著眼於現代化企業對於了解並管理外部數位資產的重要性日益增加,微軟資安服務提供的Microsoft Defender外部攻擊面管理(簡稱Defender EASM),可探索、分類及優先處理雲端、軟體即服務(SaaS)、基礎架構即服務(IaaS)資源中暴露的弱點,以強化整體安全態勢。
搭配最新推出的Microsoft Copilot for Security,在Microsoft Defender操作介面中嵌入式Copilot輔助,可自動顯示摘要的相關詳細資訊,引導式回應提升效率,賦予IT或資安人員使用自然語言轉換到Kusto查詢語言(KQL),提升分析威脅情報的能力。
台灣微軟資安技術專家張士龍指出,隨著混合工作模式的普及,「影子IT(Shadow IT)」帶來的風險,加上因營運業務創新等因素,數位資產變動亦可能增加未知風險,攻擊面管理的重要性開始浮上檯面。過去,這個議題並未受到足夠的重視,但隨著應用模式趨向雲端化,日常營運都須透過網路進行資料交換與儲存,對於數位安全的重視程度隨之增長。
微軟自2021年收購網路威脅情報服務廠商RiskIQ之後推出Defender EASM雲端服務,以協助企業IT或資安人員,識別暴露於網際網路上,且可能被非法存取的未知、未受監管的IT資源,這些資源正是攻擊者滲透入侵系統的可能途徑。隨著Copilot for Security正式納入Microsoft Defender,將可降低資安操作門檻、提升工作效率。根據微軟內部研究指出,其可輔助經驗豐富的資安分析師處理日常工作任務速度加快了22%,準確度亦可提升7%,以嚴加控管資安風險降低釀成事故的機率。
探索技術遞迴搜尋描繪攻擊面清單
EASM可用於減少潛在的資安風險,首要任務便是識別企業的網路資產。張士龍說明,這項工作並非透過安裝代理程式或使用Defender的端點安全引擎來完成,而是透過從外部網路識別企業資產的方式進行。這意味著,EASM能夠在不侵入企業內部網路的情況下,對外部可存取的資產進行識別和分析。
微軟Defender EASM具備特有的探索(Discovery)技術,運用遞迴(Recursive)搜尋與已知合法資產的連接性,以推斷新發現的數位資產與企業的關聯性,並揭示未知與未納入監控的資產屬性。這些已知合法資產被稱為探索的「種子(Seed)」,Defender EASM首先探索與這些選定實體的強連接,例如SSL憑證、自治系統編號(ASN),抑或是網域名稱透過WHOIS查詢可取得註冊者、IP位址等公開資料,再透過遞迴展開更多連接,描繪出整體攻擊面清單。
從種子開始,系統會主動探索與線上基礎設施的關聯,以發現企業擁有的其他資產;此過程最終會建立一份攻擊面清單。探索過程使用種子作為中心節點,向外延伸至攻擊面的邊緣,通過識別所有直接連接到種子的基礎設施,然後識別第一組連接中的每項資產相關的所有內容。這一過程持續進行,逐步揭示與企業直接或間接相關的所有線上基礎設施,進而形成全面的攻擊面清單。
攻擊面清單包括了組織內部及外部的各類資產,如伺服器、應用系統、網路連接埠等,並且隨著探索的深入,這些資產之間的關聯性也更加清晰。對於加強資訊安全防護、預防未知威脅具有重要意義。透過Defender EASM持續的探索和更新,有助於企業IT或資安人員管理網路空間的數位資產,提高對抗外部威脅的能力。
掌握資產風險制定控管策略
針對應用系統的風險管控,Defender EASM採用虛擬用戶技術持續分析,由系統模擬真實用戶與網站互動的過程,不僅幫助於發現顯而易見的問題,如失效的連結或過時的內容,也能夠識別更複雜的安全漏洞和合規性問題。此外,運行過程中收集的詳細資料,有助於維護資安態勢、應對新型威脅手法,以及修復已識別的漏洞,可讓資安維運團隊制定更有效的防護策略來控管風險。
為了清楚呈現數位資產當前的狀況,Defender EASM設計以儀表板方式,讓維運團隊可透過攻擊面摘要、資安態勢、GDPR合規性、OWASP網站應用程式十大弱點等不同角度進行調查風險指數。
台灣微軟資安技術專家張士龍指出,在數位化轉型的浪潮中,企業必須將系統、應用程式及服務接入網路,因而增加了風險暴露的機會。透過攻擊面管理,企業可以更加明確地識別和評估潛在的資安風險,並採取適當的防護措施進行管控。
現階段對EASM服務較感興趣的企業,張士龍觀察大致可分為兩類:一是想要了解企業或組織面向網際網路的資產可能面臨的攻擊指標和風險值;另一類則是希望評估其供應鏈安全,了解供應鏈中可能存在的資安風險。EASM可基於網域名稱,自動利用公開資料對這些問題進行評估,包括分析主機名稱對應的IP位址以及網站的信譽評等。許多客戶實際使用EASM服務時發現的一個常見問題是憑證過期。EASM能夠透過分析SSL連線資料來識別,進而幫助企業及時更新其憑證,避免安全風險。此外,EASM還可以針對特定主機進行掃描,檢查是否存在安全漏洞。
Copilot輔助引導回應與矯正風險
微軟最新推出的Copilot for Security,基於微軟每天處理超過78兆個安全訊號,並結合大型語言模型,以提供客製化洞察並指導後續執行步驟。讓資安維運團隊採以生成式AI輔助,可獲得針對事件回應的具體逐步指南,包括分類、調查、遏制和修復的方向。如今Defender EASM已納入Copilot for Security,可藉此快速地了解外部資產、具有影響力的已知漏洞(CVE)、矯正工作的優先順序。
隨著威脅手法千變萬化,了解數位足跡對於保持企業的安全性和合規性相當關鍵。Copilot for Security納入Defender EASM後,資安維運團隊可藉此基於微軟預先建置的外部攻擊面威脅情資,快速識別面向網際網路的外部資產,例如網域名稱、主機名稱、IP位址等,洞察可能影響企業的高、中、低優先等級攻擊面數量,並迅速識別與之相關的資產。
了解攻擊面數量後,急迫需要進一步調查是否存在高優先等級因素,以便了解哪些資產對企業構成威脅。資安人員可直接採以自然語言方式詢問,以深入挖掘這些資訊,迅速地釐清受到影響的資產,顯著縮短研究受攻擊範圍所需花費的時間。
一旦找到可能受影響的資產,Defender EASM將進一步呈現具有高威脅指標、過期網域名稱、SSL憑證,以及仍在使用SSL SHA1憑證的資產,藉此排定優先修復的工作順序,逐步矯正潛在的資安風險。