Externe aanvalsoppervlaktebewaking is het ontdekken, catalogiseren en beveiligen van alle via internet toegankelijke activa en systemen binnen de organisatie die een toegangspunt voor aanvallers kunnen vormen. Hieronder vallen websites, API's, clouddiensten, IP-adressen, domeinen, certificaten en alle andere bronnen die buiten de netwerkperimeter van de organisatie kunnen worden waargenomen of bereikt. Tools voor externe aanvaloppervlaktebewaking waarschuwen beveiligingspersoneel voor hun externe blootstelling, inclusief blinde vlekken voor beveiligingslacunes en kwetsbaarheden die door bedreigers kunnen worden misbruikt.
Het is ook een belangrijk onderdeel geworden van elke effectieve cyberbeveiligingsstrategie in het digitale tijdperk. De dreigingsvector voor aanvallen is sterk toegenomen nu organisaties hun digitale aanwezigheid versterken door middel van digitale transformatie-initiatieven, verder migreren naar de cloud en het thuiswerkbeleid voortzetten. Bestaande, niet-gevolgde en vergeten externe activa en/of systemen die zijn geconfigureerd of niet zijn gepatcht en kwetsbare internettoepassingen leiden vaak tot het merendeel van de beveiligingsinbreuken.
In deze blog gaan we dieper in op het monitoren van externe aanvalsoppervlakken en de belangrijkste onderdelen van het proces, hoe je dit kunt implementeren en wat de voordelen en uitdagingen zijn. We bekijken manieren waarop organisaties een effectief programma voor het monitoren van externe aanvalsoppervlakken kunnen opzetten, waarmee ze continu toezicht kunnen houden op externe assets, beveiligingslacunes kunnen opsporen en herstelmaatregelen kunnen prioriteren op basis van risiconiveaus.
Inzicht in monitoring van externe aanvalsoppervlakken
Monitoring van externe aanvalsoppervlakken omvat realtime monitoring en evaluatie van alle assets op het internet en alle mogelijke toegangspunten tot het netwerk van de organisatie. Organisaties hebben vaak veel naar buiten gerichte systemen, zoals websites, klantenportals, cloudapplicaties, diensten van derden, enz. Al deze variabelen vormen aanvalsoppervlakken en beveiligingszwakheden die een aanvaller kan gebruiken als ze niet worden onderzocht of beschermd.
Noodzaak van monitoring van externe aanvalsoppervlakken
Het biedt continue detectie en beoordeling van de naar buiten gerichte activa. Het stelt beveiligingsteams in staat om te scannen op malafide activa, verouderde besturingssystemen, verkeerd geconfigureerde diensten en blootgestelde inloggegevens die een aanvaller kan vinden en misbruiken voordat het beveiligingsteam zich bewust is van het bestaan van de dreiging.
Slecht bewaakte externe activa hebben kwetsbaarheden, die vaak onopgemerkt blijven en pas zichtbaar worden nadat de inbreuk heeft plaatsgevonden. Bedrijven breiden hun bereik in de digitale wereld snel uit door middel van ongekende automatisering en de cloud. Een kloof tussen beveiligingszichtbaarheid en bedrijfszichtbaarheid is een zeer reëel probleem dat moet worden gemonitord.
Hoe verschilt dit van het interne aanvalsoppervlak?
Inzicht in het verschil tussen externe en interne aanvalsoppervlakken is essentieel voor het toepassen van relevante beveiligingsmaatregelen. Het externe aanvalsoppervlak is het geheel van activa dat zonder enige vorm van authenticatie openbaar toegankelijk is; al deze activa zijn rechtstreeks toegankelijk voor een aanvaller. Dit kan bijvoorbeeld gaan om openbare websites, open API's, DNS-records, cloudopslagbuckets en servers die via internet toegankelijk zijn. Aan de andere kant omvat het interne aanvalsoppervlak omvat alle systemen binnen de netwerkperimeter van de organisatie die op de een of andere manier toegang nodig hebben om ze te kunnen gebruiken, bijvoorbeeld voor gebruikersbehoeften zoals interne applicaties en databases of netwerkshares.
Belangrijkste componenten van monitoring van het externe aanvalsoppervlak
Effectieve monitoring van het externe aanvalsoppervlak is afhankelijk van verschillende cruciale componenten die samenwerken om uitgebreide zichtbaarheid en bescherming te bieden.
Asset discovery
Asset discovery is het proces waarbij verschillende technieken worden gebruikt om alle met het internet verbonden bronnen van een organisatie te identificeren. Automatiseer de analyse van domeinnamen, subdomeinnamen, IP-adressen, cloudbronnen, verbindingen met derden en alle andere assets die een beveiligingsteam mogelijk is vergeten of waarvan het bestaan niet eens bekend is. Aangezien organisaties tijdens hun bedrijfsvoering regelmatig nieuwe digitale assets toevoegen, is continue detectie van cruciaal belang.
Beoordeling van kwetsbaarheden
Een ander belangrijk onderdeel is kwetsbaarheidsbeoordeling, een meer systematische analyse van de tijdens de ontdekking gevonden activa op zoek naar beveiligingszwakheden, zoals verouderde software, onvolledige patches, configuratiezwakheden, blootgestelde gevoelige informatie en veelvoorkomende beveiligingskwetsbaarheden, zoals die uit de OWASP Top 10. Externe oplossingen voor het monitoren van aanvalsoppervlakken kunnen tegenwoordig zwakke plekken vinden in allerlei soorten activa, waaronder webapps, API's, cloudinfrastructuur en netwerkdiensten.
Risicoprioritering
Dankzij deze mogelijkheden voor risicoprioritering kunnen beveiligingsteams de meest impactvolle problemen als eerste aanpakken. Niet alle kwetsbaarheden brengen echter hetzelfde risiconiveau met zich mee en organisaties hebben niet de middelen om alle beveiligingskwetsbaarheden tegelijkertijd te verhelpen. Dit op risico's gebaseerde raamwerk helpt beveiligingsteams de gevaarlijkste kwetsbaarheden te neutraliseren voordat een aanvaller de kans krijgt om ze te misbruiken. Het raamwerk bevat ook statistieken om veranderingen in de beveiligingsstatus in de loop van de tijd bij te houden.
Configuratiebewaking
Configuratiebewaking controleert externe assets op veranderingen die nieuwe kwetsbaarheden kunnen introduceren. Tegelijkertijd ontstaan veel van deze inbreuken wanneer het systeem voorheen goed beveiligd was, maar onveilig is geworden door configuratieafwijkingen. Oplossingen voor het bewaken van externe aanvalsoppervlakken letten op dergelijke veranderingen en waarschuwen de beveiligingsteams wanneer configuraties buiten de veilige baseline of compliance vallen.
Vermindering van het aanvalsoppervlak
Vermindering van het aanvalsoppervlak is een proactieve functie waarmee organisaties onnodige blootstelling kunnen beperken. Met de resultaten van externe aanvalsoppervlakmonitoring kunnen beveiligingsteams onderbenutte of dubbele assets ontdekken, services consolideren, de juiste toegang instellen en het totale aantal systemen dat toegankelijk is via internet verminderen.
Hoe implementeer je een effectieve strategie voor monitoring van het externe aanvalsoppervlak?
Een uitgebreide strategie voor monitoring van het externe aanvalsoppervlak omvat een systematische integratie van technologie, processen en mensen die samenwerken aan één doel. Dit vijfstappenplan schetst een praktische routekaart voor het ontwikkelen van een uitgebreid programma voor monitoring van het externe aanvalsoppervlak om beveiligingsrisico's te beperken.
Stap 1: Identificeer en breng alle externe activa in kaart
De eerste essentiële stap van elke effectieve strategie is het opstellen van een organisatiebrede inventaris van alle externe activa. Dit inventarisatieproces moet met name gebruikmaken van veel verschillende methoden om een zo groot mogelijke dekking te bieden (DNS-opsomming, IP-bereikscans, certificaattransparantielogboeken, zoekmachineresultaten, cloudresource-detectie, enz. Het doel is niet alleen om bekende activa te vinden, maar ook om schaduw-IT, verlopen systemen en links van derden te vinden waarvan beveiligingsteams zich mogelijk niet bewust zijn.
Stap 2: Blijf continu alert op nieuwe bedreigingen
Organisaties moeten eerst een inventarisatie maken en een basisinventaris vaststellen, en vervolgens continu blijven monitoren om nieuwe bedreigingen te identificeren zodra deze zich voordoen en deze te beperken. Een dergelijke bewaking moet consistent zijn met het controleren van zwakke punten, het evalueren van ontwerpen en het combineren van inzichten in gevaren. Externe bewaking van het aanvalsoppervlak verschilt van traditionele, op gezette tijden herhaalde beveiligingsbeoordelingen. Dit betekent dat voortdurende waakzaamheid nodig is om nieuw gepubliceerde kwetsbaarheden, nieuwe aanvalstechnieken en veranderingen in de externe omgeving te identificeren.
Stap 3: Automatiseer het prioriteren en beperken van risico's
Externe monitoring van het aanvalsoppervlak levert een extreem groot aantal beveiligingsbevindingen op, en handmatig prioriteren werkt simpelweg niet. Organisaties moeten gebruikmaken van geautomatiseerde risicoscoringsmodellen die rekening houden met een reeks risicofactoren, zoals de ernst van de kwetsbaarheid, de kriticiteit van de activa, de exploiteerbaarheid en de context van de dreiging. Door deze modellen toe te passen, kunnen beveiligingsteams alleen de belangrijkste (en meest betekenisvolle) risico's prioriteren, waardoor ze niet verzanden in zaken met een lage prioriteit.
Stap 4: Voer regelmatig beveiligingsaudits en nalevingscontroles uit
Hoewel continue monitoring de kern vormt van effectieve monitoring van het externe aanvalsoppervlak, moet u dieper graven. Dergelijke beoordelingen moeten meer omvatten dan alleen de aanwezigheid van kwetsbaarheden. Ze moeten ook de beveiligingsmaatregelen, het toegangsbeheer en de naleving van het beleid in het algemeen binnen het externe aanvalsoppervlak evalueren. Audits kunnen penetratietests, red team-operaties en nalevingsbeoordelingen ten opzichte van relevante kaders zoals NIST, ISO, CIS of andere branchespecifieke normen.
Stap 5: Integreer monitoring van externe aanvalsoppervlakken met bestaande beveiligingstools
Monitoring van externe aanvalsoppervlakken mag niet in een vacuüm plaatsvinden, maar moet worden geïntegreerd in het bredere beveiligingsecosysteem. Correlatie met tools voor kwetsbaarheidsmonitoring, beveiligingsinformatie- en gebeurtenissenbeheer (SIEM) systemen, feeds met informatie over bedreigingen en databases die worden gebruikt voor het monitoren van IT-middelen, bieden een beter overzicht van de beveiliging. Hierdoor kunnen externe observaties worden gecorreleerd met interne beveiligingsgegevens, waardoor extra context wordt onthuld om geavanceerdere bedreigingen beter te herkennen.
Voordelen van externe monitoring van het aanvalsoppervlak
Organisaties die robuuste programma's voor externe monitoring van het aanvalsoppervlak implementeren, realiseren aanzienlijke beveiligings- en bedrijfsvoordelen, van verbeterde detectie van bedreigingen tot verbeterde compliance en klantvertrouwen.
Verbeterde detectie en preventie van bedreigingen is een belangrijk voordeel van monitoring van externe aanvalsoppervlakken. Door continu internetgerichte activa te scannen en te beoordelen, kunnen organisaties zwakke plekken in de beveiliging identificeren voordat aanvallers hiervan misbruik maken. Deze proactieve aanpak detecteert kwetsbaarheden, verkeerde configuraties en blootgestelde inloggegevens die anders verborgen zouden blijven tot na een inbreuk. Monitoringtools voor externe aanvalsoppervlakken kunnen beveiligingsproblemen in verschillende soorten activa en omgevingen opsporen en bieden zo uitgebreide bescherming tegen externe bedreigingen.
Verbeterde zichtbaarheid van digitale activa is een ander cruciaal voordeel voor beveiligingsteams. Veel organisaties hebben moeite om een nauwkeurige inventaris bij te houden van hun systemen die aan het internet zijn blootgesteld, vooral nu de acceptatie van de cloud en de digitale transformatie in een stroomversnelling komen. Externe monitoring van het aanvalsoppervlak zorgt voor automatische detectie van alle naar buiten gerichte assets, inclusief die welke buiten de normale IT-processen worden ingezet.
De vroege detectiemogelijkheden van oplossingen voor externe monitoring van het aanvalsoppervlak leiden tot kortere responstijden en lagere kosten bij incidenten. Door kwetsbaarheden te identificeren en aan te pakken voordat ze worden misbruikt, kunnen organisaties kostbare beveiligingsincidenten en de daarmee gepaard gaande responsactiviteiten voorkomen. Wanneer er toch inbreuken plaatsvinden, bieden gegevens van externe aanvalsoppervlaktebewaking waardevolle context die beveiligingsteams helpt om aanvalsroutes en getroffen systemen te begrijpen, waardoor snellere beheersing en herstel mogelijk is.
Verbeterde compliance en risicobeheer zijn belangrijke zakelijke voordelen van de implementatie van externe aanvalsoppervlaktebewaking. Veel regelgevingskaders verplichten organisaties om inventarissen van hun IT-middelen bij te houden en passende beveiligingsmaatregelen te implementeren. Monitoring van externe aanvalsoppervlakken automatiseert deze inventarisatieprocessen en levert bewijs van beveiligingstests en herstelmaatregelen.
Concurrentievoordeel en klantvertrouwen zijn langetermijnvoordelen van effectieve monitoring van externe aanvalsoppervlakken. Nu datalekken steeds vaker het nieuws halen, letten klanten bij het selecteren van zakenpartners en dienstverleners steeds meer op beveiliging. Organisaties met sterke mogelijkheden voor monitoring van externe aanvalsoppervlakken kunnen hun toewijding aan beveiliging aantonen en reputatieschade als gevolg van vermijdbare inbreuken voorkomen.
Belangrijke technieken voor het opsporen van externe aanvalsoppervlakken
Het opsporen van een extern aanvalsoppervlak is afhankelijk van een methodologie die bestaat uit een reeks gespecialiseerde technieken die samen een samengesteld beeld geven van de digitale voetafdruk van de organisatie.
Geautomatiseerde assetdetectie
Geautomatiseerde assetdetectie vormt de basis van externe monitoring van het aanvalsoppervlak en helpt bij het opsporen van de organisatorische assets die via meerdere technische methoden op het internet beschikbaar zijn. Het detectieproces omvat, maar is niet beperkt tot, DNS-enumeratie om subdomeinen te registreren, het scannen van IP-reeksen om bereikbare netwerkapparaten te detecteren, verkenning van zoekmachines om webproperties te lokaliseren en het doorzoeken van certificaattransparantielogboeken om SSL/TLS-certificaten te detecteren die zijn uitgegeven aan domeinen van de organisatie.
Beveiligingsbeoordeling van webapplicaties en API's
Bij beveiligingsbeoordelingen van webapplicaties en API's ligt de prioriteit op het opsporen van zwakke plekken in openbaar toegankelijke webservices die doorgaans gevoelige informatie verwerken en directe verbindingen tussen interne computersystemen mogelijk maken. Bij deze beoordelingen worden gespecialiseerde scanners gebruikt die scannen op veelvoorkomende inbreuken in webapplicaties, zoals injectiefouten, gebrekkige authenticatie, cross-site scripting en verkeerd geconfigureerde beveiliging.
Risico's van cloud en derde partijen
Een alternatieve beoordeling van risico's van de cloud en derde partijen richt zich op de specifieke beveiligingsvereisten van gedistribueerde computeromgevingen en relaties in de toeleveringsketen. Deze methode omvat scans naar verkeerd geconfigureerde cloudopslagbuckets, te permissieve IAM-beleidsregels, niet-gepatchte clouddiensten en databases of beheerinterfaces die voor het publiek toegankelijk zijn voor cloudassets.
Monitoring van het lekken van inloggegevens
Dit beschermt organisaties tegen ongeoorloofde toegang door blootstelling van authenticatiegegevens. Met behulp van deze techniek monitoren beveiligingsteams voortdurend openbare coderepositories, paste-sites, dark web-forums en verzamelingen van datalekken op zoek naar gebruikersnamen, wachtwoorden, API-sleutels, tokens en andere toegangsgegevens die verband houden met de organisatie. Robuustere monitoringoplossingen maken gebruik van contextuele analyse om potentiële blootstelling van inloggegevens te verifiëren en tegelijkertijd het aantal valse positieven te verminderen.
Uitdagingen bij het monitoren van externe aanvalsoppervlakken
Hoewel de voordelen van programma's voor het monitoren van externe aanvalsoppervlakken duidelijk zijn, zijn er een aantal belangrijke uitdagingen waarmee organisaties worden geconfronteerd bij de implementatie ervan en die moeten worden aangepakt om zinvolle beveiligingsresultaten te behalen.
Voortdurend evoluerende aanvalsoppervlakken
Een uitdaging die centraal staat bij programma's voor monitoring van externe aanvalsoppervlakken is dat deze oppervlakken voortdurend veranderen als gevolg van de snelle implementatie van nieuwe digitale diensten, de invoering van cloudplatforms en de integratie van technologie van derden. Elke nieuwe applicatie, API, domein of cloudresource vergroot het externe aanvalsoppervlak, vaak zonder dat het beveiligingsteam hiervan op de hoogte is.
Schaduw-IT en onbeheerde activa
Hoewel detectietechnieken een lange weg hebben afgelegd, vormen schaduw-IT en onbeheerde activa vormen nog steeds een blinde vlek in veel beveiligingsprogramma's. Vaak voorzien bedrijfsonderdelen cloudresources, implementeren ze marketingwebsites of maken ze verbinding met SaaS-applicaties zonder daarbij beveiligingsteams te betrekken of beveiligingsprocessen na te leven. Deze schaduwactiva beschikken doorgaans niet over adequate beveiligingsmaatregelen, patchbeheeren monitoring, waardoor ze een gemakkelijk doelwit worden voor aanvallers.
Vals-positieve resultaten en alarmmoeheid
Vals-positieve resultaten en alarmmoeheid verminderen de efficiëntie van externe programma's voor het monitoren van aanvalsoppervlakken wanneer beveiligingspersoneel wordt overspoeld met grote hoeveelheden of onnauwkeurige gegevens. Kwetsbaarheidsscanners produceren doorgaans honderden, zo niet duizenden technische bevindingen, waardoor het een uitdaging kan zijn om te bepalen welke problemen daadwerkelijk een risico vormen voor de organisatie.
Gebrek aan realtime zichtbaarheid en correlatie van bedreigingen
Als beveiligingsgegevens versnipperd zijn over meerdere tools en nog meer teams, bieden bevindingen van externe monitoring van het aanvalsoppervlak weinig beveiligingswaarde, omdat realtime zichtbaarheid en correlatie van bedreigingen beperkt zijn. Ouderwets kwetsbaarheidsbeheer werkt met wekelijkse of maandelijkse scancycli, waardoor er gevaarlijke hiaten tussen beoordelingen ontstaan.
Moeilijkheden bij het beveiligen van integraties van derden
De integratie van diensten van derden die het aanvalsoppervlak vergroten, valt buiten de directe controle, waardoor er moeilijke beveiligingshiaten ontstaan. Deze koppelingen kunnen API-integraties, mechanismen voor gegevensuitwisseling, leveranciersportals en supply chain-systemen omvatten die mogelijkheden bieden om toegang te krijgen tot bedrijfsnetwerken.
Best practices voor het monitoren van externe aanvalsoppervlakken
Door enkele best practices te implementeren, kunnen organisaties een aantal veelvoorkomende uitdagingen in verband met het monitoren van externe aanvalsoppervlakken verminderen en een effectiever beveiligingsmonitoringprogramma ontwikkelen.
Continue detectie- en validatieprocessen
Er moeten continue detectie- en validatieprocessen worden ingesteld om ervoor te zorgen dat alle nieuwe assets worden gedetecteerd en gevalideerd, in plaats van periodiek de inventaris te scannen. Organisaties moeten geautomatiseerde workflows configureren die detectiescans starten wanneer er wijzigingen worden aangebracht in de netwerkinfrastructuur, DNS-records of cloudomgevingen.
Risicogebaseerde aanpak
Implementeer een risicogebaseerde prioriteringsaanpak die zowel de ernst van de kwetsbaarheid als de bedrijfscontext in aanmerking neemt om prioriteit te geven aan herstelmaatregelen waar dat het belangrijkst is. Niet alle assets zijn even belangrijk en niet elke kwetsbaarheid is een kwetsbaarheid met een hoog risico. Dit betekent dat bevindingen moeten worden beoordeeld op basis van de kriticiteit van de asset, de gevoeligheid van de gegevens, de blootstelling aan het publiek en de exploitatie ervan, enz.
Uniforme beveiligingsactiviteiten
Zorg ervoor dat bevindingen van externe aanvalsoppervlaktebewaking worden geïntegreerd in bredere beveiligingsworkflows om een naadloze beveiligingsaanpak te vormen die ervoor zorgt dat er geen hiaten bestaan tussen de externe bewaking van een aanvalsoppervlakte en de interne beveiligingscontrole ervan. Er moeten tickets worden aangemaakt in de IT-servicemanagementsystemen wanneer externe monitoring van het aanvalsoppervlak een kwetsbaarheid ontdekt, en alle kwetsbaarheidsbeheerprogramma's programma's, samen met het verstrekken van context en het waarschuwen van beveiligingscentra die zullen monitoren op pogingen tot misbruik.
Regelmatige vijandige tests
Test vaak en voer vijandige tests uit om de bevindingen van de externe monitoring van het aanvalsoppervlak te verifiëren en ervoor te zorgen dat de monitoringsystemen alle relevante blootstellingen detecteren. Hoewel geautomatiseerd scannen een belangrijk onderdeel is van het monitoren van externe aanvalsoppervlakken, moeten organisaties hun programma aanvullen met handmatige penetratietests en red team-oefeningen die zijn ontworpen om echte aanvalsmethoden te simuleren.
Hoe SentinelOne kan helpen
SentinelOne gebruikt zijn AI-aangedreven beveiligingsplatform om organisaties volledige zichtbaarheid en bescherming van hun externe aanvalsoppervlakken te bieden via zijn agentloze CNAPP-oplossing. SentinelOne maakt gebruik van innovatieve mogelijkheden voor het opsporen van assets om op systematische wijze bekende, onbekende en schaduw-IT-assets binnen cloudomgevingen op te sporen.
De CNAPP van SentinelOne wordt geleverd met External Attack Surface Monitoring, geïntegreerd in het grotere Singularity Platform, dat een samenhangend beveiligingsecosysteem creëert dat externe oppervlakteontdekkingen koppelt aan elke eindpuntbeveiliging, netwerkdetectie en dreigingsinformatie. Zodra kwetsbaarheden zijn geïdentificeerd, kunnen de geautomatiseerde herstelworkflows van SentinelOne automatisch verbindingen met beveiligingsmaatregelen inschakelen, zoals het toepassen van tijdelijke firewallregels of het tijdelijk wijzigen van eindpuntbeleid om het risico te verminderen totdat een permanente oplossing is toegepast.
SentinelOne helpt organisaties bij het prioriteren van hun kwetsbaarheden met behulp van een op risico's gebaseerde prioriteringsengine die niet alleen rekening houdt met een basisscore voor kwetsbaarheid, maar ook met de bedrijfscontext, dreigingsinformatie en het potentieel voor misbruik. Dankzij deze contextuele analyse kunnen beveiligingsteams eerst de meest bedrijfskritische problemen aanpakken en de risico's van kwetsbaarheden in de praktijk beperken, in plaats van tijd te verspillen aan het verhelpen van technische bevindingen die in de praktijk weinig impact hebben.
Conclusie
Nu organisaties hun digitale voetafdruk vergroten door middel van cloudadoptie, digitale transformatie-inspanningen en initiatieven voor werken op afstand, is External Attack Surface Monitoring een belangrijk onderdeel geworden van cyberbeveiliging. Een dergelijk end-to-end-systeem voor het opsporen, monitoren en beveiligen van alle assets die in contact staan met het internet biedt de zichtbaarheid en controle die nodig zijn om bescherming te bieden tegen een voortdurend veranderend dreigingslandschap.
Om een effectief programma voor het monitoren van externe aanvalsoppervlakken op te zetten, hebben organisaties een systematisch proces nodig dat continu assets identificeert, deze assets beoordeelt op kwetsbaarheden, de risico's rangschikt en integreert met bestaande beveiligingsworkflows. Dit brengt een aantal uitdagingen met zich mee, zoals voortdurend veranderende aanvalsoppervlakken, de invoering van schaduw-IT en de complexiteit van integraties met derde partijen.
Oplossingen zoals SentinelOne bieden de mogelijkheden die nodig zijn om de complexiteit van monitoring van externe aanvalsoppervlakken aan te pakken, waaronder AI-gestuurde detectie, contextuele risicoprioritering en integratie met bredere beveiligingsecosystemen. Op termijn zullen organisaties die hun investeringen in monitoring van externe aanvalsoppervlakken maximaliseren door robuuste monitoringprogramma's te implementeren, een voorsprong hebben bij het beveiligen van hun belangrijkste activa.
FAQs
External Attack Surface Monitoring Security houdt zich bezig met het ontdekken, in kaart brengen en beheren van alle externe en aan het internet blootgestelde activa en aanvalspaden die door aanvallers kunnen worden misbruikt.
Externe monitoring van het aanvalsoppervlak verwijst naar de continue monitoring en beoordeling van alle activa van een organisatie die via internet toegankelijk zijn, zoals websites, API's, IP-adressen, cloudbronnen en zelfs verbindingen met derden. Het biedt realtime inzicht in beveiligingskwetsbaarheden, verkeerde configuraties en blootstellingen zodra deze zich voordoen, in plaats van te wachten tot kwaadwillende actoren hiervan misbruik maken.
Het externe aanvalsoppervlak binnen een organisatie kan worden verminderd door ongebruikte of overtollige activa buiten gebruik te stellen, toegangscontrole te implementeren, diensten waar relevant te consolideren en veilige configuratiestandaarden af te dwingen. Andere preventieve maatregelen zijn onder meer regelmatige inventariscontroles, het toepassen van het principe van minimale rechten en het continu handhaven van cloudbeveiligingsbeleid om het risico van onnodige blootstelling te verminderen.
Typische aanvallen zijn onder meer het misbruiken van niet-gepatchte softwaregaten, credential stuffing (het gebruik van gestolen wachtwoorden), het misbruiken van verkeerde cloudconfiguraties, het misbruiken van Application Programming Interface (API's), het compromitteren van de toeleveringsketen via verbindingen met derden en social engineering met werknemersinformatie.
Organisaties moeten elk kwartaal een volledige audit van het aanvalsoppervlak uitvoeren, met continue monitoring tijdens de audits. Maandelijkse audits voor kritieke infrastructuur, bijgewerkte risico-omgeving of grote organisatorische veranderingen.
Tools kunnen grofweg worden onderverdeeld in de volgende categorieën: platforms voor het opsporen van activa, die systemen opsporen die in contact staan met het internet, kwetsbaarheidsscanners, die beveiligingskwetsbaarheden opsporen, configuratiebeoordelingstools, die verkeerd geconfigureerde systemen opsporen, digitale risicobeschermingsdiensten, die het web monitoren op datalekken, en geïntegreerde platforms voor het monitoren van externe aanvalsoppervlakken, die al deze mogelijkheden combineren in één tool met risicoprioritering en herstelworkflows.
