Microsoft анонсировали Defend­er Exter­nal Attack Sur­face Man­age­ment. Честно говоря, сначала я подумал, что "EASM" это какое-то изобретение майкрософтовских маркетологов. Даже возмутился почему они не используют при наименовании и описании что-то более привычное, типа "периметровый сервис", "периметровое сканирование". Напридумают модных словечек, а нам голову ломай что конкретно эта новая вундервафля делает. А потом я увидел новость, что и Qualys тоже презентуют свой EASM (его тоже потом поглядим). И довольно разнообразную поисковую выдачу по "Exter­nal Attack Sur­face Man­age­ment". И понял, что это я ошибаюсь и отстал от жизни. Будем догонять. 🙂

В общем, EASM это теперь стандартное наименование для класса решений. Его ввели в обиход Gart­ner и определяют как в Mar­ket Guide for Secu­ri­ty Threat Intel­li­gence Prod­ucts and Ser­vices (2021) как

"a com­bi­na­tion of tech­nol­o­gy, process­es and man­aged ser­vices that pro­vides vis­i­bil­i­ty of known and unknown dig­i­tal assets to give orga­ni­za­tions an out­side-in view of their envi­ron­ment"

Ну то есть +- это наши привычные периметровые сканы с внешней площадки, когда мы действуем как атакующий (но IP-шник сканера в белый список все-таки добавляем и SOC предупреждаем 😉). Посканили порты, продетектировали сервисы, поискали уязвимости и ошибки конфигурирования в этих сервисах. Классика. Но название у этого теперь новое, будем привыкать. 🙂 Зато можно будет говорить, что занимаемся не только VM-ом, но и EASM-ом, лол.

Ну и стоит обратить внимание, что фокус этого EASM‑а не на уязвимостях, а на контроле и учете активов. Чтобы неизвестное подсвечивалось и становилось известным. И это вроде тоже можно приветствовать, потому что пока нет четкого понимания какие активы у нас доступны из Интернет (а также зачем они доступны и кто за них отвечает), то нет смысла говорить о каком-то вразумительном контроле уязвимостей для них.

Но вернемся Microsoft Defend­er EASM. Описание на лендинге не особо вразумительное. Одни общие и красивые слова. Технических деталей минимум. Наиболее информативны там мыльные скриншоты. Давайте их разберем.

1. Real-time inven­to­ry. Вижу разные типы активов, которые удалось проинвентаризировать, в одном общем списке. Хост, IP-адрес, SSL Cer­tifi­cate. Для сертификата показывают дату истечения. Для IP-адреса показывают ASN и репутацию.
2. Attack sur­face vis­i­bil­i­ty. Вижу дашборд с Obser­va­tions трех уровней критичности. В этих Obser­va­tions вижу CVE уязвимости, проблемы SSL сертификатов, что-то не совсем понятное "Dep­re­cat­ed Tech", истечение доменов. Ниже счетчики по доменам, хостам, страницам, SSL сертификатам, ASN, блокам IP-адресов, IP-адресам, контактам (тоже непонятно что именно). В целом неплохо, видно, что уязвимости оно детектит. Некоторые уязвимости помечены как "Poten­tial", значит MS +- понимают где потенциально фолсят.
3. Expo­sure detec­tion and pri­or­i­ti­za­tion. Вижу статистику по открытым портам, SSL конфигурациям, SSL организациям. Есть подробное описание зачем они это показывают. Хорошо.
4. More secure man­age­ment for every resource. Вижу обнаруженные проблемы смапленные на OWASP Top 10 с общим описанием почему важно и как исправлять. Вроде ничего особенного, но выглядит миленько. Судя по менюшке слева там ещё есть такое же по GDPR.
5. Есть вкладка Man­age -> Dis­cov­ery, которую нам не показывают, но видимо там настраивается сканирование.

Что тут можно сказать. С появлением EASM/периметрового сервиса, Microsoft стали полноценным Vul­ner­a­bil­i­ty Man­age­ment вендором. Процесс переваривания RiskIQ успешно завершился. На первый взгляд сервис выглядит прилично. Чтобы сказать точнее, нужно сравнивать с другими подобными периметровыми сервисами для одной и той же организации и оценить качество детектирования.

Ну и да, традиционное предупреждение. Microsoft нестабильный и ангажированный вендор. Если вы из России/ЕАЭС/БРИКС/ШОС использовать их продукты сейчас было бы крайне опрометчивым решением. Но подглядеть у них какие-то удачные фишечки это всегда неплохо. 😉