ASM и Threat Intelligence: как вместе видеть атаку раньше злоумышленника

Внешний периметр компании меняется быстрее внутренних регламентов. Появляются новые домены и поддомены, тестовые среды, интеграции, облачные сервисы, страницы для партнёров и клиентов. Атакующему не важно, как это появилось. Ему важен факт, что снаружи есть точка входа.

Связка ASM и Threat Intelligence решает задачу практично. ASM показывает, что доступно извне и как это меняется. Threat Intelligence добавляет контекст: какая активность вокруг этих точек похожа на подготовку атаки и где риск выше.

Что такое Attack Surface Management и что такое Threat Intelligence

Attack Surface Management

ASM, в том числе external attack surface management, фокусируется на внешней поверхности атаки: на том, что фактически доступно извне. Это реальные ресурсы и сервисы, к которыми могут воспользоваться злоумышленники.

Практически ASM отвечает на вопросы:

1. Какие внешние активы связаны с компанией.
2. Какие из них изменились, появились или исчезли.
3. Какие точки входа доступны и где есть риск неправильной экспозиции.

Threat Intelligence

Threat Intelligence работает с данными об активности атакующих и добавляет к сигналам смысл. В пользу превращается не список индикаторов, а контекст и сценарии, которые можно встроить в процессы.

Практически Threat Intelligence отвечает на вопросы:

1. Какие атаки и кампании наблюдаются сейчас.
2. Какие техники и признаки активности характерны для атакующих.
3. Какие сигналы стоит считать ранними признаками подготовки атаки.

Почему связка ASM и Threat Intelligence даёт эффект раньше

ASM без Threat Intelligence видит изменения, но не всегда даёт ясный приоритет. Threat Intelligence без ASM даёт сигналы, которые трудно проверить, если нет карты внешних ресурсов.

В связке появляется логика:

1. ASM даёт картину внешнего периметра и изменения.
2. Threat Intelligence добавляет контекст по атакующим, инфраструктуре и техникам.
3. Внешние сигналы превращаются в действия: что проверить, что закрыть, что ограничить, где усилить мониторинг.

Совместный процесс: от обнаружения к действию

1. Инвентаризация внешних активов: домены, поддомены, IP, сервисы, публичные интерфейсы.
2. Мониторинг изменений: появление новых ресурсов, изменение конфигураций, публикация сервисов.
3. Обогащение контекстом Threat Intelligence: привязка к индикаторам, кампаниям и техникам.
4. Триаж и приоритизация: оценка выявленных изменений по уровню риска с учётом внешней экспозиции и контекста Threat Intelligence и принятие решения о типе реакции — немедленное действие, усиленный мониторинг или уточнение владельца и назначения ресурса.
5. Реакция и контроль: ограничения, исправления, проверка эффекта, корректировка правил.

Роли и точки принятия решений

Связка работает быстрее, когда понятно, кто принимает решения и где именно. Минимальный набор ролей выглядит так:

• владелец внешнего актива (продукт, платформа, сервис), который подтверждает назначение и изменения;
• инженер или команда, отвечающие за исправление конфигураций и ограничение доступа;
• SOC, который принимает сигналы, делает первичную проверку и запускает реакцию;
• ИБ-функция, которая задаёт правила приоритизации и контроль результата.

Где это живёт в операционной работе

Чтобы процесс не распался, результаты ASM должны попадать в те же очереди и каналы, где живут инциденты и задачи на исправление. Это может быть тикетинг, очередь SOC, правила мониторинга и плейбуки реагирования. Threat Intelligence в этой схеме выступает как слой контекста, который помогает быстрее принять решение и не тратить время на одинаковые проверки.

Какие данные связываются между ASM и Threat Intelligence

Со стороны ASM

• домены и поддомены, IP и внешние сервисы;
• веб- и API-точки входа;
• изменения конфигураций, публикация новых сервисов или открытие портов, из-за которых ресурс становится доступным извне либо меняется уровень его экспозиции;
• признаки экспозиции, которые требуют ограничения или исправления.

Со стороны Threat Intelligence

• индикаторы атакующей инфраструктуры и связи;
• признаки подготовки атак и типовые цепочки действий;
• утечки и упоминания, связанные с доступами;
• поведенческие паттерны атакующих и TTPs.
• факты использования выявленных уязвимостей в реальных атаках

Какие ранние признаки стоит уметь отслеживать

Смысл в том, чтобы ловить события, которые появляются до инцидента и требуют проверки. Чаще всего это выглядит как:

1. новый домен или поддомен, который быстро становится публичным и содержит форму ввода данных;
2. появление сервиса, который не должен быть доступен извне по назначению;
3. неожиданные изменения DNS или инфраструктуры, не совпадающие с плановыми релизами;
4. появление внешних интерфейсов администрирования или «служебных» страниц;
5. резкий рост количества внешних ресурсов, который не подтверждён владельцем;
6. признаки компрометации доступов, после которых повышается риск входа через внешние точки аутентификации;
7. появление доменов, имитирующих бренд, и рост попыток обмана пользователей.

Связка ASM и Threat Intelligence нужна, чтобы отвечать на два вопроса: что относится к нашей внешней поверхности атаки и что из этого ближе всего к реальной атаке.

Реальные сценарии применения

Ниже сценарии в формате «сигнал, действие, результат».

Сценарий 1. Новый поддомен с формой авторизации

Сигнал ASM: обнаружен новый поддомен с публичной страницей входа или новой формой.
Сигнал Threat Intelligence: рядом появляются признаки активности, характерной для фишинговых сценариев или атакующей инфраструктуры.
Действие: подтвердить назначение, проверить владельца, ограничить доступ, включить мониторинг.
Результат: сокращается окно, когда новый ресурс может стать точкой входа.

Сценарий 2. Внешний сервис стал доступен без ожидаемых ограничений

Сигнал ASM: обнаружен сервис или интерфейс, который стал доступен извне и не выглядит как публичный по назначению.
Сигнал Threat Intelligence: есть признаки повышенного интереса атакующих к схожим сервисам и цепочкам.
Действие: ограничить доступ, усилить аутентификацию, проверить журналирование и алерты, зафиксировать срок исправления.
Результат: снижается вероятность эксплуатации сразу после публикации.

Сценарий 3. Признаки компрометации учётных данных

Сигнал Threat Intelligence: выявлены признаки утечки учётных данных или упоминания доступов.
Сигнал ASM: карта внешних точек входа показывает, какие сервисы доступны извне и где риск повторного использования паролей выше.
Действие: смена паролей, усиление контроля доступа, проверка подозрительных сессий, усиление мониторинга на внешних точках входа.
Результат: уменьшается вероятность входа и закрепления через скомпрометированные доступы.

Сценарий 4. Поставщики и внешние интеграции

Сигнал ASM: выявлены ресурсы, которые обслуживаются третьими сторонами или размещены на внешней инфраструктуре.
Сигнал Threat Intelligence: есть сигналы, что атакующие используют цепочки через подрядчиков и поставщиков.
Действие: определить критичность интеграции, уточнить ответственность за изменения, ограничить привилегии, усилить мониторинг доступов.
Результат: уменьшается вероятность, что атака начнётся через слабое звено.

Сценарий 5. Управление приоритетами

Сигнал ASM: список новых и изменённых внешних ресурсов растёт: появляются поддомены, открываются порты, публикуются сервисы, меняется доступность. Объём задач превышает текущие возможности команды.

Сигнал Threat Intelligence: по части этих типов ресурсов и технологий фиксируется активная эксплуатация в текущих кампаниях; аналогичные сервисы у других компаний уже используются как точки входа.

Действие: ранжировать задачи с учётом того, какие ресурсы совпадают с актуальными сценариями атак, закрепить владельцев и сроки, выделить «немедленно» и «в план».

Результат: приоритет определяется вероятностью реальной эксплуатации, а не количеством находок или очередностью поступления задач.

Как оценивать результат

1. Время от появления нового внешнего актива до назначения владельца.
2. Время от обнаружения изменения до принятия действия.
3. Доля внешних активов с назначением и понятным режимом доступности.
4. Доля задач, получающих приоритет с учётом Threat Intelligence.
5. Доля повторяющихся проблем, связанных с внешней экспозицией, которые устраняются на уровне причины.

Типовые ошибки внедрения

1. ASM используется как отдельный «сканер», а не как процесс контроля.
2. Threat Intelligence используется как отдельный «фид», без интеграции в триаж.
3. Нет владельцев внешних активов и сроков исправления.
4. Нет цикла контроля результата и корректировки правил.
5. Приоритизация строится без учёта внешнего контекста.

Минимальный чек-лист запуска связки

1. Определить, какие внешние активы считаются «нашими» и кто их владелец.
2. Зафиксировать, какие изменения считаются критичными и требуют реакции в день обнаружения.
3. Настроить маршрут обработки сигналов: кто принимает, кто проверяет, кто исправляет, кто контролирует.
4. Договориться о правилах приоритизации: технический риск плюс контекст Threat Intelligence.
5. Ввести контроль результата: исправлено, ограничено, закрыто, поставлено под мониторинг.

Итог

Asm attack surface management и external attack surface management дают видимость и контроль внешней поверхности атаки. Threat Intelligence добавляет контекст об активности атакующих и помогает ранжировать действия по вероятности и сценарию угроз. В связке эти подходы позволяют быстрее заметить подготовку атаки и сократить окно риска на внешнем периметре.

Хотите увидеть практическую связку ASM и Threat Intelligence в работе? Попробуйте F6 Threat Intelligence бесплатно на 14 дней и запросите демонстрацию F6 Attack Surface Management для контроля внешнего периметра.