Tai, ko nemato jūsų IT komanda, užpuolikai jau seniai žino.

Surašymas grindžiamas 10T+ istorinių DNS įrašų baze — tai leidžia aptikti infrastruktūrą, kuri buvo aktyvi prieš daugelį metų ir gali būti vis dar pasiekiama, tačiau niekada nepateko į vidinius inventorius. Užmirštos testavimo aplinkos, formaliai išregistruoti, bet vis dar veikiantys subdomenai, testiniai serveriai, kurie niekada nebuvo tinkamai išjungti — visa tai iškyla čia.

Taip sudaromas infrastruktūros žemėlapis: kurie IP priklauso kuriems teikėjams, kur jie fiziškai yra ir kiek domenų aptarnauja. Kai vertinimas atskleidžia host'us pas teikėjus, kurių IT komanda neatpažįsta — tai dažniausiai būna aukščiausio prioriteto radiniai.

Neišsiųsdamas nė vienos užklausos paketo, Entryscope atpažįsta atskleistas paslaugas ir jų programinės įrangos versijas — kryžmiškai tikrinant prieš esamas skenavimo duomenų bazes. Skaylink komanda šiuos duomenis naudoja vertinimo ataskaitoje: pažymi host'us su pasenusia ar pažeidžiama programine įranga ir pateikia konkrečius taisymo veiksmus.

Neapdoroti host'ų ir domenų duomenys įgauna kontekstą: kurie host'ai tikrai pažeidžiami, o kurie — tik informaciniai radiniai, kokia reali rizika organizacijai ir ką IT komanda turėtų daryti pirmiausia. Vertinimo ataskaita aiškiai atskiria skubius veiksmus nuo stebėsenos rekomendacijų — kad komanda prioritizuotų faktais, o ne spėliojimais.

LinkedIn profiliai, viešos direktorijos, socialiniai tinklai, įmonių svetainės ir konferencijų pranešėjų sąrašai — visa tai sudeda bendrą paveikslą. Modulis atkuria organizacijos hierarchiją, identifikuoja pagrindinius darbuotojus (IT administratorius, finansų direktorius, vadovus) ir map'ina atskaitomybės struktūras, kurias užpuolikai naudoja įtikinamiems pretekstams kurti.

Kai identifikuojama vardų sudarinėjimo konvencija (vardas.pavardė, v.pavardė, inicialai), modulis gali surašyti tikėtinus el. pašto adresus kiekvienam aptiktam darbuotojui. Būtent taip sudaromi tikslinių sukčiavimo el. laiškų taikinių sąrašai — o žinoti rizikos mastą yra pirmasis žingsnis ją apriboti.

Vieši įrašai, buvimo vietos žymėjimai, projektų paminėjimai ir profesiniai ryšiai — visa tai sukuria kontekstą, kuris socialinę inžineriją daro įtikinamą. Užpuolikas, žinantis, kad darbuotojas ką tik grįžo iš konkrečios konferencijos, gali tai panaudoti sukčiavimo el. laiške — ir įtarimų nekils. Modulis atskleidžia šią riziką, kad organizacijos galėtų sąmoningai valdyti savo viešos informacijos pėdsaką.

Ne kiekvienas viešas darbuotojo paminėjimas yra problema — tačiau IT administratoriaus el. pašto adresas kartu su LinkedIn profiliu, rodančiu tikslias jo valdomos technologijas, užpuolikui yra dovana. Vertinimas atskiria normalų viešą buvimą nuo spragų, kurios realiai didina tikslinių atakų riziką. Viskas — su konkrečiais žingsniais atakos paviršiui sumažinti ten, kur tai iš tiesų svarbu.

Patikra atskleidžia, kurių darbuotojų prisijungimo duomenys figūruoja žinomuose duomenų pažeidimuose, kokie konkretūs incidentai susiję — su datomis ir pažeidimų pavadinimais — ir kokie duomenų tipai buvo atskleisti: slaptažodžiai, telefono numeriai, fiziniai adresai, vartotojų vardai ar autentifikavimo paslaptys.

Slaptažodis komboliste iš 2019 metų pažeidimo — nerimą keliantis radinys. Švieži prisijungimo duomenys, surinkti infostealer kenkėjiškos programos — aktyvi kritinė situacija: infostealeriai fiksuoja ir sesijų slapukus, naršyklėje išsaugotus slaptažodžius bei VPN prieigos raktus. Modulis skiria šias kategorijas — kad reagavimas būtų tiksliai toks skubus, koks reikalingas.

Aktyvūs sesijų slapukai gali visiškai apeiti daugiafaktorinį autentifikavimą — suteikdami užpuolikui tiesioginę prieigą prie autentifikuotų sesijų be jokio slaptažodžio. Aptikus tokius radinius, Skaylink juos nedelsiant pažymi sesijų panaikinimui ir tiria, ar paveiktose sistemose nėra neteisėtos prieigos pėdsakų.

Vertinimo ataskaita grupuoja prisijungimo duomenų radinius pagal rimtumą ir skubumą. Aktyvios infostealer infekcijos — viršuje su konkrečiais taisymo veiksmais. Istoriniai pažeidimų radiniai — su slaptažodžių atstatymo rekomendacijomis, skirtomis tik paveiktoms paskyroms. Kiekvienas radinys susietas su konkrečiu incidentu — todėl taisymas yra tikslinis, o ne visuotinė "atstatykite visus slaptažodžius" direktyva, kuri sukelia sumaištį be proporcingos naudos.