Bienvenido a la segunda parte de nuestra serie de blogs sobre Confianza Cero. Si no has tenido la oportunidad de leer la Parte I sobre los orígenes de la Confianza Cero, puedes consultarla aquí.
¿Por qué gasté todas esas palabras en mi primer post detallando una historia de un marco aparentemente no relacionado de Confianza Cero? Me alegro de que me lo preguntes. Para llegar a ese punto, tenemos que centrarnos en lo que precipitó la necesidad de la gestión de la superficie de ataque en primer lugar.
Aunque probablemente se originó en algún momento antes de este recurso, la primera mención que pude localizar del término superficie de ataque se hace referencia en un documento llamado 'Attack Surface Analysis Cheat Sheet' que data de julio de 2013. Este artículo señala específicamente que "el enfoque aquí es proteger una aplicación de ataques externos", y continúa mencionando que el "punto del Análisis de Superficie de Ataque es entender las áreas de riesgo en una aplicación... y notar cuándo y cómo cambia la Superficie de Ataque y lo que esto significa desde una perspectiva de riesgo." Como era de esperar, esto se solapa con gran parte del contenido que sale de la comunidad del Proyecto Abierto de Seguridad de Aplicaciones Web (OWASP) en esta época y desde entonces. La versión actual de este documento puede consultarse aquí.
Sin desgranar todo el contenido de la citada chuleta de 2013, este primer modelo conceptual de superficie de ataque se centra estrictamente en las aplicaciones sin dejar de ser lo suficientemente amplio como para encapsular otros puntos por los que un atacante podría entrar en un sistema. Los autores señalan específicamente que "el análisis de la superficie de ataque suele ser realizado por arquitectos de seguridad y pen testers." ¿Cuál es el objetivo? Los pen testers van a por todos y cada uno de los activos que puedan localizar al sondear el perímetro de seguridad de una organización (dentro de su alcance). Los servidores alojan aplicaciones en ejecución, y saber a.) que estos servidores están en ejecución, y b.) qué se está ejecutando en estos servidores es ampliamente considerado como uno de los primeros pasos para asegurar una organización. Sin embargo, como se ha demostrado una y otra vez, las organizaciones no siempre saben lo que está funcionando en sus perímetros cada vez más extensos y evaporándose.
Las múltiples interpretaciones de la gestión de la superficie de ataque
Como ocurre con muchas herramientas de seguridad, alguien vio la oportunidad de automatizar y crear soluciones para resolver el reto de mantener un inventario complejo de hardware y software. Algunas empresas ampliaron su oferta (RiskIQ) y otras, como CyCognito (2017), se fundaron para empezar a centrarse más específicamente en destacar lo que verían los atacantes que ejecutan el reconocimiento de las organizaciones desde la Internet abierta. A pesar de ello, entre julio de 2017 y diciembre de 2018 se curó este artículo y se publicó en el Information and Software Technology Journal Volumen 104 analizando 644 trabajos previos que utilizaban el término 'superficie de ataque' y se observó: "El 71% de los trabajos utilizaron la frase sin definirla o citar otro trabajo. Además, encontramos seis temas de definiciones para la frase `superficie de ataque'". Su conclusión fue que los profesionales deberían "elegir una definición de superficie de ataque apropiada para su dominio".
Según los investigadores mencionados, los seis temas que se habían desarrollado bajo el paraguas de la superficie de ataque a finales de 2018 eran: Métodos, Adversarios, Flujos, Características, Barreras y Vulnerabilidades alcanzables. Para un término acuñado intencionalmente para abarcar muchos aspectos de las vulnerabilidades, no es sorprendente que muchas soluciones desarrollen tomas matizadas sobre cómo abordar el problema. Además del desafío, cada vez que una categoría emergente entra en un mercado, inevitablemente hay mucha confusión. Es una lucha a cuchillo entre empresas que compiten por llamar la atención, y si hay la más mínima posibilidad de que el último hashtag de moda se aplique a lo que su producto puede hacer, se convierte en un "bandwagon" desde todos los ángulos posibles. Así, cuando los términos "superficie de ataque" y "gestión de la superficie de ataque" empezaron a hacerse más populares, más empresas empezaron a unirse a la categoría ASM hasta cierto punto. Esto ocurrió (y sigue ocurriendo hasta cierto punto) en el mundo de la confianza cero, y está ocurriendo absolutamente ahora con respecto a la categoría de gestión de la superficie de ataque.
Si hoy en día se busca en Google "qué es la gestión de la superficie de ataque", se obtiene una respuesta generalmente coherente que se ha consolidado en torno al artículo original "Cheat Sheet" mencionado anteriormente. Los temas se centran en el escaneado de activos conocidos, el descubrimiento de activos desconocidos, el escaneado y/o descubrimiento de activos internos frente a los externos y la supervisión continua de estos activos, todo ello con un fuerte énfasis en las vulnerabilidades explotables.
Surgen paralelismos con Confianza Cero
Sin embargo, aunque existe un amplio consenso, es en los detalles donde se crea la confusión y empieza a surgir el paralelismo con la Confianza Cero. ¿Está la gestión de vulnerabilidades legítimamente relacionada con la gestión de la superficie de ataque? Basándonos en lo anterior, sí. Sin embargo, es un aspecto de la gestión de la superficie de ataque que se centra totalmente en lo que se conoce. Otros aspectos de la gestión de la superficie de ataque son Cloud Security Posture Management (CSPM), Cloud Application Security Management (CASM), Cloud Attack Surface Management (también CASM), Cyber Asset Attack Surface Management (CAASM), y un número de otros.
Categóricamente, la Gestión de la Superficie de Ataque debe abarcar algo más que escanear los activos conocidos una vez a la semana o una vez al mes. Los errores de configuración ocurren y se aprovechan exponencialmente más rápido de lo que solían ser - en tan sólo 7 minutos en un reciente caso real de Respuesta a Incidentes del que tuve conocimiento. La gestión de la superficie de ataque debe ser dinámica y proactiva, aprovechando la gran cantidad de datos recogidos de todo Internet para llevar a los defensores hasta los infractores más atroces y difíciles de localizar en su red, y hacerlo en un tiempo récord, de forma continua.
Es hora de pensar de otra manera en la gestión de la superficie de ataque
Al igual que la confianza cero es un marco y un camino, cada vez está más claro que la gestión de la superficie de ataque también lo es. Además, dado que la gestión de la superficie de ataque está íntimamente ligada al descubrimiento y la corrección de vulnerabilidades, se alinea perfectamente con el mantra "No confíes en nada" de la confianza cero. De este modo, la gestión de la superficie de ataque es una adición fundamental al marco de confianza cero y el complemento perfecto para la seguridad empresarial. Más sobre esto en la próxima entrega.
