Che cos'è l'individuazione?
Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) usa la tecnologia di individuazione proprietaria Microsoft per definire continuamente la superficie di attacco internet esposta all'organizzazione. La funzionalità di individuazione di Defender EASM analizza gli asset noti di proprietà dell'organizzazione per individuare proprietà sconosciute e non monitorate in precedenza. Gli asset individuati vengono indicizzati nell'inventario dell'organizzazione. Defender EASM offre un sistema dinamico di record per le applicazioni Web, le dipendenze di terze parti e l'infrastruttura Web nella gestione dell'organizzazione in un'unica visualizzazione.
Tramite il processo di individuazione di Defender EASM, l'organizzazione può monitorare in modo proattivo la superficie di attacco digitale in continua evoluzione. È possibile identificare i rischi emergenti e le violazioni dei criteri man mano che si verificano.
Molti programmi di vulnerabilità non hanno visibilità al di fuori del firewall. Non sono a conoscenza di rischi esterni e minacce, che sono la principale fonte di violazioni dei dati.
Allo stesso tempo, la crescita digitale continua ad avanzare più velocemente delle capacità di protezione di un team di sicurezza aziendale. Le iniziative digitali e le "shadow IT" eccessivamente comuni portano a una superficie di attacco espansa al di fuori del firewall. A questo ritmo, è quasi impossibile convalidare controlli, protezioni e requisiti di conformità.
Senza Defender EASM, è quasi impossibile identificare e rimuovere vulnerabilità e scanner non possono raggiungere oltre il firewall per valutare la superficie di attacco completa.
Funzionamento
Per creare un mapping completo della superficie di attacco dell'organizzazione, Defender EASM ha prima assunto asset noti (semi). I semi di individuazione vengono analizzati in modo ricorsivo per individuare più entità tramite le connessioni ai semi.
Un valore di inizializzazione può essere uno dei tipi seguenti di infrastruttura Web indicizzata da Microsoft:
- Domini
- Blocchi di indirizzi IP
- Hosts
- Contatti e-mail
- Nomi di sistema autonomi (ASN)
- Organizzazioni Whois
A partire da un valore di inizializzazione, il sistema individua le associazioni ad altri elementi dell'infrastruttura online per individuare altri asset di proprietà dell'organizzazione. Questo processo crea infine l'intero inventario della superficie di attacco. Il processo di individuazione usa i semi di individuazione come nodi centrali. Poi si dirama verso l'esterno verso la periferia della superficie di attacco. Identifica tutti gli elementi dell'infrastruttura direttamente connessi al valore di inizializzazione e quindi identifica tutti gli elementi correlati a ogni elemento nel primo set di connessioni. Il processo si ripete ed estende fino a raggiungere il margine della responsabilità della gestione dell'organizzazione.
Ad esempio, per individuare tutti gli elementi nell'infrastruttura di Contoso, è possibile usare il dominio , contoso.com, come valore di inizializzazione per la chiave di inizializzazione. A partire da questo valore di inizializzazione, è possibile consultare le origini seguenti e derivare le relazioni seguenti:
| Origine dati | Elementi con possibili relazioni con Contoso |
|---|---|
| Record Whois | Altri nomi di dominio registrati nella stessa organizzazione di posta elettronica di contatto o registrante usata per la registrazione contoso.com |
| Record Whois | Tutti i nomi di dominio registrati in qualsiasi @contoso.com indirizzo di posta elettronica |
| Record Whois | Altri domini associati allo stesso server dei nomi di contoso.com |
| Record DNS | Tutti gli host osservati nei domini Di proprietà di Contoso e tutti i siti Web associati a tali host |
| Record DNS | Domini con host diversi, ma che si risolvono negli stessi blocchi IP |
| Record DNS | Server di posta associati ai nomi di dominio di proprietà di Contoso |
| Certificati SSL | Tutti i certificati SSL (Secure Sockets Layer) connessi a ognuno degli host e a tutti gli altri host che usano gli stessi certificati SSL |
| Record ASN | Altri blocchi IP associati allo stesso ASN dei blocchi IP connessi agli host nei nomi di dominio di Contoso, inclusi tutti gli host e i domini che li risolvono |
Usando questo set di connessioni di primo livello, è possibile derivare rapidamente un nuovo set di asset da analizzare. Prima che Defender EASM esegua più ricorsioni, determina se una connessione è abbastanza forte per l'aggiunta automatica di un'entità individuata come inventario confermato. Per ognuna di queste risorse, il sistema di individuazione esegue ricerche automatiche e ricorsive in base a tutti gli attributi disponibili, per trovare connessioni di secondo e di terzo livello. Questo processo ripetitivo fornisce altre informazioni sull'infrastruttura online di un'organizzazione e quindi individua asset diversi che potrebbero altrimenti non essere individuati e monitorati.
Superfici di attacco automatizzate e personalizzate
Quando si usa Defender EASM per la prima volta, è possibile accedere a un inventario predefinito per l'organizzazione per avviare rapidamente i flussi di lavoro. Nel riquadro Attività iniziali un utente può cercare l'organizzazione per popolare rapidamente l'inventario in base alle connessioni di asset già identificate da Defender EASM. È consigliabile che tutti gli utenti cerchino l'inventario della superficie di attacco predefinita dell'organizzazione prima di creare un inventario personalizzato.
Per creare un inventario personalizzato, un utente può creare gruppi di individuazione per organizzare e gestire i semi usati durante l'esecuzione delle individuazioni. L'utente può usare gruppi di individuazione separati per automatizzare il processo di individuazione, configurare l'elenco di inizializzazione e configurare pianificazioni di esecuzione ricorrenti.
Inventario confermato e risorse candidate
Se il motore di individuazione rileva una forte connessione tra un potenziale asset e il valore di inizializzazione, il sistema etichetta automaticamente l'asset con lo stato Confermato inventario. Poiché le connessioni a questo valore di inizializzazione vengono analizzate in modo iterativo e vengono individuate connessioni di terzo livello o di quarto livello, la fiducia del sistema nella proprietà di eventuali nuovi asset rilevati diminuisce. Analogamente, il sistema potrebbe rilevare gli asset rilevanti per l'organizzazione, ma non direttamente di proprietà dell'utente.
Per questi motivi, gli asset appena individuati vengono etichettati con uno degli stati seguenti:
| Nome dello stato | Descrizione |
|---|---|
| Inventario approvato | Elemento che fa parte della superficie di attacco di proprietà. È un elemento per cui sei direttamente responsabile. |
| Dipendenza | Infrastruttura di proprietà di terze parti, ma fa parte della superficie di attacco perché supporta direttamente il funzionamento degli asset di proprietà. Ad esempio, è possibile dipendere da un provider IT per ospitare il contenuto Web. Il dominio, il nome host e le pagine fanno parte dell'inventario approvato, quindi è possibile considerare l'indirizzo IP che esegue l'host come dipendenza. |
| Solo monitoraggio | Un asset rilevante per la superficie di attacco, ma non è controllato direttamente o una dipendenza tecnica. Ad esempio, i franchise indipendenti o gli asset appartenenti a società correlate potrebbero essere etichettati Solo monitoraggio anziché Inventario approvato per separare i gruppi a scopo di creazione di report. |
| Candidato | Un asset che ha una relazione con gli asset di inizializzazione noti dell'organizzazione, ma che non ha una connessione abbastanza forte per etichettare immediatamente l'inventario approvato. È necessario esaminare manualmente questi asset candidati per determinare la proprietà. |
| Richiede un'indagine | Uno stato simile allo stato Candidato , ma questo valore viene applicato agli asset che richiedono un'indagine manuale per la convalida. Lo stato viene determinato in base ai punteggi di attendibilità generati internamente che valutano la forza delle connessioni rilevate tra asset. Non indica la relazione esatta dell'infrastruttura con l'organizzazione, ma contrassegna l'asset per una revisione più dettagliata per determinare come deve essere categorizzato. |
Quando si esaminano gli asset, è consigliabile iniziare con gli asset etichettati Richiede indagine. I dettagli degli asset vengono costantemente aggiornati e aggiornati nel tempo per mantenere una mappa accurata degli stati e delle relazioni degli asset e per scoprire gli asset appena creati man mano che emergono. Il processo di individuazione viene gestito inserendo i semi nei gruppi di individuazione che è possibile pianificare per l'esecuzione su base ricorrente. Dopo aver popolato un inventario, il sistema Defender EASM analizza continuamente gli asset usando la tecnologia utente virtuale Microsoft per individuare dati aggiornati e dettagliati su ogni asset. Il processo esamina il contenuto e il comportamento di ogni pagina nei siti applicabili per fornire informazioni affidabili che è possibile usare per identificare vulnerabilità, problemi di conformità e altri potenziali rischi per l'organizzazione.