Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Gestione della superficie di attacco esterna di Microsoft Defender (Defender EASM) usa la tecnologia di individuazione proprietaria Microsoft per definire continuamente l'esclusiva superficie di attacco esposta a Internet dell'organizzazione. La funzionalità di individuazione Defender EASM analizza gli asset noti di proprietà dell'organizzazione per individuare proprietà sconosciute e non monitorate in precedenza. Gli asset individuati vengono indicizzati nell'inventario dell'organizzazione. Defender EASM offre un sistema dinamico di record per applicazioni Web, dipendenze di terze parti e infrastruttura Web sotto la gestione dell'organizzazione in un'unica visualizzazione.
Tramite il processo di individuazione Defender EASM, l'organizzazione può monitorare in modo proattivo la superficie di attacco digitale in continua evoluzione. È possibile identificare i rischi emergenti e le violazioni dei criteri man mano che si verificano.
Molti programmi di vulnerabilità non hanno visibilità all'esterno del firewall. Non sono a conoscenza dei rischi esterni e delle minacce, che sono l'origine primaria delle violazioni dei dati.
Allo stesso tempo, la crescita digitale continua a superare la capacità di protezione di un team di sicurezza aziendale. Le iniziative digitali e il sempre più diffuso "shadow IT" ampliano la superficie di attacco al di fuori del firewall. A questo ritmo, è quasi impossibile convalidare controlli, protezioni e requisiti di conformità.
Senza Defender EASM, è quasi impossibile identificare e rimuovere le vulnerabilità e gli scanner non possono raggiungere oltre il firewall per valutare l'intera superficie di attacco.
Come funziona
Per creare una mappatura completa della superficie di attacco dell'organizzazione, Defender EASM acquisisce inizialmente le risorse note (seeds). I seed di individuazione vengono analizzati ricorsivamente per rilevare ulteriori entità attraverso le loro connessioni con i seed.
Un seed iniziale potrebbe essere uno dei seguenti tipi di infrastruttura web indicizzati da Microsoft:
- Domini
- Blocchi di indirizzi IP
- Ospita
- contatti Email
- Nomi di sistema autonomi (ASN)
- Organizzazioni WHOIS
A partire da un elemento iniziale, il sistema individua le associazioni con altre risorse dell'infrastruttura online per scoprire altre risorse di proprietà dell'organizzazione. Questo processo crea infine l'intero inventario della superficie di attacco. Il processo di individuazione usa i semi di individuazione come nodi centrali. Poi si dirama verso l'esterno verso la periferia della superficie di attacco. Identifica tutti gli elementi dell'infrastruttura connessi direttamente al nodo iniziale, quindi identifica tutti gli elementi correlati a ciascun elemento nel primo insieme di connessioni. Il processo si ripete e si estende fino a raggiungere il limite della responsabilità di gestione dell'organizzazione.
Ad esempio, per scoprire tutti gli elementi nell'infrastruttura di Contoso, è possibile usare il dominio, contoso.com, come seed keystone iniziale. A partire da questo seme, possiamo consultare le seguenti fonti e ricavare le seguenti relazioni:
| Fonte dati | Elementi con possibili relazioni con Contoso |
|---|---|
| Record whois | Altri nomi di dominio registrati nella stessa e-mail di contatto o nella stessa organizzazione registrante usata per la registrazione contoso.com |
| Record WHOIS | Tutti i nomi di dominio registrati in qualsiasi @contoso.com indirizzo di posta elettronica |
| Record whois | Altri domini associati al medesimo server dei nomi di contoso.com |
| Record DNS | Tutti gli host osservati nei domini di contoso e tutti i siti Web associati a tali host |
| Record DNS | Domini con host diversi, ma che vengono risolti negli stessi blocchi IP |
| Record DNS | Server di posta elettronica associati ai nomi di dominio di proprietà di Contoso |
| Certificati SSL | Tutti i certificati SSL (Secure Sockets Layer) connessi a ognuno degli host e a tutti gli altri host che usano gli stessi certificati SSL |
| Record di ASN | Altri blocchi IP associati allo stesso ASN dei blocchi IP connessi agli host nei nomi di dominio di Contoso, inclusi tutti gli host e i domini che li resolvono |
Usando questo set di connessioni di primo livello, è possibile derivare rapidamente un set completamente nuovo di asset da analizzare. Prima che Defender EASM esegua più ricorsioni, determina se una connessione è sufficientemente forte da consentire l'aggiunta automatica di un'entità individuata come Inventario confermato. Per ognuno di questi asset, il sistema di individuazione esegue ricerche automatiche e ricorsive in base a tutti gli attributi disponibili per trovare connessioni di secondo e terzo livello. Questo processo ripetitivo fornisce ulteriori informazioni sull'infrastruttura online di un'organizzazione e quindi individua asset diversi che altrimenti potrebbero non essere individuati e quindi monitorati.
Superfici di attacco automatizzate e personalizzate
Quando si usa Defender EASM per la prima volta, è possibile accedere a un inventario predefinito per l'organizzazione per avviare rapidamente i flussi di lavoro. Nel riquadro Introduzione un utente può cercare la propria organizzazione per popolare rapidamente l'inventario in base alle connessioni agli asset già identificate da Defender EASM. È consigliabile che tutti gli utenti cerchino l'inventario predefinito della superficie di attacco dell'organizzazione prima di creare un inventario personalizzato.
Per creare un inventario personalizzato, un utente può creare gruppi di individuazione per organizzare e gestire i semi usati durante l'esecuzione delle individuazioni. L'utente può usare gruppi di individuazione separati per automatizzare il processo di individuazione, configurare l'elenco di inizializzazioni e configurare pianificazioni di esecuzione ricorrenti.
Inventario confermato e asset candidati
Se il motore di rilevamento rileva una forte connessione tra una potenziale risorsa e il seed iniziale, il sistema assegna automaticamente alla risorsa lo stato Inventario confermato. Man mano che le connessioni a questo elemento iniziale vengono analizzate iterativamente e si individuano connessioni di terzo o quarto livello, il livello di confidenza del sistema nell’attribuzione della proprietà di eventuali asset appena rilevati diminuisce. Analogamente, il sistema potrebbe rilevare gli asset rilevanti per l'organizzazione, ma non di proprietà diretta dell'utente.
Per questi motivi, gli asset appena individuati vengono etichettati con uno degli stati seguenti:
| Nome dello stato | Descrizione |
|---|---|
| Inventario approvato | Elemento che fa parte della superficie di attacco di tua proprietà. Si tratta di un elemento di cui sei direttamente responsabile. |
| Dipendenza | Infrastruttura di proprietà di terze parti, ma che fa parte della superficie di attacco perché supporta direttamente il funzionamento degli asset di proprietà. Ad esempio, è possibile che si dipenda da un provider IT per ospitare il contenuto Web. Il dominio, il nome host e le pagine farebbero parte dell'inventario approvato, quindi potrebbe essere opportuno trattare come una dipendenza l'indirizzo IP su cui è in esecuzione l'host. |
| Solo monitoraggio | Una risorsa che è pertinente alla tua superficie di attacco, ma che non è direttamente controllata e non costituisce una dipendenza tecnica. Ad esempio, gli affiliati o gli asset indipendenti appartenenti a società correlate potrebbero essere etichettati come Monitor Only anziché Approved Inventory per separare i gruppi a scopo di creazione di report. |
| Candidato | Una risorsa che presenta una qualche relazione con le risorse iniziali note della tua organizzazione, ma che non ha un collegamento abbastanza forte da essere classificata immediatamente come Approved Inventory. È necessario esaminare manualmente questi asset candidati per determinare la proprietà. |
| Richiede un'indagine | Uno stato simile allo stato Candidato , ma questo valore viene applicato agli asset che richiedono un'analisi manuale per la convalida. Lo stato viene determinato in base ai punteggi di attendibilità generati internamente che valutano la forza delle connessioni rilevate tra gli asset. Non indica la relazione esatta dell'infrastruttura con l'organizzazione, ma contrassegna l'asset per una maggiore revisione per determinare come deve essere categorizzata. |
Quando si esaminano gli asset, è consigliabile iniziare con gli asset contrassegnati come Richiede indagine. I dettagli degli asset vengono riesaminati e aggiornati continuamente nel tempo per mantenere una mappatura accurata dei relativi stati e delle relazioni, e per individuare i nuovi asset non appena vengono creati. Il processo di individuazione viene gestito inserendo i semi nei gruppi di individuazione che è possibile pianificare per l'esecuzione in modo ricorrente. Dopo aver popolato un inventario, il sistema Defender EASM analizza continuamente gli asset usando la tecnologia utente virtuale Microsoft per individuare dati aggiornati e dettagliati su ogni asset. Il processo esamina il contenuto e il comportamento di ogni pagina nei siti applicabili per fornire informazioni affidabili che è possibile usare per identificare vulnerabilità, problemi di conformità e altri potenziali rischi per l'organizzazione.