Чек-лист TAdviser: как выстроить управление внешней поверхностью атаки

Эксперты BI.ZONE поделились, какие действия нужно предпринимать организациям для защиты внешнего периметра. В перечень вошли:

• Инвентаризация активов: IP-адресов, доменов.
• Инвентаризация сервисов и веб-приложений.
• Сканирование на уязвимости: фильтрация ложноположительных срабатываний, анализ информации о наличии эксплоитов и сценариях реальной эксплуатации, сопровождение уязвимостей на всем жизненном цикле (включая подтверждение устранения), а также сканирование экспозиций.
• Приоритизация рисков.
• Отчетность.

Все эти задачи необходимо выполнять регулярно, чтобы специалист в любое время мог показать текущий состав периметра и назвать критические риски. Разберем подробнее, что входит в каждый пункт списка.

Инвентаризация активов

Инвентаризация позволяет собрать в одном месте информацию, как выглядит периметр компании, чтобы впоследствии применить к нему политики безопасности. Также учет активов необходим, чтобы выявить и устранить неучтенные, устаревшие или неиспользуемые IT-ресурсы, через которые злоумышленники могут проникнуть в периметр компании.

План действий

• Запросить адресные и доменные пулы.
• Выгрузить записи из DNS, выделить те, которые относятся к внешнему периметру.
• Выгрузить записи из уже существующей внутренней системы инвентаризации.
• Оценить внешние активы компании с помощью методов OSINT.
• Объединить все в единый список и регулярно обновлять его.

При инвентаризации внешнего периметра часто возникают системные проблемы:

• Разные источники информации. В крупных организациях данные о внешних активах находятся сразу в нескольких системах: CMDB, DNS, таблицах Excel, документации команд. Критично то, что эти источники часто расходятся друг с другом. А значит, вместо инвентаризации фактически приходится заниматься сверкой и согласованием данных между собой.
• Человеческий фактор. Иногда IT-специалисты, получившие задачу на формирование списка IP-пулов и доменов, не понимают, для чего он нужен. Из-за этого они делают допущения, включая лишнее на всякий случай или, наоборот, исключая «неважное». Получается не точный список активов, а интерпретация исполнителя.
• Неучтенные активы. Часто бывает, что во внутренней системе нет всех данных, а часть инфраструктуры может не быть отражена вообще. Это классические теневые IT: забытые сервисы, экспериментальные проекты, старые домены, временные хостинги.
• Внутренний список ≠ реальный внешний периметр. Внутренняя инвентаризация показывает, как компания описывает себя сама. Но безопасность определяется тем, как компания выглядит снаружи — с точки зрения атакующего. Поэтому важно обнаруживать домены и IP-адреса, которые доступны в интернете, но не попадают в корпоративные списки. Для этого проводят OSINT-анализ методами, которые применяют злоумышленники. Если есть внутренние системы инвентаризации, этим пунктом часто пренебрегают, из-за чего не получают реалистичную картину внешнего периметра.

BI.ZONE CPT автоматически выявляет все IP-адреса, домены и скрытые интернет-активы компании с помощью OSINT-анализа, формируя полный и актуальный перечень.

Инвентаризация сервисов

Этот процесс даст понимание, какие именно сервисы существуют в компании и какие риски с ними связаны.

План действий

• Настроить порт-сканирование (TCP/UDP).
• Собирать баннеры сервисов.
• Поддерживать расписание и профили сканирования.
• Составить черный список — перечень типов сервисов, которых не должно быть на периметре компании (сервисы управления базами данных, сервисы удаленного доступа, сервисы доменной инфраструктуры и пр.).

Рекомендации, которые помогут провести инвентаризацию:

• Проверяйте весь TCP-периметр, а не только стандартные порты и типовые веб-сервисы. Чтобы увидеть реальную поверхность атаки, сканирование должно покрывать все доступные TCP-порты. Именно на нетиповых портах зачастую оказываются административные панели, тестовые стенды и забытые сервисы.
• Реалистично учитывайте UDP. Проверить все UDP-порты на внешнем периметре практически невозможно: UDP-сканирование менее надежное и значительно более затратное по времени, чем TCP-сканирование. Поэтому важно выделять критичные направления и закрывать UDP-риски методично, а не пытаться сделать идеально за один раз.
• Собирайте баннеры — это ускорит реакцию на новые угрозы. Важно понимать, какие сервисы находятся на внешнем периметре. Перечень сервисов на внешнем периметре пригодится, если, например, появилась новость о критической уязвимости в популярном продукте, но еще нет подробностей эксплуатации и стабильного способа проверить уязвимость. Если в компании есть карта сервисов, то специалисты легко ответят на следующие вопросы:
  • Есть ли у нас такие сервисы на внешнем периметре?
  • Где именно они расположены?
  • Насколько широко уязвимость затрагивает инфраструктуру?
  • Что нужно изолировать/закрыть в первую очередь?

BI.ZONE CPT ежедневно проводит дискавери-сканирование портов и показывает все опубликованные сервисы, включая временные и забытые.

Инвентаризация веб-приложений

Веб-приложения остаются одним из ключевых направлений атак: этот слой инфраструктуры постоянно меняется и чаще всего доступен извне. По данным исследования Threat Zone 2026, 7% атак начинаются именно с эксплуатации уязвимостей в публично доступных приложениях.

План действий

• Собрать перечень всех веб-приложений (доменов, схем, портов).
• Собрать информацию о веб-приложениях: код ответа, стек, формы авторизации и т. д.

Проблема масштаба: вручную не работает

В большой инфраструктуре количество точек входа, доступных извне, может быть огромным. Вручную открыть каждый возможный домен на каждом открытом порте сложно даже один раз, а делать это регулярно практически невозможно. Поэтому нужен единый выстроенный процесс, чтобы быстро и стабильно определять, где какое веб-приложение расположено, а также отслеживать изменения. Удобнее, если такая работа будет автоматизирована.

Чтобы веб-инвентаризация была полезной для кибербезопасности, необходима базовая карточка приложения со следующей информацией:

• Тип веб-приложения. Нужен, чтобы быстро фильтровать сайты-визитки, внешние интеграции, административные панели.
• Фактический ответ приложения (HTTP-коды, тип ответа, признаки, что сервис используется). Позволит отличать реальное приложение от ошибок 404/500, заглушек и пр.
• Редиректы. Покажут, куда уводят домены и страницы (на внешние ресурсы, CDN, сторонние SaaS, неожиданные хосты и пр.).
• Технологический стек. Даст понимание, из каких «кирпичиков» собрано приложение (сервер, фреймворк, панели), чтобы превентивно реагировать на новые уязвимости, даже когда нет надежных детектов уязвимостей.
• Сертификаты. Централизованно покажут сроки действия и ошибки конфигурации.

BI.ZONE CPT автоматически заходит на каждый найденный сайт и отображает все веб-приложения в удобном интерфейсе.

Сканирование на уязвимости

Новые уязвимости появляются ежедневно, а каждый сервис, поднятый разработчиком по просьбе контрагента, может стать точкой входа.

План действий

• Сформировать цельный список хостов, доменов и веб-приложений.
• Синхронизировать его со сканером.
• Постоянно актуализировать при каждом изменении периметра.

Особенности сканирования уязвимостей

Сканер всегда должен работать только с актуальным скоупом

Поиск уязвимостей начинается не со скана, а с входных данных. Для сканирования необходим самый свежий и актуальный скоуп внешнего периметра — легко получаемый, понятный и воспроизводимый. Специалист по кибербезопасности внешнего периметра без расследований и переписки в чатах четко может ответить на два вопроса:

• Что именно сканировали?
• В какой день это было просканировано?

Без этого результат теряет ценность: непонятно, покрыта ли реальная поверхность атаки или при проверке опирались на устаревшие данные.

Необходимы расширенные проверки

Стандартных сигнатур почти никогда не хватает. В реальной жизни часто требуется проверять специфичные для компании сервисы и мисконфигурации.

Поэтому важно иметь возможность добавлять расширенные проверки, а также встраивать их в обычные регулярные сканы, чтобы кастомные детекты не жили в виде разрозненных одноразовых скриптов.

Отслеживать нужно не только уязвимости, но и экспозиции

Не все опасное — это CVE. Отдельный класс рисков — экспозиции, то есть недостатки внешнего периметра в широком смысле. Это не уязвимость в классическом понимании, но такие недочеты увеличивают вероятность компрометации.

Примеры экспозиций:

• Опубликованные системные сервисы (например, SMB на внешнем периметре).
• Внешние административные панели.
• Пути и функциональность, которые не должны быть доступны извне (отладка / тестовые эндпоинты, служебные разделы и т. д.).

Новые эксплоиты и детекты появляются не в коммерческих сканерах

Зачастую детекты или эксплоиты уязвимостей в первую очередь появляются в репозиториях исследователей на GitHub. Злоумышленники оперативно адаптируют эти детекты и эксплоиты для реальной эксплуатации еще не пропатченных сервисов. Поэтому для эффективного управления уязвимостями необходимо:

• Быстро подхватывать новые проверки из открытого ПО.
• Адаптировать их под свою инфраструктуру.
• Превращать их в повторяемый контроль, а не ручной разовый прогон.

BI.ZONE CPT автоматически формирует и обновляет скоуп для сканирований без ручного участия

Приоритизация рисков

Мало только найти проблемы: необходимо разобраться, какие из них важно исправить прямо сейчас. Приоритизация — это умение отделять шум от реальных угроз, учитывать вероятность эксплуатации, факты атак, контекст экспозиции и бизнес-значимость сервисов. Без этого компании тонут в сотнях красных CVSS, тратят ресурсы впустую и рискуют пропустить уязвимость, которая приведет к инциденту. Принимая решения, важно учитывать контекст threat intelligence (TI):

• Существуют ли публичные или приватные эксплоиты.
• Обсуждается ли покупка или продажа эксплоита в даркнете.
• Используется ли уязвимость в реальных атаках.

Так управление уязвимостями привязывается к практике: компания уделяет внимание не «самому громкому по CVSS», а тому, что с наибольшей вероятностью станет точкой входа.

План действий

• Проводить мониторинг Twitter/X.
• Читать RSS и рассылки вендоров.
• Следить за блогами исследователей.
• Обогащать результаты сканирования на уязвимости данными threat intelligence (TI).

BI.ZONE CPT автоматически сопоставляет данные киберразведки с вашими активами.

Отчетность

Находить активы, сканировать их, отслеживать уязвимости и приоритизировать риски недостаточно. Еще необходимо заранее решить, где собирать и агрегировать информацию: историю изменений периметра, результаты проверок, артефакты уязвимостей, отчеты, дашборды. Без централизованного хранения это превратится в хаос из Excel-файлов и писем. А значит, решения будут приниматься на основе неполных данных. Если в компании есть несколько филиалов, особенно полунезависимых, проблема усугубляется. Хранение — это основа прозрачности и управляемости всего процесса.

План действий

Хранить результаты сканирований в едином формате.

BI.ZONE CPT автоматически сохраняет все артефакты проверок и формирует отчеты прямо на платформе в едином формате, в том числе для всех филиалов и дочерних организаций

Готовое EASM-решение как способ защитить внешний периметр

BI.ZONE CPT — это единое окно для управления поверхностью атаки, которое объединяет возможности автоматизированных средств и опыт квалифицированной команды экспертов.

Возможности BI.ZONE CPT

• Автоматическая инвентаризация и поиск теневых активов.
• Единый реестр доменов, IP-адресов, сервисов и веб-приложений.
• Автоматизированный контроль дочерних обществ и/или филиалов.
• Сканирование на уязвимости и исключение ложноположительных срабатываний.
• Приоритизация по реальному риску (наличие эксплоитов и подтвержденной эксплуатации уязвимости).
• Централизованное хранилище и отчетность для бизнеса, отделов кибербезопасности и IT.
• Возможность интеграции с корпоративными процессами и трекерами задач.
• Существенное снижение доли ручной работы и риска человеческой ошибки.

Проверить уровень готовности для управления поверхностью атаки можно здесь: сохраняйте себе чек-лист.