إدارة التعرض وسطح الهجوم الخاص بك

اقرأ المقال كاملاً للحصول على النقاط الرئيسية من حديث نائب الرئيس للمنتج لدى Intruder، آندي هورنيجولد مؤخرًا حول إدارة التعرض. إذا كنت ترغب في سماع رؤى آندي مباشرة، شاهد ندوة Intruder عبر الإنترنت عند الطلب. لمعرفة المزيد عن تقليل سطح الهجوم الخاص بك، تواصل مع فريقهم اليوم.

إدارة سطح الهجوم مقابل إدارة التعرض

إدارة سطح الهجوم (ASM) هي عملية مستمرة لاكتشاف وتحديد الأصول التي يمكن للمهاجم رؤيتها على الإنترنت، وإظهار مكان وجود الثغرات الأمنية، وأين يمكن استخدامها لتنفيذ هجوم، وأين تكون الدفاعات قوية بما يكفي لصدها. هجوم. إذا كان هناك شيء ما على الإنترنت يمكن استغلاله من قبل أحد المهاجمين، فإنه يقع عادةً ضمن نطاق إدارة سطح الهجوم.

تأخذ إدارة التعرض هذه خطوة أخرى لتشمل أصول البيانات وهويات المستخدم وتكوين الحساب السحابي. ويمكن تلخيصها على أنها مجموعة من العمليات التي تسمح للمؤسسات بتقييم مدى وضوح أصولها الرقمية وإمكانية الوصول إليها وضعفها بشكل مستمر ومستمر.

الرحلة المستمرة لإدارة التهديدات

الإدارة المستمرة هي المفتاح لعدد من الأسباب. إن عملك وسطح الهجوم الخاص بك ومشهد التهديد ليس ثابتًا، بل يتغير ويتطور باستمرار. ويتم الكشف عن نقاط الضعف الجديدة كل ساعة، كما يتم نشر عمليات استغلال جديدة للثغرات القديمة علنًا، وتقوم الجهات الفاعلة في مجال التهديد بتحديث تقنياتها بشكل مستمر. بالإضافة إلى ذلك، غالبًا ما تتعرض الأنظمة والخدمات الجديدة للإنترنت، وإذا كنت تقوم بتشغيل عمليات CI/CD، فسيتم تحديث تطبيقاتك بشكل متكرر، مما قد يؤدي إلى إنشاء ثغرات أمنية قابلة للاستغلال.

تجاوز مكافحة التطرف العنيف

على نحو متزايد، يتم النظر إلى إدارة الثغرات الأمنية من خلال عدسة ضيقة لنقاط الضعف التي تحتوي على مخاطر تطرف خطيرة. اختلف فريق Intruder مع هذا النهج، ويعتقد أنه إذا كانت هناك نقطة ضعف في سطح الهجوم الخاص بك، فهي ثغرة بغض النظر عما إذا كانت مرتبطة بـ CVE أم لا.

لذلك، على عكس النهج الضيق لإدارة الثغرات الأمنية، فإن إدارة التعرض تأخذ في الاعتبار النظام بأكمله – بما في ذلك التكوينات الخاطئة ونقاط الضعف المحتملة التي لا تحتوي على CVE مرتبط بها. خذ حقن SQL، على سبيل المثال. لا تحتوي على CVE ولكنها لا تزال تمثل ثغرة أمنية في تطبيقك قد تؤدي إلى عواقب وخيمة إذا تم استغلالها. بالإضافة إلى ذلك، فإن تعرض Windows Remote Desktop للإنترنت لا يحتوي على CVE مرتبط، ولكنه يمثل خطرًا يمكن أن يحاول المهاجم استغلاله. في نهاية المطاف، توفر إدارة التعرض اسمًا شائعًا لكيفية إدراكنا لهذه التهديدات وإدارتها.

تحديد أولويات نقاط الضعف: الحاجة إلى السياق

في الوقت الحالي، توفر معظم برامج فحص الثغرات الأمنية قائمة بالثغرات الأمنية، كل منها كنقطة بيانات مستقلة. على سبيل المثال، قد يقومون بالإبلاغ: “النظام X به ثغرة أمنية Y؛ يجب أن تذهب لإصلاحه. ومع ذلك، عند التعامل مع عدد كبير من نقاط الضعف، فإن هذه المعلومات وحدها لا تكفي.

يتطلب تحديد الأولويات الفعالة المزيد من السياق لضمان تركيز الموارد المحدودة لفريقك على القضايا التي ستحدث فرقًا حقيقيًا. على سبيل المثال، من الضروري فهم الأصول التي تدعم وظائف الأعمال المهمة لديك، وما هي نقاط الضعف التي يمكن ربطها معًا للتأثير على وظائف الأعمال المهمة، وأين يمكن للمهاجم أن يدخل إلى شبكتك إذا تم استغلال هذه الأصول.

يحول هذا النهج إدارة نقاط الضعف من المهام المنعزلة والمعزولة إلى استراتيجية متماسكة، مما يوفر السياق اللازم لتحديد ليس فقط لو يجب إصلاح الثغرة الأمنية، ولكن أيضًا متى.

مثلما يساعد التأمل على تصفية القصف اليومي للأفكار والمشتتات، فإن منهج Intruder لإدارة التعرض يهدف إلى غربلة الضوضاء للتركيز على القضايا الأكثر أهمية.

لماذا تعتبر إدارة التعرض مهمة

تعد إدارة التعرض مهمة لأنه ليس كل ما يمكن إصلاحه يجب إصلاحه على الفور. بدون اتباع نهج استراتيجي، فإنك تخاطر بإهدار وقت ثمين في حل المشكلات ذات التأثير المنخفض، مثل شهادة TLS غير الموثوق بها على شبكة داخلية، بدلاً من معالجة نقاط الضعف التي قد تؤدي إلى اختراق نظام مهم للمهام.

من الممكن لك ولفريقك إحداث تأثير غير متناسب وأكثر أهمية على ملف تعريف المخاطر الخاص بمؤسستك من خلال توفير المزيد من الوقت للتركيز على الأنشطة ذات الأهمية الإستراتيجية التي تعمل على تأمين مؤسستك بشكل أكثر فعالية. ويمكن تحقيق ذلك عن طريق تجنب رد الفعل غير المحسوب تجاه كل ثغرة أمنية (أشبه بلعبة الضرب بالخلد)، وهو ما تهدف إدارة التعرض إلى تحقيقه.

من الممكن تقليل حجم المهام التي ينفذها فريقك من خلال تحديد نطاق بيئتك، وفهم الأصول التي تدعم العمليات الحيوية للأعمال، وإنشاء فرق مخصصة مسؤولة عن معالجة تلك الأصول، ووضع الحدود أو المشغلات التي تحدد متى تحدث المشكلات بحاجة إلى معالجة.

الحاجة إلى إدارة التعرض

هناك الكثير من الأمثلة الحديثة على حصول المهاجمين على سيطرة كاملة من خلال نقاط دخول تبدو غير ضارة.

اكتشف أحد المطورين في Microsoft بابًا خلفيًا تم وضعه عمدًا في xz-utils، وهي أداة مساعدة أساسية لضغط البيانات لأنظمة التشغيل Linux وUnix. سمحت هذه الثغرة الأمنية، الموجودة في الإصدارين 5.6.0 و5.6.1، لممثل تهديد غير معروف بتنفيذ أوامر على الأنظمة التي كانت تقوم بتشغيل هذه الإصدارات من xz-utils وكان SSH مكشوفًا للإنترنت. كان توقيت الاكتشاف محظوظًا بشكل لا يصدق، فقد تم اكتشافه قبل أن تتمكن الإصدارات المخترقة من xz-utils من الوصول إلى العديد من توزيعات Linux الرئيسية مثل Debian وRed Hat.

وعلى الرغم من عدم الإبلاغ عن حالات استغلال، إلا أن المخاطر المحتملة كانت كبيرة. كان من الممكن أن يتمكن ممثل التهديد من الوصول إلى تلك الأنظمة، مما يمنحهم نقطة انطلاق لاختراق الأنظمة الأخرى على أي شبكة متصلة لاستخراج أي وجميع البيانات الحساسة.

ستكون فرق الأمن قد أمضت الوقت والجهد في مطاردة ما إذا تم كشفهم أم لا. باستخدام إدارة التعرض، كان من السهل تحديد أي إصدارات متأثرة داخل بيئتك وإثبات أن التعرض كان في حده الأدنى نظرًا لأن الإصدارات المخترقة من xz-utils ليست منتشرة على نطاق واسع.

ومن المثير للاهتمام أن الجهود المبذولة لتضمين الباب الخلفي استغرقت أربع سنوات، مما كشف عن مخطط محسوب وطويل الأجل لاختراق البرمجيات مفتوحة المصدر. وهذا ليس بالأمر الجديد بالضرورة، ولكنه يسلط الضوء على حقيقة أن التهديدات المستمرة المتقدمة لا تركز فقط على المؤسسات الكبيرة؛ إذا تمكنت الجهات الفاعلة في مجال التهديد من اختراق حزمة مفتوحة المصدر مثل xz-utils وجعلها تصل إلى التوزيعات السائدة، فسيكون الجميع في خطر.

ثم هناك شبكات بالو ألتو. وأصدرت دعوة عاجلة للشركات لتصحيح ثغرة أمنية حرجة، تُعرف باسم CVE-2024-3400، في برنامج PAN-OS المستخدم على نطاق واسع والذي يشغل منتجات جدار الحماية GlobalProtect. يسمح هذا الخلل، الموجود في الإصدارات الأحدث من البرنامج، للمهاجمين بالتحكم الكامل في جدار الحماية المتأثر عن بعد دون الحاجة إلى المصادقة، مما يمثل تهديدًا كبيرًا لآلاف الشركات التي تعتمد على جدران الحماية هذه للأمان. نظرًا لإمكانية استغلالها بشكل مباشر عن بُعد، فقد منحت Palo Alto هذه الثغرة الأمنية أعلى تصنيف خطورة. باستخدام أدوات إدارة سطح الهجوم المتاحة لك، يجب أن يكون تحديد الأصول المعرضة للخطر فوريًا تقريبًا، ومع وجود عملية إدارة التعرض، كان من المفترض أن يسمح الحد الأدنى للمعالجة للمسؤولين عن العلاج أو التخفيف بالبدء في العمل بسرعة.

توضح هذه الأمثلة كيف يمكن إيقاف التهديدات بشكل فعال إذا تحولت المؤسسات من النهج التفاعلي والسريع لإصلاحها إلى إدارة التعرض الاستباقية، حيث تدير بشكل مستمر سطح الهجوم الخاص بها.

‍بدء رحلتك نحو إدارة التعرض الفعالة

البدء في إدارة التعرض يبدأ بخطوات عملية يمكن التحكم فيها:

1. استخدم ما لديك بالفعل: أولاً، تذكر أنه يمكنك الاستفادة من الخدمات التي تستخدمها بالفعل. على سبيل المثال، إذا كنت تستخدم أداة مثل Intruder، فلديك بالفعل موفر لإدارة الثغرات الأمنية وإدارة سطح الهجوم الذي يمكنه بدء نهجك في إدارة التعرض. وبدلاً من ذلك، يمكن للخدمة الاستشارية إجراء تمارين رسم خرائط مسار الهجوم وورش عمل حول ملف التهديد.
2. تحديد نطاقك: عند تحديد نطاق ما ستغطيه عملية إدارة التعرض، ركز أولاً على الأصول المعرضة للإنترنت، لأنها غالبًا ما تكون أكثر عرضة للهجوم. يمكن أن يساعدك Intruder من خلال تزويدك برؤية للأنظمة التي تواجه الإنترنت لديك، والتي يمكنك استخدامها كنقطة بداية لعملية إدارة التعرض لديك. يمكنك أيضًا استخدام علامات الهدف الخاصة بالمتطفل لتقسيم الأنظمة إلى نطاقاتك المحددة. في عملية تحديد النطاق، فإنك تتطلع أيضًا إلى تحديد الأفراد المسؤولين عن معالجة المخاطر عند اكتشاف ثغرة أمنية؛ يمكنك إضافة هؤلاء المستخدمين إلى Intruder وتمكينهم من إصلاح أي مشكلات والتحقق من حلها. إذا كانت البيانات متاحة، فتذكر أيضًا متابعة تطبيقات SaaS التي تستخدمها، حيث يمكن أن تحتوي على بيانات وبيانات اعتماد حساسة.
3. اكتشاف الأصول الخاصة بك وتحديد أولوياتها: استخدم أداة لتحديد الأصول المعروفة وغير المعروفة وتحديد الأصول المهمة للأعمال والتي تدعم النطاق الذي حددته مسبقًا. يكتشف الدخيل الأصول السحابية الجديدة تلقائيًا من خلال التكامل مع حساباتك السحابية وإجراء عمليات فحص تلقائية للنطاقات الفرعية. يمكنك أيضًا إضافة سياق إلى أصولك باستخدام العلامات لتحديد كيفية مساهمة الأنظمة في عمليات عملك، وما هي المخاطر التي تشكلها على تلك العمليات إذا تم اختراقها.
4. تنفيذ اكتشاف نقاط الضعف وتحديد الأولويات: وينتقل التركيز بعد ذلك إلى تقييم أي من هذه الأصول هي الأكثر عرضة لخطر الاختراق وأيها سيكون الأهداف الأكثر جاذبية للمهاجمين السيبرانيين. باستخدام Intruder، يمكنك العثور على نقاط الضعف في البنية الأساسية والتطبيقات وواجهات برمجة التطبيقات لديك، والحصول على قائمة بالمشكلات ذات الأولوية حتى تعرف ما يجب التصرف عليه أولاً. يوفر Intruder أيضًا نهجًا مستمرًا لاكتشاف الثغرات الأمنية وتحديد أولوياتها من خلال مراقبة شبكتك وإظهار ما تم كشفه وبدء عمليات الفحص عندما يتغير أي شيء.
5. يمثل: ثم يحين وقت العمل، سواء كان ذلك من خلال العلاج أو التخفيف أو قبول المخاطر. يُسهل Intruder إدارة جهود الإصلاح والتحقق منها. قم بإجراء عمليات فحص للمعالجة، وتصدير المشكلات إلى أنظمة التذاكر الخاصة بك، وإعداد التنبيهات في Slack وTeams، والمزيد.

جلب كل ذلك إلى المنزل

في النهاية، لدينا جميعًا قدرًا محدودًا من الوقت.

من خلال تقليل عوامل التشتيت وتمكين فريقك من التركيز على ما يهم حقًا، تسمح لك إدارة التعرض بتحقيق أكبر تأثير بأقل وقت مستثمر.

إذا كان فريقك يركز على 25% من نقاط الضعف المهمة بالفعل، فسيكون لديهم 75% من الوقت الإضافي للتركيز على الأنشطة المهمة للحفاظ على أمان عملك.

يهدف Intruder إلى تجهيز المؤسسات للتركيز على الأمور الهامة والمؤثرة، وفي نهاية المطاف، تأمين مشهدها الرقمي في عالم اليوم سريع الخطى.

وإذا كان ذلك يعني عطلات نهاية أسبوع أكثر سلمية والابتعاد بثقة عن مكاتبنا مع العلم أن أصولنا محمية، فأعتقد أننا نسير على الطريق الصحيح. ربما لا يتعلق الأمر بإدارة نقاط الضعف أو التعرض للتهديدات بقدر ما يتعلق بإدارة تركيزنا في التدفق اللامتناهي من تهديدات الأمن السيبراني.