Amikor az IT-securityben gondolkodunk, nem szabad elfelejteni a külső támadási felületet (external attack surface), ahonnan a szervezet támadható. A támadási felületbe tartozhat egy internetre publikált weboldal, egy nem támogatott és esetleg sérülékenységet tartalmazó PHP-kód.

A külső támadási felület felmérését általában erre szakosodott cégekkel szokták megvizsgáltatni a vállalatok. Ez egyrész drága is lehet, illetve sokszor csak egy pillanatképet kapunk az aktuális problémákról.

Defender EASM

Az EASM folyamatosan felfedezi és feltérképezi digitális támadási felületet, hogy külső nézőpontot adjon az online infrastruktúráról. Ez a vizibilitás segithet az IT szakembereknek hogy azonositsák és elháritsák a kockázatokat.

A Defender EASM a Microsoft-infrastruktúra feltérképezési technológiai részét használja az online infrastruktúrához kapcsolódó eszközök felfedezésére, a technológia aktívan szkennel, hogy további betekintést nyerjen és felderítse a gyenge pontokat.

Az alábbi erőforrásokat képes felhasználni a felderitéshez:

• Domains
• Hostnames
• Web Pages
• IP Blocks
• IP Addresses
• ASNs
• SSL Certificates
• WHOIS Contacts

Licenszelés: az első 30 napig ingyenes, utána 0,011 USD/asset/nap. Assesnek számit a domain/host/IP cimek stb

EASM beállitása

A használatához szükségünk lesz egy Azure előfizetésre és egy resouce group-ra. Fontos tudni, hogy jelenleg EASM-instancet csak az alábbi régiókban tudunk létrehozni:

• southcentralus
• westus3
• eastus
• eastasia
• swedencentral
• australiaeast
• japaneast

Navigáljunk el a https://portal.azure.com/#view/HubsExtension/BrowseResource/resourceType/Microsoft.Easm%2Fworkspaces portálra és válasszuk a Create opciót és hozzuk létre az instace-t.

A deployment végeztével az Overview fülön kezdhetjük el a beállitást. Rákereshetünk egy létező vállalatra vagy a “Create custom attack surface” gombbal definiálhatunk egyedi beállitásokat. A példa kedvéért mi egy custom konfigurációt készitünk.

Itt meg kell adnunk a Seed-eket, azaz információkat, amikre a discovery process lefuthat. Ezek lehetnek domainek, IP-tartományok, email kontaktok (pl. office@cegnev.hu) stb. Válasszuk a domaint és irjuk be a kivánt értéket.

Végül mentsük el a konfigot. A leltározási folyamat 24-48 órát vehet igénybe

A discover folyamat igy néz ki:

EASM használata

A leltár felépülte után az Overview oldalon egy áttekintést kapunk

Az Attack Surface Priorities szekció összefoglalja a különböző megfigyelt problémákat. A képen látható 2 medium és 5 low severity találat.

Az egyes találatokra kattintva láthatjuk az érintett IP-ket/hostokat. Jelen esetben egy Django projectnél azonositott egy SQL-injection sebezhetőséget, a hozzátartozó CVE advisory-val és a remediation lépésekkel (Django frissités ajánlott)

Inventory

Az inventoryban láthatjuk a felderitett elemeket. Az asseteket törölhetjük, módosithatjuk

Security Posture dashboard

A security posture mutat különböző értékeket, pl CVE exposure, domainek adminiszrációjával (hol vannak a domainek regisztrálva), az internet felől elérhető nyitott portokat

GDPR Compliance dashboard

A felderitett asseteket megvizsgálja GDPR megfelelőség szempontjából. A dashboard részei a következők:

• Website by status
• SSL Certificate Posture
• SSL Certificate Expiration
• Sites with SHA 1 / SHA256
• P11 Posture
• Login posture
• Cookie posture

OWASP Top 10 dashboard

Ezen a dashboardon láthatjuk az OWASP által definiált legkritikusabb security ajánlásokat.

• Broken access control
• Cryptographic failure
• Injection
• Insecure design
• Security misconfiguration
• Vulnerable and outdated components
• Identification and authentication failures
• Software and data integrity failures
• Security logging and monitoring
• Server-side request forgery

Összefoglalás

A Defender EASM egy nagyon hasznos eszköz arra, hogy security szemszögből “kintről”, az internetről is felfedezzük a security hiányosságokat, problémákat. Az assetek számára érdemes odafigyelni, mert bár darabonként nem drága, de többezer tételnél már növelheti az Azure költséget.