¡Oye, se te ve la superficie de ataque! No pasa nada, todo el mundo tiene una.
Hoy en día se habla mucho de "reducir" la superficie de ataque. Nosotros mismos somos culpables de decirlo en Censys. Pero la verdad es que, cuando se trata de superficies de ataque, el objetivo no es realmente reducir la superficie de ataque. El objetivo debería ser otro.
Empecemos por el principio. ¿Qué es una superficie de ataque? El NIST, Instituto Nacional de Normas y Tecnología, lo define así:
"[e]l conjunto de puntos en el límite de un sistema, un elemento del sistema o un entorno en el que un atacante puede intentar entrar, causar un efecto o extraer datos de ese sistema, elemento del sistema o entorno" - NIST SP 800-172 de GAO-19-128
Para definirlo de otra manera, su superficie de ataque es, esencialmente, todas las formas en que los atacantes pueden entrar en su organización. La mayoría de las soluciones de gestión de la superficie de ataque (ASM) se centran en reducir la superficie de ataque porque cuanto más pequeña sea, más fácil será protegerla, ¿verdad? Si bien eso puede ser cierto en teoría, en la práctica, ¿es lo mejor para su empresa?
Ahora, vamos a dar un paso atrás para explorar por qué las superficies de ataque están en continua expansión y explorar los beneficios para su negocio que han venido con eso antes de saltar a asumir que tenemos que reducirlo.
¿Por qué sigue aumentando la superficie de ataque de su organización?
La superficie de ataque le muestra todos los componentes externos que permiten a su empresa cumplir su misión. Es el sitio web donde ofrece sus materiales de marketing; el software como servicio que vende; el intercambio de archivos externos que habilita para trabajar con terceros de forma segura. No es sólo un camino para los atacantes, sino más a menudo un entorno para sus clientes y socios comerciales. Y en los últimos años se han producido grandes cambios en la forma en que las organizaciones cumplen su misión.
Primero comenzó nuestra migración a la nube. La nube permite a las empresas lanzar fácilmente aplicaciones altamente escalables a escala mundial para crear nuevas fuentes de ingresos bajo demanda con menores costes iniciales. Posibilita la innovación introduciendo nuevos tipos de computación, como los contenedores o sin servidor, y nos ofrece una capacidad sin precedentes para procesar y almacenar datos, aprendizaje automático, inteligencia artificial y otra serie de servicios gestionados que ofrecen la posibilidad de transformar nuestros negocios.
Después vino una pandemia mundial que cambió por completo el paradigma del trabajo. La pandemia obligó a las organizaciones a responder a un rápido cambio hacia una mano de obra remota para permitir el negocio al tiempo que se protegía la salud de los empleados. Especialmente las que tuvieron que pasar repentinamente de una plantilla tradicionalmente en la oficina a otra que trabaja desde casa. Esto introdujo de la noche a la mañana una nueva complejidad en la red. Ahora eran necesarias más conexiones externas y nuevas configuraciones para mantener a los trabajadores capacitados para completar sus misiones. A pesar de lo rápida que fue la transición al trabajo remoto, dejó a algunas empresas expuestas a nuevos tipos de riesgo para los que no tienen controles de mitigación.
Y por último, las TI en la sombra siempre estarán con nosotros. Por mucho que lo intenten los profesionales de la seguridad, no hay forma de controlar completamente lo que hacen los empleados con la tecnología. Con la introducción de la computación en la nube, las organizaciones han alcanzado un máximo histórico en cuanto al nivel de complejidad de lo que tienen que defender.
Los riesgos inherentes a dejar que una superficie de ataque crezca y crezca
Las arquitecturas complejas y la tecnología innovadora han dejado puntos ciegos que los adversarios pueden explotar. El informe sobre filtraciones de datos de fin de año de 2020 de Risk Based Security registró un descenso del 48% en las filtraciones notificadas, pero un aumento del 141% en el número de registros confirmados comprometidos. Esto apunta a un aumento de la eficacia de los ataques. Es claramente evidente en la última violación de T-Mobile, que expuso la información personal de 40 millones de usuarios. Un estadounidense de 21 años se ha atribuido el ataque, según el Wall Street Journal. Aunque las filtraciones notificadas estén disminuyendo, los ataques están aumentando:
"Los ciberataques mundiales aumentaron un 29%, ya que los hackers siguen explotando la pandemia del COVID-19 y el cambio al trabajo a distancia. Los ataques de ransomware aumentaron un 93% en los últimos 6 meses, impulsados por la innovación en una técnica de ataque llamada Triple Extorsión." - Tendencias de ciberataques en 2021
El aumento de la cantidad y la calidad de los ataques ha eliminado la posibilidad de confiar en la seguridad. El viejo adagio dice que los expertos en seguridad tienen que tapar todos los agujeros y los atacantes solo tienen que encontrar el que se te ha escapado.
Olvídese de "reducir", céntrese en "gestionar continuamente" su superficie de ataque
Y volvemos a esa palabra complicada, "reducir". Por las razones enumeradas anteriormente y otras más, no es probable que su superficie de ataque pueda reducirse a corto plazo. Pero hay un método muy bueno para hacer frente a estos problemas - mediante la gestión continua de su superficie de ataque.
El primer paso es utilizar una solución de gestión de la superficie de ataque, como Censys'. Censys ASM ofrece a los equipos de seguridad la oportunidad de resolver los problemas antes de que tengan la oportunidad de producirse, ya que permite a las organizaciones conocer todas las puertas de su perímetro que puede encontrar un atacante. Además, permite a los equipos de seguridad elevarse por encima del ruido y centrarse únicamente en los riesgos que los atacantes tienen más probabilidades de explotar.
Además de empezar a gestionar las superficies de ataque con una gran solución, los líderes de las organizaciones también necesitan disipar la idea errónea de que la seguridad es un bloqueador. Los ejecutivos de seguridad están luchando a medida que migran a la nube y se enfrentan a la rápida adopción de la innovación, que es difícil de asegurar. Esto da lugar a conversaciones difíciles con los socios comerciales, en las que a menudo se considera que la seguridad es el grupo difícil.
Centrarse en reducir la superficie de ataque conduce a una amplificación de este problema. Crea situaciones en las que los controles de seguridad ahogan la innovación en una organización. Steve Zalewski, director adjunto de seguridad de la información de Levi Strauss, explicó el cambio que está llevando a cabo en su proceso de migración a la nube para que la empresa pueda moverse con rapidez y seguridad:
"Parte de la negociación desde el primer día fue conseguir que ambas partes entendieran que la nueva relación tenía que forjarse desde la perspectiva de la ciberseguridad y que, si no podíamos, me estaba poniendo en una posición en la que no podría cumplir mi objetivo principal, que es proteger a la empresa."
Para las organizaciones que están en este viaje de transformación digital, les guste o no, es importante construir una alianza con su equipo de seguridad. Al presentar la seguridad como un socio, reducimos el riesgo, mejoramos la visibilidad y ganamos aliados. La lucha es real, porque si involuntariamente animas a los usuarios finales como desarrolladores u operaciones a tomar atajos, terminarán evadiendo accidentalmente los controles de seguridad, porque es demasiado difícil.
Adopte un enfoque desde fuera hacia dentro para canalizar los esfuerzos en la gestión de su superficie de ataque en lugar de reducirla. Permita que su organización pase de reducir la superficie de ataque a gestionarla continuamente con confianza.
¿Quiere probar una herramienta de gestión de la superficie de ataque que funciona? Demuéstrelo hoy mismo en Censys ASM.
Programe su demostración
