Microsoft анонсировали Defender External Attack Surface Management. Честно говоря, сначала я подумал, что "EASM" это какое-то изобретение майкрософтовских маркетологов. Даже возмутился почему они не используют при наименовании и описании что-то более привычное, типа "периметровый сервис", "периметровое сканирование". Напридумают модных словечек, а нам голову ломай что конкретно эта новая вундервафля делает. А потом я увидел новость, что и Qualys тоже презентуют свой EASM (его тоже потом поглядим). И довольно разнообразную поисковую выдачу по "External Attack Surface Management". И понял, что это я ошибаюсь и отстал от жизни. Будем догонять. 🙂
В общем, EASM это теперь стандартное наименование для класса решений. Его ввели в обиход Gartner и определяют как в Market Guide for Security Threat Intelligence Products and Services (2021) как
"a combination of technology, processes and managed services that provides visibility of known and unknown digital assets to give organizations an outside-in view of their environment"
Ну то есть +- это наши привычные периметровые сканы с внешней площадки, когда мы действуем как атакующий (но IP-шник сканера в белый список все-таки добавляем и SOC предупреждаем 😉). Посканили порты, продетектировали сервисы, поискали уязвимости и ошибки конфигурирования в этих сервисах. Классика. Но название у этого теперь новое, будем привыкать. 🙂 Зато можно будет говорить, что занимаемся не только VM-ом, но и EASM-ом, лол.
Ну и стоит обратить внимание, что фокус этого EASM-а не на уязвимостях, а на контроле и учете активов. Чтобы неизвестное подсвечивалось и становилось известным. И это вроде тоже можно приветствовать, потому что пока нет четкого понимания какие активы у нас доступны из Интернет (а также зачем они доступны и кто за них отвечает), то нет смысла говорить о каком-то вразумительном контроле уязвимостей для них.
Но вернемся Microsoft Defender EASM. Описание на лендинге не особо вразумительное. Одни общие и красивые слова. Технических деталей минимум. Наиболее информативны там мыльные скриншоты. Давайте их разберем.
1. Real-time inventory. Вижу разные типы активов, которые удалось проинвентаризировать, в одном общем списке. Хост, IP-адрес, SSL Certificate. Для сертификата показывают дату истечения. Для IP-адреса показывают ASN и репутацию.
2. Attack surface visibility. Вижу дашборд с Observations трех уровней критичности. В этих Observations вижу CVE уязвимости, проблемы SSL сертификатов, что-то не совсем понятное "Deprecated Tech", истечение доменов. Ниже счетчики по доменам, хостам, страницам, SSL сертификатам, ASN, блокам IP-адресов, IP-адресам, контактам (тоже непонятно что именно). В целом неплохо, видно, что уязвимости оно детектит. Некоторые уязвимости помечены как "Potential", значит MS +- понимают где потенциально фолсят.
3. Exposure detection and prioritization. Вижу статистику по открытым портам, SSL конфигурациям, SSL организациям. Есть подробное описание зачем они это показывают. Хорошо.
4. More secure management for every resource. Вижу обнаруженные проблемы смапленные на OWASP Top 10 с общим описанием почему важно и как исправлять. Вроде ничего особенного, но выглядит миленько. Судя по менюшке слева там ещё есть такое же по GDPR.
5. Есть вкладка Manage -> Discovery, которую нам не показывают, но видимо там настраивается сканирование.
Что тут можно сказать. С появлением EASM/периметрового сервиса, Microsoft стали полноценным Vulnerability Management вендором. Процесс переваривания RiskIQ успешно завершился. На первый взгляд сервис выглядит прилично. Чтобы сказать точнее, нужно сравнивать с другими подобными периметровыми сервисами для одной и той же организации и оценить качество детектирования.
Ну и да, традиционное предупреждение. Microsoft нестабильный и ангажированный вендор. Если вы из России/ЕАЭС/БРИКС/ШОС использовать их продукты сейчас было бы крайне опрометчивым решением. Но подглядеть у них какие-то удачные фишечки это всегда неплохо. 😉
