검색이란?
Defender EASM(Microsoft Defender 외부 공격 표면 관리)은 Microsoft 독점 검색 기술을 사용하여 조직의 고유한 인터넷 노출 공격 표면을 지속적으로 정의합니다. Defender EASM 검색 기능은 조직에서 소유한 알려진 자산을 검사하여 이전에 알려지지 않은 속성과 모니터링되지 않은 속성을 발견합니다. 검색된 자산은 조직의 인벤토리에 인덱싱됩니다. Defender EASM은 단일 보기에서 조직의 관리 하에 웹 애플리케이션, 타사 종속성 및 웹 인프라에 대한 동적 레코드 시스템을 제공합니다.
Defender EASM 검색 프로세스를 통해 조직은 지속적으로 변화하는 디지털 공격 노출 영역을 사전에 모니터링할 수 있습니다. 발생하는 새로운 위험 및 정책 위반을 식별할 수 있습니다.
대부분의 취약성 프로그램은 방화벽 외부에서 가시성이 부족합니다. 데이터 침해의 주요 원인인 외부 위험 및 위협을 인식하지 못합니다.
이와 동시에 디지털 성장세는 엔터프라이즈 보안 팀의 보호 능력을 계속 앞지르고 있습니다. 디지털 이니셔티브와 지나치게 일반적인 "섀도 IT"는 방화벽 외부의 공격 노출 영역을 확장합니다. 이 속도로 제어, 보호 및 규정 준수 요구 사항의 유효성을 검사하는 것은 거의 불가능합니다.
Defender EASM이 없으면 취약성을 식별하고 제거하는 것은 거의 불가능하며 스캐너는 방화벽 너머에 도달하여 전체 공격 표면을 평가할 수 없습니다.
작동 방식
조직의 공격 표면을 포괄적으로 매핑하기 위해 Defender EASM은 먼저 알려진 자산(시드)을 가져옵니다. 검색 시드는 시드에 대한 연결을 통해 더 많은 엔터티를 발견하기 위해 재귀적으로 검사됩니다.
초기 초기 시드는 Microsoft에서 인덱싱한 다음과 같은 종류의 웹 인프라일 수 있습니다.
- 도메인
- IP 주소 블록
- 호스트
- 이메일 연락처
- ASN(자치 시스템 이름)
- Whois 조직
초기값부터 시스템은 다른 온라인 인프라 항목에 대한 연결을 검색하여 조직이 소유한 다른 자산을 검색합니다. 이 프로세스는 궁극적으로 전체 공격 표면 인벤토리를 만듭니다. 검색 프로세스는 검색 시드를 중앙 노드로 사용합니다. 그런 다음, 공격 표면의 주변을 향해 바깥쪽으로 분기합니다. 초기값에 직접 연결된 모든 인프라 항목을 식별한 다음 첫 번째 연결 집합의 각 항목과 관련된 모든 항목을 식별합니다. 프로세스는 반복되고 조직의 관리 책임에 도달할 때까지 확장됩니다.
예를 들어 Contoso 인프라의 모든 항목을 검색하려면 도메인 contoso.com을 초기 키스톤 시드로 사용할 수 있습니다. 이 초기값부터 다음 원본을 참조하고 다음 관계를 파생시킬 수 있습니다.
| 데이터 원본 | Contoso와 관계가 가능한 항목 |
|---|---|
| Whois 레코드 | 등록하는 데 사용된 동일한 연락처 전자 메일 또는 등록 조직에 등록된 다른 도메인 이름 contoso.com |
| Whois 레코드 | 모든 전자 메일 주소에 @contoso.com 등록된 모든 도메인 이름 |
| Whois 레코드 | 동일한 이름 서버와 연결된 다른 도메인 contoso.com |
| DNS 레코드 | Contoso가 소유한 도메인 및 해당 호스트와 연결된 모든 웹 사이트에서 관찰된 모든 호스트 |
| DNS 레코드 | 호스트가 다르지만 동일한 IP 블록으로 확인되는 도메인 |
| DNS 레코드 | Contoso 소유 도메인 이름과 연결된 메일 서버 |
| SSL 인증서 | 각 호스트 및 동일한 SSL 인증서를 사용하는 다른 호스트에 연결된 모든 SSL(Secure Sockets Layer) 인증서 |
| ASN 레코드 | Contoso의 도메인 이름에 있는 호스트에 연결된 IP 블록과 동일한 ASN과 연결된 다른 IP 블록(모든 호스트 및 해당 항목으로 확인되는 도메인 포함) |
이 1단계 연결 집합을 사용하여 조사할 완전히 새로운 자산 집합을 신속하게 파생할 수 있습니다. Defender EASM이 더 많은 재귀를 수행하기 전에 검색된 엔터티가 확인된 인벤토리로 자동으로 추가될 만큼 연결이 강력한지 여부를 결정합니다. 검색 시스템은 이러한 각 자산에 대해 사용 가능한 모든 특성을 기반으로 자동화된 재귀 검색을 실행하여 두 번째 수준 및 세 번째 수준 연결을 찾습니다. 이 반복 프로세스는 조직의 온라인 인프라에 대한 자세한 정보를 제공하므로 검색한 후 모니터링되지 않을 수 있는 서로 다른 자산을 검색합니다.
자동화된 공격 노출 영역과 사용자 지정된 공격 노출 영역 비교
Defender EASM을 처음 사용하는 경우 조직에서 미리 빌드된 인벤토리에 액세스하여 워크플로를 신속하게 시작할 수 있습니다. 시작 창에서 사용자는 조직을 검색하여 Defender EASM으로 이미 식별된 자산 연결에 따라 인벤토리를 빠르게 채울 수 있습니다. 모든 사용자가 사용자 지정 인벤토리를 만들기 전에 조직의 미리 빌드된 공격 노출 영역 인벤토리를 검색하는 것이 좋습니다.
사용자 지정된 인벤토리를 빌드하기 위해 사용자는 검색 그룹을 만들어 검색을 실행할 때 사용하는 시드를 구성하고 관리할 수 있습니다. 사용자는 별도의 검색 그룹을 사용하여 검색 프로세스를 자동화하고, 시드 목록을 구성하고, 되풀이 실행 일정을 설정할 수 있습니다.
확인된 인벤토리 및 후보 자산 비교
검색 엔진이 잠재적 자산과 초기 초기 초기 시드 간의 강력한 연결을 감지하면 시스템에서 확인된 인벤토리 상태로 자산에 자동으로 레이블을 지정합니다. 이 시드에 대한 연결이 반복적으로 검색되고 세 번째 수준 또는 네 번째 수준 연결이 검색되면 새로 검색된 자산의 소유권에 대한 시스템의 신뢰도는 줄어듭니다. 마찬가지로 시스템은 조직과 관련이 있지만 사용자가 직접 소유하지 않은 자산을 검색할 수 있습니다.
이러한 이유로 새로 검색된 자산은 다음 상태 중 하나로 레이블이 지정됩니다.
| State name | 설명 |
|---|---|
| 승인된 인벤토리 | 소유한 공격 노출 영역의 일부인 항목입니다. 직접 담당하는 항목입니다. |
| 종속성 | 타사에서 소유하지만 소유 자산의 운영을 직접 지원하기 때문에 공격 노출 영역의 일부인 인프라입니다. 예를 들어, 웹 콘텐츠를 호스트하기 위해 IT 공급자에 의존할 수 있습니다. 도메인, 호스트 이름 및 페이지는 승인된 인벤토리의 일부이므로 호스트를 실행하는 IP 주소를 종속성으로 처리할 수 있습니다. |
| 모니터 전용 | 공격 표면과 관련이 있지만 직접 제어되거나 기술적 종속성이 아닌 자산입니다. 예를 들어 관련 회사에 속한 독립 프랜차이즈 또는 자산에는 보고 목적으로 그룹을 구분하기 위해 승인된 인벤토리가 아닌 모니터만 레이블이 지정될 수 있습니다. |
| 후보자 | 조직의 알려진 초기 자산과 어느 정도 관계가 있지만 승인된 인벤토리에 즉시 레이블을 지정할 만큼 강력한 연결이 없는 자산입니다. 소유권을 확인하려면 이러한 후보 자산을 수동으로 검토해야 합니다. |
| 조사 필요 | 후보 상태와 유사하지만 이 값은 유효성을 검사하기 위해 수동 조사가 필요한 자산에 적용됩니다. 상태는 자산 간의 검색된 연결의 강도를 평가하는 내부적으로 생성된 신뢰도 점수에 따라 결정됩니다. 인프라와 조직의 정확한 관계를 나타내지는 않지만, 분류 방법을 결정하기 위해 더 많은 검토를 위해 자산에 플래그를 지정합니다. |
자산을 검토할 때는 조사 필요라는 레이블이 지정된 자산으로 시작하는 것이 좋습니다. 자산 세부 정보는 지속적으로 새로 고쳐지고 업데이트되어 자산 상태 및 관계의 정확한 맵을 유지하고 새로 만든 자산이 등장할 때 파악할 수 있습니다. 검색 프로세스는 반복적으로 실행되도록 예약할 수 있는 검색 그룹에 시드를 배치하여 관리됩니다. 인벤토리를 채운 후 Defender EASM 시스템은 Microsoft 가상 사용자 기술을 사용하여 자산을 지속적으로 검색하여 각 자산에 대한 상세 데이터를 발견합니다. 이 프로세스는 해당 사이트의 각 페이지의 콘텐츠와 동작을 검사하여 조직의 취약성, 규정 준수 문제 및 기타 잠재적 위험을 식별하는 데 사용할 수 있는 강력한 정보를 제공합니다.