Ett bra sätt att få en känsla för ett nytt område är att titta på jobb-annonser. Jag såg en annons från WSP där dom söker Attack Surface Reduction Analyst. WSP verkar arbeta mycket mot staten och kommuner. Några kompetenser som var med är Microsoft Defender/EASM, BitSight och Cybel Angel. Såg sedan att personen vars mail-adress dom lagt ut är Amerikan och det står inget om cybersäkerhet på deras hemsida. Detta är helt klart en het nisch som många försöker ta sig in i. RISE har en annons där dom söker ex-jobbare inom Intrusion Detection och Machine Learning.
Testade att skapa en Microsoft Defender EASM (External Attack Surface Management) instans i ett Azure konto. EASM släpptes hösten 2022 och utgår från sk seeds vilket är: domäner, IP-bock, datorer/hosts, email kontaker, ASN:er, och whois-organisationer. En inventering görs och ett lager med tillgångar som kan nås från Internet skapas och bevakas sedan kontinuerligt. Kända säkerhetshål (CVE:er) analyseras och även behörighets-strukturer för hantering av domäner. Varje tillgång tilldelas en status (godkänd, externt beroende, endast bevakning, kandidat, behöver undersökas). Eftersom det hela tiden sker förändringar av tillgångarna uppdateras lagret dagligen och det finns listor med tillgångar som lagts till och tagits bort.
Attack Surface Management verkar vara ett hett område och det finns mängder med produkter. Några paket som PeerSpot listar som ledande är CrowdStrike Falcon (kanske har tappat en del kunder sedan incidenten 19:e juli?), Darktrace, TrendMicro Vision One, Qualys, IONIX, Mandiant Advantage och Cortex Xpanse. Det finns också ett antal open source verktyg som tex nmap, OpenVAS, findomain, Dismap, SonarSearch, reNgine, OWASP Amass, DefectDojo, och IVRE (lista från SOCRadar som också har en lösning). Forrester släppte en rapport mars 2023 som delar in spelarna efter storlek. De stora spelarna är: Accenture, CrowdStrike, Flashpoint, Google, IBM, Microsoft, Recorded Future, Tencent, ZeroFox. Denna lista börjar nog bli lite gammal, flera av dessa är inte särskillt synliga idag. Intressant är dock att ZeroFox som bygger på Amass nämns eftersom Amasss är open source. Här är en motivering till att ZeroFox använder Amass. Amass startade Open Asset Model som är en standard för att dela data mellan ASM-system. Amass har även en Discord server. Och ännu en lista med open source och kommersiella verktyg finns här. Men man kommer också ganska långt med att lista subdomäner och verktyg som dig och whois!
RISE:s annons har titeln: “Master’s thesis; The feasibility of evasion attacks against ML-based NIDSs”. RISE SICS har utvecklat Contiki-NG och personen som lagt ut annonsen har också publicerat en del inom IoT så en gissning är att uppsatsen helst ska vara kopplad till IoT. Utveckling för Contiki görs dock i C och uppsatsen nämner Python som utvecklingsspråk. Jag gjorde en litteratursökning på IDS, ML och IoT och en hel del publiceras med fokus på automotive villket är intressant om man bor i Väst-Sverige. Evasion attacks är ett sätt att lura en IDS att en attack inte är skadlig genom att gradvis förändra en skadlig attack tills IDS:en inte känner igen den längre. En utmaning i detta forskningsområde är att stora mängder data krävs för att träna en IDS som bygger på Machine Learning. Det finns en del dataset men dels blir dom gamla fort (utvecklingen går snabbt framåt även för de som utför attackerna) och dels finns problem att spara stora mängder data från företag och institutioners nätvek pga. integritetsskäl. Transfer Learning och real-time analys är en approach som verkar vara en väg framåt.