EASM: что такое управление внешней поверхностью атаки и зачем это знать ИБ-специалисту

Что такое EASM — и почему это не просто «сканер уязвимостей»

Представьте, что злоумышленник решил атаковать вашу компанию. Он не знает ничего об устройстве вашей внутренней сети — и ему это не нужно. Он открывает браузер, идёт в Certificate Transparency-логи, запускает пассивный DNS, смотрит Shodan. Через несколько часов у него на руках список ваших поддоменов, открытых портов, версий ПО на внешних сервисах и пара забытых dev-стендов без авторизации. Всё это — ваша внешняя поверхность атаки. И она почти наверняка больше, чем вы думаете.

EASM расшифровывается как External Attack Surface Management — управление внешней поверхностью атаки. Это не продукт с кнопкой «просканировать» и не разовый пентест. EASM — это непрерывный процесс: обнаружить всё, что доступно из интернета, понять, кому это принадлежит, оценить реальный риск и поддерживать контроль постоянно, потому что поверхность атаки меняется каждый день.

Главный вопрос, на который отвечает EASM — не «есть ли у нас уязвимости», а «что из нашего торчит в интернет, знаем ли мы об этом, и насколько это эксплуатируемо прямо сейчас». Разница принципиальная: классический сканер уязвимостей работает с тем, что вы ему скормили. EASM начинает с того, что нашёл сам — включая то, о чём ИТ и ИБ не подозревали.

Что входит во внешнюю поверхность атаки

Большинство специалистов, впервые услышав про EASM, представляют список IP-адресов и открытых портов. Реальная картина намного шире. Внешняя поверхность атаки — это всё цифровое, что атакующий может обнаружить и использовать как точку входа, не преодолевая никаких физических барьеров.

В скоуп EASM входят: домены и поддомены — включая забытые, делегированные дочерним компаниям, временные лендинги прошлогодних маркетинговых кампаний; DNS-артефакты — записи MX, SPF, DMARC, «висячие» CNAME, указывающие на уже удалённые сервисы в облаке; TLS-сертификаты из Certificate Transparency логов, которые часто раскрывают поддомены раньше, чем о них узнаёт ИБ; открытые сервисы и порты — VPN-шлюзы, почтовые сервера, панели управления, SSH, RDP и базы данных, внезапно оказавшиеся доступными снаружи; облачные ресурсы — публичные S3-бакеты, misconfigured security groups, экспонированные балансировщики нагрузки; SaaS-платформы и внешние интеграции, а также активы подрядчиков, которые технически влияют на риск организации, но не попадают в её CMDB.

Чем EASM отличается от смежных инструментов

Путаница между EASM и смежными дисциплинами возникает постоянно — особенно у тех, кто только входит в профессию. Вот принципиальные различия. Vulnerability Management (VM) работает с известным инвентарём: вы ему говорите «сканируй вот эти хосты», он находит CVE. EASM сначала сам выясняет, что вообще существует — и только потом оценивает риски. Пентест — это разовое мероприятие с ограниченным скоупом и временны́ми рамками; EASM — непрерывный фоновый процесс. CMDB и ITAM фиксируют то, что ИТ сами внесли и учли; EASM намеренно ищет то, чего в CMDB нет. CSPM (Cloud Security Posture Management) смотрит на облачные конфигурации изнутри; EASM фиксирует внешний факт экспозиции — что именно видно из интернета.

Как работает EASM: четыре ключевых фазы

EASM-программа — это не набор инструментов, которые «просто запускают». Это структурированный lifecycle, который повторяется непрерывно. Специалист проходит четыре фазы по кругу: обнаружение, инвентаризация, оценка рисков, мониторинг изменений. Каждый виток цикла — это уточнение картины и сокращение «слепых зон».

Фаза 1: обнаружение активов — от «семян» к графу

Всё начинается с минимального набора точек входа — их называют «семенами» (seeds). Это известные корпоративные домены, ASN-номера, диапазоны IP-адресов, названия брендов. От каждого семени специалист разворачивает граф обнаружения: находит поддомены через Certificate Transparency-логи (crt.sh и аналоги), восстанавливает исторические записи через пассивный DNS, перебирает типовые имена словарём — vpn, admin, stage, dev, git, grafana. Параллельно идёт нормализация: каждый найденный актив классифицируется, дедуплицируется и атрибутируется — то есть привязывается к конкретному владельцу с уровнем уверенности (high / medium / low).

Самое ценное на этом этапе — находки, которых не было ни в одном реестре ИТ. Поддомен, выпустивший TLS-сертификат два года назад и нигде не задокументированный. Dev-стенд, который «временно» открыли для подрядчика и забыли закрыть. Домен дочерней компании, который делит инфраструктуру с головным офисом, но выпал из программы управления рисками. Именно такие активы EASM называет «теневыми» — и именно они чаще всего становятся точками входа при реальных атаках.

Фаза 2: что реально доступно извне — сервисы и конфигурации

Когда инвентарь собран, наступает черёд активной проверки: что из найденного реально отвечает из интернета и на каких портах. Здесь в ход идёт осторожный порт-скан — не агрессивный перебор всего диапазона, а целевая проверка критичных портов: 443, 80, 8443, 22, 3389, 25, 587, плюс характерные порты управляющих панелей. По каждому открытому сервису собираются HTTP-заголовки, title страницы, TLS-сертификат, баннер — достаточно, чтобы классифицировать: это VPN-шлюз, SSO-портал, почтовый сервер, панель Grafana или Kibana, или вовсе неизвестно что.

Особое внимание уделяется «барьерам»: есть ли перед сервисом WAF, требует ли он корпоративную SSO-авторизацию, ограничен ли доступ по IP-листу. Сервис, открытый в интернет без какого-либо контроля доступа, — это совсем другой профиль риска, чем тот же сервис за IP-allowlist. TLS-проверка на этой фазе выявляет устаревшие протоколы (TLS 1.0/1.1), истекающие сертификаты и слабые конфигурации шифрования — технический долг, который часто накапливается годами без чьего-либо ведома.

Фаза 3: приоритизация риска — KEV, EPSS и логика P1/P2/P3

К этому моменту у специалиста на руках — сотни, а в крупных организациях тысячи находок. Чинить всё одновременно невозможно, а сортировка «по CVSS» давно признана неэффективной: высокий балл CVSS не означает, что уязвимость реально эксплуатируется. Зрелый подход к приоритизации в EASM строится на пересечении нескольких факторов.

Первый и самый важный — CISA KEV (Known Exploited Vulnerabilities): это официальный каталог CVE, которые подтверждённо эксплуатируются в реальных атаках. Если уязвимость есть в KEV, она автоматически получает наивысший приоритет — особенно если затрагивает интернет-доступный сервис без барьеров. Второй фактор — EPSS (Exploit Prediction Scoring System): вероятностная оценка того, что уязвимость будет эксплуатирована в ближайшие 30 дней. Третий — критичность актива: VPN-шлюз или SSO-портал компании — это совсем не то же самое, что тестовый стенд без данных.

Итоговая классификация выглядит так: P1 — KEV-уязвимость на интернет-доступном критичном сервисе без барьеров (исправить за 24–72 часа); P2 — KEV с частичными барьерами или высокий EPSS на критичном активе (срок: до 7 дней); P3 — технический долг без активной эксплуатации: слабый TLS, отсутствие HSTS, публичная панель за SSO (плановая ремедиация). Такой backlog понятен и командам разработки, и CISO — это язык риска, а не язык сканера.

Фаза 4: непрерывный мониторинг — детектировать изменения раньше атакующего

Разовый EASM-аудит стареет почти мгновенно. Инфраструктура современной компании меняется ежедневно: DevOps-команды выкатывают новые сервисы, маркетинг поднимает лендинги, облачные ресурсы создаются и удаляются по запросу. Поэтому четвёртая фаза — не завершение цикла, а его постоянный фон: мониторинг изменений в поверхности атаки в режиме, близком к реальному времени.

Детекторы изменений отслеживают: появление нового сертификата в CT-логах (признак нового поддомена или сервиса), изменение DNS-записей (новый CNAME может означать как легитимную миграцию, так и предпосылку к subdomain takeover), открытие нового порта на известном IP, появление нового поддомена, похожего на «tenevoy». Каждое такое событие — потенциальный триггер для расследования или немедленного реагирования. Именно эта часть EASM-процесса наиболее плотно пересекается с работой SOC.

Инструменты EASM: что использует специалист

Инструментарий EASM-специалиста — это не монолитный продукт, а собранная под задачу экосистема. Часть инструментов работает пассивно — собирает данные из публичных источников без прямого взаимодействия с целевой инфраструктурой. Другая часть активна — непосредственно обращается к целевым хостам для сбора баннеров, заголовков и версий ПО. Оба подхода дополняют друг друга и применяются в зависимости от контекста и разрешений.

Passive vs Active: два режима разведки

Пассивная разведка строится на публично доступных источниках. Shodan и Censys — поисковики по интернет-инфраструктуре: они постоянно сканируют весь IPv4-диапазон и индексируют баннеры сервисов, TLS-сертификаты, открытые порты. Специалист просто делает запрос по своему домену, ASN или организационному имени в сертификате — и получает срез того, что «видит интернет». crt.sh — публичный поисковик по Certificate Transparency логам: позволяет найти все сертификаты, когда-либо выпущенные на домен или его wildcard. SecurityTrails, RiskIQ (Microsoft Defender EASM) и аналоги предоставляют исторический пассивный DNS — то есть записи о том, на какие IP резолвился домен в прошлом, что незаменимо при охоте за «забытыми» активами.

Активные инструменты — это то, что непосредственно отправляет пакеты к цели. Nmap остаётся стандартом для порт-скана и баннер-граббинга: с правильными параметрами он работает аккуратно и без агрессивных техник. httpx от ProjectDiscovery массово собирает HTTP-статусы, заголовки, title страниц, TLS-данные и редиректы — идеален для обработки больших списков веб-эндпоинтов. dnsx резолвирует тысячи FQDN параллельно и с высокой скоростью. testssl.sh проверяет TLS-конфигурацию: протоколы, шифры, срок сертификата, наличие HSTS — всё, что составляет TLS baseline организации. Nuclei от ProjectDiscovery — пожалуй, самый мощный инструмент для масштабной проверки по шаблонам: он содержит тысячи готовых темплейтов для обнаружения exposed панелей, misconfiguration, CVE-сигнатур и технологий — и работает без эксплуатации уязвимостей.

Как EASM встраивается в стек безопасности

EASM не существует в вакууме. Зрелая программа управления внешней поверхностью атаки интегрируется практически с каждым значимым компонентом ИБ-стека — и в большинстве случаев не дублирует их, а обогащает. Это одна из причин, почему понимание EASM становится обязательным для специалистов, которые хотят работать в enterprise-ИБ или строить SOC.

EASM + VM (Vulnerability Management): EASM решает вопрос «что сканировать» — поставляя актуальный и полный список внешних активов в систему управления уязвимостями. Без этой связки VM работает только с известными хостами, пропуская теневые активы. EASM + CMDB/ITAM: EASM выступает как внешний аудитор реестра активов — он выявляет расхождения между тем, что учтено в базе конфигураций, и тем, что реально существует в интернете. EASM + CSPM: CSPM анализирует облачные конфигурации изнутри и ищет root cause; EASM фиксирует внешний факт экспозиции — «этот S3-бакет виден из интернета». Вместе они дают полную картину облачного риска.

EASM и SOC-аналитик: где пересекаются задачи

Связь EASM с работой SOC-аналитика — одна из наиболее практически значимых, но при этом наименее очевидных на старте карьеры. На первый взгляд кажется, что EASM — это про инвентаризацию и активы, а SOC — про алерты и инциденты. Но на практике граница размыта, и умение работать с обоими контекстами делает аналитика заметно более ценным специалистом.

Первая точка пересечения — контекст для триажа. Когда в SIEM приходит алерт о подозрительном соединении с внешним хостом, аналитик задаёт вопрос: «а этот хост вообще наш?». EASM-база отвечает немедленно — есть ли этот IP или домен в инвентаре, кому атрибутирован, какой у него тип сервиса. Без этого контекста триаж занимает в разы больше времени. Вторая точка — события об изменениях поверхности: появление нового поддомена, новый открытый порт, изменение TLS-сертификата — это прямые триггеры для SIEM/SOAR-плейбуков. Третья — расследование инцидентов: понимание внешней поверхности атаки позволяет восстановить, через какую именно точку вошёл атакующий, и оценить, какие ещё активы могли быть скомпрометированы по той же цепочке.

Примеры EASM-платформ: коммерческие и open-source

Рынок EASM-решений сформировался относительно недавно, однако уже достаточно зрелый. Корпоративные платформы автоматизируют весь lifecycle — от discovery до приоритизации и интеграции с ITSM, — избавляя команду от ручного труда, который при сотнях доменов становится попросту неуправляемым. Для обучения и небольших организаций существуют open-source альтернативы, дающие ту же глубину при полном контроле над процессом.

Microsoft Defender EASM — облачное решение, нативно интегрированное в Azure и Microsoft Security-стек. Автоматически обнаруживает активы через CT-логи, пассивный DNS и crawling, строит граф инфраструктуры, приоритизирует риски и подключается к Microsoft Sentinel. Censys ASM — построен на базе одного из крупнейших в мире сканеров IPv4/IPv6 и сильнее всего в части непрерывного мониторинга изменений инфраструктуры. CrowdStrike Falcon Surface (бывший Reposify) делает акцент на автоматизированной атрибуции и интеграции с остальными продуктами Falcon-экосистемы. Mandiant Attack Surface Management отличается глубокой интеграцией с Threat Intelligence и привязкой рисков к реальным группировкам атакующих.

На российском рынке активно развиваются собственные решения: BI.ZONE Attack Surface Management и инструменты F.A.C.C.T. (бывший Group-IB) включают функции мониторинга внешней поверхности в свои платформы Threat Intelligence. Для самостоятельной практики и домашних лабораторий open-source стек — Amass + dnsx + httpx + Nuclei от ProjectDiscovery — даёт полноценный пайплайн discovery и оценки рисков без каких-либо затрат.