Expert aan het woord: Attack Surface Management voor beginners
Een overbodige luxe of eerder broodnodige bescherming? Thomas Jannes, SOC Manager (Security Operations Center) van Secutec beantwoordt enkele prangende vragen: wat is Attack Surface Management (ASM)? Waarom is een continue monitoring aanbevolen? Hoe helpt het jouw bedrijf te beschermen tegen externe bedreigingen? En hoe maakt Secutec het jou gemakkelijk met SecureSIGHT?
Wie het MITRE ATT&CK-framework[1] van nabij bekijkt, merkt dat er heel aspecten zijn binnen cybersecurity. Een hele waslijst aan uitdagingen die een organisatie zelf nooit krijgt gebolwerkt zonder een helpende hand. Secutec biedt gespecialiseerde hulp die zich inspireert op de verschillende stadia van een aanval zoals ze worden beschreven door MITRE.
Eén van die stadia is ‘Reconnaissance’, oftewel ‘op ontdekking gaan’. Hierbij gaat een hacker op zoek naar alle mogelijke manieren om het netwerk van een organisatie binnen te dringen, zonder dat hij beschikt over leaked credentials of gelekte gebruikersgegevens. We spreken hier over ‘Attack Surface Management’ (ASM), het topic waarover SOC Manager Thomas Jannes vandaag zijn licht laat schijnen. Hij legt uit hoe Secutec hierbij te werk gaat, wat de voordelen zijn voor klanten en hoe het in het bredere plaatje past van Secutec SecureSIGHT.
Wat is Attack Surface Management?
Jannes: Bij Secutec zijn we gespecialiseerd in external ASM. Daarbij gaan we op zoek naar alle mogelijke manieren om van buitenaf systemen te kraken, zoals een hacker dat ook zou doen. We kruipen in de huid van een cybercrimineel en proberen alles wat een aanvaller zou doen om een netwerk binnen te geraken. We focussen dus op alle internet-facing systemen van een klant.
Interne ASM of full vulnerability scanning doen we ook als aanvulling op SecureSIGHT. Deze interne scanning geeft echter een zeer grote hoeveelheid aan kwetsbaarheden, terwijl wij binnen SecureSIGHT willen focussen op concrete actiepunten op korte termijn die zo effectief en efficiënt mogelijk hackers moeten buiten houden.
We kijken ook naar gelekte credentials (logins en passwords), als een hacker deze in zijn bezit heeft, is het spel al grotendeels gespeeld. Een hacker die binnen is, zal heel snel zijn doel kunnen bereiken. Waarom zou een autodief immers het raam ingooien als hij gewoon de sleutel heeft. Hetzelfde geldt voor cybersecurity maar daarover hebben we het een andere keer.
Hoe werkt ASM?
Jannes: Als we aan de slag gaan voor een klant, zetten we verschillende tools in werking. We gaan op zoek naar alle systemen van de organisatie die toegankelijk zijn vanaf het internet: (web)servers, firewalls, clouddiensten,… Alles wat we kunnen detecteren, brengen we samen in een lijst en gaan we testen op kwetsbaarheden.
Om het in mensentaal uit te leggen, begint zo’n test met een simpele ‘hello’. Dit is de eerste stap in het opzetten van een connectie en we kijken dan wat we terugkrijgen. Vaak is dat meer dan je zou denken. Webservers zijn bijvoorbeeld doorgaans héél erg sociaal ingesteld. In de achtergrond geven ze meteen een heleboel informatie die voor de gebruiker niet zichtbaar is, maar die voor de hacker een schat aan informatie bevat. Om een analogie te maken; blijkbaar is het nodig om mensen die goeiedag komen zeggen meteen ook te vertellen waar ze hun jas kunnen ophangen of waar ze naar toilet mogen gaan.
Hoe werkt de ASM-oplossing van Secutec?
Jannes: Uiteraard streven we naar efficiëntie, wat betekent dat onze diensten zoveel mogelijk automatiseren. We bieden ASM dan ook aan als een Managed Service, waarbij we continue op zoek gaan naar openstaande deuren waarlangs een hacker binnen zou kunnen. Doe je dat slechts eenmalig, met een one-time snapshot, dan krijg je maar een momentopname die enkele weken of zelfs uren later al volledig achterhaald kan zijn.
ASM is een module die deel uitmaakt van onze eigen ontwikkelde oplossing SecureSIGHT. Dit is een cyber intelligence service waarvoor we werken met een combinatie van commerciële platformen en opensource intelligence (OSINT). Denk aan zaken zoals Shodan, een dienst die bij veel mensen gekend is omdat je er bijvoorbeeld onbeveiligde thuiscamera’s op terugvindt. We gebruiken meerdere bronnen om een zo breed mogelijk zicht te krijgen en onze klanten zo efficiënt mogelijk te kunnen informeren. We hebben bij SecureSIGHT twee principes; ten eerste maken we maken alles zichtbaar, ten tweede doen we dit op continue basis.
Wat doet Secutec met de info die het verzamelt?
Jannes: In de eerste plaats helpen we met het prioriteren van kwetsbaarheden. We leveren dus niet zomaar een rapport aan of een lijst met ‘zaken waar je eens naar moet kijken wanneer je tijd hebt’. We duiden helder aan: hier moet je vandaag op focussen, dit kan je laten liggen tot volgende week en deze kwetsbaarheid pak je aan wanneer het past. In calls met klanten zeg ik soms met een kwinkslag ‘zeg maar tegen uw technische collega’s dat hun weekend niet kan beginnen zolang deze vulnerability niet is opgelost.’ Wanneer er zulke kritische kwetsbaarheden opduiken, informeren we de klant meteen via email. Krijgen we niet snel respons, dan bellen we de klant op.
Dat is het grote verschil met een traditionele vulnerability scanner die van binnenuit werkt – internal Attack Surface Management, dus. Zo’n traditionele oplossing maakt gebruik van je logingegevens en de volledige toegang tot het bedrijfsnetwerk om een lijst met kwetsbaarheden op te stellen. Dit is meestal een ellenlange lijst die geen prioriteiten definieert voor de beheerder. Terwijl niet iedere kwetsbaarheid ook echt (onmiddellijk) uit te buiten valt.
Op die manier werkt onze managed service: wij geven je concrete, actionable data, zodat jij en je collega’s zich kunnen focussen op wat je job echt is: je business ondersteunen.
Waarom heeft een organisatie hiervoor een externe partij nodig als Secutec?
Jannes: Een eerste, niet onbelangrijke reden is dat je niet altijd zicht hebt op al je assets die internet-facing zijn. Heel vaak horen we ‘juist, die waren we vergeten’. Webservers worden vaak niet gehost in eigen beheer, denk bijvoorbeeld aan een webshop die bij een externe partner staat. Wij helpen je dan het gevaar in kaart te brengen zodat je met technisch onderbouwde argumenten je partner kan wijzen op de nodige actiepunten.
Naast zichtbaarheid bieden we eveneens gebruiksgemak. Een nadeel van het gebruik van ‘best of breed’-producten is dat iedere tool een eigen portaal heeft die je apart in de gaten moet houden. De combinatie geeft je dan wel het beste resultaat, maar alle informatie combineren, is geen sinecure. Daar helpt Secutec: met SecureSIGHT zorgen we voor de lijm die alle informatie samenbrengt op één platform én voor jou overzichtelijk maakt waar je eerst moet kijken. Wij geven onze klanten het zogenaamde Single Pane of Glass.
Een van de rapporten die we aanvullend aanleveren is een maandelijks executive rapport: hier wordt de evolutie gevisualiseerd van de security posture van jouw organisatie. Zo wordt het voor de IT Manager, zijn collega’s en het management meteen duidelijk of het bedrijf op de goede weg is. Of net niet.
Naast doorlopende vulnerability audits, biedt Secutec SecureSIGHT eveneens de mogelijkheid om leaked credentials te monitoren op het Darknet en voorziet het in oplossingen voor Active Managed Threat Hunting en Managed XDR.
Interesse in hoe Secutec uw exposure detection voor u automatiseert? Neem contact op met onze cybersecurity-experts voor een demo.
[1] MITRE ATT&CK® is een wereldwijd toegankelijke kennisbank van tactieken en technieken van hackers, gebaseerd op waarnemingen uit de realiteit. De ATT&CK-kennisbank wordt gebruikt als basis voor de ontwikkeling van specifieke dreigingsmodellen en methodologieën.