Поверхность атаки (Attack Surface)
Что такое Поверхность атаки (Attack Surface)?
Поверхность атаки (Attack Surface)Сумма всех точек, через которые атакующий может попытаться войти в систему, извлечь данные или повлиять на неё: сети, ПО, идентичности, цепочка поставок, люди.
Поверхность атаки организации — это полный набор экспонированных точек входа: интернет-активы, сторонние SaaS, API, конечные устройства, мобильные приложения, сетевые протоколы, репозитории исходного кода, IoT/OT-устройства, control plane облаков, идентичности и человеческие каналы, уязвимые к социальной инженерии. Она динамична и растёт с каждой новой фичей, поставщиком и изменением конфигурации. Аналитики часто делят её на цифровую поверхность (ПО и экспонированные сервисы), физическую поверхность (устройства и носители) и социальную поверхность (люди, на которых нацелен фишинг).
Кампания против MOVEit Transfer 2023 года — хрестоматийная иллюстрация. Единственная уязвимость SQL-инъекции, CVE-2023-34362, находилась в обращённом в интернет файлообменном устройстве; на момент раскрытия Shodan показывал около 2500 экспонированных экземпляров MOVEit, а группа вымогателей Cl0p эксплуатировала их как уязвимость нулевого дня, скомпрометировав сотни организаций через один забытый край их поверхности. Урок в том, что неуправляемые активы или «теневое ИТ» — dev-бакет S3, заброшенное VPN-устройство, устаревший поддомен, уязвимый к захвату, — это именно то, куда атакующие смотрят в первую очередь.
Инструменты управления поверхностью атаки (ASM) и управления внешней поверхностью атаки (EASM) непрерывно обнаруживают активы, идентифицируют их и приоритизируют экспозиции. Снижение опирается на харденинг, вывод устаревших сервисов, минимизацию привилегий, сегментацию сетей, быстрое обновление обращённого в интернет ПО и удаление неиспользуемых зависимостей и учётных записей.
flowchart TD
O[Организация] --> D[Цифровая поверхность<br/>интернет-активы, API, SaaS, облако]
O --> P[Физическая поверхность<br/>конечные устройства, IoT/OT, носители]
O --> S[Социальная поверхность<br/>сотрудники, цели фишинга]
D --> EASM[Непрерывное обнаружение EASM<br/>+ фингерпринтинг]
EASM --> X{Найдена экспозиция?}
X -->|Да: напр. непропатченный MOVEit| R[Патч / вывод /<br/>сегментация / least privilege]
X -->|Нет| M[Продолжать мониторинг]
R --> M● Примеры
- 01
Забытый dev-бакет S3 и SaaS-админка CI/CD появляются в EASM-сканировании как новые экспонированные активы.
- 02
Выключение неиспользуемого VPN-устройства сокращает сетевую поверхность атаки.
● Частые вопросы
Что такое Поверхность атаки (Attack Surface)?
Сумма всех точек, через которые атакующий может попытаться войти в систему, извлечь данные или повлиять на неё: сети, ПО, идентичности, цепочка поставок, люди. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает Поверхность атаки (Attack Surface)?
Сумма всех точек, через которые атакующий может попытаться войти в систему, извлечь данные или повлиять на неё: сети, ПО, идентичности, цепочка поставок, люди.
Как защититься от Поверхность атаки (Attack Surface)?
Защита от Поверхность атаки (Attack Surface) обычно сочетает технические меры и операционные практики, как описано в определении выше.