Poco después de la pandemia de Covid-19, Censys se asoció con una agencia estatal que quería ampliar su programa de gestión de riesgos automatizando el descubrimiento y seguimiento de la superficie de ataque. Habían surgido nuevos retos después de que su plantilla se trasladara a un estado de trabajo remoto.
Principales ventajas
Al asociarse con Censys, la agencia estatal ganó:
- Eficiencia y ahorro de tiempo - Antes de Censys, la agencia no disponía de los recursos necesarios para realizar un seguimiento manual eficaz de su superficie de ataque. Ahora, su organización puede realizar un seguimiento de sus activos, entornos de TI no autorizados en la nube y fuera de ella, así como de los riesgos potenciales asociados a la caducidad de certificados y dominios, vulnerabilidades potenciales y otras configuraciones erróneas.
- Protección y tranquilidad: ahora, la agencia podía supervisar los activos potencialmente expuestos de toda su plantilla desplegada a distancia.
- Mejores medidas preventivas - Con una mejor visibilidad de la nube, la agencia pudo combatir mejor los contratiempos de configuración. Los conectores de la nube también les permiten realizar un seguimiento sencillo de los activos de la nube a lo largo del tiempo, midiendo los cambios de seguridad promulgados y desplegados.
- Continuidad del negocio - La gestión de certificados de la plataforma evita interrupciones en el funcionamiento de las transacciones seguras en línea de la agencia estatal, garantizando la continuidad del negocio.
Los objetivos
Gestionar los cambios en la superficie de ataque con una mano de obra cada vez más remota
Como muchas organizaciones, la agencia tenía una serie de factores agravantes que afectaban simultáneamente a su superficie de ataque. El primero era la afluencia de personal remoto que trabajaba desde casa, fuera de los límites tradicionales de la red configurada y protegida por la organización. En palabras del Director de Tecnología y Seguridad: "Nos enfrentamos a una expansión de nuestros puntos finales con varias personas trabajando fuera de nuestro cortafuegos. Antes, una pequeña parte de nuestra plantilla tenía portátiles y se los llevaba a casa, y eso está aumentando ahora". La visibilidad de sus "puntos finales", incluso fuera del perímetro tradicional de la organización, es fundamental para un programa de seguridad eficaz.
Proteger la superficie de ataque mediante una compleja migración a la nube
La agencia también estaba preocupada por la seguridad de su infraestructura. El equipo de seguridad se encontraba en pleno proceso de migración de activos de un centro de datos tradicional alojado por el gobierno a un nuevo proveedor en su nube privada. También se estaban preparando para trasladar recursos adicionales a la infraestructura de Amazon AWS. Durante cualquier migración, es fundamental garantizar la transferencia segura de todos sus datos; en particular, asegurarse de que sus servidores y todo lo que toque la Internet pública estén configurados y contabilizados correctamente a medida que crea y reduce componentes de su infraestructura.
Introducir la gestión de la superficie de ataque
La gestión de la superficie de ataque (ASM) es el proceso continuo de descubrimiento, inventario y resolución de los riesgos que afectan a los activos orientados a Internet. Las organizaciones están remodelando constantemente su superficie de ataque frente a Internet, lo sepan o no. Los servicios, y los datos que esos servicios utilizan, se desarrollan, despliegan y reconfiguran a través de Internet, muchas veces a la semana. En palabras del CISO, Jeff Ford: "Sabíamos que nuestra superficie de amenaza estaba aumentando y queríamos asegurarnos de que utilizábamos herramientas, en concreto Censys [ASM], para comprender cómo era esa superficie de amenaza".
¿Qué significa esto para el día a día del profesional de la seguridad? La agencia estatal puso en práctica las conclusiones de la plataforma de gestión de la superficie de ataqueCensys de las siguientes maneras.
Escaneado continuo de puertos para mitigar las amenazas a servidores externos - El equipo utiliza ahora la plataforma de gestión de la superficie de ataque Censys para buscar puertos/protocolos expuestos en servidores de cara al público. Esto permitió al equipo reducir rápida y eficazmente su superficie de ataque, etiquetando hosts específicos como autorizados a tener abiertos determinados puertos/protocolos y supervisando continuamente la evolución de la postura de seguridad".
Seguimiento de una superficie de ataque en expansión con empleados que trabajan desde casa - Con un número cada vez mayor de empleados que trabajan desde casa fuera del cortafuegos de la empresa, la agencia estatal quería una mayor visibilidad de los endpoints de sus empleados que iniciaban sesión cada día: desde dónde lo hacían y cómo estaba afectando esto a su superficie de ataque. La mayor visibilidad a través de la plataforma de gestión de la superficie de ataque Censys les permitió proteger a los empleados que trabajaban desde casa mediante la supervisión de servicios potencialmente expuestos que no deberían estarlo.
Gestión de certificados para garantizar la continuidad del negocio: Censys recopila certificados únicos y los analiza para indicar su grado de confianza, su nivel de cifrado, si están autofirmados y su caducidad. Censys recopila certificados mediante escaneado en toda Internet y sincronización con los registros de Certificate Transparency para una cobertura completa. Esta vigilancia es importante porque un certificado caducado podría inhibir la capacidad de realizar transacciones seguras en línea. En palabras del analista de seguridad de la agencia estatal: "Que los certificados caduquen es un buen recordatorio de que vemos lo que tenemos caducado y lo que no".
Visibilidad mejorada de la nube para combatir los contratiempos de configuración: a medida que la agencia estatal migra y amplía su entorno de nube, siempre existe la preocupación de que se produzcan errores de configuración y de que el personal aprovisione y utilice servicios en la nube no autorizados. Con los conectores de nube de la plataforma, la organización obtuvo visibilidad y conocimiento adicionales de su nuevo entorno de nube al identificar cosas como: cubos S3 expuestos (u otro almacenamiento de objetos), cuentas de nube no autorizadas fuera del control del equipo de seguridad, así como servicios expuestos en entornos de nube como bases de datos y RDP. Los conectores de nube les permiten realizar fácilmente un seguimiento de estos activos a lo largo del tiempo, midiendo los cambios de seguridad promulgados y desplegados.
¿Quiere saber más?
Descargar el estudio de caso completo
