Таинственные EASM и где они обитают. Часть третья. Где ты?

В заключительной части исследования эксперты СайберОК сравнивают предоставление информации ASM-системами с точки зрения пользователя. Прочитать первую часть можно тут, а вторую тут.

Полный текст исследования опубликован здесь.

В данном разделе представлено сравнение рассматриваемых ASM-систем с точки зрения пользователя.

В Таблице 12 представлены данные о том, какую информацию об узле предоставляют системы, какие есть возможности для группировки результатов, а также возможности API.

В Таблице 13 представлено сравнение ASM-сервисов с точки зрения качества UI/UX. Удобство запросов оценивалось субъективно: так, у Shodan построение запроса интуитивно понятно, у CriminalIP — аналогично. У Netlas стоит отметить удобный интерфейс с возможностью поиска необходимого параметра — своего рода «конструктор» запросов. У Hunter.how можно выделить несколько большую функциональность: например, можно сделать запрос на количество открытых портов. Censys также обладает большой функциональностью: поддерживает символы «?» и «*», спец. символы «\n», «\t», возможность поиска по CPE и т.д.

Случайным образом были выбраны 8 различных узлов для сравнения. На каждом из них открыто несколько портов, запущено несколько сетевых сервисов. Собиралась информация о том, какие порты, продукты и домены определят ASM'ы. Достоверная информация об открытых портах собиралась с помощью утилиты nmap. Корректность определения доменов проводилась с помощью отправки прямых DNS-запросов (в качестве результата возвращается IP-адрес, связанный с соответствующим доменным именем). Если сетевой порт, сервис, технология или домен были ошибочно определены ASM, то в таблице 14 эти значения выделяются красным цветом.

Методика оценивания точности определения открытых портов: для каждого узла находится доля открытых портов по сравнению с результатами сканирования средствами nmap. После этого вычисляется сумма долей и нормируется по 5-бальной шкале. Данная методика применяется поскольку доподлинно известно какие открытые порты находятся на узле.

Методика оценивания точности доменов, связанных с узлом: каждому ASM-у присваивается 16 баллов (по 2 за каждый узел); за каждый узел, для которого система нашла хотя бы один неверный домен с верным доменом второго уровня вычитается 0,5 балла; за каждый узел с хотя бы одним неверно определённым доменом второго уровня вычитается 1 балл; за каждый узел с количеством неверно определённых доменов более половины от общего числа определённых доменов у ASM-a вычитается 2 балла; для каждого узла, для которого система не определила ни одного домена, из оценки вычитается 2 балла. Итоговый балл нормируется по 5-бальной шкале. Данная методика применяется поскольку достоверно не известно точное число доменов, связанных с рассматриваемым ip-адресом, а большое количество (более половины) неверных результатов может мешать пользователю сервиса.

Пример 1. Система определила узлу домены test.abc.ru, test2.abc.ru, test3.abc.ru, при этом только первый не соответствовал ответу на прямой DNS-запрос. Тогда, поскольку остальные домены проверку прошли и abc.ru — верный домен второго уровня, для этого узла вычитается 0,5 балла.

Пример 2. Система определила узлу домены test.def.ru, test2.abc.ru, test3.abc.ru, при этом только первый не соответствовал ответу на прямой DNS-запрос. Тогда, поскольку остальные домены проверку прошли, и abc.ru — верный домен второго уровня, для этого узла вычитается 1 балл.

В Таблице 15 представлены результаты оценки качества данных для рассматриваемых сервисов.

Подводя итоги, можно сказать, что ни один из рассмотренных сервисов не превосходит остальных по всем категориям. Однако выбор ASM-a стоит основывать исходя из поставленной задачи. Одни лучше справляются с определением открытых портов и используемых на исследуемом узле продуктах. У других — более удобный API или интерфейс в веб-приложении. Кроме того, некоторые рассмотренные сервисы предлагают больше возможностей, но в рамках данной статьи проводилось сравнение одинаковой по смыслу функциональности.

Автор: Пушкин Максим, специалист направления развития экспертизы CyberOK

Подписывайтесь на наш блог и Телеграмм — там эксперты СайберОК рассказывают о самых горячих трендах и угрозах цифрового мира, чтобы вы не оставались в тени киберопасностей.