Si estuviste en Black Hat este año, o si has estado haciendo tus deberes online en Internet en absoluto, es probable que hayas términos como EASM, ASM, Exposure Management, Attack Surface, y las muchas otras variaciones que parecen estar saliendo de la carpintería. ¿Se trata de herramientas? ¿Capacidades? ¿O simplemente las últimas palabras de moda en marketing que nadie acaba de entender? La respuesta es sí. Los proveedores de seguridad han hecho un gran trabajo para que esta nueva categoría sea tan clara como el barro, lo que puede hacer que sea mucho más difícil para usted, el director del SOC, el ingeniero de seguridad en la nube, el administrador de TI, el encargado de responder a incidentes, etc., entender realmente en qué se está metiendo.
Pero no tema. Una de las formas más fáciles de aclarar la confusión es disponer de terminología y definiciones concretas, para que todo el mundo hable el mismo idioma. Explora nuestro glosario para entender cómo hablamos de ciberseguridad y gestión de la superficie de ataque dentro de Censys, uno de los pioneros de este sector.
Glosario de gestión de la superficie de ataque Censys
Descubrimiento de activos
Proceso de identificación de activos de Internet que forman parte de una superficie de ataque. Las conexiones entre los activos y la superficie de ataque deben determinarse de forma automatizada, dando prioridad sólo a los hallazgos de alta confianza para reducir los falsos positivos. El descubrimiento de activos es una capacidad fundamental de la gestión de la superficie de ataque, y debe llevarse a cabo con la mayor frecuencia posible. También se denomina atribución de activos.
Superficie de ataque
Conjunto de activos de Internet relevantes para la postura de ciberseguridad de una organización a los que un atacante puede intentar acceder o comprometer. Los activos internos y externos conformarán la superficie de ataque y vivirán en las instalaciones, en la nube, con proveedores de alojamiento compartido y otras dependencias de terceros. Una superficie de ataque incluye todos los activos, sean o no conocidos y estén o no protegidos por un equipo de TI y de seguridad.
Gestión de la superficie de ataque
El descubrimiento, inventario y supervisión continuos de la infraestructura de TI de una organización, tanto conocida como desconocida. Se trata de un proceso continuo que implica una visibilidad tanto interna como externa de los activos. La gestión de la superficie de ataque presenta un nuevo enfoque para que los programas de seguridad comprendan y compartan el contexto entre los equipos con el fin de ser proactivos en la creación de soluciones seguras y la protección de la empresa. La gestión de la superficie de ataque externa (EASM) es una función dentro del proceso más amplio de gestión de la superficie de ataque centrada específicamente en la superficie de ataque externa.
Cómo un equipo de seguridad automatiza la gestión de la superficie de ataque
Detección automática de protocolos
Un método durante el escaneo de puertos de analizar cada respuesta del servidor para identificar su servicio subyacente, incluso si el servicio no es estándar para el número de puerto (es decir, SSH en el puerto 1234). Esto tiene en cuenta el hecho de que cualquier servicio puede estar ejecutándose en cualquier puerto. Alrededor del 60% de todos los servicios observados en Internet se encuentran en un puerto no estándar.
Más información sobre la detección automática de protocolos
Conector de nube
Una integración con cuentas en la nube que se utiliza para el descubrimiento de Shadow Cloud, la supervisión de la exposición y el inventario de activos en la nube. La información de todos los activos orientados a Internet en una cuenta de nube determinada (Amazon S3, Azure Blob, Google Cloud Storage, instancias virtuales, bases de datos, etc.) se introduce continuamente en una plataforma ASM, idealmente con la mayor frecuencia posible, enriqueciendo el proceso de descubrimiento de activos y proporcionando una visibilidad total de la nube.
Censys Conectores de nube
Infraestructura de mando y control (C2)
Software que se utiliza para controlar los servidores en los que aparecen a través de Internet. Como cualquier software, tienen ajustes y configuraciones por defecto identificables de forma única. Esto puede proporcionar a los profesionales de la seguridad herramientas para probar sus defensas, pero también pueden aprovecharse para acciones maliciosas
Blog de mando y control
Exposición
Todos los puntos de entrada potenciales en un activo dado que se pueden ver desde una perspectiva exterior-in (está orientado a Internet). Las exposiciones en sí mismas no determinan el riesgo global para una organización, pero presentan oportunidades que pueden ser explotadas por los atacantes, y deben ser controladas o abordadas.
Activo externo
Una entidad orientada a Internet que una organización controla para llevar a cabo negocios en Internet, incluyendo direcciones IP, netblocks (CIDRs), sistemas autónomos (ASNs), certificados, dominios y subdominios, sitios web y objetos de almacenamiento. Una colección de Activos Externos representa la superficie de ataque externa de una organización.
Superficie de ataque externa
Conjunto de activos externos relevantes para la postura de ciberseguridad de una organización. La superficie de ataque externa incluye tanto activos conocidos como desconocidos, y se ha convertido en el principal punto de entrada de incidentes de seguridad y violaciones.
Gestión de la superficie de ataque externa
Herramienta o proceso que descubre, hace inventario y supervisa continuamente la exposición de activos externos conocidos y desconocidos. La gestión de la superficie de ataque externa forma parte de un proceso o programa de gestión de la superficie de ataque más amplio, y debe dar prioridad a la visibilidad de los activos externos desde fuera hacia dentro, ya que serán los más accesibles para los atacantes.
Reexploración a petición
Activación de un escaneado de puertos de cualquier host dentro de una superficie de ataque para volver a escanear todos los servicios conocidos, actualizando los datos del host con su configuración más reciente desde una perspectiva externa. Esto se utiliza a menudo como un mecanismo de "confiar, pero verificar" como paso final de cualquier esfuerzo de corrección de la exposición.
Riesgo
La posibilidad de que una exposición afecte negativamente a una organización si un atacante la explota o actúa en consecuencia. La gravedad global de un riesgo viene determinada por una combinación de la propia exposición y los datos subyacentes, el contexto empresarial o la importancia para un ecosistema de TI. La gravedad del riesgo puede variar en función de cada caso.
Nube en la sombra
Activos alojados en la nube y orientados a Internet que viven fuera de cualquier entorno protegido por el programa de seguridad de una organización. La nube en la sombra es el resultado de la adopción de la nube gestionada y no gestionada dentro de una organización, y ocurre más comúnmente cuando partes de la organización fuera de TI crean servicios en la nube, a menudo eludiendo cualquier proceso formal de TI.
Gestión de la superficie de ataque: El problema de la nube
TI en la sombra
Activos orientados a Internet que una organización no mantiene, gestiona ni protege de forma cohesionada. La TI en la sombra presenta vectores de ataque fáciles de explotar debido a que estos activos están fuera del alcance de las herramientas de seguridad y, por tanto, cuentan con una protección mínima. Las fuentes comunes de Shadow IT son la infraestructura heredada, los activos recién heredados a través de una fusión o adquisición, los activos no gestionados por TI creados por otras partes de la organización y la adopción de servicios en la nube.
¿Le interesa saber más sobre el mundo de la gestión de la superficie de ataque? Visite nuestra página de Recursos para encontrar libros electrónicos, casos prácticos, seminarios web, informes de investigación y mucho más.
