Microsoft Defender EASM – haavoittuvuuksien seurantaan. Tietohallinnoilla on tänä päivänä hallittavanaan valtava määrä erilaisia digitaalisia palveluita, jotka ovat sijoitettuna eri toimittajien pilvipalveluihin. Puhumattakaan vielä omista paikallisista järjestelmistä, jotka on tarjottava omalle organisaatiolle käyttöön, vastaten tämän päivän hybridityön vaatimuksia.
Monessa organisaatiossa tehdään systemaattisesti jatkuvaa kehitystä ja seurantaa Microsoftin pilvipalveluiden saralla, sekä oman sisäverkon ja sen palveluiden osalta. Ehkä hiukan vähemmälle varsinkin pienissä ja keskisuurissa organisaatioissa on jäänyt tietoturvaheikkouksien ja riskien selvittäminen ulkoverkosta saavutettavissa palveluissa. Syynä selvitysten puutteellisuuteen ovat osiltaan vaikuttaneet ulkoverkon haavoittuvuusskannauspalveluiden kustannukset. Mutta voisiko asiaan olla kevyttä ratkaisua, joka ei huimaisi päätä hinnoittelultakaan?
Microsoft Defender EASM-ratkaisu
Microsoft toi pari vuotta sitten ulkoisten haavoittuvuuksien havaitsemiseen ja hallintaan tarkoitetun Microsoft Defender External Attack Surface Management -tuotteen. Lyhennettynä EASM. Tuote pohjautuu RiskIQ -tuotteeseen, jonka Microsoft yrityskaupan myötä hankki itselleen.
EASM:n avulla organisaatiot voivat seurata ja havainnoida heidän ulkoisen hyökkäyspinta-alansa tilaa. Työkalu tunnistaa ulkoverkon näkökulmasta mahdollisia haavoittuvuuksia, tuo niistä herätteet sekä riskiarvion EASM:n hallintaportaaliin. Palvelu tunnistaa kohteista muun muassa avoimet portit, sovellushaavoittuvuudet, sertifikaattien tilan ja tiedot mahdollisesti paljastuneista henkilötiedoista (PII).
Miten palvelun kanssa pääsee liiikkeelle?
EASM-palvelu aktivoidaan Azure -pilvipalvelusta, joten Azure-tilaus tarvitaan esivaatimuksena. Hinnoittelu perustuu palveluun havainnointi-toiminnon (discovery) yhteydessä tuotujen omaisuustyyppien (asset) määrään. Hinta per omaisuustyyppi on 0.010€/päivä. Omaisuustyypit ovat IP-osoitteita tai toimialueita, jotka organisaatio on palvelussa hyväksynyt inventaarioonsa. Hinnoittelun voidaankin todeta olevan varsin maltillinen. Palvelusta on saatavilla myös 30-päivän ilmainen kokeilujakso, jonka jälkeen se automaattisesti siirtyy kuukausilaskutettavaksi Azure-tilaukselta.
Varsinainen ulkoisen hyökkäyspinnan seuranta aloitetaan laittamalla havainnointi-toiminto päälle, johon valitaan siemeniä (seeds) eli mitä omaisuustyyppejä skannaukseen otetaan mukaan. Esimerkkinä havainnointitoimintoon lisätään lähtökohtaisesti organisaation käytössä olevat toimialueet ja julkiset IP-osoitteet.
Siemeniä voivat olla toimialueiden ja IP-osoitteiden lisäksi:
• Host-nimet
• Sähköpostiosoitteet
• ASN-numero
• Sertifikaatit
• Whois-organisaatio
Kun havainnointi-toimintoon on valittu kohteet ja kun se polkaistaan käyntiin, kestää päivästä pariin ennen kuin tuloksia portaaliin alkaa muodostumaan.
Koontinäytöt (dashboards)
Tuloksien katselmointia varten on EASM-palvelussa erilaisia valmiita koontinäkymiä, ja joita Microsoft on lisännyt palvelun kehittyessä.
Attack Surface Summary -koontinäytössä esitetään keskeisimmät havainnot ympäristöstä. Se tarjoaa yleiskatsauksen organisaation hyökkäyspinta-alasta ja siihen kuuluvista omaisuustyypeistä sekä tuo esiin mahdolliset haavoittuvuudet vakavuuden mukaan (korkea, keskitaso, matala). Koontinäyttö tarjoaa myös keskeistä tietoa infrastruktuurista, joista organisaation hyökkäyspinta-ala muodostuu.
Security Posture -koontinäyttö auttaa organisaatioita ymmärtämään tietoturvansa maturiteettia omaisuustyypeistä johdetun metadatan perusteella. Se koostuu teknisistä ja ei-teknisistä käytännöistä, prosesseista ja valvontatoimista. Koontinäyttö tarjoaa muun muassa tietoja CVE-haavoittuvuuksista, avoimista tietoliikenneporteista ja SSL-sertifikaattien konfiguroinneista.
GDPR Compliance -koontinäyttö tuo esille keskeiset vaatimustenmukaisuusriskit, jotka perustuvat GDPR:n vaatimuksiin. Koontinäyttö tuo näkyvyyden organisaation verkkosivujen tilasta, mahdollista SSL-sertifikaattien ongelmista, paljastuneista henkilötiedoista (PII), käytössä olevista kirjautumisprotokollista ja evästeiden vaatimustenmukaisuudesta.
OWASP Top 10 -koontinäyttö tuo esiin ne omaisuustyypit, jotka ovat haavoittuvia OWASP:n kriittisimpien verkkosovellusten tietoturvariskien listauksen mukaan. Koontinäytöllä organisaatiot voivat nopeasti tunnistaa omaisuustyypit, joissa on vajavainen pääsynhallinta, salausvirheitä, injektioita, virheellisiä tietoturvan konfigurointeja ja muita OWASP:n määrittelemiä kriittisiä riskejä.
CWE Top 25 Software Weaknesses -koontinäyttö koontinäyttö perustuu MITRE:n vuosittain julkaisemaan Top 25 Common Weakness Enumeration (CWE) -listaan. CWE:t edustavat yleisimpiä ja vaikuttavimpia ohjelmistoheikkouksia, jotka ovat helposti löydettävissä ja hyödynnettävissä.
CISA Known Exploits -koontinäyttö näyttää kaikki omaisuustyypit, joihin mahdollisesti vaikuttavat haavoittuvuudet, jotka ovat johtaneet tunnettuun hyväksikäyttöön CISA:n määritelmien mukaisesti.
Esimerkkikuva Attack Surface Summary -koontinäkymästä
Loppusanat
Microsoft Defender EASM on helposti käyttöön otettava ja kokemuksiimme pohjautuen se on tuonut varsin hyödyllistä tietoa kohdeorganisaatiosta, joissa olemme päässeet sitä käyttämään. On kuitenkin huomioitavaa, ettei se ole kokonaisvaltainen työkalu, joka hoitaisi myös esimerkiksi penetraatiotestauksen.
Tänä päivänä tietoturvan tulee olla holistisesti toteutettua ja EASM osana sitä on varsin hyvä tuote. Suosittelemme kokeilemaan sitä, saat varmasti hyödyllistä tietoa organisaatiosi ulkoisen hyökkäyspinta-alan tilasta.
Above IT on tietohallintojen kumppani ja voimavara. Asiakkaanamme saat aidon asiantuntemuksen tietoturvan ja tietosuojan kehitykseen liittyen, sekä tukea ja turvaa maailman myllerryksiin! Jos haluat astua kanssamme IT:n yläpuolelle, ota meihin yhteys alla olevasta linkistä klikkaamalla!