Met de evolutie en uitbreiding van de digitale voetafdruk van elke organisatie door middel van hostingoplossingen voor werken op afstand, cloudgebaseerde diensten of onderling verbonden systemen, nemen ook de toegangspunten voor potentiële aanvallen toe. Het groeiende aantal potentiële toegangspunten creëert een aanvalsoppervlak, dat wil zeggen het totale aantal punten waar een onbevoegde gebruiker een omgeving kan binnendringen om toegang te krijgen tot gegevens of gegevens uit een omgeving te extraheren.
Voor organisaties die hun digitale activa willen beveiligen, is een beoordeling van het aanvalsoppervlak (ASA) een essentiële praktijk. De beveiligingsteams kunnen helpen de gemiddelde tijd om een aanval te ontdekken te verkorten door het aanvalsoppervlak goed in de hand te houden en volledig inzicht te krijgen in elk aspect ervan, inclusief het aspect kwetsbaarheidsbeheer. Hierdoor kunnen organisaties overstappen van reactieve respons naar preventie via strategische beveiligingsprioritering en toewijzing van middelen.
In deze blog bespreken we het beoordelen van het aanvalsoppervlak, het belang ervan en de voordelen en uitdagingen. We zullen ook de processen onderzoeken die een organisatie kunnen helpen bij het verdedigen van haar IT-middelen tegen een steeds geavanceerder dreigingslandschap.
Wat is een beoordeling van het aanvalsoppervlak?
Een beoordeling van het aanvalsoppervlak is een methodische aanpak voor het ontdekken, identificeren en analyseren van alle punten (die zichtbaar zijn voor het publiek) in de IT-infrastructuur van een organisatie (inclusief hardware, software en digitale oplossingen) waar een potentiële bedreiging om kwaadaardige redenen toegang kan krijgen tot de organisatie. Dit omvat het opsommen van alle toegangspunten tot een bepaald systeem, zoals netwerkpoorten, applicatie-interfaces, gebruikersportalen, API's en fysieke toegangspunten. Het eindresultaat is een samengesteld overzicht van waar een organisatie vatbaar kan zijn voor aanvallen.
Een attack surface assessment is een evaluatie van de technische en niet-technische componenten van de omgeving. Dit omvat hardwareapparaten, softwaretoepassingen, netwerkdiensten, protocollen en gebruikersaccounts. Het niet-technische deel heeft betrekking op het menselijke aspect, organisatorische processen en fysieke beveiliging. Samen geven ze een volledig beeld van de beveiligingsstatus van een organisatie en identificeren ze doelgebieden voor herstel.
Waarom aanvalsoppervlaktebeoordelingen uitvoeren?
Organisaties kunnen niet beschermen wat ze niet kennen. Beveiligingsinbreuken vinden plaats op verlaten systemen, als onbekende activa of via toegangspunten buiten het bereik die beveiligingsteams nooit in hun beveiligingsplannen hadden opgenomen.
Zodra organisaties weten hoe een aanvaller binnen kan komen, kunnen ze de zwakke plekken identificeren, of dat nu verouderde software, ontbrekende patches, ineffectieve authenticatiemechanismen of slecht beveiligde interfaces zijn. Dit geeft beveiligingsteams de kans om deze kwetsbaarheden te patchen voordat een aanvaller ze kan misbruiken.
De meeste organisaties werken in een eindeloze lus wanneer ze reageren op beveiligingswaarschuwingen en incidenten. Teams raken uitgeput en organisaties worden blootgesteld. Dit patroon wordt doorbroken door aanvalsoppervlaktebeoordelingen, omdat teams kwetsbaarheden kunnen ontdekken en oplossen voordat ze worden misbruikt.
Veelgebruikte beoordelingsmethodologieën voor ASA
Beveiligingsteams gebruiken verschillende methodologieën om hun aanvalsoppervlak effectief te evalueren en te beheren. De aanpak die een organisatie kiest, hangt meestal af van haar beveiligingsbehoeften, beschikbare middelen en de complexiteit van de digitale omgeving.
Geautomatiseerde detectietechnieken
Geautomatiseerde detectietechnieken vormen de ruggengraat van de meeste programma's voor het beoordelen van het aanvalsoppervlak. Deze tools maken gebruik van het scannen van netwerken, systemen en applicaties om zowel activa als kwetsbaarheden te detecteren met minimale menselijke inspanning. Poortscanners brengen open netwerkservices in kaart, tools voor het inventariseren van subdomeinen vinden slapende webproperties en configuratieanalysatoren zoeken naar onveilige configuraties.
Handmatige verificatieprocessen
Automatisering zorgt voor breedte en handmatige verificatieprocessen zorgen voor diepgang in de beoordelingen van het aanvalsoppervlak. Dit omvat handmatige beoordeling van kritieke systemen, het testen van toegangscontroles en beoordeling van de beveiligingsarchitectuur om problemen te identificeren die een geautomatiseerde tool zou missen, zoals logische tekortkomingen in bedrijfsprocessen, technieken om authenticatie te omzeilen en beoordeling van toegangsrechten door beveiligingsprofessionals.
Continue versus momentane beoordeling
Bij het ontwerpen van hun beveiligingsprogramma's moeten organisaties kiezen tussen continue monitoring en momentane beoordelingen. Momentane beveiligingsevaluaties, ook wel momentane beoordelingen genoemd, worden vaak per kwartaal of per jaar uitgevoerd. Deze beoordelingen zijn doorgaans grondige analyses, maar kunnen nieuwere kwetsbaarheden missen die tijdens de beoordelingscycli aanwezig zijn. Daarentegen wordt bij continue monitoring altijd gecontroleerd op nieuwe assets, configuratiewijzigingen of kwetsbaarheden.
Risicogebaseerde prioriteringskaders
Risicogebaseerde prioriteringskaders stellen beveiligingsteams in staat om de meest kritieke items als eerste te prioriteren. Deze kaders houden rekening met de potentiële impact van inbreuken, de kans op misbruik en de bedrijfswaarde van de getroffen assets. Met een risicogebaseerde aanpak kunnen beveiligingsteams eerst de grootste kwetsbaarheden aanpakken, in plaats van alleen de kwetsbaarheden met het grootste volume of die het meest recentelijk zijn bekendgemaakt.
Toepassingen vanuit een offensief beveiligingsperspectief
Deze offensieve beveiligingsaanpak voor het beoordelen van het aanvalsoppervlak biedt de mogelijkheid om een beter inzicht te krijgen in de daadwerkelijke aanvalspaden. Bij deze aanpak denken beveiligingsteams als een aanvaller en testen ze systemen zoals een aanvaller dat zou doen. Dit omvat het in kaart brengen van aanvalspaden, het in kaart brengen van ketens van kwetsbaarheden die tot een grote inbreuk leiden, en het emuleren van tegenstanders, waarbij teams de technologie emuleren die door bepaalde bedreigingsgroepen wordt gebruikt.
Hoe voert u een beoordeling van het aanvalsoppervlak uit?
Een efficiënte beoordeling van het aanvalsoppervlak moet systematisch zijn en zowel technische hulpmiddelen als strategisch logisch vermogen combineren. Hieronder volgt het proces dat de basisstappen beschrijft die organisaties moeten volgen om hun beveiligingsstatus te evalueren en hun zwakke punten te ontdekken.
Eerste afbakening en vaststellen van doelstellingen
Alle goede beoordelingen van het aanvalsoppervlak moeten bepaalde doelstellingen en een bepaalde reikwijdte hebben. In deze fase specificeren beveiligingsteams welke systemen worden onderzocht, naar wat voor soort beveiligingsfouten ze op zoek zijn en wat een succesvolle beoordeling inhoudt. In deze planningsfase wordt bepaald of de beoordeling betrekking heeft op specifieke kritieke activa, nieuw geïmplementeerde systemen of de hele organisatie.
Fase van inventarisatie en ontdekking van activa
Het identificeren en registreren van elk systeem, elke applicatie en elke dienst die deel uitmaakt van de digitale aanwezigheid van de onderneming vormt de focus van deze fase. Het ontdekkingsproces begint met passieve en actieve methoden. Deze passieve methoden kunnen bestaan uit het lezen van alle bestaande documentatie, het analyseren van netwerkdiagrammen, het controleren van DNS-records en het doorzoeken van openbare databases naar vermeende activa van de organisatie.
In kaart brengen van externe aanvalsvectoren
Nadat de activa zijn geïdentificeerd, richten beveiligingsteams hun aandacht op de vraag hoe cybercriminelen extern toegang tot deze systemen kunnen krijgen. In deze stap worden de verschillende routes geanalyseerd die een aanvaller kan nemen om initiële toegang te verkrijgen. Het in kaart brengen van externe aanvalsvectoren is het proces waarbij een gedetailleerd overzicht wordt gemaakt van alle verbindingspunten tussen interne systemen en de buitenwereld. Dit omvat alle diensten die blootgesteld zijn aan het internet, VPN-eindpunten, e-mailgateways en verbindingen met derde partijen.
Identificatie van diensten en applicaties die in contact staan met het internet
Elk systeem dat een directe of indirecte (via een VPN-tunnel, enz.) verbinding met het internet heeft, is vanwege zijn aard het belangrijkste doelwit en vereist speciale aandacht tijdens de beoordeling. In deze stap moeten alle diensten waartoe men rechtstreeks toegang heeft via het openbare internet grondig worden onderzocht. Teams scannen alle gepubliceerde IP-reeksen en domeinen op open poorten en actieve diensten.
Evaluatie van authenticatie- en toegangscontrolesystemen
Als toegangscontroles die onbevoegde gebruikers buiten houden, falen, krijgt elke gebruiker toegang, zelfs tot goed beveiligde systemen. In dit deel wordt bepaald hoe gebruikers hun identiteit valideren en welke gebruikers toegang hebben tot de bronnen. De authenticatiebeoordeling omvat het controleren van wachtwoordbeleid, tweefactorauthenticatie, sessieafhandeling en opslag van inloggegevens.
Bevindingen documenteren en risicoprofielen opstellen
De laatste stap bestaat uit het omzetten van de technische bevindingen in bruikbare beveiligingsinformatie door kwetsbaarheden te documenteren en hun impact op het bedrijf te evalueren. Op basis van deze documentatie worden herstelmaatregelen gepland en algemene beveiligingsverbeteringen doorgevoerd. Teams schrijven een technische beschrijving van elke kwetsbaarheid, schetsen de mogelijke impact ervan en leggen uit hoe gemakkelijk deze kan worden misbruikt.
Voordelen van een beoordeling van het aanvalsoppervlak
Beoordelingen van het aanvalsoppervlak bieden organisaties naast het identificeren van kwetsbaarheden nog veel meer voordelen. Het systematische kader voor beveiligingsanalyse biedt verschillende voordelen die bijdragen aan de veerkracht en operationele efficiëntie van de beveiligingspositie van een onderneming.
Verbeterde zichtbaarheid
Regelmatige beoordelingen van het aanvalsoppervlak verbeteren de zichtbaarheid in complexe omgevingen. Naarmate organisaties zich ontwikkelen, wordt het voor hen steeds moeilijker om een nauwkeurig beeld te krijgen en te behouden van de IT-middelen waarover ze beschikken. Shadow IT, verouderde systemen en malafide applicaties creëren blinde vlekken waar beveiligingsrisico's onopgemerkt kunnen blijven. Beveiligingsteams kunnen dan hun hele omgeving overzien en beveiligen.
Verminder de kosten voor incidentrespons
Vroegtijdige detectie van kwetsbaarheden vermindert de kosten voor incidentrespons aanzienlijk met beoordelingen van het aanvalsoppervlak. Hoe langer hackers onopgemerkt blijven, hoe duurder beveiligingsincidenten worden. Door kwetsbaarheden proactief te identificeren via een kwetsbaarheidsbeoordeling, kan men kwetsbaarheden identificeren voordat een aanvaller dat doet, waardoor herstelmaatregelen kunnen worden genomen voordat er sprake is van een inbreuk, klanten moeten worden geïnformeerd, het systeem moet worden hersteld en er boetes van toezichthouders moeten worden betaald.
Strategische toewijzing van middelen
Deze beoordelingen helpen organisaties ook om hun beveiligingsuitgaven te concentreren waar dat nodig is, waardoor middelen strategischer kunnen worden toegewezen. Tegenwoordig staan beveiligingsteams onder druk om meer systemen dan ooit te beschermen en dat te doen met beperkte middelen. De informatie die in beoordelingen van het aanvalsoppervlak wordt verstrekt, is van cruciaal belang voor besluitvormers, omdat hiermee precies wordt vastgesteld welke systemen het grootste risico lopen en welke kwetsbaarheden de grootste potentiële schade kunnen veroorzaken als ze worden misbruikt.
Gemakkelijke bedrijfsuitbreiding
Beveiligingsanalyses vóór de implementatie verbeteren de beveiliging bij bedrijfsuitbreiding. Wanneer organisaties nieuwe producten ontwikkelen, nieuwe markten aanboren of nieuwe technologieën introduceren, creëren ze ook nieuwe aanvalsvectoren. Door vóór deze uitbreidingen een beoordeling van het aanvalsoppervlak uit te voeren, kunnen beveiligingsrisico's proactief worden aangepakt, omdat deze risico's in een vroeg stadium van het proces doorgaans gemakkelijker en kostenefficiënter kunnen worden verholpen.
Uitdagingen bij de beoordeling van het aanvalsoppervlak
De resultaten van de beoordeling van het aanvalsoppervlak zijn ongetwijfeld waardevol voor beveiligingsteams, maar er zijn ook een aantal unieke grote uitdagingen verbonden aan de implementatie en het onderhoud van een programma voor de beoordeling van het aanvalsoppervlak. Wanneer organisaties deze uitdagingen onderkennen, kunnen ze betere overwegingen maken voor beoordelingen en doelen bijstellen.
Dynamische en evoluerende IT-omgevingen
Voor beveiligingsteams is het moeilijk om gelijke tred te houden met de voortdurende veranderingen, met name in organisaties met actieve ontwikkelingsteams en frequente releases. Er bestaat een kloof tussen de fluïde aard van moderne infrastructuur en de tools/processen die zijn ontworpen om deze te observeren. Nieuwe implementaties brengen extra potentiële aanvalsvectoren met zich mee, en buiten gebruik gestelde systemen laten vaak nog steeds toegankelijke, verlaten bronnen achter.
Complexiteit van cloud- en gecontaineriseerde infrastructuur
Beoordelingstools die zijn ontwikkeld voor reguliere on-prem infrastructuur bieden doorgaans weinig inzicht in cloudgebaseerde risico's, zoals verkeerd geconfigureerde opslagbuckets, buitensporige IAM-machtigingen of onveilige serverloze functies. Gecontaineriseerde applicaties voegen nog een extra laag complexiteit toe met hun meerlaagse omgevingsorkestratiesystemen en registratiebeveiligingsaspecten.
Nauwkeurige inventarisatie van bedrijfsmiddelen
Tools voor het opsporen van bedrijfsmiddelen zien systemen vaak over het hoofd of bieden geen volledige informatie. Shadow IT-middelen die zonder medeweten van het beveiligingsteam worden ingezet, vormen blinde vlekken in de beveiliging. Legacy-systemen worden zelden gedocumenteerd, wat betekent dat hun functie en onderlinge relaties niet altijd duidelijk zijn.
Beperkte middelen en prioritering
Er is een probleem met de tools, expertise en tijd die de uitdagingen op het gebied van middelen veroorzaken. De meeste teams beschikken niet over de geavanceerde expertise die nodig is om cloudomgevingen, IoT-apparaten of gespecialiseerde applicaties te evalueren. Beoordelingstools zijn erg duur en kunnen het daarvoor gereserveerde budget overschrijden. Bedrijfsonderdelen oefenen vaak tijdsdruk uit, wat leidt tot verkorte beoordelingen waarbij kritieke kwetsbaarheden over het hoofd kunnen worden gezien.
Beheer van valse positieven
Om inzichten te verkrijgen, moeten beveiligingsteams de bevindingen handmatig controleren en valideren, wat, afhankelijk van de omvang van de beoordeling, uren tot dagen kan duren. Door de frequente valse waarschuwingen raken analisten gemakkelijk ongevoelig voor deze waarschuwingen, waardoor ze echte bedreigingen die hieronder verborgen zijn, kunnen missen. Bij gebrek aan processen voor het triageren en valideren van resultaten raken teams bedolven onder een lawine aan informatie.
Best practices voor het beoordelen van het aanvalsoppervlak
Veel organisaties moeten de best practices voor een succesvolle beoordeling van het aanvalsoppervlak begrijpen om veelvoorkomende valkuilen te vermijden en maximale beveiligingswaarde te bereiken.
Een uitgebreide inventaris van bedrijfsmiddelen opstellen
Een volledige en nauwkeurige inventaris van bedrijfsmiddelen vormt de basis voor effectief beheer van het aanvalsoppervlak. Om bedrijfsmiddelen te beveiligen, moeten organisaties eerst weten wat ze hebben. Toonaangevende organisaties houden een inventaris bij van alle hardware, software, cloudresources en digitale diensten.
Implementatie van continue monitoring
Implementeer in de hele infrastructuur sensoren om de beveiligingstelemetrie vast te leggen, waaronder kwetsbaarheidsgegevens en configuratiewijzigingen, evenals verdachte activiteiten. Controleer automatisch of de huidige status overeenkomt met de verwachte basislijnen en waarschuw bij afwijkingen met behulp van orchestration tools, in combinatie met continue kwetsbaarheidsscans zonder vast schema.
Bevindingen in context plaatsen met dreigingsinformatie
Beveiligingsteams moeten zich aansluiten bij dreigingsfeeds voor details over de kwetsbaarheden die actief worden misbruikt, opkomende technieken en branchespecifieke dreigingsonderwerpen. Breng de ontdekkingen van het aanvalsoppervlak van de organisatie in verband met deze informatie om te zien welke kwetsbaarheden in de nabije toekomst het meest waarschijnlijk zullen worden misbruikt. Houd campagnes van bedreigingsactoren in de gaten die zich mogelijk richten op de branche of bedrijven met een vergelijkbaar organisatieprofiel om inzicht te krijgen in waarschijnlijke aanvalspaden.
Risicogebaseerde prioritering van herstelmaatregelen
Maak een ranglijst van problemen op basis van een scoresysteem dat rekening houdt met de ernst van de kwetsbaarheid, de kriticiteit van de activa, de exploiteerbaarheid en de gevoeligheid van de gegevens. Concentreer u op kwetsbaarheden die gemakkelijk te misbruiken zijn en een aanvaller toegang geven tot gevoelige systemen of gegevens. Ontwikkel verschillende tijdschema's voor herstelmaatregelen op basis van de bedrijfswaarde die op het spel staat, bijvoorbeeld door ervoor te zorgen dat kritieke problemen binnen enkele dagen worden verholpen en dat artefacten met een lager risico worden opgenomen in regelmatige onderhouds-/patchcycli.
Communicatie met belanghebbenden en rapportage
Schrijf uitvoerende rapporten waarin technische bevindingen worden vertaald naar bedrijfsrisico's, met aandacht voor mogelijke operationele, financiële en reputatieschade. Stel IT-specifieke technische rapporten op met herstelmaatregelen en informatie over controlepunten om dit te bevestigen.
Praktijkvoorbeelden van blootstelling aan aanvalsoppervlakken
De inbreuk bij Equifax in 2017 is een van de grootste voorbeelden van blootstelling aan aanvalsoppervlakken met verwoestende gevolgen. Hierbij maakten aanvallers gebruik van een niet-gepatchte kwetsbaarheid in Apache Struts, een webapplicatieframework, om in te breken in de systemen van Equifax. Hoewel deze kwetsbaarheid al bekend was en er een patch beschikbaar was, heeft Equifax de patch niet in hun hele omgeving toegepast. Door deze nalatigheid kregen de aanvallers toegang tot de gevoelige kredietgegevens van ongeveer 147 miljoen mensen.
In 2019 vond het Capital One-datalek plaats toen een ex-werknemer van AWS misbruik maakte van een verkeerd geconfigureerde WAF in de AWS-omgeving van Capital One. Door de verkeerde configuratie kon een aanvaller opdrachten uitvoeren op de metadataservice en inloggegevens ophalen om toegang te krijgen tot S3-bucketgegevens. Door de hack werden ongeveer 100 miljoen Amerikanen en ongeveer 6 miljoen Canadezen gecompromitteerd. Dit is een goed voorbeeld van hoe bedrieglijk ingewikkeld de beveiliging van cloudomgevingen is en hoe belangrijk cloudconfiguratiebeheer is.
AI-gestuurde cyberbeveiliging
Verhoog uw beveiliging met realtime detectie, reactiesnelheid en volledig overzicht van uw gehele digitale omgeving.
Vraag een demo aanConclusie
In het moderne en steeds veranderende dreigingslandschap moeten organisaties verschillende strategieën toepassen om hun digitale activa te beschermen, vandaar het belang van een beoordeling van het aanvalsoppervlak. Door mogelijke toegangspunten op gestructureerde wijze te identificeren, analyseren en verhelpen, kunnen beveiligingsteams het risico op cyberaanvallen aanzienlijk minimaliseren. Door regelmatig beoordelingen uit te voeren, kunnen problemen worden opgelost voordat aanvallers ze kunnen vinden en misbruiken. Deze proactieve maatregel verbetert de beveiliging, maar helpt ook bij het nalevingsproces en de toewijzing van middelen en draagt bij aan inzichten in de beveiligingsstrategie.
FAQs
Een beoordeling van het aanvalsoppervlak is een proces waarbij alle mogelijke toegangspunten tot de IT-infrastructuur van een organisatie die door aanvallers kunnen worden misbruikt, worden geïdentificeerd, gedocumenteerd en geanalyseerd. Dit omvat het volgen van alles, van hardware tot software tot netwerkdiensten, dat als toegangspunt voor hackers of ongewenste gebruikers kan dienen.
In elk aanvalsoppervlak zijn de belangrijkste componenten onder meer applicaties en diensten die in contact staan met het internet, netwerkperimeters, eindpunten en gebruikersapparaten, cloudbronnen, verbindingen met derden, API's, gebruikersaccounts en fysieke toegangspunten. Al deze componenten dienen als potentiële toegangspunten voor aanvallers.
Een beoordeling van het aanvalsoppervlak identificeert alle mogelijke toegangspunten en toegangsvectoren, terwijl een kwetsbaarheidsbeoordeling alleen bekende kwetsbaarheden in deze toegangspunten onderzoekt. Terwijl een beoordeling van het aanvalsoppervlak zich richt op vragen over wat er wordt aangevallen, gaat een kwetsbaarheidsbeoordeling dieper in op hoe het kan worden aangevallen.
Niet-gepatchte software, verkeerd geconfigureerde clouddiensten, openbaarmaking van de API, defecte authenticatiesystemen, gebruikers die vatbaar zijn voor phishing, onveilige of onnodige netwerkdiensten, standaardreferenties en toeleveringsketens van derden zijn allemaal veelvoorkomende aanvalsvectoren. Deze vectoren illustreren de routes die aanvallers daadwerkelijk nemen wanneer ze proberen in te breken in het systeem.
Organisaties moeten minstens één keer per kwartaal een volledige beoordeling van het aanvalsoppervlak uitvoeren en tussen grote beoordelingen door proactief monitoren. In omgevingen die aan veel veranderingen onderhevig zijn of in sterk gereguleerde sectoren is een beoordeling vaker nodig. Ook moet elke grote verandering in de infrastructuur worden beoordeeld.
Ja, een beoordeling van het aanvalsoppervlak kan cyberaanvallen helpen voorkomen door kwetsbaarheden te identificeren en te verhelpen voordat aanvallers er misbruik van kunnen maken. Door inzicht te krijgen in waar ze kwetsbaar zijn, kunnen organisaties gerichte beveiligingsmaatregelen implementeren, hun aanvalsoppervlak verkleinen en zichzelf minder aantrekkelijk maken voor aanvallers.
