A principios de este mes, la Agencia de Ciberseguridad y Seguridad de las Infraestructuras (CISA) del gobierno federal publicó la Directiva Operativa Vinculante 23-01: Mejorar la visibilidad de los activos y la detección de vulnerabilidades en las redes federales. La directiva se aplica a todos los sistemas de la rama ejecutiva civil federal y a las agencias que operan esos sistemas. CISA afirma que su directiva es un esfuerzo para hacer un progreso más mensurable hacia la mejora de la visibilidad de los activos de la agencia y las vulnerabilidades asociadas. También llega tras la reciente proclamación por parte de la Casa Blanca del Mes de la Concienciación sobre la Ciberseguridad.
La medida es un paso significativo hacia la mejora de la postura de ciberseguridad del gobierno federal, y aquí en Censys, estamos en pleno apoyo.
La directiva reconoce lo que hace tiempo que sabemos que es cierto: que "la visibilidad continua y completa de los activos es una condición previa básica para que cualquier organización gestione eficazmente el riesgo de ciberseguridad". El Marco de Ciberseguridad del NIST enumera "Identificar" como el primer paso para asegurar cualquier organización, ya que sin una identificación adecuada de los activos en propiedad, es imposible determinar la prioridad de dichos activos para la misión/propósito de la organización. La gestión de la superficie de ataque es el esfuerzo que permite esta visibilidad "continua" de los activos. Los equipos de seguridad necesitan operar con un conocimiento completo de toda su superficie de ataque externa, que incluye activos de los que el equipo puede no ser consciente.
Pasar a la acción con la gestión de la superficie de ataque
Para el 3 de abril de 2023, los organismos y sistemas federales afectados deberán realizar un descubrimiento automatizado de activos cada 7 días. La detección debe cubrir todos los activos basados en IPv4. Aunque la directiva de CISA no dicta las herramientas específicas de descubrimiento de activos que deben utilizarse, para cumplir el requisito los organismos se beneficiarán de un escaneado continuo y exhaustivo que también puede proporcionar contexto a través de la atribución y la anotación de riesgos. De este modo, las agencias pueden identificar activos desconocidos en tiempo real y dar sentido a lo que han encontrado con la ayuda del algoritmo de atribución de una herramienta. Contar con un proceso de detección preciso ahorra mucho tiempo y recursos al sobrecargado personal técnico que, de otro modo, tendría que buscar activos manualmente utilizando las mismas metodologías sin modificar. Con un algoritmo de escaneado automatizado, los datos en tiempo real que cubren los más de 65.000 puertos a través del 99% del espacio IPv4 se enriquecen diariamente, en cuestión de minutos.
La plataforma de gestión de la superficie de ataqueCensys ofrece el descubrimiento continuo de activos de extremo a extremo de todo el espacio IPv4 que puede ayudar a los organismos a cumplir el requisito de la directiva. De hecho, un informe reciente de GreyNoise descubrió que Censys tenía unas capacidades de escaneado significativamente más rápidas y sólidas que cualquier otra herramienta de escaneado de todo Internet.
Censyspuede ayudar a los organismos a cumplir su misión más rápidamente y con menos personal. Por ejemplo, con una cantidad limitada de semillas, la plataforma puede descubrir el 80% de una superficie de ataque desconocida, con actualizaciones diarias. Además, la capacidad de la plataforma de "hacer clic para volver a escanear" es una forma rápida y técnica de verificar las correcciones de configuración.
Consideración de la enumeración e integración de vulnerabilidades
Para cumplir el segundo requisito de la directiva, los organismos tendrán que iniciar la enumeración de vulnerabilidades en todos los activos descubiertos, incluidos todos los activos nómadas o itinerantes (como los ordenadores portátiles). Esto significa realizar escaneos en activos específicos para identificar vulnerabilidades cada 14 días, según la directiva. Las plataformas de ASM pueden servir como complementos lógicos de las herramientas de gestión de vulnerabilidades. Censys El descubrimiento y la supervisión de activos de ASM pueden ayudar a los organismos a identificar mejor los activos que deben vigilarse (sobre todo, mediante el descubrimiento de activos desconocidos que deben analizarse en busca de vulnerabilidades) y señalar los riesgos potenciales. Censys Las funciones de respuesta rápida de ASM eliminan la necesidad de que los clientes mantengan su propio catálogo de vulnerabilidades o se preocupen de si se ha actualizado con el último día cero o con el CVE más reciente. Los clientes sólo tienen que buscar problemas de software en la plataforma; Censys se encarga de automatizar el proceso para que los clientes puedan triar la corrección y el parcheado.
Al evaluar nuevas herramientas, los organismos también querrán tener en cuenta las capacidades de integración. ¿Su plataforma de gestión de la superficie de ataque podrá comunicarse con su herramienta de gestión de vulnerabilidades? Las integraciones pueden facilitar al máximo la obtención de una visión holística del estado de su seguridad, lo que es especialmente importante dados los requisitos de información y los plazos de CISA.
Más allá de las implicaciones federales
La nueva directiva CISA puede ser un requisito operativo para determinadas agencias federales, pero los principios que la sustentan son relevantes para organizaciones de todos los sectores. Obtener una imagen clara y completa de su superficie de ataque externa -y ver lo que ven los atacantes potenciales- es esencial para una ciberseguridad eficaz y proactiva.
"Los actores de amenazas siguen teniendo como objetivo las infraestructuras críticas de nuestra nación y las redes gubernamentales para explotar las debilidades dentro de activos desconocidos, desprotegidos o infraprotegidos", dijo la directora de CISA, Jen Easterly. Saber lo que hay en su red es el primer paso para que cualquier organización reduzca el riesgo". Aunque esta directiva se aplica a las agencias civiles federales, instamos a todas las organizaciones a adoptar las orientaciones de esta directiva para obtener una comprensión completa de las vulnerabilidades que puedan existir en sus redes. Todos tenemos un papel que desempeñar en la construcción de una nación más ciber-resiliente". - CISA.gov
Puede encontrar más información sobre todos los requisitos de la DBO 23-01 en el sitio web de CISA.
Visite Censys for Federal para obtener más información sobre cómo Censys apoya los esfuerzos de ciberseguridad de las agencias federales.
