- 1. Hiểu được chỉ số rủi ro trong hệ thống (Risk Index)
- 2. Mức độ rủi ro tài sản trong hệ thống (Asset Risks)
- 3. Giảm thiểu rủi ro trong hệ thống (Reducing your identified Attack Surface Risk)
Bạn có thể sử dụng Vision One ASRM để chủ động xác định các tài sản của hệ thống mà các tác nhân đe dọa có thể sử dụng để tấn công vào tổ chức. Phần này sẽ cung cấp cho bạn thông tin chi về rủi ro tài sản trong hệ thống.
2.1. Devices
Đầu tiên chúng ta sẽ xem danh sách toàn bộ tài sản Devices trong hệ thống bao gồm: tên thiết bị (device name), mức độ rủi ro (risk score), địa chỉ IP (ip address), số lượng lỗ hổng bảo mật (highly exploitable CVEs), …
Sau đây là hướng dẫn cụ thể một số tình huống
2.1.1. Liệt kê toàn bộ devices trong hệ thống
Devices sẽ liệt kê theo thứ tự giảm dần hoặc tăng dần của risk score, mặc định sẽ là giảm dần.
2.1.2. Danh sách thiết bị được phát hiện bởi hãng thứ 3
Phụ thuộc vào số lượng hãng thứ 3 tích hợp với Vision One, bạn có thể thấy thiết bị được phát hiện từ hãng thứ 3. Ví dụ trong hình dưới đây là thiết bị SMEX0668 được phát hiện từ Rapid7
2.1.3. Xem thông tin chi tiết về rủi ro
Click chọn device name cần xem thông tin chi tiết về rủi ro trong danh sách, ở đây bạn sẽ có thông tin chi tiết rủi ro liên quan đến thiết bị này.
Trong đồ thị “RISK SCORE” bạn có thể di chuột để chọn lọc theo màu dựa trên factor bạn muốn xem
2.1.4. Lấy dữ liệu về lỗ hổng và các bước khắc phục rủi ro
Mở rộng bất kỳ thông tin về lỗ hổng bảo mật trong hệ thống (Vulnerabilities) để xem thông tin chi tiết về lỗ hổng bảo mật trong hệ thống cũng như các bước khắc phục.
2.1.5. Mối liên hệ kết nối từ thiết bị có rủi ro (Asset Graph)
Click chọn Asset Graph, bạn có thể nhìn thấy thiết bị này đã được kết nối tới các máy tính khác trong hệ thống dưới dạng đồ họa. Bạn cũng có thể xem chi tiết ở cửa sổ bên phải các thông tin như: hệ điều hành, mức độ rủi ro, mức độ quan trọng tài sản, …
2.1.6. Chỉnh sửa mức độ quan trọng từ Asset Graph
Từ Asset Graph, anh có thể chỉnh sửa mức độ quan trọng của tài sản bằng việc chọn “Modify Criticality”. Sau đó bạn chuyển từ System-defined sang custom để tùy chọn mức độ quan trọng của tài sản.
Việc chỉnh sửa mức độ quan trọng của tài sản sẽ ảnh hưởng đến việc đánh giá mức độ rủi ro của tài sản.
2.1.7. Xem xét việc sử dụng ứng dụng cloud (cloud app)
Chọn tab Cloud App Activity để xem mức độ sử dụng ứng dụng cloud trên thiết bị. Cloud App là những ứng dụng có kết nối trên internet/cloud. Bạn có thể xem dưới dạng “App list”.
Sanctioned Apps: là các ứng dụng được cho phép trong tổ chức.
Unsanctioned Apps: là các ứng dụng có rủi ro, hoặc ứng dụng chưa được phép sử dụng trong tổ chức.
2.1.8. Xem xét việc sử dụng ứng dụng local (local app)
Việc này giúp bạn xác định những ứng dụng cài đặt trong thiết bị có thể gây ra rủi ro trong hệ thống, hoặc tiềm ẩn rủi ro trong hệ thống.
2.1.9. Thực hiện các bước phản ứng để hạn chế rủi ro
Chọn vào biểu tượng 3 chấm để xem các bước khắc phục có thể thực hiện
2.2. Internet-Facing Assets
Các chương trình và dịch vụ trên internet chiếm phần lớn các mối đe dọa, các cuộc tấn công vào hệ thống. Hãy xem xét một tình huống trong đó nhóm phát triển của bạn thường xuyên tạo ra các ứng dụng hoặc dịch vụ thử nghiệm mà có thể truy cập được từ internet và sau đó quên gỡ bỏ chúng, và có thể là nguyên nhân dẫn tới rủi ro lớn trong hệ thống.
Phần này sẽ giúp bạn kiểm soát và giám sát hiệu quả các tài sản (chương trình hoặc dịch vụ) được phép truy cập từ internet.
Có 2 tùy chọn ở dashboard này là: Domains và Public Ips
Sau đây là hướng dẫn cụ thể một số tình huống
2.2.1. Xem thông tin tài sản được truy cập internet trong tổ chức
Chọn Attack Surface Discovery > Internet-Facing Assets, ở đây bạn có thể xem danh sách toàn bộ tên miền được truy cập từ internet và mức độ rủi ro của từng tên miền theo thứ tự giảm dần. Mỗi domain bạn cũng có thể xem thông tin về IP public, nhà cung cấp dịch vụ, dịch vụ truy cập từ internet, port kết nối được mở.
2.2.2. Thêm tên miền (add domain)
Bạn có thể thêm tên miền tùy chỉnh của tổ chức miễn là tổ bạn đang sở hữu chúng. Sau khi được thêm vào Vision One sẽ tìm kiếm điều tra trên internet để phát hiện mọi tên miền phụ liên quan, cũng như scan rủi ro liên quan đến các thông tin liên quan.
2.2.3. Đánh giá rủi ro tên miền của bạn
Chọn vào tên miền của bạn để xem thông tin chi tiết. Bạn có thể truy cập vào các yếu tố rủi ro và hiểu rõ hơn về những rủi ro có thể gây ra nguy hiểm cho hệ thống của bạn.
Việc này giúp bạn ưu tiên các bước khắc phục rủi ro trong hệ thống. Attack Surface sẽ thực hiện đánh giá rủi ro an toàn dựa trên thông tin về cổng (port) kết nối, dịch vụ, chứng chỉ số và lỗ hổng bảo mật.
2.2.4. Hiểu về các mối quan hệ giữa các tài sản (Asset Graph)
Biểu đồ kết nối tài sản giúp bạn dễ dàng hiểu được mối quan hệ giữa các tài sản. Trong ví dụ dưới đây bạn có thể thấy nhanh tên miền dd chỉ có 2 IP được liên kết.
2.2.5. Kiểm tra các IP liên quan
Bạn có thể xem chi tiết về bất kỳ địa chỉ IP public nào được kết tới bề mặt tấn công trong hệ thống của bạn. Thông tin này bao gồm: vị trí, thông tin máy chủ và thông tin các dịch vụ khác nếu có.
2.2.6. Trạng thái chứng chỉ số
Trong quá trình phát hiện tên miền, Vision One cũng sẽ thu thập thông tin liên quan đến chứng chỉ số của tên miền của bạn.
2.2.7. Hồ sơ tài sản (Asset profiles)
Asset profiles bạn có thể xem tất cả các thông tin chi tiết bổ sung về tên miền. Ở phía dưới bên trái, bạn có thể thấy các thẻ (tag) được sử dụng để đánh giá mức độ quan trọng của tài sản này. Ví dụ: tên miền này tên miền chính (primary domain) để lưu trữ cơ sở dữ liệu và máy chủ web.
2.3. Accounts
Bây giờ, chúng ta sẽ chuyển sang khám phá tài sản về tài khoản (accounts), về bề mặt tấn công trên phương diện accounts. Để xem thông tin dữ liệu Vision One cung cấp về phương diện này bạn truy cập vào tab Accounts, ở đây bạn sẽ thấy danh sách các tài khoản người dùng. Giống như danh sách thiết bị (devices) mà chúng ta đã thấy trước đó, chúng ta có một danh sách các tài khoản người dùng và điểm rủi ro của họ được liệt kê theo thứ tự giảm dần.
Bạn có thể chọn một account trong danh sách để xem thông tin chi tiết về rủi ro liên quan.
Sau đây là một số hướng dẫn cụ thể một số tình huống: trong tình huống này, tài khoản Adele Vance được sử dụng để thể hiện thông tin mà Vision One cung cấp.
2.3.1. Điểm rủi ro (risk score)
Bạn sẽ thấy điểm rủi ro (giống như đối với devices) về phương diện account
2.3.2. Hoạt động của tài khoản (Account activity)
Từ Risk score ở trên bạn kéo xuống dưới, ở đây bạn sẽ thấy hoạt động của tài khoản theo vị trí. Trong biểu đồ ở tình huống này, có vẻ như ai đó đang cố gắng đăng nhập từ nhiều vị trí khác nhau trên khắp thế giới. Đây có thể là một dấu hiệu cho thấy rủi ro đang xảy ra đối với tài khoản này.
Biểu đồ cho thấy tài khoản này đăng nhập thành công và thất bại ở nhiều vị trí khác nhau trên thế giới.
2.3.3. Chỉ báo rủi ro (Risk indicators)
Cùng với giao diện này, kéo xuống dưới bạn có thể thấy các chỉ báo rủi ro về tài khoản này.
2.3.4. Mức độ quan trọng của tài khoản (Asset Criticality)
Tất cả thông tin này đều dẫn đến nghi ngờ rằng tài khoản Adele bị xâm phạm. Ngoài ra, bạn có thể xem thông tin từ biểu đồ tải sản (Asset Graph), ở đây thì bạn thấy tài khoản Adele là người quản lý và có kết nối với hai thiết bị và hai tài khoản.
2.3.4. Hồ sơ tài sản (Asset profile)
Trong tab Asset Profile, bạn có thể thấy rằng danh tính của tài khoản Adele có mức độ quan trọng mức cao vì cô ấy là người quản lý.
2.3.6. Hành động phản hồi (Response actions)
Dựa trên thông tin thu thập được, có lý do để nghi ngờ rằng tài khoản Adele đã bị xâm phạm. Ngoài ra, vì đây là tài khoản quản lý nên được liệt kê vào tài sản quan trọng cao. Giống như với Devices thì Accounts bạn vẫn có các bước để khắc phục vấn đề này.
Trong tình huống này, bạn có tùy chọn: disable user, force sign-out hoặc force password reset.
2.4. Ứng dụng (applications)
Nếu như bạn quay lại ứng dụng Attack Surface Discovery và chọn vào tab Applications, bạn sẽ thấy danh sách các cloud apps được phát hiện từ việc sử dụng của người dùng. Cloud apps là những ứng dụng cloud. Bằng cách phân tích sâu vào các ứng dụng cloud, bạn có thể thấy được mức độ rủi ro của từng ứng dụng (mức độ rủi ro này dựa trên nghiên cứu của Trend Micro).
Thêm vào đó, bạn cũng có thể thấy Local apps. Local apps chính là những ứng dụng được cài đặt trên máy tính của người dùng.
Sau đây là hướng dẫn cụ thể một số tình huống
2.4.1. Tổng quan nhanh về ứng dụng trong hệ thống
Đầu tiên bạn sẽ thấy tổng cộng có bao nhiêu ứng dụng cloud trong hệ thống bạn đang sử dụng. Tiếp theo là bạn có thể thấy bao nhiêu ứng dụng sanctioned (được phép sử dụng trong hệ thống) và bao nhiêu ứng dụng unsanctioned (không được phép sử dụng trong hệ thống) mỗi tháng.
Nếu như bạn nghi ngờ số liệu này đang thấp, thiếu, bạn nên kiểm tra lại nguồn dữ liệu cung cấp tại CONTRIBUTING DATA SOURCES.
2.4.2. Xem kho ứng dụng đám mây sử dụng trong hệ thống (cloud app list)
Bạn có thể xem danh sách ứng dụng đám mây sử dụng trong hệ thống tại Cloud App List, tại đây bạn cũng có thể chuyển ứng dụng sang sanctioned hoặc unsanctioned.
2.4.3. Kiểm tra chi tiết về ứng dụng
Từ Cloud App List, bạn có thể click chọn 1 ứng dụng và xem thông tin chi tiết về ứng dụng đó dựa trên dữ liệu của Trend Micro. Risk Level là mức độ rủi ro của ứng dụng, mức độ rủi ro này sẽ nằm trong khoảng 1-10.
Ứng dụng này cũng được xem xét mức độ tuân thủ (compliance) đạt được.
2.4.4. Lượt truy cập ứng dụng theo vị trí địa lý
2.4.5. Người dùng nào đã truy cập vào ứng dụng
Chọn tab Users, bạn có thể thấy thông tin những người dùng đã sử dụng ứng dụng này. Thêm vào đó là mỗi người dùng bạn sẽ thấy thông tin về: email, location, job title và risk score người dùng.
2.4.6. Những thiết bị nào đã kết nối vào ứng dụng
Bạn có thể xem toàn bộ thiết bị kết nối vào ứng dụng này.
2.5. Cloud Assets
Attack Surface Discovery cho phép bạn hiển thị tất cả tài sản Cloud đã biết và chưa biết trong tổ chức của bạn, cho phép bạn nhanh chóng xác định các vi phạm về tuân thủ và cấu hình bảo mật.
Vision One sẽ giám sát tài sản cloud bao gồm: cloud storage, cloud containers và cloud workloads để đưa cho bạn khả năng hiển thị các cấu hình bảo mật sai và lỗ hổng bảo mật.
Sau đây là hướng dẫn cụ thể một số tình huống
2.5.1. Cloud Assets Overview
Cloud Assets Overview sẽ hiển thị tổng số tài sản cloud được phát hiện trong hệ thống của bạn theo tháng và theo nền tảng (như: AWS, Azure, GCP)
2.5.2. Cloud Assets by location
Trong phần này, bạn có thể có được cái nhìn tổng quan về tài sản đám mây của bạn theo vị trí và số lượng tài nguyên ở mỗi vị trí.
2.5.3. Contributing data sources
Ở phần này bạn có thể thấy chính xác giải pháp nào đang đóng góp vào tổng tài sản cloud đã được phát hiện.
2.5.4. Cloud Asset List
Ở phần này bạn có thể thấy danh sách tài sản cloud bao gồm: nhà cung cấp dịch vụ Provider (Azure, AWS, GCP), loại tài sản Asset Type (S3 Bucket, EC2 security group, …), …
2.5.5. Risk Assessment
Ở danh sách tài sản cloud, nếu bạn chọn vào một tài sản, bạn có thể thấy thông tin chi tiết về tài sản này, bao gồm thông tin đánh giá rủi ro của tài sản cũng như thông tin risk score.
2.5.6. Risk Indicators
Ở phần này, bạn có thể thấy các yếu tố rủi ro đã góp phần vào điểm rủi ro cho tài sản cloud của bạn. Nếu bạn mở rộng Risk Factor, bạn có thể thấy cụ thể vấn đề.
Trong ví dụ này, cấu hình cơ sở hạ tầng AWS không tuân thủ đã được tìm thấy.
Khuyến nghị cũng được đưa ra để khắc phục vấn đề này là: không cho phép truy cập READ_ACP
2.5.7. Reference
Vision One sẽ đính kèm 1 link tham khảo về sự kiện gây ra rủi ro để người quản trị có thể tham chiếu thêm thông tin.
2.6. APIs
Tương tự như các tài sản mà chúng ta đã đi qua (Devices, Accounts, …), Vision One cũng cung cấp chức năng ASRM để đánh giá tài sản về API trong tổ chức của bạn. Tại tab APIs bạn có thể xem thông tin rủi ro về API trong hệ thống của bạn, tại đây bạn có thể xem thông tin về: cloud provider information, số lượng API collections, số lượng API endpoints, số lượng unauthenticated API endpoints.
Sau đây là hướng dẫn cụ thể một số tình huống
2.6.1. Risk Assessment
Từ App List ở trên, khi bạn chọn vào một API collection, bạn có thể thấy thông tin chi tiết hơn về API đó, bạn sẽ thấy thông tin risk được đánh giá bởi Trend Micro về API đó.
2.6.2. Risk indicator và Remediation steps
Từ cửa sổ giao diện trên kéo xuống dưới mở rộng ra bạn có thể thấy thông tin chi tiết hơn API này có một số rủi ro về security, từ đó sẽ đưa ra các bước khuyến nghị khắc để giảm thiểu rủi ro.
2.6.3. Reference
Vision One sẽ đính kèm 1 link tham khảo về sự kiện gây ra rủi ro để người quản trị có thể tham chiếu thêm thông tin.
