RiskIQ Россия Казахстан Беларусь

Как RiskIQ Digital Footprint защищает цифровой отпечаток компаний в сети Интернет

Что такое цифровой отпечаток организации?

Цифровой отпечаток компании, или внешняя поверехность атаки, — это все ресурсы, составляющие цифровое присутствие организации в сети Интернет. В цифровой отпечаток входят все приложения и цифровые активы, которые организация открыла для сети Интернет, а также инфраструктура, поддерживающая эти приложения.

Внешняя поверхность атаки современной организации состоит из веб-сайтов и онлайн-сервисов, мобильных приложений, профилей социальных сетей, инфраструктуры IoT и облачных сервисов. Многие из этих активов появляются, меняются и становятся уязвимыми без ведома и надзора службы безопасности, что является существенным риском.

Состав цифрового отпечатка

Известные активыНеизвестные активыМошеннические и вредоносные активы
— Корпоративный сайт
— Известные микросайты, управляемые маркетингом
— Маркетинговые посадочные страницы
— Веб-приложения
— Домены, принадлежащие компании
— Собственные или арендованные блоки IP
— Известные общедоступные демо-серверы, dev и staging
— Сторонние скрипты JavaScript
— Микросайты, созданные поставщиками или разовые страницы
— Активы и домены, купленные вне официальных процедур
— Неизвестные, общедоступные демо-серверы, серверы разработки и staging-а
— Серверы, сайты и веб-страницы, которые были частью M&A, но не были учтены
— Ваши веб-приложения c внедренным вредоносным JavaScript
— Забытые серверы или доменные имена
— Страницы, созданные вне стандартных процедур
— Неавторизованные захваченные домены
— Ваши активы, зараженные вредоносами
— Ваши активы, указывающие на известно вредоносные сайты

Крайне важно не только знать и отслеживать активы, входящие в цифровой отпечаток, но и активно защищать их.

Почему важно защищать цифровой отпечаток?

Злоумышленники, проводящие разведку своих целей, часто находят неизвестные, незащищенные и неконтролируемые активы для использования их в качестве векторов атак. У крупных организаций зачастую существуют сотни неизвестных активов и, как правило, их легко найти даже начинающим хакерам и группировкам. Поскольку эти активы не контролируются, они обеспечивают легкие способы проникновения в или из организации. Чтобы защищать себя, организациям необходимо знать, что видят злоумышленники, когда изучают их. В конце концов, позиция «мы не знали, что актив существует» не уменьшает нанесенный атакой или взломом ущерб.

Помимо простого знания о том, что актив существует, крайне важно знать его специфику, в том числе тип сервера, программное обеспечение и платформы, работающие на этом сервере, а также уязвимости, связанные с ними. Эксплуатация уязвимостей интернет-ресурсов являются основной причиной утечки данных в атаках с внешними злоумышленниками.

Обладая точной и подробной информацией об инвентаризации внешних активов, гораздо проще проанализировать ситуацию, расставить приоритеты и принять корректные меры, направленные на защиту внешних активов организации. Перечень внешних активов также важен для соблюдения многочисленных регуляторных требований и отраслевых стандартов.

Что не увидят сканеры уязвимостей

Использование традиционных сканеров уязвимостей позволяет решить часть описанных проблем, и было особенно эффективно несколько лет назад.

Однако с ростом теневых ИТ, социальных сетей, IoT, мобильных приложений и облачных сервисов стало очевидно, что адресное пространство, формально принадлежащее организации, является лишь частью ее реального цифрового отпечатка. Поэтому RiskIQ разработал сервис Digital Footprint, который позволяет находить и оценивать всю инфраструктуру организации, в том числе и ту часть, о которой она не знает. 

По статистике вендора, неизвестная часть составляет в среднем 30% от количества реальных внешних активов организации. Это могут быть сервисы, запущенные различными департаментами в нарушение существующих процессов и процедур, на внешних ресурсах, ранее используемые и забытые, или полученные в результаты сделок M&A и т.п. Злоумышленники могут использовать эти ресурсы в качестве потенциальных векторов атаки как на саму организацию, так и на ее клиентов.

Кроме того, сканеры уязвимости анализируют только наиболее простые аспекты, такие как наличие уязвимостей и истекающие SSL-сертификаты, но не способы анализировать контент, выявлять связи между ресурсами, попытки фишинга и прочие современные угрозы.

Поэтому использование сканеров уязвимостей позволяет решить лишь часть проблемы, оставляя большую, и, возможно, самую уязвимую, часть инфраструктуры без мониторинга и защиты.

Как RiskIQ Digital Footprint позволяет отслеживать и защищать внешний периметр

Используя технологию виртуальных пользователей, RiskIQ каждый день сканирует миллионы веб-страниц и IP-адресов, собирая телеметрические данные для построения карты всего Интернета.

Виртуальные пользователи RiskIQ выходят за рамки простого сканирования, посещая веб-сайты с использованием различных браузеров, меняющихся паттернов кликов и времени, проведенного на странице, что полностью имитирует поведение реальных пользователей. Технология RiskIQ позволяет непрерывно контролировать веб-сайты, избегая попытки заблокировать их посещение. Виртуальные пользователи запускаются из постоянно растущей прокси-сети с более чем 500 точками выхода в более чем 40 странах, включая источники трафика в жилых, офисных и мобильных сетях.

RiskIQ Digital Footprint Россия
Домены, составляющие цифровой отпечаток организации

Используя сеть из десятков тысяч таких виртуальных пользователей, RiskIQ сканирует весь интернет и собирает телеметрические данные, инвентаризируя все цифровые активы, связанные с организацией заказчика. Этот процесс позволяет находить веб-сайты, собственные и сторонние скрипты JavaScript, мобильные приложения, URL-адреса, контент веб-страниц, ASN, IP-адреса и именные серверы, многие из которых неизвестны организации, но составляют ее реальный цифровой отпечаток.

RiskIQ выявляет все цифровые активы, появляющиеся в сети и связанные с заказчиком, что позволяет службам безопасности осуществлять мониторинг поверхность атаки за пределами периметра, устанавливать контроль над неизвестными активами и анализировать свой цифровой отпечаток с точки зрения внешнего злоумышленника.

Помимо точной, актуальной инвентаризации всех цифровых активов организации, доступных из сети Интернет, Digital Footprint также отслеживает их на предмет изменений, дефейсмента, соответствия политикам и появления вредоносного ПО или JavaScript-кода.

Истории успеха заказчиков RiskIQ

American Express

Крупнейший глобальный банк American Express использует RiskIQ в качестве единственного поставщика сервисов по мониторингу внешних угроз.

Результаты работы Digital Footprint используются в банком для управления и мониторинга внешним присутствием организации, а также построения процесса инвентаризации и мониторинга активов. После того как данные проанализированы, и из них удалены ложные срабатывания и неавторизованные ресурсы, они становятся белым списком легитимных ресурсов банка.

На следующем этапе другие подразделения банка полагаются на эту информацию в своей работе, в том числе для оперативного отслеживания новых угроз, имперсонаций и попыток фрода от имени банка. Все ресурсы, которые не входят в белый список, расследуются в соответствии с внутренними процедурами.

Standard Bank

Standard Bank выбрал RiskIQ в качестве партнера по управлению цифровыми угрозами в рамках решения RiskIQ Digital Footprint.

RiskIQ Digital Footprint осуществляет непрерывный мониторинг веб-сайтов банка, выявляя новые и обновленные цифровые активы, основываясь на таких атрибутах, как диапазон IP-адресов, название и айдентика бренда. Сервис также предоставляет подробную информацию об этих активах и указывает на потенциальные риски.

Служба безопасности Standard Bank использует полученную информацию для мониторинга цифровых активов и соответствия корпоративным стандартам, вне зависимости от того, где размещается ресурс. Digital Footprint также дает информацию о новых переадресациях веб-страниц, которые могут указывать на взлом сайта.

Команда безопасности также использовала аналитику RiskIQ для приведения в порядок регистрационных данных доменов и сертификатов, включая стандартизацию контактных данных, что помогло наладить надежное получение важных сообщений, в том числе о продлении или истечении срока регистрации доменов. Кроме того, они смогли обнаружить и обновить старые и недоверенные сертификаты на всех веб-ресурсах банка.

Публичными референсами RiskIQ также являются Disney, Amazon, Facebook, Toyota, Pepsi и Box.

Бесплатный аудит присутствия компании в сети Интернет Digital Footprint Snapshot

Ограниченный период времени RiskIQ предоставляет цифровой отпечаток присутствия организации в сети Интернет бесплатно в формате PDF. 

Отталкиваясь от ключевого актива организации, такого как доменное имя или блок IP-адресов, RiskIQ выявляет все публичные активы, связанные с названием, брендом и инфраструктурой организации, и предоставляет информацию об их защищенности и существующих рисках.

RiskIQ Digital Footprint Россия Казахстан
Пример перечня цифровых активов компании

Для того, чтобы разобраться в предоставленных данных и оценить уровень риска уязвимых ресурсов, которые могут быть использованы злоумышленниками для осуществления атаки, RiskIQ и Тайгер Оптикс также проводят бесплатные онлайн-консультации с представителями заказчиков по материалам предоставленного отчета.

Воспользуйтесь этой ссылкой, чтобы заказать бесплатный аудит цифрового отпечатка вашей компании.

Об авторе

Тайгер Оптикс является специализированным дистрибьютором решений по кибербезопасности. Компания основана в 2010 году в Российской Федерации и имеет представительства в Казахстане, Беларуси, Азербайджане и Узбекистане.

Мы помогаем партнерам и заказчикам повышать защищенность на всем протяжении корпоративной ИТ-инфраструктуры – от гибридного ЦОДа до конечных точек – рабочих станций и мобильных устройств.

Веб-сайт: https://www.tiger-optics.ru/