Superficie de Ataque
Superficie de Ataque de Ciberseguridad
Hay que entender la superficie de ciberataque de nuestra empresa.
La gestión de la superficie de ataque (ASM – Attack Surface Management). Se considera como el descubrimiento, el análisis, la reparación y el control continuo de las vulnerabilidades de seguridad cibernética y los posibles vectores de ataque que conforman la superficie de ataque de una organización, es decir donde tenemos vulnerabilidades que pueden ser utilizadas por los ciberatacantes y hay que reducir dicha superficie.
Recordemos que, a diferencia de otras disciplinas de ciberseguridad, ASM se lleva a cabo completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor, que es esto, identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan para un atacante malicioso, en mi experiencia se basa en muchos de los mismos métodos y recursos que utilizan los piratas informáticos, y muchas tareas y tecnologías de ASM son diseñadas y realizadas por “hackers éticos” familiarizados con los comportamientos de los ciberdelincuentes y capacitados para duplicar sus acciones.
De igual manera y más extensiva tenemos la gestión de superficie de ataque externo (EASM), una tecnología ASM relativamente nueva, a veces se usa indistintamente con ASM, no obstante, EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o de Internet de una organización, estos los reconoceremos como superficie de ataque digital de una organización y por su parte ASM, también aborda las vulnerabilidades en las superficies de ataque de ingeniería social y física de una organización, como los internos maliciosos o la capacitación inadecuada del usuario final contra las estafas de phishing.
“Hay que entender la superficie de ciberataque de nuestra empresa”
Como nota y recomendación les comento, que los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y administración de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden seguir el ritmo con el que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales, como las pruebas de penetración, por ejemplo, pueden detectar vulnerabilidades sospechosas en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar nuevos riesgos cibernéticos y vulnerabilidades que surgen a diario, triste realidad para los que pensaron que su Router y firewall eran para 20 años o más.
Veamos un poco de tendencia:
Los piratas informáticos intentan continuamente explotar configuraciones de TI débiles que conducen a infracciones, ya sabes que aun muchas organizaciones cuyos entornos contienen sistemas heredados o derechos administrativos excesivos suelen ser víctimas de este tipo de ataques, debemos tener siempre presente la evaluación de higiene de TI de los servicios que ofrecemos con una visibilidad mejorada de nuestra red para ayudar a identificar vulnerabilidades para ayudar a protegerla antes de que ocurran estas infracciones.
¿Qué es una superficie de ataque?
La superficie de ataque es el término utilizado para describir la red interconectada de activos de TI que un atacante puede aprovechar durante un ciberataque, hablando en términos generales, la superficie de ataque de una organización se integra de cuatro componentes principales:
- Activos locales: Activos ubicados en el sitio, como servidores y hardware.
- Activos en la nube: Cualquier activo que aproveche la nube para la operación o la entrega, como servidores y cargas de trabajo en la nube, aplicaciones SaaS o bases de datos alojadas en la nube.
- Activos externos: Un servicio en línea comprado a un proveedor o socio externo, que almacena y procesa datos de la empresa o está integrado con la red corporativa.
- Redes subsidiarias: Redes compartidas por más de una organización, como las que son propiedad de una sociedad de cartera en caso de fusión o adquisición.
Es importante tener en cuenta que la superficie de ataque de la organización evolucionará con el tiempo a medida que se agreguen constantemente dispositivos, se introduzcan nuevos usuarios y cambien las necesidades comerciales, considero que, por esta razón, las organizaciones debemos monitorear y evaluar continuamente todos los activos e identificar vulnerabilidades antes de que los ciberdelincuentes las exploten.
Ahora bien:
No podemos minimizar el radical, cambio a la nube, el aumento de las aplicaciones de software como servicio (SaaS) y un aumento repentino de las capacidades de trabajo remoto, la superficie de ataque de la mayoría de las organizaciones se ha vuelto más grande y más compleja, lo que hace que sea exponencialmente más difícil de definir y defender, considerando que prácticamente cualquier activo puede ser un punto de entrada a un ciberataque, es más importante ahora que nunca que las organizaciones mejoren la visibilidad de la superficie de ataque en todos los activos, conocidos o desconocidos, locales o en la nube, internos o externos.
¿Qué es la gestión de superficie de ataque?
La gestión de la superficie de ataque es el descubrimiento, monitoreo, evaluación, priorización y corrección continuos de los vectores de ataque dentro de la infraestructura de TI de una organización.
Si bien es similar en naturaleza al descubrimiento de activos o la gestión de activos, que a menudo se encuentran en las soluciones de higiene de TI, la diferencia crítica en la gestión de la superficie de ataque es que aborda la detección de amenazas y la gestión de vulnerabilidades desde la perspectiva del atacante, con esta práctica, la organización se ve impulsada a identificar y evaluar el riesgo que plantean, no solo los activos conocidos, sino también los componentes desconocidos y no autorizados.
El valor de la gestión de la superficie de ataque
Al asumir la mentalidad del atacante e imitar su conjunto de herramientas, las organizaciones pueden mejorar la visibilidad en todos los posibles vectores de ataque, lo que les permite tomar medidas específicas para mejorar la postura de seguridad al mitigar el riesgo asociado con ciertos activos o reducir la superficie de ataque en sí, recomiendo estructurar una herramienta eficaz de gestión de la superficie de ataque nos permita a las organizaciones:
- Automatizar el descubrimiento, la revisión y la corrección de activos.
- Mapear todos los activos de forma continua.
- Identifique y deshabilite rápidamente los activos de TI en la sombra y otros activos previamente desconocidos.
- Elimine las vulnerabilidades conocidas, como contraseñas débiles, configuraciones incorrectas y software obsoleto o sin parches.
¿Cuáles son las funciones principales de la gestión de la superficie de ataque?
Hay cinco funciones principales de una estrategia eficaz de gestión de la superficie de ataque:
Fase 1: Descubrimiento
En esta fase inicial, las organizaciones identifican y mapean todos los activos digitales en la superficie de ataque interna y externa, si bien las soluciones heredadas pueden no ser capaces de descubrir activos desconocidos, no autorizados o externos, una solución moderna de administración de superficie de ataque imita el conjunto de herramientas que utilizan los actores de amenazas para encontrar vulnerabilidades y debilidades dentro del entorno de TI, esto mejora la visibilidad en toda la superficie de ataque y garantiza que la organización haya mapeado cualquier activo que pueda usarse como un vector de ataque potencial.
Fase 2: Prueba
La superficie de ataque cambia constantemente a medida que se conectan nuevos dispositivos, se agregan usuarios y el negocio evoluciona, esto no debe cambiar, como tal, es importante que la herramienta sea capaz de realizar un monitoreo y prueba continuos de la superficie de ataque.
Una solución moderna de administración de superficie de ataque revisará y analizará los activos las 24 horas del día, los 7 días de la semana para evitar la introducción de nuevas vulnerabilidades de seguridad, identificar brechas de seguridad y eliminar configuraciones incorrectas y otros riesgos.
Fase 3: Contexto
Si bien cualquier activo puede servir como vector de ataque, no todos los componentes de TI conllevan el mismo riesgo, de esta manera, una solución avanzada de gestión de superficie de ataque realiza análisis de superficie y proporciona información relevante sobre el activo expuesto y su contexto dentro del entorno de TI, intervienen factores como cuándo, dónde y cómo se utiliza el activo, quién es el propietario del activo, su dirección IP y los puntos de conexión a la red nos pueden ayudar a determinar la gravedad del riesgo cibernético que representa para la empresa.
Fase 4: Priorización
Debido a que la solución de administración de la superficie de ataque está diseñada para descubrir y mapear todos los activos de TI, la organización debe tener una forma de priorizar los esfuerzos de remedición para las vulnerabilidades y debilidades existentes.
La gestión de la superficie de ataque proporciona una calificación de riesgo procesable y clasificaciones de seguridad basadas en una serie de factores, como qué tan visible es la vulnerabilidad, qué tan explotable es, qué tan complicado es solucionar el riesgo y el historial de explotación, fíjense, a diferencia de las pruebas de penetración, los equipos rojos y otros métodos tradicionales de evaluación de riesgos y gestión de vulnerabilidades que pueden ser algo subjetivos, la puntuación de la gestión de la superficie de ataque se basa en criterios objetivos, que se calculan utilizando parámetros y datos preestablecidos del sistema.
Fase 5: Aplicar
Según los pasos automatizados en las primeras fases del programa de gestión de la superficie de ataque, el personal de TI ahora está bien equipado para identificar los riesgos más graves y priorizar la reparación, derivado que estos esfuerzos a menudo son dirigidos por equipos de TI y no por profesionales de ciberseguridad, es importante asegurarse de que la información se comparta en cada función y que todos los miembros del equipo estén alineados en las operaciones de seguridad.
¿Cómo puede nuestra organización mitigar los riesgos de la superficie de ataque?
Para identificar y detener una variedad de tácticas adversarias en evolución, los equipos de seguridad requieren una vista de 360 grados de su superficie de ataque digital para detectar mejor las amenazas y defender su empresa, esto sin duda requiere una visibilidad continua de todos los activos, incluidas las redes internas de la organización, su presencia fuera del firewall y el conocimiento de los sistemas y las entidades con las que interactúan los usuarios y los sistemas.
A medida que las organizaciones adoptan una agenda de transformación digital, puede volverse más difícil mantener la visibilidad de una superficie de ataque en expansión. Las cargas de trabajo en la nube, las aplicaciones SaaS, los microservicios y otras soluciones digitales tienen una complejidad adicional dentro del entorno de TI, lo que hace que sea más difícil detectar, investigar y responder a las amenazas.
Cuando busquemos una herramienta hay que ver que combine a la perfección la telemetría de punto final interno con petabytes de datos externos de Internet recopilados los últimos años, para encontrar tendencias, anomalías, la superposición de inteligencia de Internet sobre los datos de puntos finales en una ubicación proporciona un contexto crucial para los incidentes internos, lo que ayuda a los equipos de seguridad a comprender cómo interactúan los activos internos con la infraestructura externa para que puedan bloquear o prevenir ataques y saber si han sido violados.
Views: 7