Compartilhar via


Noções básicas de painéis

O EASM do Defender (Gerenciamento da Superfície de Ataque Externo do Microsoft Defender) oferece uma série de quatro painéis projetados para ajudar os usuários a obter rapidamente insights valiosos derivados de seu inventário Aprovado. Esses painéis ajudam as organizações a priorizar as vulnerabilidades, os riscos e os problemas de conformidade que representam a maior ameaça à sua Superfície de Ataque, facilitando a mitigação rápida dos principais problemas.

O Defender EASM fornece oito painéis:

  • Visão geral: este painel é a página de aterrissagem padrão quando você acessa o EASM do Defender. Ele fornece o contexto chave que pode ajudá-lo a se familiarizar com a sua superfície de ataque.
  • Alterações de inventário: esse painel exibe todas as alterações nas contagens de ativos, listando separadamente adições e remoções do inventário. Esse painel também exibe ativos que foram removidos automaticamente do inventário porque o sistema determinou que o ativo não está mais ativo ou de propriedade da sua organização.
  • Resumo da superfície de ataque: este painel resume as principais observações obtidas de seu inventário. Ele fornece uma visão geral de alto nível da Superfície de Ataque e dos tipos de ativos que a compõem, além de apresentar as possíveis vulnerabilidades por gravidade (alta, média, baixa). Este painel também fornece um contexto chave na infraestrutura que compreende a sua superfície de ataque. Esse contexto inclui insights sobre hospedagem na nuvem, serviços confidenciais, certificado SSL e expiração de domínio e reputação de IP.
  • Postura de segurança: este painel ajuda as organizações a entender a maturidade e a complexidade de seu programa de segurança com base nos metadados derivados dos ativos em seu Inventário Aprovado. Ele é composto por políticas, processos e controles técnicos e não técnicos que reduzem o risco de ameaças externas. Esse painel fornece insights sobre exposição a CVE, administração e configuração de domínio, hospedagem e rede, portas abertas e configuração de certificado SSL.
  • Conformidade com o GDPR: este painel apresenta as principais áreas de risco de conformidade com base nos requisitos do GDPR (Regulamento Geral sobre a Proteção de Dados) para infraestrutura online acessível às nações europeias. Este painel fornece insights sobre o status de seus sites, problemas de certificado SSL, PII (informações de identificação pessoal) expostas, protocolos de logon e conformidade de cookies.
  • Principais 10 do OWASP: esse painel apresenta os ativos considerados vulneráveis de acordo com a lista do OWASP dos riscos de segurança mais críticos para aplicativos Web. Nesse painel, as organizações podem identificar rapidamente ativos com controle de acesso interrompido, falhas criptográficas, injeções, designs inseguros, configurações de segurança incorretas e outros riscos críticos, conforme definido pelo OWASP.
  • Os 25 principais pontos fracos de software da CWE: este painel é baseado nos 25 principais pontos fracos de software da lista CWE (enumeração de pontos fracos comuns) fornecida anualmente pelo MITRE. Essas CWEs representam os pontos fracos de software mais comuns e impactantes que são fáceis de encontrar e explorar.
  • Explorações conhecidas da CISA: este painel exibe todos os ativos possivelmente afetados por vulnerabilidades que levaram a explorações conhecidas, conforme definido pela CISA. Este painel ajuda você a priorizar os esforços de correção com base em vulnerabilidades que foram exploradas no passado, indicando um nível mais alto de risco para sua organização.

Acessando painéis

Para acessar os painéis do EASM do Defender, navegue até sua instância do EASM do Defender. Na coluna de navegação à esquerda, selecione o painel que deseja exibir. Você pode acessar esses painéis de várias páginas em sua instância do EASM do Defender neste painel de navegação.

Captura da tela do painel com a seção de navegação do painel realçada.

Baixar dados do gráfico

Os dados subjacentes a qualquer gráfico do painel podem ser exportados para um arquivo CSV. Essa exportação é útil para usuários que desejam importar dados do EASM do Defender para ferramentas de terceiros ou trabalhar em um arquivo CSV ao corrigir quaisquer problemas. Para baixar dados do gráfico, primeiro, selecione o segmento de gráfico específico que contém os dados que você quer baixar. Atualmente, as exportações de gráfico dão suporte a segmentos de gráficos individuais; para baixar vários segmentos do mesmo gráfico. Você precisa exportar cada segmento individual.

Selecionar um segmento de gráfico individual abre uma exibição detalhada dos dados, listando todos os ativos que compõem a contagem de segmentos. Na parte superior desta página, selecione Baixar relatório CSV para iniciar sua exportação. Essa ação cria uma notificação do gerenciador de tarefas em que você pode acompanhar o status de sua exportação.

O Microsoft Excel impõe um limite de 32.767 caracteres por célula. Alguns campos, como a coluna "Última faixa", podem ser exibidos incorretamente devido a essa limitação. Caso encontre algum problema, tente abrir o arquivo em outro programa que dê suporte a arquivos CSV.

Captura de tela da visualização de análise detalhada do gráfico do painel com o botão de exportação visível.

Marcando CVEs como não aplicáveis

Muitos painéis do GSAE do Defender apresentam dados CVE, trazendo sua atenção para possíveis vulnerabilidades com base na infraestrutura de componentes da Web que alimenta sua superfície de ataque. Por exemplo, os CVEs estão listados no painel de resumo do da Superfície Ataque, categorizado por sua severidade potencial. Ao investigar esses CVEs, você pode determinar que alguns não são relevantes para sua organização. Isso pode ocorrer porque você está executando uma versão não espaçada do componente Web ou sua organização tem soluções técnicas diferentes para protegê-lo dessa vulnerabilidade específica.

No modo de exibição Fazer busca detalhada de qualquer gráfico relacionado à CVE, ao lado do botão "Baixar relatório CSV", agora você tem a opção de definir uma observação como não aplicável. Clicar nesse valor encaminhará você para uma lista de estoque de todos os ativos associados a essa observação e, em seguida, você pode optar por marcar todas as observações como não aplicáveis a partir desta página. Para obter mais informações sobre como marcar observações como não aplicáveis, consulte Modificando ativos de inventário.

Captura de tela do modo de exibição Fazer busca detalhada do painel com o botão

Alterações do inventário

Sua superfície de ataque está mudando constantemente, e é por isso que o GSAE do Defender analisa e atualiza continuamente seu inventário para garantir a precisão. Os ativos são frequentemente adicionados e removidos do inventário, portanto, é importante acompanhar essas alterações para entender sua superfície de ataque e identificar as principais tendências. O painel de alterações de inventário fornece uma visão geral dessas alterações, exibindo as contagens "adicionadas" e "removidas" para cada tipo de ativo. Você poderá filtrar o painel por dois intervalos de datas: os últimos 7 ou 30 dias.

A seção "Alterações por data" fornece um contexto mais granular sobre como sua superfície de ataque foi alterada diariamente. Esta seção categoriza as remoções como "removidas pelo usuário" ou "removidas pelo sistema". As remoções de usuário incluem todas as remoções manuais, incluindo alterações de estado de ativo individuais, em massa ou em cascata, bem como remoções disparadas por políticas de ativo configuradas pelo usuário. As remoções do sistema ocorrem automaticamente. O sistema remove ativos que não são mais relevantes para sua superfície de ataque porque as verificações recentes não observaram mais sua conexão com seu inventário. Os ativos serão qualificados para a poda se não tiverem sido observados em uma verificação por 30 a 60 dias, dependendo do tipo de ativo. Os ativos adicionados manualmente ao inventário não são qualificados para remoção. Na seção "Alterações por data", você pode clicar em qualquer valor listado para ver uma lista completa dos ativos que foram adicionados ou removidos.

Captura de tela do painel Alterações de inventário com contagens de adição e remoção.

Resumo da superfície de ataque

O painel de resumo da Superfície de Ataque foi projetado para fornecer um resumo de alto nível da composição da Superfície de Ataque, mostrando os principais aspectos que precisam ser administrados para aprimorar sua postura de segurança. Esse painel identifica e prioriza os riscos dentro dos ativos de uma organização como de Alta, Média e Baixa gravidade e permite que os usuários analisem detalhadamente cada seção, acessando a lista de ativos afetados. Além disso, o painel revela os principais detalhes sobre a composição de sua Superfície de Ataque, infraestrutura de nuvem, serviços confidenciais, linhas do tempo de expiração de domínio e SSL e reputação de IP.

A Microsoft identifica as superfícies de ataque das organizações usando uma tecnologia proprietária que descobre os ativos voltados para a Internet que pertencem a uma organização com base em conexões de infraestrutura com um conjunto de ativos inicialmente conhecidos. Os dados no painel são atualizados diariamente com base em novas observações.

Prioridades da superfície de ataque

Na parte superior desse painel, o EASM do Defender fornece uma lista de prioridades de segurança organizadas por gravidade (alta, média, baixa). As superfícies de ataque de grandes organizações podem ser incrivelmente amplas, portanto, priorizar as principais descobertas derivadas de nossos dados expansivos ajuda os usuários a lidar, de maneira rápida e eficiente, com os elementos expostos mais importantes de sua superfície de ataque. Essas prioridades podem incluir CVEs críticos, associações conhecidas a infraestruturas comprometidas, uso de tecnologia preterida, violações de melhores práticas de infraestrutura ou problemas de conformidade.

As Prioridades do Insight são determinadas pela avaliação da Microsoft sobre o impacto potencial de cada insight. Por exemplo, insights de gravidade alta podem incluir vulnerabilidades novas, exploradas com frequência, particularmente prejudiciais ou facilmente exploradas por hackers com nível de habilidade mais baixo. Insights de gravidade baixa podem incluir o uso de tecnologia preterida que não tem mais suporte, infraestrutura que expirará em breve ou problemas de conformidade não alinhados às melhores práticas de segurança. Cada insight contém as ações de correção sugeridas para proteger contra possíveis explorações.

Insights recém-adicionados à plataforma EASM do Defender são sinalizados com um rótulo "NEW" nesse painel. Quando adicionamos novos insights que afetam ativos no inventário confirmado, o sistema também fornece uma notificação por push que encaminha você para uma visão detalhada desse novo insight com uma lista dos ativos afetados.

Alguns insights são sinalizados com "Potencial" no título. Um insight "Potencial" ocorre quando o EASM do Defender não consegue confirmar se um ativo é afetado por uma vulnerabilidade. Insights potenciais ocorrem quando nosso sistema de verificação detecta a presença de um serviço específico, mas não consegue detectar o número de versão. Por exemplo, alguns serviços permitem que os administradores ocultem informações de versão. Vulnerabilidades geralmente são associadas a versões específicas do software e, portanto, é necessária uma investigação manual para determinar se o ativo é afetado. Outras vulnerabilidades podem ser corrigidas por etapas que o EASM do Defender não consegue detectar. Por exemplo, os usuários podem fazer as alterações recomendadas nas configurações de serviço ou executar patches com backport. Se um insight for precedido por "Potencial", o sistema terá motivos para acreditar que o ativo é afetado pela vulnerabilidade, mas não poderá confirmar isso por um dos motivos listados acima. Para investigar manualmente, clique no nome do insight para examinar as diretrizes de correção que podem ajudá-lo a determinar se seus ativos são afetados.

Captura de tela das prioridades da superfície de ataque com opções clicáveis realçadas.

Um usuário geralmente decide investigar primeiro as observações de gravidade alta. Você pode clicar na observação posicionada mais acima na lista para que ela seja diretamente roteada para uma lista de ativos afetados ou, em vez disso, selecionar "Exibir os __ insights" para ver uma lista abrangente e expansível de todas as observações potenciais dentro desse grupo de gravidade.

A página Observações apresenta uma lista de todos os insights potenciais na coluna à esquerda. Essa lista é classificada pelo número de ativos afetados por cada risco de segurança, exibindo primeiro os problemas que afetam o maior número de ativos. Para ver os detalhes de qualquer risco de segurança, basta clicar nele nesta lista.

Captura de tela do detalhamento da superfície de ataque para prioridades de gravidade média.

Essa exibição detalhada de qualquer observação inclui o título do problema, uma descrição e diretrizes de correção da equipe do EASM do Defender. Neste exemplo, a descrição explica como certificados SSL expirados podem levar à indisponibilidade de funções comerciais críticas, impedindo que clientes ou funcionários acessem o conteúdo da Web e, portanto, prejudicando a marca de sua organização. A seção Correção fornece diretrizes de como corrigir rapidamente o problema. Neste exemplo, a Microsoft recomenda que você revise os certificados associados aos ativos de host afetados, atualize os certificados SSL correspondentes e atualize seus procedimentos internos para garantir que os certificados SSL sejam atualizados em tempo hábil.

Por fim, a seção Ativo lista as entidades que foram afetadas por essa questão de segurança específica. Neste exemplo, o usuário deseja investigar os ativos afetados para saber mais sobre o Certificado SSL expirado. Clique no nome de qualquer ativo nesta lista para exibir a página Detalhes do Ativo.

Na página Detalhes do Ativo, clicaremos na guia "Certificados SSL" para exibir mais informações sobre o certificado expirado. Neste exemplo, o certificado listado mostra uma data de "Vencimento" no passado, indicando que o certificado expirou e, portanto, provavelmente está inativo. Esta seção também fornece o nome do certificado SSL que você pode enviar para a equipe apropriada em sua organização para correção rápida.

Captura de tela da lista de ativos afetados da exibição de detalhamento, o certificado SSL deve estar expirado.

Composição da superfície de ataque

A seção a seguir fornece um resumo de alto nível da composição da Superfície de Ataque. Esse gráfico fornece as contagens de cada tipo de ativo, ajudando os usuários a entender como sua infraestrutura é distribuída entre domínios, hosts, páginas, certificados SSL, ASNs, blocos de IP, endereços IP e contatos de email.

Captura de tela da exibição de detalhes do ativo do mesmo certificado SSL, mostrando o vencimento realçado.

É possível clicar em cada valor, o que leva os usuários para a lista de inventário filtrada de modo a exibir apenas os ativos do tipo designado. Nesta página, você pode clicar em qualquer ativo para exibir mais detalhes ou pode adicionar mais filtros para restringir a lista de acordo com suas necessidades.

Proteger a nuvem

Esta seção do painel Resumo da Superfície de Ataque fornece insights sobre as tecnologias de nuvem usadas na infraestrutura. À medida que a maioria das organizações se adapta à nuvem gradualmente, a natureza híbrida de sua infraestrutura online pode ser difícil de monitorar e gerenciar. O EASM do Defender ajuda as organizações a entender o uso de tecnologias de nuvem específicas em sua Superfície de Ataque, mapeando provedores de host de nuvem para seus ativos confirmados a fim de orientar seu programa de adoção da nuvem e garantir a conformidade com o processo de sua organização.

Captura de tela do gráfico de nuvem.

Por exemplo, sua organização pode ter decidido recentemente migrar toda a infraestrutura de nuvem para um provedor a fim de simplificar e consolidar a superfície de ataque. Esse gráfico pode ajudar você a identificar ativos que ainda precisam ser migrados. Cada barra do gráfico é clicável, encaminhando os usuários para uma lista filtrada que exibe os ativos que compõem o valor do gráfico.

Serviços confidenciais

Esta seção exibe os serviços confidenciais detectados em sua Superfície de Ataque que devem ser avaliados e, potencialmente, ajustados para garantir a segurança da organização. Este gráfico destaca todos os serviços historicamente vulneráveis a ataques ou que são vetores comuns de vazamento de informações para atores mal-intencionados. Todos os ativos nesta seção devem ser investigados, e a Microsoft recomenda que as organizações considerem serviços alternativos com uma melhor postura de segurança para reduzir os riscos.

Captura de tela do gráfico de serviços confidenciais.

O gráfico é organizado pelo nome de cada serviço; clicar em qualquer barra individual retorna uma lista de ativos que executam o serviço específico. O gráfico a seguir está vazio, indicando que a organização não está executando nenhum serviço especialmente suscetível a ataques.

Expirações de domínio e SSL

Esses dois gráficos de expiração exibem as próximas expirações de Domínio e Certificado SSL, garantindo que a organização tenha visibilidade ampla das próximas renovações da infraestrutura principal. Um domínio expirado pode tornar conteúdos importantes inacessíveis repentinamente, e o domínio poderá até mesmo ser comprado rapidamente por um ator mal-intencionado que tiver sua organização como alvo. Um Certificado SSL expirado deixa os ativos correspondentes suscetíveis a ataques.

Captura de tela dos gráficos de SSL.

Os dois gráficos são organizados pelo período de expiração, variando de "maior que 90 dias" a já expirado. A Microsoft recomenda que as organizações renovem imediatamente todos os domínios ou certificados SSL expirados e organizem proativamente a renovação de ativos que devem expirar em 30 a 60 dias.

Reputação de IP

Os dados de reputação de IP ajudam os usuários a compreender a confiabilidade da superfície de ataque e a identificar hosts potencialmente comprometidos. A Microsoft desenvolve pontuações de reputação de IP com base em nossos dados proprietários, bem como em informações de IP coletadas de fontes externas. Recomendamos uma investigação mais aprofundada de todos os endereços IP identificados aqui, pois uma pontuação suspeita ou mal-intencionada associada a um ativo de sua propriedade indica que o ativo está suscetível a ataques ou já foi aproveitado por atores mal-intencionados.

Captura de tela do gráfico de reputação de IP.

Esse gráfico é organizado pela política de detecção que disparou uma pontuação de reputação negativa. Por exemplo, o valor DDOS indica que o endereço IP esteve envolvido em um ataque de negação de serviço distribuído. Os usuários podem clicar no valor de qualquer barra para acessar uma lista de ativos que a compõem. No exemplo abaixo, o gráfico está vazio, o que indica que todos os endereços IP no inventário têm pontuações de reputação satisfatórias.

Painel da postura de segurança

O painel Postura de Segurança ajuda as organizações a medir a maturidade de seu programa de segurança com base no status dos ativos no Inventário Confirmado. Ele é composto por políticas, processos e controles técnicos e não técnicos que reduzem o risco de ameaças externas. Esse painel fornece insights sobre exposição a CVE, administração e configuração de domínio, hospedagem e rede, portas abertas e configuração de certificado SSL.

Captura de tela do gráfico de postura de segurança.

Exposição a CVE

O primeiro gráfico no painel Postura de Segurança está relacionado ao gerenciamento do portfólio de sites da organização. A Microsoft analisa os componentes do site, como estruturas, software de servidor e plug-ins de terceiros e faz a correspondência entre eles e uma lista atual de CVEs (exposições comuns a vulnerabilidade) para identificar riscos de vulnerabilidade na sua organização. Os componentes da Web que compõem cada site são inspecionados diariamente para garantir a relevância e a precisão.

Captura de tela do gráfico de exposição a CVE.

É recomendável que os usuários resolvam imediatamente todas as vulnerabilidades relacionadas a CVEs, mitigando o risco atualizando seus componentes da Web ou seguindo as diretrizes de correção para cada CVE. Cada barra no gráfico é clicável, exibindo uma lista dos ativos afetados.

Administração de domínios

Este gráfico fornece insights sobre como uma organização gerencia os respectivos domínios. Empresas com um programa de gerenciamento de portfólio de domínios descentralizado são suscetíveis a ameaças desnecessárias, incluindo sequestro de domínio, sombreamento de domínio, falsificação de email, phishing e transferências ilegais de domínio. Um processo de registro de domínios coeso reduz esse risco. Por exemplo, as organizações devem usar as mesmos informações de contato de registradores e registrantes para seus domínios para garantir que todos os domínios sejam mapeáveis para as mesmas entidades. Isso ajuda a garantir que os domínios não desapareçam de vista à medida que você os atualiza e os mantém.

Captura de tela do gráfico de administração de domínios.

Cada barra do gráfico é clicável, levando a uma lista de todos os ativos que compõem o valor.

Hospedagem e rede

Este gráfico fornece insights sobre a postura de segurança relacionados ao local em que os hosts de uma organização estão localizados. O risco associado à propriedade de sistemas autônomos depende do tamanho e da maturidade do departamento de TI da organização.

Captura de tela do gráfico de hospedagem e rede.

Cada barra do gráfico é clicável, levando a uma lista de todos os ativos que compõem o valor.

Configuração de domínios

Esta seção ajuda as organizações a entender a configuração de seus nomes de domínio, exibindo domínios que podem ser suscetíveis a riscos desnecessários. Os códigos de status de domínio EPP (Extensible Provisioning Protocol) indicam o status de um registro de nome de domínio. Todos os domínios têm pelo menos um código, embora vários códigos possam ser aplicados a um mesmo domínio. Esta seção é útil para entender as políticas em vigor para gerenciar os domínios, ou as políticas ausentes que deixam os domínios vulneráveis.

Captura de tela do gráfico de configuração do domínio.

Por exemplo, o código de status "clientUpdateProhibited" impede atualizações não autorizadas de seu nome de domínio; a organização precisa entrar em contato com o registrador para ignorar esse código e fazer atualizações. O gráfico abaixo pesquisa ativos de domínio que não têm esse código de status, indicando que o domínio está aberto a atualizações que podem resultar em fraudes. Os usuários devem clicar em qualquer barra do gráfico para exibir uma lista de ativos que não têm os códigos de status apropriados aplicados, para que possam atualizar as configurações de domínio adequadamente.

Abrir portas

Esta seção ajuda os usuários a entender como seu espaço IP é gerenciado, detectando serviços expostos na Internet aberta. Frequentemente, os invasores verificam portas na Internet para procurar explorações conhecidas relacionadas a vulnerabilidades de serviço ou configurações incorretas. A Microsoft identifica essas portas abertas para complementar as ferramentas de avaliação de vulnerabilidade, sinalizando observações para revisão a fim de garantir que elas sejam gerenciadas corretamente por sua equipe de tecnologia da informação.

Captura de tela do gráfico de portas abertas.

Ao executar verificações básicas de SYN/ACK de TCP em todas as portas abertas nos endereços em um espaço de IP, a Microsoft detecta portas que podem precisar restringir o acesso direto à Internet aberta. Exemplos incluem bancos de dados, servidores DNS, dispositivos IoT, roteadores e comutadores. Esses dados também podem ser usados para detectar ativos de shadow IT ou serviços de acesso remoto inseguros. Todas as barras neste gráfico são clicáveis, abrindo uma lista de ativos que compõem o valor para que a organização possa investigar a porta aberta em questão e corrigir qualquer risco.

Configuração e organização do SSL

Os gráficos de configuração e organização do SSL exibem problemas comuns relacionados ao SSL que podem afetar as funções da infraestrutura online.

Captura de tela dos gráficos de configuração e organização do SSL.

Por exemplo, o gráfico de configuração do SSL exibe os problemas de configuração detectados que podem interromper seus serviços online. Isso inclui certificados SSL expirados e certificados que usam algoritmos de assinatura desatualizados, como SHA1 e MD5, resultando em riscos de segurança desnecessários para a organização.

O gráfico da organização do SSL fornece insights sobre o registro de seus certificados SSL, indicando a organização e as unidades de negócios associadas a cada certificado. Isso pode ajudar os usuários a entender a propriedade designada desses certificados. É recomendável que as empresas consolidem sua organização e lista de unidades quando possível para ajudar a garantir a gestão adequada no futuro.

Painel de conformidade com o GDPR

O painel de conformidade com o GDPR apresenta uma análise dos ativos em seu Inventário Confirmado em termos de como eles se relacionam com os requisitos descritos no GDPR (Regulamento Geral sobre a Proteção de Dados). O GDPR é um regulamento da UE (União Europeia) que impõe padrões de proteção de dados e privacidade para todas as entidades online acessíveis à UE. Esses regulamentos tornaram-se um modelo para leis semelhantes fora da UE, por isso servem como um excelente guia sobre como lidar com a privacidade de dados em todo o mundo.

Esse painel analisa as propriedades da Web voltadas ao público de uma organização para indicar todos os ativos potencialmente não compatíveis com o GDPR.

Captura de tela do painel de conformidade do GDPR.

Sites por status

Este gráfico organiza os ativos de site por código de status de resposta HTTP. Esses códigos indicam se uma solicitação HTTP específica foi concluída com êxito ou fornece contexto sobre por que o site está inacessível. Os códigos HTTP também podem alertar você sobre redirecionamentos, respostas de erro do servidor e erros do cliente. A resposta HTTP "451" indica que um site não está disponível por motivos legais. Isso pode indicar que um site foi bloqueado para as pessoas na Europa por não estar em conformidade com o GDPR.

Este gráfico organiza seus sites por código de status. As opções incluem Ativo, Inativo, Requer Autorização, Interrompido e Erro do Navegador; os usuários podem clicar em qualquer componente no gráfico de barras para ver uma lista abrangente dos ativos que compõem o valor.

Captura de tela de Sites por gráfico de status.

Sites ao vivo com problemas de certificado

Este gráfico exibe páginas que estão fornecendo conteúdo ativamente e apresentam aos usuários um aviso de que o site é inseguro. O usuário deve aceitar manualmente o aviso para exibir o conteúdo nessas páginas. Isso pode ocorrer por vários motivos; esse gráfico organiza os resultados pelo motivo específico para facilitar a mitigação. As opções incluem certificados desfeitos, problemas de certificado ativo e erros de exigência de autorização e de certificado do navegador.

Captura de tela do gráfico de postura do certificado SSL.

Expiração do certificado SSL

Este gráfico exibe as expirações futuras do Certificado SSL, garantindo que a organização tenha ampla visibilidade das futuras renovações. Um Certificado SSL expirado deixa os ativos correspondentes suscetíveis a ataques e pode tornar o conteúdo de uma página inacessível à Internet.

Esse gráfico é organizado pela janela de expiração detectada, variando de já expirado a expiração em mais de 90 dias. Os usuários podem clicar em qualquer componente no gráfico de barras para acessar uma lista dos ativos aplicáveis, facilitando o envio de uma lista de nomes de certificado para seu Departamento de TI para correção.

Captura de tela de Sites ao vivo com o gráfico de problemas de certificado.

Sites por postura de certificado

Esta seção analisa os algoritmos de assinatura que alimentam um certificado SSL. Os certificados SSL podem ser protegidos com vários algoritmos criptográficos. Determinados algoritmos mais recentes são considerados mais respeitáveis e seguros do que algoritmos mais antigos e, portanto, as empresas são aconselhadas a aposentar algoritmos mais antigos, como o SHA-1.

Os usuários podem clicar em qualquer segmento do gráfico de pizza para ver uma lista de ativos que compõem o valor selecionado. O SHA256 é considerado seguro, enquanto as organizações devem atualizar todos os certificados que usam o algoritmo SHA1.

Captura de tela de Sites por gráfico de postura de certificado.

Sites de PII ao vivo por protocolo

A proteção de PII (informações de identificação pessoal) é um componente crítico do Regulamento Geral sobre a Proteção de Dados. PII são definidas como qualquer dado que possa identificar um indivíduo, incluindo nomes, endereços, aniversários ou endereços de email. Qualquer site que aceite esses dados por meio de um formulário deve ser completamente protegido de acordo com as diretrizes do GDPR. Analisando o DOM (modelo de objeto do documento) de suas páginas, a Microsoft identifica formulários e páginas de logon que podem aceitar PII e, portanto, devem ser avaliados de acordo com a legislação da União Europeia. O primeiro gráfico nesta seção exibe sites dinâmicos por protocolo, identificando sites usando protocolos HTTP versus HTTPS.

Captura de tela de sites de PII ao vivo por gráfico de protocolo.

Sites de PII dinâmicos por postura de certificado

Este gráfico exibe sites de PII dinâmicos pelo uso que fazem de certificados SSL. Ao referenciar este gráfico, você pode entender rapidamente os algoritmos de hash usados em seus sites que contêm informações pessoais identificáveis.

Captura de tela de sites de PII ao vivo por gráfico de postura de certificado.

Sites de logon por protocolo

Uma página de logon é uma página em um site em que um usuário tem a opção de inserir um nome de usuário e uma senha para obter acesso aos serviços hospedados nesse site. As páginas de logon têm requisitos específicos de acordo com o GDPR, portanto, o EASM do Defender consulta o DOM de todas as páginas verificadas para pesquisar por código correlacionado a um logon. Por exemplo, as páginas de logon devem estar protegidas para serem compatíveis. Este primeiro gráfico exibe sites de logon por protocolo (HTTP ou HTTPS) e o segundo por postura de certificado.

Captura de tela dos sites de logon por gráfico de protocolo.

Captura de tela de sites de logon por gráfico de postura de certificado.

Um cookie é uma informação em forma de um arquivo de texto muito pequeno que é colocado no disco rígido do computador que executa um navegador da Web ao navegar por um site. Sempre que um site é visitado, o navegador envia o cookie de volta ao servidor para notificar o site sobre sua atividade anterior. O GDPR tem requisitos específicos para obter consentimento para emitir um cookie e diferentes regulamentos de armazenamento para cookies próprios versus de terceiros.

Captura de tela do gráfico de Postura de cookies.

Painel Principais 10 do OWASP

O painel Principais 10 do OWASP foi projetado para fornecer insights sobre as recomendações de segurança mais críticas, conforme designadas pelo OWASP, uma fundação de código aberto respeitável focada na segurança de aplicativos Web. Essa lista é reconhecida globalmente como um recurso crítico para desenvolvedores que desejam garantir a segurança de seu código. O OWASP fornece informações importantes sobre seus 10 principais riscos de segurança, bem como orientações sobre como evitar ou corrigir o problema. Este painel do EASM do Defender procura evidências desses riscos de segurança em sua Superfície de Ataque e os apresenta, listando os ativos aplicáveis e como corrigir o risco.

Captura de tela do painel do OWASP

A atual lista de 10 Principais Riscos Críticos à Segurança do OWASP inclui:

  1. Controle de acesso interrompido: a falha da infraestrutura de controle de acesso que impõe políticas para que os usuários não possam agir fora de suas permissões pretendidas.
  2. Falha criptográfica: falhas relacionadas à criptografia (ou à falta dela) que costumam levar à exposição de dados confidenciais.
  3. Injeção: aplicativos vulneráveis a ataques de injeção devido ao tratamento inadequado de dados e outros problemas relacionados à conformidade.
  4. Design inseguro: medidas de segurança ausentes ou ineficazes que resultam em fraquezas no aplicativo.
  5. Configuração incorreta de segurança: configurações de segurança ausentes ou incorretas que geralmente são resultado de um processo de configuração insuficientemente definido.
  6. Componentes vulneráveis e desatualizados: componentes desatualizados que correm o risco de exposições adicionais em comparação com softwares atualizados.
  7. Falhas de identificação e autenticação: falha ao confirmar corretamente a identidade, a autenticação ou o gerenciamento de sessão de um usuário para proteger contra ataques relacionados à autenticação.
  8. Falhas de integridade de software e dados: código e infraestrutura que não protegem contra violações de integridade, como plug-ins de fontes não confiáveis.
  9. Registro em log e monitoramento de segurança: falta de registro em log e alertas de segurança adequados, ou configurações incorretas relacionadas, que podem afetar a visibilidade de uma organização e sua consequente responsabilidade sobre sua postura de segurança.
  10. Falsificação de solicitação do lado do servidor: aplicativos Web que buscam um recurso remoto sem validar a URL fornecida pelo usuário.

Este painel fornece uma descrição de cada risco crítico, informações sobre por que ele é importante e diretrizes de correção, bem como uma lista de ativos potencialmente afetados. Para obter mais informações, confira o site do OWASP.

Painel dos 25 principais pontos fracos de software da CWE

Esse painel se baseia na lista dos 25 principais pontos fracos de software da lista CWE (enumeração de pontos fracos comuns) fornecida anualmente pelo MITRE. Essas CWEs representam os pontos fracos de software mais comuns e impactantes que são fáceis de encontrar e explorar. Esse painel exibe todas as CWEs incluídos na lista nos últimos cinco anos e lista todos os seus ativos de inventário que podem ser afetados por cada CWE. Para cada CWE, o painel fornece uma descrição e exemplos da vulnerabilidade e lista de CVEs relacionadas. As CWEs são organizadas por ano e cada seção é expansível ou recolhível. Fazer referência a esse painel ajuda seus esforços de mediação de vulnerabilidades, ajudando você a identificar os maiores riscos para a sua organização com base em outras explorações observadas.

Captura de tela do painel Principais 25 Pontos Fracos de Software da CWE.

Explorações conhecidas da CISA

Embora haja centenas de milhares de vulnerabilidades de CVEs identificadas, apenas um pequeno subconjunto foi identificado pela CISA (Cybersecurity & Infrastructure Security Agency) como tendo sido recentemente explorado por atores de ameaça. Essa lista inclui menos de 0,5% de todas as CVEs identificadas; por esse motivo, é fundamental ajudar os profissionais de segurança a priorizar a correção dos maiores riscos para a sua organização. Aqueles que corrigem ameaças com base nessa lista operam com maior eficiência pois estão priorizando as vulnerabilidades que resultaram em incidentes reais de segurança.

Captura de tela do painel explorações conhecidas da CISA.

Próximas etapas