La gestión de la superficie de ataque externa (EASM, por sus siglas en inglés) se está convirtiendo en una prioridad para los responsables de seguridad en 2022. ¿Por qué? Las transformaciones digitales y la rápida adopción de la nube han desafiado muchas de las visiones tradicionales de la ciberseguridad. Las plantillas y las operaciones empresariales se han descentralizado rápidamente, ampliando las brechas de protección y poniendo patas arriba la gestión de riesgos de una organización. Los equipos de seguridad, que ya estaban infradotados de recursos para empezar, están luchando por seguir el ritmo de los rápidos cambios dentro de su empresa.
EASM ayuda a los clientes a encontrar rápidamente los activos expuestos en la nube e Internet, priorizando los riesgos más críticos para la organización. Pero no todas las soluciones son iguales. La capacidad de detectar automáticamente nuevas exposiciones ahorra tiempo al equipo de seguridad a la hora de comprender toda la superficie de ataque, mientras que un conjunto priorizado de riesgos precisos, junto con una guía práctica para su rápida corrección, permite al equipo centrarse en solucionar los problemas que realmente van a provocar una brecha.
¿Está buscando una solución de gestión de la superficie de ataque externa? Este blog le ayudará a reducir el ruido y a centrarse en lo más importante a la hora de gestionar su superficie de ataque externa.
¿Cuáles son los elementos más importantes a tener en cuenta cuando un equipo de seguridad busca una solución EASM?
Exploración de Internet y atribución
Si su equipo de seguridad está buscando una solución EASM, es posible que se pregunte cómo encontrar una herramienta que funcione para usted. Cuando oiga hablar de escaneado y atribución, piense: ¿con qué frecuencia? ¿En qué medida? ¿Y cuán recientes son los datos? El objetivo principal de cualquier tecnología EASM es descubrir cualquier cosa que posea y que esté en Internet, por lo que necesita una herramienta que conozca todo Internet. Disponer de datos frescos y actualizados sobre hosts, servicios, certificados, software y similares es un requisito previo.
Originalmente creada en la Universidad de Michigan en 2013 para descubrir de forma exhaustiva las vulnerabilidades de Internet, Censys suministra actualmente servicios de datos a algunas de las empresas, agencias gubernamentales y compañías de seguridad más sofisticadas a nivel mundial. Somos el estándar de oro en calidad y precisión de datos porque proporcionamos la mejor cobertura con la perspectiva más amplia y frecuente de Internet, incluidas las instancias en la nube.
El escaneado desde 5 perspectivas globales en más de 3.500 puertos mediante la Detección Automática de Protocolos significa que podemos ver casi el 99% del espacio IPv4 (encontramos más de un 63% más de servicios que nuestro competidor más cercano). Y esta cadencia aumenta en la nube, donde escaneamos todas las instancias en la nube orientadas al público cada 12 horas.
Todos los datos del mundo no sirven de nada si no puedes determinar con precisión lo que te pertenece, por lo que un proceso de atribución inteligente y transparente es tan importante como los propios datos. Censys attribution está totalmente automatizado y, en comparaciones directas con otros proveedores de EASM, produjimos alrededor de un 10% menos de falsos positivos.
Esto significa que no perderá tiempo persiguiendo problemas que ya no existen o que simplemente nunca pertenecieron a su organización. Y nuestra atribución es diaria. La facilidad de acceso a los servicios en la nube significa que su superficie de ataque puede crecer en cuestión de minutos con poca supervisión o consideraciones de seguridad. Así que su comprensión de lo que ahora es su responsabilidad necesita ser refrescada y actualizada con la misma rapidez. En términos más sencillos, cualquier otra cosa que no sea la atribución diaria significará que está trabajando con datos obsoletos.
Riesgos y perspectivas
Al igual que la atribución diaria es importante para la precisión, la supervisión diaria de los riesgos y exposiciones es necesaria para saber a qué dar prioridad en primer lugar.
Nuestro marco de riesgos hace aflorar los riesgos más relevantes y críticos que pueden observarse en toda su superficie de ataque. Desde errores de configuración en la nube, como cubos de almacenamiento expuestos o metadatos de EC2, hasta servicios de riesgo abiertos inadvertidamente a Internet, no solo vulnerabilidades de software. A medida que el panorama de las amenazas siga evolucionando, Censys identificará y evaluará continuamente la gravedad de cada riesgo en función de su Impacto, Explotabilidad y Probabilidad. Esto se debe en gran parte a que nuestros equipos de Respuesta Rápida e Investigación rastrean activamente los nuevos Zero-Days para incorporarlos rápidamente a nuestra plataforma (por ejemplo, creamos 27 nuevos riesgos únicos 3 días después de que se anunciara Log4j).
Toda esta información es inmediatamente procesable, con orientación para la corrección e integraciones de flujos de trabajo comunes para ayudar a reducir, mitigar o volver a priorizar y aceptar el riesgo (no todas las alertas requieren una acción inmediata). ¿Y qué hace una vez que ha actualizado ese Nginx que ha llegado al final de su vida útil, o ha cerrado el RDP que se ejecuta en un puerto oscuro? Nuestra plataforma de gestión de la superficie de ataque externa puede escanear cualquier activo bajo demanda para validar inmediatamente que el trabajo que está realizando está mejorando su postura de riesgo.
¿Qué tipo de flexibilidad tendrá con una solución ASM?
Ningún equipo de seguridad quiere verse forzado a utilizar una herramienta rígida que defina su postura de seguridad: quieren que la herramienta se adapte a su forma de trabajar.
En Censys, descubrimos que los usuarios desean tener la flexibilidad de cambiar la forma en que ven la superficie de ataque de su empresa. Es posible que desee desglosar las diferentes unidades de negocio o adquisiciones recientes para comprender el riesgo individual que presentan. O puede que quiera poder buscar en todos sus datos de una forma inteligente e intuitiva, o tener la capacidad de modificar un riesgo para un activo concreto si sabe que ese negocio requiere flexibilidad; por ejemplo, tal vez ejecutar cierto software de fin de vida en un host. Por último, necesita la opción de añadir o eliminar dominios enteros o determinadas IP a medida que su negocio cambia. En ningún momento una herramienta EASM debe requerir soporte externo para que usted la adapte a su entorno.
¿Cómo enriquece la gestión de la superficie de ataque externa mi actual pila tecnológica de seguridad?
Para los equipos que ya disponen de SIEM, SOAR, CASB y cualquiera de las muchas otras herramientas de una pila de seguridad típica, la valiosa información y orientación que recopila EASM debe enriquecer sus tareas cotidianas. Esto significa integraciones. Censys se integra con las plataformas de seguridad existentes, como un SIEM para capturar todos los eventos que cambian su superficie de ataque a diario, una solución de gestión de vulnerabilidades para garantizar que los activos recién descubiertos y previamente desconocidos pasen a formar parte de una cadencia de exploración rutinaria, y sistemas de tickets para iniciar el trabajo de corrección tan pronto como se detecten los problemas.
Censys también ofrece integraciones nativas con los tres principales proveedores de servicios de nube pública (Azure, GCP y AWS), lo que le ayudará a obtener información desde dentro y desde fuera para realizar comparaciones. Nuestros clientes encuentran entre un 20 y un 30% más de activos en la nube de los que sabían que existían, incluso si creen que su expansión en la nube se limita a unos pocos proveedores o cuentas. Cloud Connectors le permite identificar rápidamente cualquier instancia de nube no gestionada en Azure, GCP y AWS.
¿Cómo ayudará esto a mi equipo a ahorrar tiempo o dinero?
Gran parte de este trabajo ya lo estás haciendo: gestionar un inventario en múltiples hojas de cálculo, escanear ad hoc para descubrir nuevos activos e intentar dar sentido a lo que es real y lo que no. Y todo esto antes de empezar a abordar cualquier problema de seguridad que haya surgido. Nuestros clientes han calculado que ahorran 45 horas al mes (es decir, una semana extra de trabajo) porque Censys gestionará todo esto de forma más rápida, precisa y automática.
Estará totalmente operativo antes de que se realice una compra, y el departamento de TI no tendrá que preparar largas demostraciones y pruebas. Nuestro proceso de incorporación automatizada creará y mantendrá su superficie de ataque incluso cuando cambie de forma por adquisición, fusión, desinversión o cualquier otra cosa. También dispondrá de un equipo dedicado al éxito del cliente para ayudarle a aprovechar las mejores prácticas y apoyar a los analistas o ingenieros junior que puedan estar viendo su superficie externa por primera vez.
¿Está listo para explorar una solución de gestión de la superficie de ataque externa? Póngase en contacto con nosotros y le proporcionaremos la solución que encuentra más activos expuestos que cualquier otra solución del mercado.
