Avolute Technology

Багато хто думає, що знає всі сервери та домени своєї компанії. Але статистика показує – майже 80% організацій не мають повного реєстру зовнішніх активів. Та й чесно кажучи, хто з нас не стикався з ситуацією, коли раптом виявляється якийсь забутий піддомен чи старий тестовий сервер?

Інвентаризація зовнішніх активів – це не просто складання списку. Це систематичний підхід до виявлення всіх ресурсів компанії, що доступні через інтернет. І тут справа не тільки в серверах – треба враховувати домени, IP-адреси, SSL-сертифікати, мобільні додатки, хмарні сервіси.

Чому це взагалі важливо

Уявіть собі ситуацію: у вас є старий тестовий сайт, про який усі забули. А там досі працює застаріла версія CMS з відомими вразливостями. Зловмисники знайдуть його швидше за вас – вони використовують автоматизовані сканери вразливостей для пошуку таких “подарунків”.

Або інший приклад: компанія купила стартап, отримавши разом з ним кілька доменів. Через рік виявляється, що один з них використовується для фішингових атак через несанкціонований доступ. Такі історії трапляються частіше, ніж хотілося б.

Основні етапи інвентаризації

Перший крок – збір інформації з внутрішніх джерел. Це DNS-записи, реєстри доменів, конфігурації хмарних провайдерів. Але цього недостатньо, бо люди мають властивість забувати про тимчасові проекти чи тестові середовища.

Другий етап – зовнішнє сканування. Тут допомагають спеціалізовані інструменти, які переглядають інтернет з позиції зловмисника. Вони шукають відкриті порти, застарілі сертифікати, вразливості програмного забезпечення.

Інструменти та методи

Є безліч рішень для автоматизації цього процесу. Деякі компанії роблять це власними силами, використовуючи відкриті інструменти типу Nmap чи Shodan. Але чесно кажучи, для великих організацій це може стати повноцінною роботою на повну ставку.

• Автоматизовані сканери зовнішнього периметра
• OSINT-інструменти для пошуку доменів
• Моніторинг Certificate Transparency logs
• API хмарних провайдерів для інвентаризації ресурсів
• Пошук через соціальні мережі та репозиторії коду

Комерційні рішення типу Tenable Vulnerability Management дозволяють не просто знайти активи, а й оцінити їх стан безпеки. Така платформа автоматично перевіряє знайдені ресурси на предмет відомих вразливостей.

Типові помилки при інвентаризації

Найчастіша помилка – покладатися тільки на внутрішню документацію. Люди забувають оновлювати реєстри, особливо коли мова йде про тестові середовища чи тимчасові проекти. А потім виявляється, що десь “висить” старий сервер з відкритою базою даних.

Інша проблема – ігнорування хмарних ресурсів. Разом з переходом в cloud з’явилися нові типи активів: S3 bucket’и, Azure storage accounts, Google Cloud instances. Їх теж треба відстежувати, бо захист корпоративних даних включає всі місця їх зберігання.

Практичні поради

Почніть з малого – створіть базовий реєстр відомих активів. Потім регулярно його доповнюйте результатами зовнішнього сканування. Встановіть процедури, щоб кожен новий проект чи домен автоматично потрапляв до загального реєстру.

Обов’язково залучайте різні відділи компанії. Маркетинг може мати окремі landing page’і, розробники – тестові середовища, а продажі – демо-версії продуктів. Всі ці ресурси мають бути під контролем.

І найголовніше – інвентаризація зовнішніх активів це не разова акція. Цифрова інфраструктура постійно змінюється, з’являються нові домени, запускаються нові сервіси. Тому потрібен регулярний моніторинг та оновлення реєстру. Інакше через півроку ви знову виявите забуті ресурси з поверхнею кібератаки, яка могла б бути меншою.

Сучасні реалії такі, що компанії мають набагато більше зовнішніх активів, ніж здається на перший погляд. Тому систематичний підхід до їх виявлення та моніторингу стає критично важливим елементом стратегії кібербезпеки.