Attack Surface Management
مقاله
  • ۶ تیر ۱۴۰۴
  • Cybersecurity 101
  • ۵ دقیقه خواندن

Attack Surface Management

جدول محتوا

با روی آوردن به فضای ابری، افزایش برنامه‌های نرم‌افزاری به‌عنوان سرویس (SaaS) و رشد سریع قابلیت‌ کار از راه دور، سطح حملۀ (Attack Surface) اکثر سازمان‌ها، گسترده‌تر و پیچیده‌تر شده است. این موضوع باعث شده است که تعریف و دفاع از این سطح حمله، به‌مراتب دشوارتر شود. ازآنجاکه تقریباً هر دارایی می‌تواند به‌عنوان نقطۀ ورود یک حملۀ سایبری عمل کند، بهبود دید سازمان‌ها نسبت به سطح حمله در تمامی دارایی‌ها (چه شناخته‌شده یا ناشناخته، چه در محل یا در فضای ابری، چه داخلی یا خارجی) امروزه، بیش از هر زمان دیگری، اهمیت بیشتری یافته است.

مدیریت سطح حمله چیست؟

مدیریت سطح حمله شامل شناسایی، نظارت، ارزیابی، اولویت‌بندی و رفع مستمر بردارهای حمله و راه‌های نفوذ در زیرساخت فناوری اطلاعات سازمان است. این فرایند، از نظر ماهیت، مشابه شناسایی دارایی‌ها یا مدیریت دارایی‌هاست که معمولاً در راهکارهای بهداشت فناوری اطلاعات دیده می‌شود. اما تفاوت کلیدی مدیریت سطح حمله در این است که تشخیص تهدیدات و مدیریت آسیب‌پذیری‌ها را از دیدگاه مهاجم انجام می‌دهد. با این رویکرد، سازمان نه‌تنها قادر به شناسایی و ارزیابی ریسک‌های ناشی از دارایی‌های شناخته‌شده خواهد بود، بلکه می‌تواند اجزای ناشناخته و مخرب را نیز تشخیص دهد.

سطح حمله چیست؟

سطح حمله، به مجموعه‌ای از دارایی‌های متصل به هم در شبکۀ فناوری اطلاعات گفته می‌شود که ممکن است توسط مهاجمان، در یک حملۀ سایبری مورد سوءاستفاده قرار گیرند. به‌طور کلی، سطح حملۀ یک سازمان، از چهار بخش اصلی تشکیل شده است:

۱. دارایی‌های داخلی (On-premises): شامل سخت‌افزارها و سرورهایی است که به‌صورت فیزیکی، در محل سازمان قرار دارند.

۲. دارایی‌های ابری (Cloud): هرگونه سرویس یا منبعی که فضای ابری را برای عملیات یا ارائۀ خدمات گسترش می‌دهد، مانند سرورهای ابری، برنامه‌های نرم‌افزاری به‌عنوان سرویس یا پایگاه‌های دادۀ میزبانی‌شده در ابر.

۳. دارایی‌های خارجی (External): خدمات آنلاینی که از تأمین‌کنندگان یا شرکای خارجی خریداری شده‌اند و داده‌های شرکت را پردازش یا ذخیره می‌کنند یا با شبکۀ سازمان، یکپارچه شده‌اند.

۴. شبکه‌های وابسته (Subsidiary): شبکه‌های مشترک بین چند سازمان مانند شبکه‌های متعلق به یک شرکت مادر، پس از ادغام یا تصاحب.

نکتۀ مهم این است که سطح حملۀ یک سازمان، پویاست و با اضافه شدن دستگاه‌های جدید، افزایش کاربران و تغییر نیازهای کسب‌وکار، دائماً در‌حال تحول است. به همین دلیل، سازمان‌ها باید به‌صورت مستمر، تمام دارایی‌های خود را نظارت و ارزیابی کنند تا آسیب‌پذیری‌ها را پیش از آنکه مورد سوءاستفادۀ مجرمان سایبری قرار گیرند، شناسایی و رفع کنند.

ارزش مدیریت سطح حمله

با الگوبرداری از نگرش مهاجمان و استفاده از ابزارهای مشابه آن‌ها، سازمان‌ها می‌توانند دید جامع‌تری نسبت به تمام راه‌های نفوذ احتمالی به دست آورند. این رویکرد، به آن‌ها امکان می‌دهد با کاهش ریسک‌های مرتبط با دارایی‌های خاص یا محدود کردن سطح حمله، گام‌های مؤثری برای ارتقای وضعیت امنیتی خود بردارند. ابزار مؤثر مدیریت سطح حمله می‌تواند به سازمان‌ها اجازه دهد:

  • کشف، بررسی و رفع آسیب‌پذیری‌ها را به‌صورت خودکار انجام دهند.
  • تمام دارایی‌ها را به‌صورت پیوسته نقشه‌برداری کنند.
  • دارایی‌های پنهان و دیگر دارایی‌های نامعلوم را به‌سرعت شناسایی و غیرفعال کنند.
  • آسیب‌پذیری‌های شناخته‌شده مانند رمزهای عبور ضعیف، پیکربندی‌های نادرست و نرم‌افزارهای قدیمی یا به‌روزنشده را حذف کنند.

وظایف اصلی مدیریت سطح حمله چیست؟

یک استراتژی مؤثر مدیریت سطح حمله، پنج عملکرد کلیدی دارد:

مرحلۀ یک: کشف

در این مرحلۀ اولیه، سازمان‌ها تمام دارایی‌های دیجیتال را در سطح حملۀ داخلی و خارجی، شناسایی و نقشه‌برداری می‌کنند.

محدودیت راهکارهای سنتی

قادر به شناسایی دارایی‌های ناشناخته، غیرمجاز یا خارجی نیستند.

راهکار مدرن مدیریت سطح حمله
  • از ابزارهای مشابه مهاجمان برای یافتن آسیب‌پذیری‌ها استفاده می‌کند.
  • دید جامعی از تمام سطح حمله ایجاد می‌کند.
  • هر دارایی را که می‌تواند به‌عنوان مسیر نفوذ استفاده شود، شناسایی می‌کند.

مرحلۀ دو: ارزیابی

سطح حمله، به‌طور مداوم با اضافه شدن دستگاه‌ها، کاربران و تغییرات کسب‌وکار، در‌حال تحول است.

ویژگی‌های یک راهکار مدرن
  • به‌طور مستمر قادر به نظارت و آزمایش سطح حمله است.
  •  دارایی‌ها را به‌صورت ۲۴/۷ مرور و تحلیل می‌کند تا جلوی ورود آسیب‌پذیری‌های امنیتی جدید را بگیرد، خلأ‌های امنیتی را بیابد، پیکربندی‌های نادرست را اصلاح کند و سایر ریسک‌های سازمانی را مدیریت کند.

مرحلۀ سه: تحلیل مفهومی

هر دارایی می‌تواند مسیر نفوذ باشد؛ اما همۀ آن‌ها ریسک یکسانی ندارند.

تحلیل پیشرفتۀ سطح حمله

اطلاعات حیاتی دربارۀ دارایی‌هایی که در معرض خطر هستند، ارائه می‌دهد.

عوامل مؤثر در ارزیابی ریسک
  • زمان، مکان و نحوۀ استفاده از دارایی
  • مالک دارایی
  • آدرس IP و نقاط اتصال شبکه

مرحلۀ چهار: اولویت‌بندی

با توجه به حجم بالای دارایی‌های شناسایی‌شده، اولویت‌بندی اصلاح آسیب‌پذیری‌ها ضروری است.

مکانیزم مدیریت سطح حمله

امتیازدهی ریسک بر‌اساس عواملی مانند قابلیت مشاهدۀ آسیب‌پذیری، قابلیت بهره‌برداری، پیچیدگی ریسک برای رفع آن و تاریخچۀ بهره‌برداری فراهم می‌کند.

مزیت

برخلاف روش‌های سنتی مانند تست نفوذ، این ارزیابی کاملاً مبتنی‌بر معیارهای عینی است.

مرحلۀ پنج: اصلاح

پس از تکمیل مراحل قبل، تیم فناوری اطلاعات اکنون به‌خوبی، ریسک‌های بحرانی را شناسایی و فرایند اصلاح را اولویت‌بندی می‌کنند. از‌آنجا‌که این فرایندها اغلب توسط تیم‌های فناوری اطلاعات و نه متخصصان امنیت انجام می‌شود، مهم است که اطلاعات در سراسر هر عملکرد، به اشتراک گذاشته شود و همۀ اعضای تیم، در تطبیق با عملیات امنیتی هماهنگ شوند.

چگونه سازمان شما می‌تواند ریسک‌های سطح حمله را کاهش دهد؟

برای شناسایی و متوقف‌سازی تاکتیک‌های درحال تحول مهاجمان، تیم‌های امنیتی نیازمند دید ۳۶۰ درجه از سطح حملۀ دیجیتال خود هستند تا بتوانند تهدیدات را بهتر شناسایی و از سازمان خود محافظت کنند. این موضوع نیازمند دستیابی به دیدی پیوسته از تمام دارایی‌هاست، از‌جمله شبکه‌های داخلی سازمان، دارایی‌های خارج از فایروال و سیستم‌ها و نهادهایی که کاربران و سیستم‌ها با آن‌ها در تعامل هستند. همگام با حرکت سازمان‌ها به سمت تحول دیجیتال، حفظ دید جامع بر سطح حملۀ گسترده دشوارتر می‌شود. بارهای کاری فضای ابری، برنامه‌های نرم‌افزاری به‌عنوان سرویس، میکروسرویس‌ها و سایر راهکارهای دیجیتال، محیط فناوری اطلاعات را پیچیده‌تر کرده‌اند و موجب شده‌اند که شناسایی، بررسی و پاسخ به تهدیدات دشوارتر شود.

این مقاله، ترجمه‌ای از مقالۀ CrowdStrike است.