Con todo el ruido que hay en el mercado de la gestión de la superficie de ataque ( ASM, Attack Surface Management ), estamos observando mucha confusión en torno a lo que conforman las soluciones de esta categoría. Esta serie arrojará luz sobre lo que constituye una solución ASM para que pueda evaluar mejor las herramientas del mercado.
Como ocurre con cualquier categoría emergente de soluciones que surge en el mercado -de ciberseguridad o de otro tipo-, hay productos legítimos que definen la categoría y otros que se quedan cortos. Algunos se meten con calzador para encajar en la categoría y aprovechar la expectación; otros tienen algunas de las características, pero ninguna de las que definen la categoría; y otros aparecen como tales para atraer a los clientes, pero en la práctica no ofrecen todo lo que la categoría exige.
En nuestras recientes visitas a RSA y Gartner, una de las cosas más importantes que escuchamos fue que lo que constituye una solución ASM es, en el mejor de los casos, turbio. De hecho, algunos de los proveedores que se incluyen a sí mismos en la categoría ASM están dando mala reputación a las soluciones ASM sin querer. Su incapacidad para proporcionar claridad en torno a los activos que salen a la superficie y la cantidad de falsos positivos o ruido que generan estas "soluciones" las convierten en una herramienta ineficaz que, francamente, nosotros tampoco querríamos utilizar.
Esta serie repasará los componentes de una solución de gestión de la superficie de ataque, empezando por la frecuencia con la que su solución ASM debe escanear Internet.
Definición de una solución de gestión de la superficie de ataque
Pero antes, definamos la gestión de la superficie de ataque.
Su superficie de ataque está formada por los activos que posee su organización y que también son accesibles desde Internet. Esto podría ser cualquier cosa, desde cubos de almacenamiento en la nube de sus muchos proveedores de servicios en la nube; diferentes tipos de VPN; servidores; proveedores de alojamiento; y muchos otros - piense en cualquier cosa que esté disponible públicamente en Internet. Si es visible para cualquiera en Internet, sin duda lo es para los actores de amenazas.
En un informe reciente, Forrester definía la gestión de la superficie de ataque como "el proceso de descubrir, identificar, inventariar y evaluar continuamente las exposiciones del patrimonio de activos informáticos de una entidad".
La mayoría de las organizaciones disponen de herramientas de gestión de vulnerabilidades y realizan pen tests. Sin embargo, estas herramientas siguen dejando lagunas de visibilidad, especialmente cuando se trata de activos expuestos.
Su solución ASM debe escanear Internet con frecuencia
Dado que hoy en día los negocios se realizan principalmente en línea, la superficie de ataque se amplía y cambia constantemente. Y una solución ASM adecuada debe ser capaz de seguir el ritmo de esa actividad realizando análisis frecuentes.
Además, los contenedores y los entornos sin servidor han hecho que el panorama sea especialmente efímero, por lo que una solución ASM debe funcionar a la velocidad de la nube. Si algo está en la Internet pública, hay una alta probabilidad de que alguien, en algún lugar, sepa acerca de un host recientemente expuesto antes que usted, y usted necesita estar por delante de ellos. CensysLas investigaciones de la empresa demuestran que los atacantes comienzan a buscar sistemas vulnerables en Internet a las pocas horas de la divulgación pública de una vulnerabilidad. Si la última y más grande vulnerabilidad aparece en las noticias, usted necesita saber dónde están todos sus activos vulnerables y expuestos hoy, no lo que se expuso hace una semana o hace un mes.
¿Con qué frecuencia escanea Internet Censys ASM?
Censys tiene varios calendarios de descubrimiento basados en nuestra experiencia de exploración de Internet:
- Escaneo global de puertos populares. Escaneamos diariamente todo el espacio IPv4 en 137 puertos con servicios asignados por la IANA.
- Escaneos de proveedores en la nube. Dado que muchos hosts en la nube son efímeros, escaneamos a diario los 1440 puertos más populares de los hosts de Amazon, Google y Azure.
- Escaneo global de puertos menos populares. Escaneamos todo el espacio IPv4 en 3.455 puertos adicionales de forma regular, completando un recorrido cada 10 días.
- Escaneo global de cualquier otro número de puerto. Escaneamos todo el espacio de direcciones IPv4 a través de TODOS los puertos (65535) a una baja tasa de fondo.
Una vez descubierto un servicio, Censys da prioridad a la actualización de la información sobre ese servicio para asegurarse de que es exacta y está actualizada.
Una vez al día, se comprueba la antigüedad de cada uno de los ~2.100 millones de servicios de nuestro conjunto de datos. Se vuelve a escanear cualquier servicio (sin nombre) con una marca de tiempo de observación de más de 24 horas. Con este proceso, la antigüedad media de los datos de servicios de gran valor es de unas 16 horas.
Un asombroso 69% de las organizaciones ha experimentado algún tipo de ciberataque en el que el ataque en sí comenzó a través de la explotación de un activo desconocido o no gestionado que se conecta a Internet. Por razones como esta, es esencial que los equipos busquen una solución ASM que priorice el análisis frecuente para garantizar la frescura de los datos.
Explore la superficie de ataque de su organización con Censys ASM.
Vea hoy su superficie de ataque
