在今年8月舉行的Black Hat USA全球資安大會前夕,微軟發表兩款資安解決方案,源於去年7月併購的網路威脅情報服務廠商RiskIQ,其中之一,就是我們現在要介紹的雲端資安服務,名為Microsoft Defender External Attack Surface Management(Defender EASM),顧名思義,這是因應攻擊面管理需求的產品,可協助企業與組織的資安團隊,找出暴露在網際網路、可能遭非法存取的不明與未列管IT資源,而這些部分正是攻擊者在選定目標之前會觀察的面向,因此,它們也是攻擊者滲透內部環境的潛在入口。

基本上,Defender EASM是微軟雲端安全服務Microsoft Defender for Cloud(MDC)新整合的解決方案,能夠改善組織的資安態勢,降低受到攻擊的潛在風險。這項服務每天會掃描網際網路與相關的連線,協助用戶對自家IT環境建立完整的「型錄(catalog)」,探查(Discover)所有面向網際網路存取的各種資源,可涵蓋未安裝代理程式與未列管的IT資產,並且對應、呈現組織可能會面臨外部網路攻擊的部位與管道,產生線上基礎架構的外部視野。

  

而且,Defender EASM能在不需要加裝代理程式,或輸入帳號、密碼等身分憑證的狀況下,持續監控上述對象,並排定新資安漏洞的優先處理順序。

在探查用戶網路基礎架構當中的各種IT資產時,Defender EASM運用微軟的網頁資料爬取技術(Web Crawler),針對可透過公共網路環境、由外而內存取的內部IT資產,收集相關資料,將其用於Microsoft Defender for Cloud的雲端安全性態勢管理(CSPM),進而驗證這些資產是否暴露在網際網路上,以及賦予探查能力,以便提升相關風險狀態的能見度。

目前,Defender EASM可探查哪些類型的IT資產?根據微軟公布的線上文件來看,主要有8種類型,包含網域名稱、主機名稱、網站頁面、IP位址區段、IP位址、自治系統名稱(ASN)、SSL憑證,以及執行WHOIS域名與網址負責人查詢指令得到的聯絡資訊。

Defender EASM可對這些資產執行主動掃描,以便找出未知與尚未監控的資產,而對於已知的合法資產,微軟將它們稱為種子(seed),會不斷循環查看,觀察經過一段時間所出現的新連線,以此描繪用戶的受攻擊面,之後也能套用資安漏洞與基礎架構資料,進而產生攻擊面洞察分析(Attack Surface Insights),以便展現數位資產的探查結果、資安風險與威脅的分析與優先處理順序、暴露在攻擊活動範圍的弱點與位置,以及對於第三方攻擊面的了解。

  

為了更快呈現攻擊面的資產狀態,微軟在此提供4個主題的儀表板,用戶可檢視攻擊面摘要、資安態勢、基於GDPR法規要求的關鍵領域遵循風險,以及具有OWASP網站應用程式十大弱點風險的資產。

  

以攻擊面摘要儀表板為例,這裡會根據嚴重程度高低列出資安層面應優先處理的資產項目,而在優先順序的排定上,也會參考微軟本身蒐集的廣泛數據,以便快速、有效率地突顯重要的高風險暴露部位。

   

關於決定優先順序的指標,包含重要的CVE弱點、與已知遭滲透的IT基礎架構有關係、採用不被支持的技術、IT基礎架構營運違反最佳實務的行為,以及法規遵循問題。

整體而言,透過Defender EASM能夠幫助資安與IT團隊,掌握組織IT資產的網際網路存取全貌,識別未知風險、列出優先處理的風險,進而消除資安威脅,延伸資安漏洞與暴露於外部網路的控管,而不只是單靠端點防護系統與網路防火牆的守備。

換言之,有了Defender EASM強化組織資安風險能見度,用戶接下來就可以採取系統建議的步驟,減緩未知資源、端點、資產所帶來的資安風險,也能運用本身所設置的安全資訊與事件管理系統(SIEM),以及延伸型威脅偵測與應變系統(XDR)等工具來進行安全性管理。

產品資訊

Microsoft Defender EASM
●原廠:微軟
●建議售價:東亞地區,每個資產每日為0.342元
●可探查的資產類型:網域名稱、主機名稱、網頁、IP區段、IP位址、自治系統編號(ASN)、SSL憑證、WHOIS聯繫資訊
●整合資安產品與服務:Microsoft 365 Defender、Microsoft Sentinel、Microsoft Defender for Cloud
●提供主題式儀表板:受攻擊面摘要、資安態勢、GDPR遵循狀態、OWASP十大資安威脅

【註:規格與價格由廠商提供,因時有異動,正確資訊請洽廠商】

熱門新聞

Advertisement