Таинственные EASM и где они обитают. Часть 3. Где ты?12.02.2024 11:15

В заключительной части исследования эксперты СайберОК сравнивают предоставление информации ASM-системами с точки зрения пользователя. Прочитать первую часть можно тут, а вторую тут.

Полный текст исследования опубликован здесь.

1.6 Сравнение предоставляемой информации

В данном разделе представлено сравнение рассматриваемых ASM-систем с точки зрения пользователя.

1.6.1 Сравнение по техническим характеристикам

 В Таблице 12 представлены данные о том, какую информацию об узле предоставляют системы, какие есть возможности для группировки результатов, а также возможности API.

6a15055936b5480b9bb35512db0f834d.png

1.6.2 Сравнение по качеству UI/UX

В Таблице 13 представлено сравнение ASM-сервисов с точки зрения качества UI/UX. Удобство запросов оценивалось субъективно: так, у Shodan построение запроса интуитивно понятно, у CriminalIP — аналогично. У Netlas стоит отметить удобный интерфейс с возможностью поиска необходимого параметра — своего рода «конструктор» запросов. У Hunter.how можно выделить несколько бо́льшую функциональность: например, можно сделать запрос на количество
открытых портов. Censys также обладает большой функциональностью: поддерживает символы »?» и »*», спец. символы »/n»,»

1.6.3 Сравнение по качеству данных

Случайным образом были выбраны 8 различных узлов для сравнения. На каждом из них открыто несколько портов, запущено несколько сетевых сервисов. Собиралась информация о том, какие порты, продукты и домены определят ASM’ы. Достоверная информация об открытых портах собиралась с помощью утилиты nmap. Корректность определения доменов проводилась с помощью отправки прямых DNS-запросов (в качестве результата возвращается IP-адрес, связанный с соответствующим доменным именем). Если сетевой порт, сервис, технология или домен были ошибочно определены ASM, то в таблице 14 эти значения выделяются красным цветом

65d8fedc3521fdc7dda009cb10c22407.png

Методика оценивания точности определения открытых портов: для каждого узла находится доля открытых портов по сравнению с результатами сканирования средствами nmap. После этого вычисляется сумма долей и нормируется по 5-бальной шкале. Данная методика применяется поскольку доподлинно известно какие открытые порты находятся на узле.

Методика оценивания точности доменов, связанных с узлом: каждому ASM-у присваивается 16 баллов (по 2 за каждый узел); за каждый узел, для которого система нашла хотя бы один неверный домен с верным доменом второго уровня вычитается 0,5 балла; за каждый узел с хотя бы одним неверно определённым доменом второго уровня вычитается 1 балл; за каждый узел с количеством неверно определённых доменов более половины от общего числа определённых доменов у ASM-a вычитается 2 балла; для каждого узла, для которого система не определила ни одного домена, из оценки вычитается 2 балла. Итоговый балл нормируется по 5-бальной шкале. Данная методика применяется поскольку достоверно не известно точное число доменов, связанных с рассматриваемым ip-адресом, а большое количество (более половины) неверных результатов может мешать пользователю сервиса.

Пример 1. Система определила узлу домены test.abc.ru, test2.abc.ru, test3.abc.ru, при этом только первый не соответствовал ответу на прямой DNS-запрос. Тогда, поскольку остальные домены проверку прошли и abc.ru — верный домен второго уровня, для этого узла вычитается 0,5 балла.

Пример 2. Система определила узлу домены test.def.ru, test2.abc.ru, test3.abc.ru, при этом только первый не соответствовал ответу на прямой DNS-запрос. Тогда, поскольку остальные домены проверку прошли, и abc.ru — верный домен второго уровня, для этого узла вычитается 1 балл.

В Таблице 15 представлены результаты оценки качества данных для рассматриваемых сервисов.

42faa619c00304f2293cd1160907c4ca.png

Заключение

Подводя итоги, можно сказать, что ни один из рассмотренных сервисов не превосходит остальных по всем категориям. Однако выбор ASM-a стоит основывать исходя из поставленной задачи. Одни лучше справляются с определением открытых портов и используемых на исследуемом узле продуктах. У других — более удобный API или интерфейс в веб-приложении. Кроме того, некоторые рассмотренные сервисы предлагают больше возможностей, но в рамках данной статьи проводилось сравнение одинаковой по смыслу функциональности.

Автор: Пушкин Максим, специалист направления развития экспертизы CyberOK

Подписывайтесь на наш Хабр и Телеграмм — там эксперты СайберОК рассказывают о самых горячих трендах и угрозах цифрового мира, чтобы вы не оставались в тени киберопасностей.

© Habrahabr.ru