​aantal redenen essentieel. Uw bedrijf, uw aanvalsoppervlak en het dreigingslandschap zijn niet statisch, ze veranderen en evolueren voortdurend. Nieuwe kwetsbaarheden worden elk uur bekendgemaakt, nieuwe exploits voor oude kwetsbaarheden worden openbaar gemaakt en dreigingsactoren updaten hun technieken voortdurend. Bovendien worden nieuwe systemen en services vaak blootgesteld aan het internet en als u CI/CD-processen uitvoert, worden uw applicaties regelmatig bijgewerkt, wat exploiteerbare beveiligingslekken kan creëren.

Verder kijken dan CVE’s

Steeds vaker wordt vulnerability management bekeken door een smalle lens van kwetsbaarheden met CVE’s. Het team van Intruder was het niet eens met deze aanpak en gelooft dat als er een zwakte in uw aanvalsoppervlak zit, het een kwetsbaarheid is, ongeacht of er een CVE aan is gekoppeld of niet.

Dus in tegenstelling tot de nauwe benadering van vulnerability management, omvat exposure management het hele vista – inclusief misconfiguraties en potentiële zwakheden die geen bijbehorende CVE hebben. Neem bijvoorbeeld SQL-injectie. Het heeft geen CVE, maar het is nog steeds een kwetsbaarheid in uw applicatie die ernstige gevolgen kan hebben als het wordt uitgebuit. Bovendien heeft Windows Remote Desktop dat aan het internet wordt blootgesteld geen bijbehorende CVE, maar het introduceert wel een risico dat een aanvaller kan proberen uit te buiten. Uiteindelijk biedt exposure management een algemene naam voor hoe we deze bedreigingen waarnemen en beheren.

Prioritering van kwetsbaarheden: de noodzaak van context

Momenteel bieden de meeste kwetsbaarheidsscanners een lijst met kwetsbaarheden, elk als een afzonderlijk datapunt. Ze kunnen bijvoorbeeld melden: ‘Systeem X heeft kwetsbaarheid Y; u moet het oplossen.’ Wanneer u echter te maken hebt met een groot aantal kwetsbaarheden, is deze informatie alleen niet voldoende.

Effectieve prioritering vereist meer context om ervoor te zorgen dat de beperkte middelen van uw team gericht zijn op problemen die echt een verschil maken. Het is bijvoorbeeld cruciaal om te begrijpen welke activa uw kritieke bedrijfsfuncties ondersteunen, welke kwetsbaarheden aan elkaar gekoppeld kunnen worden om kritieke bedrijfsfuncties te beïnvloeden, en waar een aanvaller mogelijk uw netwerk kan binnendringen als deze activa worden uitgebuit.

Deze aanpak transformeert het beheer van kwetsbaarheden van geïsoleerde en geïsoleerde taken naar een samenhangende strategie, die de context biedt die nodig is om niet alleen te bepalen als een kwetsbaarheid moet worden verholpen, maar ook wanneer.

Net zoals meditatie helpt om de dagelijkse stortvloed aan gedachten en afleidingen te filteren, is de aanpak van Intruder gericht op het managen van blootstelling. Het doel is om door de ruis heen te filteren en je te concentreren op de zaken die er het meest toe doen.

Waarom blootstellingsbeheer belangrijk is

Exposure management is belangrijk omdat niet alles wat kan worden opgelost, direct moet worden opgelost. Zonder een strategische aanpak riskeert u kostbare tijd te verspillen aan het oplossen van problemen met een lage impact, zoals een niet-vertrouwd TLS-certificaat op een intern netwerk, in plaats van het aanpakken van kwetsbaarheden die kunnen leiden tot het in gevaar brengen van een bedrijfskritisch systeem.

Het is mogelijk voor u en uw team om een ​​onevenredige en zelfs betekenisvollere impact te hebben op het risicoprofiel van uw organisatie door meer tijd te hebben om u te richten op strategisch belangrijke activiteiten die uw organisatie effectiever beveiligen. Dit kan worden bereikt door een knie-reflexreactie op elke kwetsbaarheid te vermijden (vergelijkbaar met het spelen van whack-a-mole), wat blootstellingsbeheer beoogt te bereiken.

U kunt het aantal taken dat uw team uitvoert, verminderen door uw omgeving in kaart te brengen, te begrijpen welke activa bedrijfskritische processen ondersteunen, speciale teams samen te stellen die verantwoordelijk zijn voor het herstel van die activa en drempels of triggers in te stellen die aangeven wanneer problemen moeten worden aangepakt.

De noodzaak van blootstellingsbeheer

Er zijn talloze recente voorbeelden van aanvallers die volledige controle krijgen via ogenschijnlijk onschuldige toegangspunten.

Een ontwikkelaar bij Microsoft ontdekte een opzettelijk geplaatste backdoor in xz-utils, een essentieel hulpprogramma voor gegevenscompressie voor Linux en Unix-achtige besturingssystemen. Deze kwetsbaarheid, gevonden in versies 5.6.0 en 5.6.1, stelde een onbekende dreigingsactor in staat om opdrachten uit te voeren op systemen die deze versies van xz-utils draaiden en SSH hadden blootgesteld aan het internet. De timing van de ontdekking was ongelooflijk gelukkig, het werd ontdekt voordat de gecompromitteerde versies van xz-utils in veel gangbare Linux-distributies zoals Debian en Red Hat terecht konden komen.

Hoewel er geen gevallen van exploitatie werden gemeld, waren de potentiële risico’s substantieel. Een dreigingsactor zou toegang hebben gekregen tot die systemen, waardoor ze een startpunt hadden om andere systemen op elk verbonden netwerk te compromitteren om alle gevoelige gegevens te extraheren.

Beveiligingsteams hebben tijd en moeite gestoken in het achterhalen of ze zijn blootgesteld. Met blootstellingsbeheer zou het eenvoudig zijn geweest om alle getroffen versies binnen uw omgevingen te identificeren en snel vast te stellen dat de blootstelling minimaal was, aangezien de gecompromitteerde versies van xz-utils niet zo wijdverspreid zijn.

Interessant genoeg duurde het vier jaar om de backdoor te embedden, wat een berekend en langetermijnplan onthulde om open-source software te compromitteren. Dit is niet per se nieuw, maar het werpt een licht op het feit dat geavanceerde persistente bedreigingen niet alleen gericht zijn op grote ondernemingen; als bedreigingsactoren een open-sourcepakket als xz-utils kunnen compromitteren en het mainstream distributies kunnen laten bereiken, dan loopt iedereen risico.

En dan is er nog Palo Alto Networks. Het deed een dringende oproep aan bedrijven om een ​​kritieke zero-day kwetsbaarheid, bekend als CVE-2024-3400, te patchen in zijn veelgebruikte PAN-OS software die GlobalProtect firewall producten aanstuurt. Deze fout, gevonden in de nieuwere versies van de software, stelt aanvallers in staat om op afstand volledige controle te krijgen over een getroffen firewall zonder dat authenticatie vereist is, wat een aanzienlijke bedreiging vormt voor duizenden bedrijven die afhankelijk zijn van deze firewalls voor beveiliging. Gezien het potentieel voor eenvoudige externe exploitatie, heeft Palo Alto deze kwetsbaarheid de hoogste ernstclassificatie gegeven. Met behulp van de aanvalsoppervlaktebeheertools die voor u beschikbaar zijn, zou het identificeren van kwetsbare activa vrijwel onmiddellijk moeten zijn, en met een blootstellingsbeheerproces op zijn plaats zou de drempel voor herstel degenen die verantwoordelijk zijn voor herstel of beperking in staat moeten stellen om snel in actie te komen.

Deze voorbeelden laten zien hoe bedreigingen effectief kunnen worden tegengegaan als organisaties overstappen van een reactieve, snel-op-loss-aanpak naar proactief blootstellingsbeheer, waarbij ze hun aanvalsoppervlak continu beheren.

Begin uw reis naar effectief blootstellingsbeheer

Aan de slag gaan met blootstellingsbeheer begint met praktische, beheersbare stappen:

  1. Gebruik wat je al hebt: Ten eerste, onthoud dat u de services die u al gebruikt, kunt benutten. Als u bijvoorbeeld een tool als Intruder gebruikt, hebt u al een vulnerability management- en attack surface management-provider die uw aanpak van exposure management een kickstart kan geven. Een consultancy-service kan ook attack path mapping-oefeningen en threat profile-workshops uitvoeren.
  2. Bepaal uw scope: Wanneer u de reikwijdte van uw blootstellingsbeheerproces definieert, richt u zich eerst op activa die aan het internet zijn blootgesteld, aangezien deze vaak het meest kwetsbaar zijn voor aanvallen. Intruder kan u helpen door u een overzicht te geven van uw internetgerichte systemen, die u kunt gebruiken als startpunt voor uw blootstellingsbeheerproces. U kunt ook de doeltagging van Intruder gebruiken om systemen te segmenteren in uw gedefinieerde scopes. In het scopingproces probeert u ook personen te identificeren die verantwoordelijk zijn voor het verhelpen van het risico wanneer een kwetsbaarheid wordt gedetecteerd; u kunt die gebruikers toevoegen aan Intruder en hen machtigen om problemen op te lossen en te valideren dat deze zijn opgelost. Als de gegevens beschikbaar zijn, vergeet dan niet om de SaaS-applicaties die u gebruikt bij te houden, aangezien deze gevoelige gegevens en inloggegevens kunnen bevatten.
  3. Ontdek en prioriteer uw activa: Gebruik een tool om bekende en onbekende assets te identificeren en te bepalen welke bedrijfskritisch zijn en de scope ondersteunen die u eerder hebt gedefinieerd. Intruder ontdekt automatisch nieuwe cloud assets door te integreren met uw cloud accounts en voert geautomatiseerde controles uit voor subdomeinen. U kunt ook context toevoegen aan uw assets door tags te gebruiken om te specificeren hoe systemen bijdragen aan uw bedrijfsprocessen en welk risico ze vormen voor die processen als ze gecompromitteerd zouden worden.
  4. Voer een ontdekking van zwakheden uit en stel prioriteiten: De focus verschuift vervolgens naar het beoordelen welke van deze activa het grootste risico lopen om gecompromitteerd te worden en welke de meest aantrekkelijke doelen zouden zijn voor cyberaanvallers. Met Intruder kunt u kwetsbaarheden in uw infrastructuur, applicaties en API’s vinden en een geprioriteerde lijst met problemen ontvangen, zodat u weet waar u als eerste actie op moet ondernemen. Intruder biedt ook een continue aanpak voor het ontdekken en prioriteren van kwetsbaarheden door uw netwerk te monitoren, u te laten zien wat er is blootgesteld en scans te starten wanneer er iets verandert.
  5. Handeling: Dan is het tijd om actie te ondernemen, of dat nu via herstel, beperking of risicoacceptatie is. Met Intruder kunt u uw herstelpogingen eenvoudig beheren en verifiëren. Voer herstelscans uit, exporteer problemen naar uw ticketsystemen, stel waarschuwingen in in Slack en Teams, en meer.

Alles weer mee naar huis nemen

Uiteindelijk hebben we allemaal een beperkte hoeveelheid tijd.

Door afleidingen te minimaliseren en uw team in staat te stellen zich te concentreren op wat er echt toe doet, kunt u met exposure management de grootste impact bereiken met de minste tijdsinvestering.

Als uw team zich richt op de 25% van de kwetsbaarheden die er daadwerkelijk toe doen, hebben ze 75% extra tijd om zich te richten op de activiteiten die essentieel zijn voor de beveiliging van uw bedrijf.

Intruder wil organisaties helpen zich te concentreren op de belangrijke, impactvolle en uiteindelijk veilige digitale omgeving in de huidige snelle wereld.

En als dat betekent dat we meer rustige weekenden hebben en vol vertrouwen van ons bureau wegstappen, wetende dat onze assets beschermd zijn, dan geloof ik dat we op de goede weg zijn. Misschien gaat het niet zozeer om het beheren van kwetsbaarheden of blootstellingen, maar om het beheren van onze focus in de eindeloze stroom van cybersecuritybedreigingen.

Thijs Van der Does