Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Administración de superficie expuesta a ataques externos de Microsoft Defender (Defender EASM) usa la tecnología de detección propietaria de Microsoft para definir continuamente la superficie de ataque única expuesta a Internet de su organización. La característica de detección de Defender EASM examina los recursos conocidos que pertenecen a su organización para descubrir propiedades desconocidas y no supervisadas anteriormente. Los recursos detectados se indizan en el inventario de la organización. Defender EASM proporciona un sistema dinámico de registro para aplicaciones web, dependencias de terceros e infraestructura web bajo la administración de la organización en una sola vista.
Mediante el proceso de detección de Defender EASM, su organización puede supervisar proactivamente su superficie de ataque digital que cambia constantemente. Puede identificar los riesgos emergentes y las infracciones de directivas a medida que surjan.
Muchos programas de vulnerabilidad carecen de visibilidad fuera del firewall. No son conscientes de los riesgos externos y las amenazas, que son el origen principal de las infracciones de datos.
Al mismo tiempo, el crecimiento digital sigue superando la capacidad de un equipo de seguridad empresarial para protegerlo. Las iniciativas digitales y la "TI de sombra" demasiado común conducen a una superficie de ataque en expansión fuera del firewall. A este ritmo, es casi imposible validar los controles, las protecciones y los requisitos de cumplimiento.
Sin Defender EASM, es casi imposible identificar y quitar vulnerabilidades y los escáneres no pueden llegar más allá del firewall para evaluar la superficie de ataque completa.
Cómo funciona
Para crear una asignación completa de la superficie expuesta a ataques de la organización, Defender EASM primeros recursos conocidos (semillas). Las semillas de detección se examinan de forma recursiva para descubrir más entidades a través de sus conexiones con las semillas.
Una inicialización inicial podría ser cualquiera de los siguientes tipos de infraestructura web indizada por Microsoft:
- Dominios
- Bloques de direcciones IP
- Hosts
- contactos Email
- Nombres de sistema autónomo (ASN)
- Organizaciones whois
A partir de un valor de inicialización, el sistema detecta asociaciones con otros elementos de infraestructura en línea para detectar otros recursos que posee su organización. En última instancia, este proceso crea todo el inventario de superficie expuesta a ataques. El proceso de detección usa las semillas de detección como nodos centrales. Luego se bifurca hacia la periferia de la superficie de ataque. Identifica todos los elementos de infraestructura que están conectados directamente al inicializado y, a continuación, identifica todos los elementos relacionados con cada elemento del primer conjunto de conexiones. El proceso se repite y se extiende hasta que alcanza el límite de la responsabilidad de administración de la organización.
Por ejemplo, para detectar todos los elementos de la infraestructura de Contoso, puede usar el dominio , contoso.com, como inicialización de clave inicial. A partir de esta inicialización, podemos consultar los siguientes orígenes y derivar las siguientes relaciones:
| Origen de datos | Elementos con posibles relaciones con Contoso |
|---|---|
| Registros whois | Otros nombres de dominio registrados en el mismo correo electrónico de contacto o organización registrada que se usó para registrarse contoso.com |
| Registros whois | Todos los nombres de dominio registrados en cualquier @contoso.com dirección de correo electrónico |
| Registros whois | Otros dominios asociados al mismo servidor de nombres que contoso.com |
| Registros DNS | Todos los hosts observados en los dominios que Contoso posee y los sitios web asociados a esos hosts |
| Registros DNS | Dominios que tienen hosts diferentes, pero que se resuelven en los mismos bloques IP |
| Registros DNS | Servidores de correo asociados a nombres de dominio propiedad de Contoso |
| Certificados SSL | Todos los certificados de capa de sockets seguros (SSL) que están conectados a cada uno de los hosts y a cualquier otro host que use los mismos certificados SSL |
| Registros ASN | Otros bloques IP asociados con el mismo ASN que los bloques IP que están conectados a hosts en los nombres de dominio de Contoso, incluidos todos los hosts y dominios que se resuelven en ellos |
Mediante el uso de este conjunto de conexiones de primer nivel, podemos derivar rápidamente un conjunto completamente nuevo de recursos para investigar. Antes de que Defender EASM realice más recursiones, determina si una conexión es lo suficientemente fuerte como para que una entidad detectada se agregue automáticamente como Inventario confirmado. Para cada uno de estos recursos, el sistema de detección ejecuta búsquedas automatizadas y recursivas basadas en todos los atributos disponibles para buscar conexiones de segundo y tercer nivel. Este proceso repetitivo proporciona más información sobre la infraestructura en línea de una organización y, por lo tanto, detecta recursos dispares que, de otro modo, podrían no detectarse y supervisarse.
Superficies de ataque automatizadas frente a personalizadas
Cuando use por primera vez Defender EASM, puede acceder a un inventario precompilado para que su organización inicie rápidamente los flujos de trabajo. En el panel Introducción, un usuario puede buscar su organización para rellenar rápidamente su inventario en función de las conexiones de recursos ya identificadas por Defender EASM. Se recomienda que todos los usuarios busquen el inventario de superficie expuesta a ataques pregenerado de su organización antes de crear un inventario personalizado.
Para crear un inventario personalizado, un usuario puede crear grupos de detección para organizar y administrar las semillas que usa al ejecutar detecciones. El usuario puede usar grupos de detección independientes para automatizar el proceso de detección, configurar la lista de inicialización y configurar programaciones de ejecución periódicas.
Inventario confirmado frente a recursos candidatos
Si el motor de detección detecta una conexión segura entre un recurso potencial y la inicialización inicial, el sistema etiqueta automáticamente el recurso con el estado Inventario confirmado. A medida que las conexiones a esta inicialización se examinan iterativamente y se detectan conexiones de tercer o cuarto nivel, disminuye la confianza del sistema en la propiedad de los recursos recién detectados. De forma similar, el sistema puede detectar recursos que son relevantes para su organización, pero que no son propiedad directa de usted.
Por estos motivos, los recursos recién detectados se etiquetan con uno de los siguientes estados:
| Nombre de estado | Description |
|---|---|
| Inventario aprobado | Elemento que forma parte de la superficie de ataque de su propiedad. Es un elemento del que eres directamente responsable. |
| Dependencia | Infraestructura que es propiedad de un tercero, pero forma parte de la superficie expuesta a ataques porque admite directamente el funcionamiento de los recursos de su propiedad. Por ejemplo, puede depender de un proveedor de TI para hospedar el contenido web. El dominio, el nombre de host y las páginas formarían parte del inventario aprobado, por lo que es posible que desee tratar la dirección IP que ejecuta el host como una dependencia. |
| Solo supervisar | Un recurso que es relevante para la superficie expuesta a ataques, pero no está controlado directamente ni es una dependencia técnica. Por ejemplo, los franquiciados o activos independientes que pertenecen a empresas relacionadas pueden etiquetarse como Solo supervisión en lugar de Inventario aprobado para separar los grupos con fines de informes. |
| Candidato | Un recurso que tiene alguna relación con los recursos de inicialización conocidos de la organización, pero que no tiene una conexión lo suficientemente fuerte como para etiquetarlo inmediatamente como Inventario aprobado. Debe revisar manualmente estos recursos candidatos para determinar la propiedad. |
| Requiere investigación | Un estado similar al estado Candidato , pero este valor se aplica a los recursos que requieren una investigación manual para validarlo. El estado se determina en función de nuestras puntuaciones de confianza generadas internamente que evalúan la solidez de las conexiones detectadas entre los recursos. No indica la relación exacta de la infraestructura con la organización, pero marca el recurso para una revisión más detallada para determinar cómo se debe clasificar. |
Al revisar los recursos, se recomienda empezar con los recursos con la etiqueta Requiere investigación. Los detalles de los recursos se actualizan continuamente y se actualizan a lo largo del tiempo para mantener un mapa preciso de los estados y las relaciones de los recursos, y para descubrir los recursos recién creados a medida que surgen. El proceso de detección se administra mediante la colocación de semillas en grupos de detección que se pueden programar para ejecutarse de forma periódica. Una vez rellenado un inventario, el sistema de Defender EASM examina continuamente los recursos mediante la tecnología de usuario virtual de Microsoft para descubrir datos actualizados y detallados sobre cada recurso. El proceso examina el contenido y el comportamiento de cada página de los sitios aplicables para proporcionar información sólida que puede usar para identificar vulnerabilidades, problemas de cumplimiento y otros posibles riesgos para su organización.