F A C C T Attack Surface Management

Описание

Group-IB AssetZero – комплексное и основанное на данных киберразведки решение по модели ПО, позволяющее организациям оценивать поверхность атаки и управлять ею. Решение обеспечивает полную видимость доступных извне активов, выявляя из них те, которые могут быть использованы в качестве вектора атаки, а также оптимизирует мероприятия по снижению рисков и ликвидации последствий с помощью интеграции, управления задачами и легкого в использовании пользовательского интерфейса.

Функционал ПО предусматривает:

• Пассивное сканирование пространства IPv4 на предмет выявления активов инфраструктуры компании в режиме реального времени.
• Выявление адресов IPv6, связанных с активами компании.
• Обнаружение связей между SSL/TLS-инфраструктурой компании.
• Многоуровневый подход к построению связей между доменами, IP-адресами и активами инфраструктуры компании на основе исторических данных WHOIS, DNS и запущенных сервисов.
• Сбор данных о развернутом оборудовании компании и сопоставление с данными об уязвимостях.
• Отображение полной инфраструктуры компании с технической оценкой активов и уровня защищенности инфраструктуры в режиме реального времени.
• Обнаружение и анализ уязвимостей конфигураций операционных систем, сервисов, приложений, программного и аппаратного обеспечения, в том числе программных библиотек в активах компании.
• Поиск неточностей в конфигурации активов компании таких как: общедоступные Базы данных, файловые хранилища или списки директорий сервисов.
• Обнаружение неточностей в конфигурации DNSSEC, SPF и DMARC в активах компании.
• Уведомление о предстоящих изменениях состояния TLS инфраструктуры активов (окончание действия SSL-сертификатов).
• Обнаружение и анализ самоподписанных сертификатов, актуальных версий SSL/TLS и алгоритмов шифрования в активах.
• Сканирование подсетей компании, чтобы определять открытые порты, службы и используемые веб-приложения. Сканирование не должно предполагать использование уязвимостей или загрузки какого-либо контента. Сканирование должно проводиться в “скрытом режиме”, подразумевающем отсутствие обнаружения факта сканирования со стороны СЗИ компании. Сканирование должно выявлять открытые порты служб удаленного администрирования (RDP, SSH, VPN и т.п.), порты баз данных, небезопасные заголовки служб, открытые прокси-серверы, запущенные узлы Tor, а также то, был ли актив целью DDoS-атаки.
• Выявление фактов похищения аутентификационных данных, связанных с обнаруженными активами компании с помощью ВПО или фишинга.
• Выявление наличие аутентификационных данных компании в опубликованных в общем доступе или на теневых площадках, взломанных базах данных сторонних сервисов, имеющих возможное отношение к обнаруженным активам компании.
• Обнаружение фактов взаимодействия ВПО, проанализированных в общедоступных решениях типа “песочница”, а также проанализированных в платформах детонации, с активами компании.
• Выявление наличия работающего ВПО в выявленных активах компании.
• Выявление фактов упоминания активов компании в теневых площадках сети Интернет.
• Сопоставление информации об образцах ВПО с инфраструктурой компании и оповещение в случае, если ВПО имеет файл настроек, где затрагиваются IP-адреса, домены и другие активы компании.
• Предоставление актуальной информации о событиях фишинга, затрагивающих инфраструктуру компании.
• Выявление использования вредоносного кода типа JS-снифферы на доменах и страницах веб-сайтов компании.
• Предоставление информации о принадлежности активов компании к бот-сетям.
• Интеграция системы оповещений через API с системами тикетов, SIEM и SOAR;
• Отслеживание изменений и повторные проверки уровня защищенности.

Aльтернативные названия:

• F.A.C.C.T. ASM;
• F.A.C.C.T. AssetZero;
• Attack Surface Management;
• ASM;
• AssetZero;
• Group-IB Attack Surface Management;
• Group-IB ASM;
• Group-IB AssetZero;