Censys
Glosario de ciberseguridad

Proceso de identificación de activos de Internet que forman parte de una superficie de ataque. Las conexiones entre los activos y la superficie de ataque deben determinarse de forma automatizada, dando prioridad sólo a los hallazgos de alta confianza para reducir los falsos positivos. El descubrimiento de activos es una capacidad fundamental de la gestión de la superficie de ataque y debe realizarse con la mayor frecuencia posible.

Conjunto de activos de Internet relevantes para la postura de ciberseguridad de una organización a los que un atacante puede intentar acceder o poner en peligro. Los activos tanto internos como externos conforman una superficie de ataque y pueden vivir en las instalaciones, en la nube, con proveedores de alojamiento compartido y otras dependencias de terceros. Una superficie de ataque incluye todos los activos, ya sean conocidos o desconocidos, y tanto si están protegidos por un equipo de TI/seguridad como si se dejan sin vigilancia.

Un enfoque proactivo de la gestión de la exposición que implica el descubrimiento, inventario y supervisión continuos de la infraestructura de TI de una organización, tanto conocida como desconocida. La gestión de la superficie de ataque (ASM, Attack Surface Management ) es un proceso continuo que implica una visibilidad tanto interna como externa de los activos. La ASM proporciona a los programas de seguridad la capacidad de comprender y compartir el contexto entre los equipos para ser proactivos en la creación de soluciones seguras y la protección de la empresa. La Gestión de la Superficie de Ataque Externa (EASM) es una función dentro del proceso más amplio de Gestión de la Superficie de Ataque que se centra específicamente en la superficie de ataque externa.

Censys Attack Surface Management es la mejor solución ASM de su clase que permite a los equipos de seguridad obtener una visibilidad completa de sus superficies de ataque. Diariamente, cada hora o bajo demanda, se actualiza una visión externa, o perspectiva del atacante, de cada activo y exposición, proporcionando a su organización visibilidad y contexto casi en tiempo real para que pueda gestionar y comunicar su postura de ciberseguridad. Su superficie de ataque externa también se evalúa en busca de riesgos y cada uno se prioriza según lo que es importante para usted.

Un método durante el escaneo de puertos de analizar cada respuesta del servidor para identificar su servicio subyacente, incluso si el servicio no es estándar para el número de puerto (es decir, SSH en el puerto 1234). Esto tiene en cuenta el hecho de que cualquier servicio puede estar ejecutándose en cualquier puerto. Alrededor del 60% de todos los servicios observados en Internet se encuentran en un puerto no estándar.

La base de la plataforma Censys son nuestros datos. Fundado por los creadores de zMap, el mapa de Internet patentado de Censysofrece la mayor cobertura, el descubrimiento más rápido y los conocimientos más profundos disponibles. El mapa de InternetCensys es la recopilación más completa y actualizada de la infraestructura global de Internet, enriquecida con contexto crítico para potenciar a sus equipos de seguridad e inteligencia.

El mapa de Internet Censys en cifras:

• Certificados 10B
• 137 Puertos superiores
• 1.440 puertos de nube diarios
• 3.502 puertos semanales
• >200M de hosts IPv4
• >80M de hosts IPv6
• >580M de hosts basados en nombres
• Actualizaciones diarias de todos los servicios (>2B)
• 7 años de datos históricos

La plataforma líder de inteligencia de Internet para la caza de amenazas y la gestión de la exposición, basada en el mapa de Internet más completo, preciso y actualizado que existe. Para garantizar que los equipos de seguridad tengan visibilidad del panorama de las amenazas, necesitan acceder a un conjunto de datos completo y altamente contextualizado para realizar análisis de seguridad tanto proactivos como reactivos a escala. Con la plataforma Censys , las organizaciones pueden obtener los datos más precisos disponibles, lo que permite a los equipos acabar con las amenazas lo más cerca posible del tiempo real, sin necesidad de despliegue ni configuración.

Una integración con cuentas en la nube que se utiliza para el descubrimiento de nubes en la sombra, la supervisión de la exposición y el inventario de activos en la nube. La información de todos los activos orientados a Internet de una determinada cuenta en la nube (Amazon S3, Azure Blob, Google Cloud Storage, instancias virtuales, bases de datos, etc.) se introduce continuamente en una plataforma ASM, idealmente con la mayor frecuencia posible, lo que enriquece el proceso de descubrimiento de activos y proporciona una visibilidad total de la nube. Los conectores de nube están disponibles en la plataforma Censys Attack Surface Management, y permiten a los usuarios obtener una visibilidad total entre nubes.

Programas informáticos que se utilizan para controlar los servidores en los que aparecen en Internet. Como cualquier software, tienen ajustes y configuraciones por defecto identificables de forma única. Esto puede proporcionar a los profesionales de la seguridad herramientas para probar sus defensas, pero también pueden aprovecharse para acciones maliciosas.

Término acuñado por la firma de análisis Gartner que se refiere al "conjunto de procesos y capacidades que permiten a las empresas evaluar de forma continua y consistente la accesibilidad, exposición y explotabilidad de los activos digitales y físicos de una empresa". Las soluciones de gestión de la exposición, como Censys Attack Surface Management, que descubren activos desconocidos y supervisan continuamente una superficie de ataque, pueden formar parte de una estrategia CTEM.

Los activos, sistemas y redes (tanto físicos como virtuales) que son esenciales para el funcionamiento de la economía y la seguridad nacional. Las infraestructuras críticas son un objetivo atractivo para los grupos de piratas informáticos y los agentes de amenazas de los Estados-nación; el ataque al oleoducto Colonial de 2021 es un ejemplo de ataque reciente a infraestructuras críticas. Países como Estados Unidos han hecho de la defensa de las infraestructuras críticas frente a los ciberataques una prioridad clave. En su estrategia nacional de ciberseguridad para 2023, la Administración Biden afirmaba que "la defensa de las infraestructuras críticas contra la actividad de los adversarios y otras amenazas requiere un modelo de ciberdefensa que emule la estructura distribuida de Internet. Combinando la colaboración organizativa y la conectividad habilitada por la tecnología se creará una "red de redes" basada en la confianza que genere conocimiento de la situación e impulse la acción colectiva".

Todos los puntos de entrada potenciales en un activo dado que pueden verse desde una perspectiva exterior-in (orientada a Internet). Las exposiciones en sí mismas no determinan el riesgo global para una organización, pero presentan oportunidades que pueden ser explotadas por los atacantes, y deben ser supervisadas o abordadas.

Una estrategia proactiva de ciberseguridad que busca identificar y gestionar todos los activos que están expuestos en la Internet de cara al público. La gestión de la exposición ayuda a las organizaciones a identificar mejor los riesgos en toda su superficie de ataque para prevenir un ciberataque. Una estrategia de gestión de la exposición puede llevarse a cabo con el apoyo de soluciones de gestión de la superficie de ataque.

Una entidad orientada a Internet que una organización controla para llevar a cabo negocios en Internet, incluyendo direcciones IP, netblocks (CIDRs), sistemas autónomos (ASNs), certificados, dominios y subdominios, sitios web y objetos de almacenamiento. Una colección de Activos Externos representa la superficie de ataque externa de una organización.

Conjunto de activos externos relevantes para la postura de ciberseguridad de una organización. La superficie de ataque externa incluye tanto activos conocidos como desconocidos, y se ha convertido en el principal punto de entrada de incidentes de seguridad y brechas.

Herramienta o proceso que descubre, hace inventario y supervisa continuamente la exposición de activos externos conocidos y desconocidos. La gestión de la superficie de ataque externa forma parte de un proceso o programa más amplio de gestión de la superficie de ataque, y debe dar prioridad a la visibilidad de los activos externos desde fuera hacia dentro, ya que serán los más accesibles para los atacantes.

Cuando una solución de ciberseguridad o un equipo de ciberseguridad clasifica incorrectamente la actividad en una superficie de ataque como un riesgo. La frecuente aparición de falsos positivos puede llevar a los equipos de seguridad a perder tiempo y recursos innecesarios investigando actividades benignas, y puede provocar "fatiga de riesgo". Un estudio de Forrester Research revela que, de media, los clientes de Censys ASM experimentan un 70% menos de falsos positivos.

La capacidad de recuperar detalles sobre un activo en Internet, como un host o un certificado, desde un punto anterior en el tiempo. Los usuarios de Censys pueden aprovechar los datos históricos recopilados de nuestro mapa de Internet para comprender mejor el comportamiento de los dispositivos de Internet a lo largo del tiempo y para fundamentar sus esfuerzos de caza de amenazas. Los usuarios pueden observar los cambios en un activo o grupo de activos específicos en cualquier día de los últimos dos años.

La presencia de configuraciones y protocolos de seguridad que no se aplican o que se aplican incorrectamente, lo que provoca lagunas en la postura de seguridad de una organización. Ejemplos de configuraciones erróneas son los servicios sin cifrar, los controles de seguridad débiles o inexistentes y los certificados autofirmados. Según un estudio de Censys , las desconfiguraciones son el tipo de riesgo más frecuente observado en Internet, ya que representan cuatro de los cinco riesgos más comunes.

Un comando introducido en una herramienta de búsqueda de Internet que se utiliza para recuperar información sobre un activo o grupo de activos. Una consulta, o "consulta de búsqueda", puede devolver una amplia gama de información sobre activos en Internet, incluidos detalles sobre la ubicación geográfica, el software y los sistemas operativos de un host. El equipo de investigación de Censys comparte con frecuencia consultas que los usuarios pueden ejecutar para fundamentar sus propias investigaciones sobre activos y amenazas inusuales en Internet.

Un tipo de ataque de malware que utiliza el cifrado para bloquear a los usuarios de sus sistemas hasta que se paga una suma de dinero a los actores de la amenaza que despliegan el ataque. Algunos ataques de ransomware amenazan con exponer los datos si las víctimas no pagan en el plazo solicitado. El ransomware puede propagarse a través de adjuntos maliciosos en correos electrónicos, aplicaciones de software y sitios web, entre otras fuentes incrustadas con código malicioso.

El proceso de mitigar o eliminar una vulnerabilidad o amenaza a la red de una organización. La remediación puede producirse antes de que la actividad maliciosa afecte a una organización, como en el primer descubrimiento de un intento de phishing, o puede producirse en respuesta a la actividad para limitar los daños, como después de una brecha.

Activar un escaneo de puertos de cualquier host dentro de una superficie de ataque para volver a escanear todos los servicios conocidos, refrescando los datos del host con su configuración más actual desde una perspectiva externa. Esto se utiliza a menudo como un mecanismo de "confiar, pero verificar" como paso final de cualquier esfuerzo de remediación de la exposición.

La posibilidad de que una exposición afecte negativamente a una organización si un atacante la explota o actúa en consecuencia. La gravedad global de un riesgo viene determinada por una combinación de la propia exposición y los datos subyacentes, el contexto empresarial o la importancia para un ecosistema de TI. La gravedad del riesgo puede variar en función de cada caso.

Activos alojados en la nube y orientados a Internet que viven fuera de cualquier entorno protegido por el programa de seguridad de una organización. La nube en la sombra es el resultado de la adopción de la nube gestionada y no gestionada dentro de una organización, y ocurre más comúnmente cuando partes de la organización fuera de TI crean servicios en la nube, a menudo eludiendo cualquier proceso formal de TI.

Activos orientados a Internet que una organización no mantiene, gestiona ni protege de forma cohesionada. La TI en la sombra presenta vectores de ataque fáciles de explotar debido a que estos activos están fuera del alcance de las herramientas de seguridad y, por tanto, cuentan con una protección mínima. Las fuentes comunes de Shadow IT son la infraestructura heredada, los activos recién heredados a través de una fusión o adquisición, los activos no gestionados por TI creados por otras partes de la organización y la adopción de servicios en la nube.

Un enfoque proactivo de la ciberseguridad en el que analistas cualificados utilizan inteligencia de Internet y otras herramientas de ciberseguridad para buscar e identificar riesgos, vulnerabilidades y otras amenazas potencialmente maliciosas para la organización. La caza de amenazas es una forma de defensa vigilante que ayuda a las organizaciones a adelantarse a los actores de las amenazas. Consiste en que los cazadores de amenazas desarrollan hipótesis basadas en los comportamientos conocidos de los actores de amenazas y validan o refutan estas hipótesis mediante investigaciones.

Una estrategia de ciberseguridad que identifica y evalúa continuamente las vulnerabilidades de seguridad en los sistemas para que las organizaciones puedan priorizar las amenazas y proteger mejor sus activos. Las soluciones de gestión de vulnerabilidades comienzan con un escaneado para evaluar los activos conocidos; si se descubren vulnerabilidades en esos activos, una solución de VM evaluará y priorizará las vulnerabilidades. A diferencia de ASM, que identifica tanto los activos conocidos como los desconocidos, VM sólo examina los activos ya conocidos por una organización. Los equipos de seguridad pueden enriquecer sus esfuerzos de VM con ASM añadiendo activos recién descubiertos a su inventario para una supervisión y gestión continuas.

Todos los servicios HTTP(S) con nombre, como sitios web, instancias de elasticsearch, clústeres de kubernetes y puntos finales de prometheus. Los usuarios de Censys Attack Surface Management pueden utilizar nuestra función Web Entities para obtener visibilidad de sus sitios web y otros contenidos HTTP basados en nombres. Estos activos se pueden descubrir, supervisar, evaluar en cuanto a riesgos y clasificar para que los equipos puedan defenderse mejor contra los lugares donde se producen los ataques. La función Entidades Web se ha modelado para reflejar mejor la infraestructura en la nube que la mayoría de los equipos utilizan para desplegar sus sitios web y servicios HTTP basados en nombres.

También conocidos como certificados SSL, los certificados X.509 ayudan a mitigar los riesgos en Internet al permitir el cifrado del tráfico web y actuar como verificación de identidad. Dado que los certificados sirven para verificar la identidad de una entidad, pueden ser de gran ayuda en la búsqueda de amenazas y otras investigaciones. Censys cuenta con el mayor repositorio de certificados X.509 existente, que los usuarios pueden explorar con funciones de búsqueda avanzada y granular para recuperar rápidamente la información que necesitan.

Principio de seguridad o marco de arquitectura que se aplica a los sistemas informáticos de una organización. La confianza cero se utiliza para asegurar la infraestructura, y requiere que todos los individuos que intentan acceder a esa infraestructura sean autenticados y validados continuamente. Como su nombre indica, un modelo de confianza cero no otorga a ningún usuario que lo intente, ni siquiera a los que están dentro de la organización, una confianza implícita sin verificación. Existen tres principios de confianza cero, tal y como los define el NIST: 1.) Gobierno de identidad mejorado y controles basados en políticas 2.) Microsegmentación 3.) Redes superpuestas y perímetros definidos por software.