Om vi skal sikre våre datasystemer fra angrep, må vi først og fremst vite hva våre datasystemer er. Dette gjøres som regel med noen form for Asset Management, enten det er oppført i et dertil egnet verktøy eller rett og slett et excel-ark. Men det er ikke alltid prosedyrer blir overholdt, noe slipper gjennom sprekkene og vips så har man en enhet eller tjeneste som fortsatt eksponerer organisasjonen til internett, men som på papiret er dekommisjonert og offline.

Det er ikke utenkelig at slike enheter eller tjenester som ikke lenger er markert som aktivt, heller ikke blir regelmessig oppdatert eller inkludert i planleggingen for sikkerhetsløsninger - Et perfekt mål for hackere.

Når et tre faller i skogen og ingen er i nærheten lager det fortsatt lyd, og på samme måte vil en bortglemt enhet eller tjeneste i ditt system som fortsatt utgjøre en risiko.

Det er akkurat her External Attack Surface Management (EASM) kommer inn, for å kartlegge hva i ditt system som er synlig fra internett, hvilken risiko det utgjør, og hvor man bør rette fokus for å ordne opp. Ved å kjøre avanserte tester ofte, og fra "utsiden", gir EASM-verktøy deg den informasjonen du trenger til å snevre inn angrepsflaten en hacker ville kunne se fra utsiden.

Hvor et internt Asset Management-system holder styr på det man tror man har, vil en EASM-løsning kunne fortelle deg at jo - skulle du ha sett - det fantes en server fra nitten-tidlig og som ikke har blitt oppdatert siden tidenes morgen - den er jo lista som dekommisjonert! Men den gjør fortsatt sitt beste og kjører tjenestene sine, stakkar. Denne enheten ville kanskje vært en angriper's vei inn.

Mange vil kanskje få bakoversveis når de kjører en EASM første gangen; I eksempler jeg har sett fra CyCognito har store bedrifter anslått at de har ca 350'000 antall enheter og tjenester eksponert til internett, hvor CyCognito etter en scan har bevist at det var dobbelt så mange enheter og tjenester synlig fra internett. En av grunnene til dette kan være at ditt selskap alene ikke utgjør hele angrepsflaten; Om du jobber i et moderselskap flere datterselskap, må alle disse ansees som en mulig vei inn til ditt system.

Nok en gang ser vi en markant forskjell mellom Asset Management og EASM, spesielt om Asset Management skjer separat for de forskjellige selskapene, hvor hvert datterselskap har sin egen inventarliste hvor de kun holder styr på sine egne tjenester og enheter. I dette tilfellet vil moderselskapets sikkerhetsavdeling kanskje ikke vite noe om en risiko som befinner seg på datterselskapets system, men som like fullt kan være en vei inn i moderselskapets system.

Om en angriper kan nå det de vil via et satelittkontor lettere enn å prøve seg på hovedkontoret er det naturlig å tro at det er veien de tar, selv hvis det de vil ha tak på strengt tatt er på hovedkontorets servere - Med andre ord; Hackere, på samme måte som elektrisitet, velger minste motstands vei.

EASM løser problemet ved å se på organisasjonen utenfra, i helhet. I CyCognito's tilfelle kjøres en veldig bred scan, og alt som finnes med relasjon til selskapets navn (og som CyCognito ser som høyt sansynlig er relatert til samme selskap) blir sjekket. 

 Å gjøre disse sjekkene fra utsiden gir et overblikk som en målrettet pentest ikke vil kunne se. Ikke bare vil man kunne se ting man har glemt, men også veier inn man ikke engang har tenkt på tidligere (og dermed kanskje ikke definert i skopet for en pentest). Et annet eksempel jeg fikk høre om var en situasjon hvor en tekniker hadde fått med seg en gammel enhet hjem, som hadde fortsatt å bruke jobbens sertifikater, som for eksempel kunne vært brukt til å autentisere en VPN-forbindelse inn til hovedkontoret - Denne enheten var dekommisjonert. Men sertifikatet var ikke utgått, og et gyldig sertifikat i feil hender kan volde store skader.