Por qué es importante la atribución de activos
Imaginemos por un momento que todos los activos de su organización conectados a Internet son estrellas en la galaxia. Piense en cada servidor, aplicación y dispositivo como un punto de luz diferente en su rincón del cosmos.
En ciberseguridad, podemos pensar en la atribución de activos como el proceso de mapear cada una de estas estrellas. La atribución de activos garantiza que cada entidad digital en la superficie de ataque no solo se identifique, sino que también se etiquete con la propiedad, el propósito y su lugar dentro de la arquitectura organizativa.
Este mapeo es crucial. En el caso de un día cero o el descubrimiento de una amenaza crítica, saber exactamente dónde vive cada activo y quién es su propietario puede acelerar significativamente la capacidad de su equipo de seguridad para priorizar y responder. Este tipo de respuesta rápida e informada es esencial para minimizar la exposición y mitigar los riesgos de forma eficaz. Y, lo que es más importante, puede ayudar a mejorar la métrica del tiempo medio de recuperación (MTTR) de su equipo.
Tiempo medio de recuperación: Una métrica a tener en cuenta
El tiempo medio de respuesta es un indicador crítico con el que los equipos de seguridad pueden medir la eficacia de su función. Un MTTR bajo indica que su equipo tiene la capacidad de abordar rápida y eficazmente una amenaza, normalmente antes de que afecte negativamente a la organización. ¿Un MTTR alto? Bueno, eso podría indicar la necesidad de más herramientas, formación o mejoras en los procesos, ya que las vulnerabilidades se dejan sin abordar durante demasiado tiempo.
Por desgracia, muchos equipos de seguridad tienen dificultades para lograr un MTTR razonable. Según un estudio de EdgeScan, en 2023 el tiempo medio para remediar vulnerabilidades de gravedad crítica será de 65 días. Eso supone más de dos meses en los que los activos quedan vulnerables a la acción de los adversarios. A modo de comparación, CISA recomienda que las vulnerabilidades críticas se corrijan en tan solo 15 días.
¿Qué alarga el proceso de reparación? Aunque puede haber muchos factores en juego, la atribución de activos puede ser uno de los que más tiempo consuma.
Cómo influye la atribución de activos en el MTTR
Los equipos suelen tener problemas con la atribución de activos cuando no tienen una visión completa, actualizada y contextualizada de su superficie de ataque. En otras palabras, no saben exactamente lo que poseen. Puede que tengan un inventario estático de activos, pero no se actualiza de forma continua. Sólo tienen una visión puntual, que se queda obsoleta entre los ejercicios de inventario programados. Por ejemplo, cuando alguien del equipo aprovisiona una nueva solución SaaS sin seguir el protocolo, su equipo de seguridad no se entera de nada hasta el siguiente inventario de activos.
Esto significa que cuando se produce una vulnerabilidad crítica, estos equipos tienen más trabajo manual que hacer.
Al intentar evaluar el impacto potencial de una vulnerabilidad, estos equipos tienen que construir una visión actual de su superficie de ataque. Una visión obsoleta podría omitir activos que podrían verse afectados por una vulnerabilidad crítica. Conseguir esta visión actualizada puede requerir lanzar nuevos esfuerzos de descubrimiento de activos y volver a consultar conjuntos de datos sin procesar. Cuando estos conjuntos de datos están fragmentados, o cuando los detalles de los activos dentro de los conjuntos de datos son escasos, los equipos pueden ser conducidos a madrigueras de conejo que consumen mucho tiempo tratando de obtener claridad. Esto, a su vez, alarga el proceso de reparación y aumenta el MTTR.
Automatización de la atribución mediante la gestión de la superficie de ataque
La gestión de la superficie de ataque (ASM ) puede ayudar a salvar esta distancia. La gestión de la superficie de ataque es una solución proactiva que descubre continuamente y proporciona contexto sobre activos, tanto conocidos como desconocidos, en toda la superficie de ataque de una organización. La ASM proporciona a los equipos de seguridad un potente mapa de toda su superficie de ataque, y actualiza continuamente la vista de la superficie de ataque a medida que se conectan o desconectan nuevos activos. Una solución ASM, como Censys Attack Surface Management, descubrirá automáticamente activos desconocidos en la superficie de ataque y proporcionará contexto sobre su propiedad.
Al asignar y atribuir cada activo a ubicaciones y propietarios específicos, las organizaciones pueden lograr una comprensión más completa de su superficie de ataque. Este conocimiento detallado resulta inestimable para identificar posibles vulnerabilidades y acelerar el proceso de corrección. Con ASM, cuando aparece un día cero, su equipo no tiene que esforzarse por averiguar manualmente dónde podrían estar los activos afectados o cómo encaja en la superficie de ataque de su organización un activo desconocido y ahora vulnerable. ASM proporciona la visión completa, contextualizada y actualizada que necesita.
Los datos también desempeñan un papel importante
La eficacia de las soluciones ASM depende de los datos en los que se basan. Para descubrir e identificar de forma continua y precisa activos en la superficie de ataque, las soluciones de ASM deben utilizar información completa, precisa y actualizada sobre la infraestructura global de Internet. No basta con escanear sólo partes de Internet para descubrir activos desconocidos. Tampoco lo hará escanear de forma intermitente o no recopilar suficientes detalles sobre un activo para proporcionar a los equipos el contexto pertinente.
¿Por qué hacer hincapié en los datos? La capacidad de la MAPE para llevar a cabo eficazmente la atribución de activos depende de ellos. También es un factor que puede pasarse por alto. Esto se debe a que los equipos de seguridad pueden asumir que "los datos son los datos" y que las soluciones de ASM probablemente utilizan fuentes de datos similares. En realidad, sin embargo, existe una variación significativa en la calidad de los datos de análisis de Internet en los que se basan los proveedores de ASM. Algunos datos sólo se actualizan semanalmente o de forma intermitente. Otros datos sólo reflejan una parte de la infraestructura global de Internet. Para hacerse una idea de lo que queremos decir, puede consultar nuestro reciente artículo sobre cómo es una inteligencia de Internet sin igual.
Encontrar la claridad con Censys Attack Surface Management
Los equipos que buscan una forma de mejorar la atribución de activos y reducir el MTTR podrían estar interesados en Censys EASM, que aúna de forma única la mejor tecnología ASM de su clase con la inteligencia de Internet líder del sector. Censys es el único proveedor de ASM que ejecuta un motor de atribución diariamente, lo que demuestra una ventaja significativa en el número de servicios enumerados y disminuye los falsos positivos en un 70%. Nuestra atribución diaria automatizada proporciona una visión completa de los activos del cliente, aumentando su visibilidad hasta en un 80%. El algoritmo de atribución de Censys también ayuda a los equipos de seguridad a comprender las conexiones de los activos, las configuraciones actuales y a descubrir los detalles de las amenazas, y mantiene una tasa de precisión de la atribución superior al 95%.
A medida que el panorama digital sigue evolucionando, también deben hacerlo nuestras estrategias para protegerlo. La atribución de activos a través de la gestión de la superficie de ataque es más que una táctica; es un componente crítico de una postura de ciberseguridad proactiva. Adóptela y descubra cómo su equipo puede mejorar su MTTR.
