Att testa tillgångshantering med Attack Surface Profiling

När man tittar på de risker som finns för bolags säkerhet är det allmänt vedertaget att risken står i korrelation med attackytan. Att bara minska attackytan är dock inte alltid en möjlighet då det kan finnas andra funktionella eller icke funktionella krav. Dock behöver man veta sin risk för att kunna göra en bra avvägning, och tyvärr görs ofta denna avvägning bara en gång och sedan glöms den bort. Hur många IT-avdelningar kan på rak arm säga vad de har för system, och vilka av dessa exponeras mot internet?  

Denna fråga har länge fått ansvariga att grubbla, och är en av rötterna till asset management (tillgångshantering). Tillgångshantering innebär att man skapar en lista över alla enheter och system för att visa vilka man har, och hur de är exponerade. Man kan dock ta detta ett steg längre i riskhanteringsprocessen genom att använda Attack Surface Profiling eller Attack Surface Monitoring. Dessa nya metoder tar hjälp av angripare i formen av säkerhetstestare eller automatiska verktyg för att få en bättre kontinuerlig förståelse för sin risk. Attack Surface Profiling består av att man regelbundet genomför Attack Surface Analysis. 

Attack Surface Analysis kan jämföras med första steget reconnaissance (informationsinsamling) i ett penetrationstest. Metoden innebär att säkerhetstestare använder sig av öppen och stängd information för att leta upp system kopplade till sitt mål. Man använder sig av Google, DNS-slagningar och andra öppna källor, samt enklare översyn av vad som kommer upp. Den stora skillnaden mellan ett penetrationstest är att inga sårbarheter utnyttjas, utan man samlar bara in information om exponering.  

Eftersom det är säkerhetstestare som genomför testerna så kan de även ge en inblick i vilka av dessa attackytor som är mest attraktiva för en angripare, och där man därav bör säkerställa att det inte finns några sårbarheter. För bolag/avdelningar som är i en inledningsfas av sitt strukturerade säkerhetsarbete kan Attack Surface Analysis också vara en bra utgångspunkt för att välja var man ska genomföra penetrationstester. Dels kan man få insikter om vilka system man använder, och dels kan man få hjälp med att prioritera sina testobjekt.  

Som hintat till tidigare finns det även ett värde av att göra Attack Surface Analysis för företag som redan har en fungerande tillgångshantering. Detta dels för att hitta eventuella enheter som missats, men även för att hitta Shadow IT (skugg-IT). Finns det något man inte vet finns, eller som används på ett annorlunda sätt än hur det finns i tillgångshanteringssystemet? Genom att genomföra Attack Surface Analysis kan man fånga upp eventuella missar.  

Vad är då nästa steg, vad gör man efter Attack Surface Analysis? Det finns flera alternativ, så som att ta med sig resultatet till en riskanalys eller som val av omfång för ett penetrationstest. Utöver dessa sätt att använda resultatet för att minimera sin säkerhetsrisk finns även ett flertal verktyg för Attack Surface Profiling. Detta innebär att man automatiserar den kontinuerliga granskningen av sin Attack Surface Analysis. Genom att med verktyg som exempelvis Shodan automatiskt följa upp sitt resultat kan man snabbt få insikt om attackytan förändras.  

Sammanfattningsvis är Attack Surface Profiling och Attack Surface Analysis verktyg som kan användas av både nya och erfarna IT-team för att få en inblick i sina attackytor. Genom att använda säkerhetstestare får man en inblick i vad en potentiell angripare hittar och prioriterar vid attacker.