آشنایی با مفاهیم تست نفوذ، مدیریت سطح حمله خارجی و مدیریت آسیب پذیری

در دنیای دیجیتال امروزی، مهاجمان همیشه در حال تکامل هستند. علاوه بر این، حفظ امنیت سایبری به دلیل استفاده مداوم از حملات گسترده، نقض داده ها، کلاهبرداری دیجیتال و حملات باج افزار کار آسانی نیست. برای حل این چالش ها ابتدا باید با اصول اولیه امنیت سایبری آشنا شده و راهکارهای موجود را ارزیابی کنیم. ما همچنین باید روش هایی را با بهترین نتایج ROI تبلیغ کنیم. آسیب پذیری، تهدید، خطر و اقدامات امنیتی از جمله مهم در حوزه امنیت سایبری هستند. در ادامه به بررسی هر یک از این موارد خواهیم پرداخت.

تعریف مفاهیم اساسی

• آسیب پذیری: این یک آسیب‌پذیری است که مهاجمان می‌توانند از آن برای دسترسی غیرمجاز به دارایی‌های دیجیتال شما استفاده کنند. با این دسترسی، مهاجمان می توانند کدهای مخرب را اجرا کنند، بدافزار نصب کنند و حتی داده های حساس را سرقت کنند.
• تهدید: فعالیت مخربی که از آسیب‌پذیری‌ها برای آسیب رساندن، افشای یا سرقت داده‌های حساس یا اختلال در دسترسی به دارایی‌های دیجیتال استفاده می‌کند.
• خطر: به آن احتمال آسیب یا از دست دادن در صورت بهره برداری از یک آسیب پذیری توسط مهاجمان گفته می شود. ریسک نیز به عنوان محصول تاثیر و امکان سنجی تعریف می شود.
• تمهیدات امنیتی: کنترل‌های امنیتی روش‌هایی هستند که برای کاهش خطراتی که دارایی‌های دیجیتال را به خطر می‌اندازند، استفاده می‌شوند.

افسران امنیت سایبری از انواع روش ها و ابزارهای امنیتی برای ایمن سازی فضای سایبری و کاهش خطرات استفاده می کنند. در این مقاله سه ابزار مدیریت آسیب پذیری ([۱]VM)، تست نفوذ (PT[2]) و مدیریت سطح حمله خارجی (EASM[3]) مورد بررسی قرار می گیرند. در مقاله زیر در مورد مفهوم این روش ها، دامنه آنها و شباهت ها و تفاوت های آنها صحبت می کنیم.

مدیریت آسیب پذیری چیست؟ (VM)

فرآیند مدیریت آسیب پذیری به طور مداوم برای شناسایی، ارزیابی، اولویت بندی، مدیریت و کاهش تأثیر آسیب پذیری های امنیتی اعمال می شود. در این فرآیند، پرسنل امنیت سایبری به طور مداوم اسکن آسیب‌پذیری‌ها را برای شناسایی آسیب‌پذیری‌های جدید و اعمال وصله‌های امنیتی و فرآیندهای لازم برای رفع آن‌ها انجام می‌دهند. برای اولویت بندی وصله های امنیتی از طرح های ارزیابی آسیب پذیری مانند سیستم ارزیابی آسیب پذیری مشترک (CVSS)[4]) و از محاسبه ریسک استفاده می شود. در مدیریت آسیب پذیری، محدوده هر دارایی از پیش تعریف شده است و هیچ دارایی جدیدی خارج از این محدوده کشف نمی شود. در این فرآیند معمولاً از مجموعه ای از آدرس های IP شناخته شده سازمان استفاده می شود. هنگامی که آسیب پذیری ها شناسایی می شوند، مرحله ای برای بهره برداری از آنها وجود ندارد. برخی از آسیب پذیری های شناسایی شده ممکن است قابل بهره برداری نباشند، بنابراین امکان تشخیص مثبت کاذب وجود دارد. به طور کلی، مدیریت آسیب‌پذیری امکان مشاهده بلادرنگ دارایی‌های شناخته شده را فراهم می‌کند.

تست نفوذ چیست؟ (PT)

تست نفوذ مجموعه ای از حملات شبیه سازی شده برای شناسایی آسیب پذیری هایی است که می تواند توسط مهاجمان برای دسترسی غیرمجاز به سیستم ها یا داده ها مورد سوء استفاده قرار گیرد. این تست در یک منطقه خاص و بر اساس مجوزهای خاص انجام می شود. مانند مدیریت آسیب‌پذیری، تست نفوذ دارای همان محدوده و مجوزهای خاص است، اما پوشش آن نسبت به مدیریت آسیب‌پذیری محدودتر است. بر اساس دانش قبلی سیستم مورد آزمایش، این آزمون به چند گروه مختلف تقسیم می شود که شامل جعبه سیاه، جعبه سفید و جعبه خاکستری است. در تست جعبه سیاه، مهاجمان هیچ اطلاعات قبلی در مورد سیستم ندارند، اما در تست جعبه سفید، ممکن است کدهای منبع سیستم را از قبل داشته باشند. در تست جعبه خاکستری، این امکان وجود دارد که مهاجمان از قبل دسترسی و امتیازات خاصی داشته باشند. تسترهای نفوذ سعی می کنند با استفاده از ابزارها و تکنیک هایی مشابه آنچه در دسترس مهاجمان است، امنیت سیستم را نقض کنند. این ابزارها یا اتوماتیک هستند یا دستی.

تسترهای نفوذ از آسیب پذیری های شناخته شده سوء استفاده می کنند و مسیرهای حمله مرتبط با سازمان را بررسی می کنند. بنابراین با این روش تشخیص مثبت کاذب وجود ندارد و یا تعداد آنها بسیار کم است. فرآیند تست نفوذ معمولا بین یک تا چهار بار در سال انجام می شود و دید در زمان واقعی را به سطح حمله ارائه نمی دهد. به طور کلی، تست‌های نفوذ، اثربخشی مکانیسم‌های دفاعی را بررسی می‌کنند و فرآیند رسیدگی به آسیب‌پذیری‌های شناخته شده و به‌روزرسانی سیاست‌های امنیتی را هدایت می‌کنند.

مدیریت حملات خارجی (EASM)

سطح حمله هر چیزی است که مهاجمان می توانند در حین تحقیق در اینترنت در مورد سازمان هدف خود کشف کرده و از آن بهره برداری کنند. ما می‌توانیم سطح حمله را با نقشه‌برداری فعالانه ردپای دیجیتال، نظارت بر کانال‌های آنلاین برای نشانه‌های حمله، خنثی کردن سریع تهدیدات شناخته شده و محافظت از مشتریان، کارمندان و شبکه‌ها کاهش دهیم.

مدیریت سطح حمله خارجی یک فرآیند مداوم است که خطرات دارایی های متصل به اینترنت را شناسایی و مدیریت می کند. در این فرآیند، تمام دارایی های شناخته شده یا ناشناخته (در داخل سازمان، محیط ابری، شرکت های تابعه شرکت، اشخاص ثالث یا محیط های شریک) از دیدگاه مهاجم و از دیدگاه خارجی سازمان شناسایی می شوند. ما می توانیم سطح حمله را فقط با دیدن همه دارایی های قابل مشاهده برای مهاجمان کاهش دهیم.

برخلاف تست نفوذ و مدیریت آسیب‌پذیری، مدیریت سطح حمله خارجی به اجرای یک مرحله پیوسته جداگانه بستگی دارد، یعنی. دستگاه ها را شناسایی کنید در این مرحله می توانیم دستگاه های ناشناخته را پیدا کنیم. بنابراین، دامنه دارایی‌ها نه تنها شامل مواردی است که قبلاً شناسایی شده‌اند، بلکه دارایی‌های کشف نشده در ردپای دیجیتال ما را نیز شامل می‌شود.

همانند مدیریت آسیب‌پذیری، در این مرحله به استفاده از یافته‌ها نمی‌پردازیم. بنابراین احتمال تشخیص های مثبت کاذب در این فرآیند وجود دارد، اما این تشخیص های مثبت کاذب را می توان با توجه به هدف اصلی دستیابی به دید کامل توجیه کرد. نظارت خارجی سطح حمله، دارایی های دیجیتال شناخته شده و ناشناخته تحت مدیریت سازمان یا اشخاص ثالث مجاز را پوشش می دهد، اما سطح حمله فراتر از این است و شامل دارایی های مخرب/جعلی ایجاد شده توسط مهاجمان و داده های حساس افشا شده توسط کارمندان یا مشتریان می شود. بنابراین، با EASM موارد زیر را نیز مشاهده می کنیم:

• دارایی های جعلی مورد استفاده برای فیشینگ و جعل برند؛
• اطلاعات حساب مشتری یا کارمند یا داده های حساس به سرقت رفته و لو رفته.

در واقع می توان با مدیریت آسیب پذیری در این دارایی های شناسایی شده، ریسک های موجود را به حداقل رساند.

مشابهت ها و تفاوت ها

• ابزارهای ارزیابی آسیب‌پذیری و اسکن مورد استفاده در فرآیند VM برای PT و EASM نیز قابل اجرا هستند.
• VM و EASM کارکردهای مشابهی در تشخیص، ارزیابی، اولویت‌بندی و اقدامات متقابل دارند، اما ویژگی اصلی متمایزکننده EASM شناسایی مستمر دارایی‌ها است.
• VM و EASM فعالیت های مداومی هستند، اما PT یک ارزیابی یکباره است. بنابراین، VM و EASM قابلیت مشاهده بلادرنگ را فراهم می‌کنند، اما PT این کار را نمی‌کند.
• در VM و PT ما سیستم را از منظر شبکه داخلی یا خارجی یا وضعیت بین این دو ارزیابی می کنیم، اما در EASM سیستم را به عنوان یک مهاجم یا از دیدگاه یک فرد خارج از سازمان ارزیابی می کنیم.
• در EASM و VM، از آسیب‌پذیری‌های شناخته شده استفاده نمی‌شود، اما در PT، ارزیابی با استفاده از آسیب‌پذیری‌ها انجام می‌شود.
• فقط در PT می‌توانیم آسیب‌پذیری‌ها را با بهره‌برداری از آنها ارزیابی کنیم. بنابراین تشخیص مثبت در این روش کمتر از دو مورد دیگر است.
• در EASM ما به دارایی های شناخته شده محدود نمی شویم و دارایی های ناشناخته را نیز می یابیم، اما در VM و PT هیچ فرآیند یافتن دارایی وجود ندارد.
• همانطور که در نمودار کاهش سطح حمله نشان داده شده است، فقط دارایی های شناخته شده در VM و PT پوشش داده می شوند، اما در EASM، علاوه بر دارایی های شناسایی شده، دارایی های ناشناخته، شخص ثالث، جعل هویت و سرقت شده/افشاء شده نیز در نظر گرفته می شود.

خلاصه ای از شباهت ها و تفاوت های مفاهیم مورد بحث در جدول زیر ارائه شده است.

نتیجه

هر یک از این روش ها مزایای منحصر به فردی دارند و استفاده همزمان از هر سه برای تقویت امنیت سایبری ضروری است. برای مثال، مدیریت آسیب‌پذیری بر آسیب‌پذیری‌های شناخته شده تمرکز می‌کند، اما آزمایش نفوذ می‌تواند آسیب‌پذیری‌های ناشناخته را در محصولات داخلی شناسایی کند، و مدیریت سطح حمله خارجی نیز دارایی‌های آسیب‌پذیر ناشناخته را پیدا می‌کند.

اما با توجه به محدودیت بودجه، اولویت بندی را بر اساس فرمول ریسک انجام دهیم. اثر ضرب در احتمال مراقب باشید، اگر ریسک را به طور کامل محاسبه نکنیم، نمی توانیم اقدامات مناسبی انجام دهیم.

با EASM می‌توانیم رتبه ریسک همه دارایی‌های قابل مشاهده یا قبلاً مشاهده نشده را تعیین کنیم.

• با افزایش دید سطح مهاجم، ضریب خطر ضربه افزایش می یابد.
• مهاجمان مسیر کمترین مقاومت را برای ورود به سازمان پیدا می کنند، بنابراین احتمال حمله برای دارایی های در تماس با اینترنت بیشتر است.

بنابراین می توانیم این گزینه EASM را به عنوان اولین گزینه در بین این سه مورد در نظر بگیریم.

[۱] مدیریت آسیب پذیری

[۲] تست نفوذ

[۳] مدیریت سطح حمله خارجی

[۴] یک سیستم ارزیابی آسیب پذیری مشترک

منبع: socradar