External Attack Surface Management #

Компонент External Attack Surface Management (EASM) - изучение поверхности атаки ИТ-инфраструктуры компании из открытых источников. На основе доменного имени организации осуществляется поиск всех связанных доменов и поддоменов.

Предназначен для осуществления активного и пассивного поиска DNS-записей, производит сбор информации об IP-адресах. По найденным индикаторам, по веб-приложениям собирается доступная метаинформация, скриншоты, коды ответа, строится карта ресурсов организации.

Принцип работы #

Во время работы проводится сканирование двумя методами:

Белый ящик #

Точная инвентаризация известных зон для минимизации рисков и повышения прозрачности.
Чёрный ящик #

Анализ скрытых ресурсов для выявления несанкционированных и забытых активов.

В обоих методах учитываются:

Инвентаризация осуществляет поиск объектов различных типов в инфраструктуре Заказчика (узлы, порты, сервисы, ПО и т.п.) для постоянного отслеживания изменений.
Валидация - проверка результатов найденных групп узлов на пренадлежность к Заказчику.

Преимущества #

Построение карты сети.
Точный поиск всех связанных доменов.
Наличие тегов “Redirect to…”, “Status 400”, “Out_of_scoupe” и тд.
Скриншоты ресурсов.
Разделение по ключевым доменым зонам (если более 1-го основного).

Сценарии использования: #

Сценарий	Минимизируемые риски
🔍 Инвентаризация ИТ-ресурсов и их компонентов	Неконтролируемое появление новых ресурсов, утечка данных, компрометация уязвимых сервисов, захват заброшенных доменов.
🌐 Контроль размещения ресурсов на сторонних хостингах в обход установленного процесса публикации ресурсов	Теневое размещение корпоративных сервисов на внешних платформах, утечка информации, потеря контроля над данными.
🖥️ Своевременное удаление неактуальных записей	Устаревшие и забытые DNS-записи, домены и серверы могут быть использованы для фишинга, захвата доменов.
🔐 Выявление ресурсов, которые осуществляют перевод на сторонние сайты (либо неактуальные сайты организации)	Незаметные редиректы на внешние сайты, которые могут быть использованы для фишинга, утечек данных или вредоносной активности.

Этапы работы #

Первый этап - поиск ...

На данном этапе производится пассивный и активный поиск по доменным зонам. При помощи данных действий получается собрать первоначальную картину сканируемой сети.

Второй этап - сбор информации ...

На данном этапе извлекается информация из найденных доменов. Она выгружает IP, подсеть, http/https заголовки. При помощи данных действий получается обогатить картину сети дополнительной информацией о хостах.

Третий этап - визуализация ...

На данном этапе происходит визуализация всей найденной информации построением визуальной карты сети. Также на данном этапе собираются скриншоты и заголовки по всем веб-страницам, найденных на обнаруженных IP/доменах. При помощи данных действий мы получаем не только техническую, но и визуальную картину сети.

External Attack Surface Management #

Принцип работы #

Белый ящик #

Чёрный ящик #

Преимущества #

Сценарии использования: #

Этапы работы #