Авраам Линкольн, как говорят, ответил на вопрос «Что бы вы сделали, если бы у вас было всего шесть часов, чтобы срубить дерево?» так: «я бы потратил первые четыре на заточку топора».
О чем это говорит нам? О том, что подготовка — это ключ.
Вы не можете защитить то, чего не знаете, поэтому знание своих уязвимых мест системы — это первый шаг к эффективной защите.
Что такое поверхность атаки
Поверхность атаки — это набор элементов, которые могут быть атакованы, чтобы вызвать инцидент безопасности.
Обычно рассматриваются два типа поверхности атаки: цифровая и физическая поверхность атаки.
Если цифровая поверхность атаки состоит, например, из веб-сервисов, сети, протоколов связи, доменных имен и т.д., то физическая поверхность атаки касается физических точек атаки на компанию, таких как окна помещений, производственные площадки или даже пожар…
Эти две поверхности атаки пересекаются и взаимосвязаны; одинаково важно обеспечить безопасность обеих.
В информационных системах есть две площадки для атаки:
- Внешняя поверхность атаки, которая включает все точки, к которым можно получить удаленный доступ из Интернета.
- Внутренняя поверхность атаки, которая включает все точки, доступные изнутри компании.
Как узнать свою поверхность атаки
Составление карты поверхности атаки вашей ИБ — это задача, которая требует, чтобы вы подумали обо всех ваших различных активах и ценности, которую они имеют или могут дать доступ.
Чтобы составить карту поверхности атаки, необходимо знать:
- ваши записи DNS (домены, субдомены)
- ваши открытые серверы и службы (SSH, FTP и т. д.)
- используемые приложения и их версии (сюда входят ваши собственные приложения и приложения сторонних разработчиков)
- учесть физический доступ к информационной системе компании (помещения, кража устройств, производственная линия…)
- и любые другие элементы в зависимости от конкретной ситуации.
Составление карты поверхности атаки
Существуют различные инструменты и поисковые системы, облегчающие составление карты: shodan.io, censys.io, crt.sh…
Например, shodan.io позволяет проверить, какие устройства в вашей сети доступны из Интернета (серверы, маршрутизаторы, принтеры…), а crt.sh позволяет найти сертификаты, связанные с доменом.
Как уменьшить поверхность атаки
Как только вы узнаете поверхность атаки, вы сможете управлять ею и оценивать связанные с ней риски.
Если поверхность атаки велика, инвентаризация также поможет вам определить приоритеты в защите.
Цель знания заключается в том, чтобы иметь возможность сократить риски (где это возможно) и установить соответствующие средства защиты.
Наличие как можно меньшего количества точек атаки позволяет сконцентрировать усилия по защите и тем самым повысить безопасность.
Чтобы уменьшить поверхность атаки, общие рекомендации заключаются в следующем:
- очистить или удалить все элементы, которые больше не используются
- сегментировать сеть
- контролировать сеть и журналы
- сделать определенные инструменты или службы доступными только через VPN или после аутентификации
- следовать принципу наименьших привилегий
- информируйте сотрудников о рисках, которым они подвергаются (включая социальную инженерию)
- постоянно обновляйте информацию о поверхности атаки
Необходимо следить за внедрением новых услуг, развитием инфраструктуры, а также отслеживать публикацию уязвимостей, патчей, только так можно контролировать систему и не допустить появления новых возможностей для атак. После каждого существенного изменения желательно провести пентест, так как проникновение в сеть поможет вам оценить надежность с точки зрения профессионалов в безопасности.