Organisaation ulkoisten resurssien skannaaminen Microsoft Defender External Attack Surface Management-palvelun avulla
Suomessa alkaa lomakausi olla. Vaikuttaa myös siltä, että Microsoftilla on kuitenkin lomailtu rajoitetummin ja heti elokuun alkuun saimmekin käyttöön kaksi tietoturvaan liittyvää tuote-uutuutta:
- Microsoft Defender External Attack Surface Management – Tuotteella voidaan etsiä organisaation resursseja, joita ulkoinen hyökkääjä voi käyttää päästäkseen sisään organisaation IT-infrastruktuuriin.
- Microsoft Defender Threat Intelligence – Tuotteella asiakas saa laajemmin pääsyn Microsoftin Threat Intelligence dataan, ja voi havainnoida esimerkiksi hyökkääjän infrastruktuuria.
Tässä blogissa keskityn Microsoft Defender External Attack Surface Management tuotteen yleisiin ominaisuuksiin, ensimmäisiin käyttökokemuksiin ja kevyeen käyttöönottoon.
Palvelu yleisesti
Microsoft Defender External Attack Surface Management (EASM) on Microsoftin palveluihin pitkään odotettu tuote. Tuotteen avulla on tarkoitus löytää organisaation ulospäin näkyvistä resursseista haavoittuvuuksia ja heikosti konfiguroituja palveluja. Palvelu saattaa myös löytää liittymäkohtia, jotka eivät välttämättä ole edes IT-osaston ylläpidossa. Tarkoituksena on, että tuotteelle lisätään ”siemeniä”, joiden perusteella palvelu lähtee tutkimaan organisaation ulospäin näkyvää infrastruktuuria. Siemeniä voivat olla esim:
- Domainit
- IP-osoiteavaruudet
- Hostinimet
- Sähköpostiosoitteet
- ASN-numero
- Sertifikaatin common-name
- Whois-organisaatio
Tarkoituksena ei ole listata jokaista web-sivustoa ja alidomainia erikseen, vaan päätasot. Tämän jälkeen EASM listaa siemenien alla olevat palvelut kuten alidomainit jne. ja lähtee tutkimaan niitä haavoittuvuuksien varalta.
EASM:sta löytyy ominaisuus tuoda myös tiettyjen isompien organisaatioiden tiedot automaattisesti, Microsoftin aikaisemmin keräämään dataan perustuen.
Käyttöönotto
Palvelun peruskäyttöönotto on tehty helpoksi. Asennukseen yksinkertaisimmillaan vaaditaan seuraavat tehtävät:
- Avataan Azure-portaali
- Selataan Microsoft Defender EASM valikkoon
- Asennetaan EASM instanssi, ja asennuksen yhteydessä valitaan resurssiryhmä ja sijainti. Tällä hetkellä EASM saa asennettu seuraaviin rajoitettuihin sijainteihin: southcentralus, westus3, eastus, eastasia, swedencentral, australiaeast, japaneast
- Syötetään palvelulle halutut siemenet, tai isommissa organisaatioissa voidaan käyttää Microsoftin tarjoamia siemeniä.
Käyttö
Palvelun käyttöönoton jälkeen EASM kerää dataa 24-48 tuntia. Tämän jälkeen palvelu tarjoaa useita erilaisia näkymiä löydettyihin resursseihin ja niiden haavoittuvuuksiin liittyen. Näitä ovat esimerkiksi:
- Attack Surface Summary – Tarjoaa näkymän organisaation hyökkäyspinnan ydinkomponentteihin.
- Security Posture – Tarjoaa näkymän organisaation kyvykkyyksiin ja hallinnointikäytäntöihin
- GDPR Compliance – Tarjoaa näkymän organisaation digitaaliseen jalanjälkeen liittyen EU:n yleiseen tietosuoja-asetukseen (GDPR)
- OWASP Top 10 – Open Web Application Security Projectin top-10 suositukset web-sivustojen tietoturvan parantamiseen
Muutaman käyttöönoton kokemuksella voin sanoa, että löydetty data on laadukasta ja tyypillisesti aiheuttaa nopeita toimenpiteitä.
Hinnoittelu
Hinnoittelu perustuu löydettyjen resurssien määrää. Hinnoittelu on 0.011€ asset/päivä. Kustannuksista ei siis todennäköisesti tule ongelmaa.
Microsoft Defender External Attack Surface Management – Pricing
Lisäksi on hyvä huomioida, että ainakin kirjoitushetkellä palvelusta on tarjolla 30-päivän kokeiluversio.
Yhteenveto
Vastaavia palveluita on aikaisemmin ollut useilla toimijoilla, mutta niiden käyttöönotto on tyypillisesti ollut työlästä ja kallista. Microsoft Defender External Attack Surface Management (EASM) mahdollistaa jatkuvan skannauksen, ja palvelun käyttöönotto on helppoa. Suosittelen siis tuotetta kaikenkokoisiin organisaatioihin, mikäli organisaatiossa ei ole muuta vastaavaa palvelua käytössä.
On kuitenkin hyvä huomioida, että palvelu on uusi ja sen tarjoamat kyvykkyydet ovat rajallisia. Palvelu tulee kuitenkin varmasti kehittymään ja tarjoamaan entistäkin laajempaa näkymää yrityksen ulospäin näkyviin palveluihin ja hyökkäyspinta-alaan.