¿Por qué es importante la gestión de la superficie de ataque?

La gestión de la superficie de ataque (ASM) es el proceso continuo de descubrimiento, inventario, priorización y resolución de los riesgos que afectan a los activos orientados a Internet.

Las organizaciones están remodelando constantemente su superficie de ataque frente a Internet, lo sepan o no. Los servicios, y los datos que estos utilizan, se desarrollan, despliegan y reconfiguran a través de Internet, muchas veces a la semana. Ya sea en sus instancias de nube pública, en servidores locales o en infraestructuras gestionadas por terceros, la tarea se ha vuelto mucho más compleja y difícil en los últimos años. ¿Cuál es el resultado? La creación de una frontera amplia y dinámica con el mundo exterior que debe redefinirse y protegerse continuamente.

Desde 2018, la industria ha alentado a los líderes de seguridad a comenzar a aprovechar la Gestión de la Superficie de Ataque como parte de sus programas holísticos de ciberseguridad. A medida que nos adentramos en 2021, ASM ofrece un servicio que reduce la brecha entre lo que ve un atacante y lo que supervisan sus equipos de seguridad.

¿Qué es la gestión de la superficie de ataque?

En los términos más básicos, la superficie de ataque es cualquier activo o servicio de acceso público que podría permitir a un atacante, ahora o en el futuro, entrar en los activos privados de su organización. La gestión de la superficie de ataque es el proceso mediante el cual se priorizan y resuelven los riesgos potenciales que surgen en los activos que dan a Internet. En Censys, desglosamos el concepto de superficie de ataque en varias categorías diferentes:

Activos gestionados

Estos activos están inventariados, se administran de forma centralizada y se someten periódicamente a evaluaciones de seguridad. Se trata de cosas como:

1. Sus bloques de red registrados
2. Su sitio web corporativo y dominios
3. Certificados expedidos por su organización
4. Activos que se ejecutan en sus entornos de nube conocidos.

En función del tamaño y la postura de su organización, los activos administrados siguen presentando riesgos que deben abordarse para garantizar una supervisión y cobertura continuas. Por ejemplo, un equipo podría introducir accidentalmente código que exponga una base de datos MySQL externamente en un activo de su infraestructura de AWS. La mayoría de las organizaciones desean recibir rápidamente señales sobre esta actividad para poder actuar con rapidez.

Activos no gestionados

A menudo se trata de infraestructuras informáticas huérfanas que se crearon fuera del ámbito de su equipo de seguridad. Algunos ejemplos son:

1. Entornos de nube en la sombra
2. Sitios web heredados que siguen siendo accesibles desde el exterior
3. Dominios registrados fuera de su registrador autorizado
4. Activos adquiridos a través de fusiones y adquisiciones en los que la administración y la propiedad pueden ser ambiguas.
5. Certificados autofirmados

Los activos no gestionados, por definición, son puntos ciegos para la mayoría de las organizaciones y, por lo tanto, se pierden las pruebas, los análisis y los parches cruciales que se ofrecen a su inventario gestionado. Llevar estos activos a un estado gestionado rápidamente es uno de los principales principios de un programa ASM saludable.

Redes domésticas

Como resultado de COVID-19, la "Superficie de Ataque" que conocíamos, explotó exponencialmente para incluir nuevos grupos enteros de una fuerza de trabajo dispersa remotamente. Sin un cortafuegos tradicional, las IP residenciales de riesgo pueden ser puertas de entrada a los sistemas corporativos. Por este motivo, las redes domésticas han pasado a formar parte de la Superficie de Ataque que los equipos de seguridad deben proteger.

Activos administrados por terceros

Cada vez vemos más amenazas que penetran a través de infraestructuras de terceros en las que confía una organización. Los dominios alojados por terceros proveedores de hosting se adhieren a posturas de seguridad y programas de cumplimiento diferentes de los que los contratan. Un ejemplo son los certificados por defecto de los dispositivos de hardware. Con demasiada frecuencia, estos certificados no se cambian y utilizan algoritmos de cifrado débiles para proteger los datos que pasan por ellos. Además, los dispositivos que certifican suelen tener credenciales administrativas por defecto. Esta infraestructura de terceros que se despliega en su entorno puede ser un riesgo si no se evalúa y mantiene adecuadamente.

¿Cómo puede ayudar ASM a mi organización?

Comprender y mantener una lista de todo lo que se posee y está en contacto con Internet es una tarea de enormes proporciones. Lleva mucho tiempo, es caro y requiere infraestructura y herramientas. No sólo eso, sino que también requiere una visibilidad precisa en todo Internet, encontrar las cosas que pertenecen a su organización, supervisar los cambios, evaluar el riesgo y resolver los problemas más graves de manera oportuna.

Esto supone mucho trabajo. Pero la Plataforma ASM Censys es capaz de hacer el trabajo pesado. En términos más específicos, la Plataforma ASM Censys automatiza el mapeo y descubrimiento de superficies de ataque, proporcionando los siguientes beneficios a las organizaciones:

1. Tiempos de remediación reducidos: Cada día que los activos se desconocen o no se gestionan es un día más que esos activos no se evalúan en busca de riesgos o vulnerabilidades. Ayudamos a los clientes a arrojar luz sobre los activos no gestionados, reduciendo drásticamente el tiempo de corrección.
2. Menos sorpresas de seguridad: Lo último que quieren los equipos de seguridad son sorpresas de seguridad. La plataforma ASM está descubriendo rápidamente activos en Internet que están afiliados a su organización. Al incorporar el descubrimiento a su programa de seguridad, está creando un mecanismo que permite a los profesionales gestionar mejor la infraestructura "en la sombra".
3. Visibilidad total de la nube: El informe Verizon Breach Report 2020 informó que el 22% de las infracciones involucraron activos en la nube y que las configuraciones erróneas son el riesgo de más rápido crecimiento para la seguridad de las aplicaciones web. La plataforma ASM de Censys detecta varias nubes e identifica de forma rutinaria los riesgos y los errores de configuración en toda la infraestructura en la nube.
4. Automatización del proceso de inventario: La mayoría de los clientes potenciales con los que hablamos realizan algún tipo de pen-test regular o trabajan periódicamente para inventariar su infraestructura. ASM añade automatización al proceso, eliminando el esfuerzo manual o la dependencia de instantáneas que se quedan obsoletas rápidamente. El descubrimiento e inventario automáticos de sus activos de cara al exterior proporciona a su organización una imagen más clara y holística de lo que su equipo debe proteger y reduce fácilmente los quebraderos de cabeza.
5. Identifique fácilmente y elabore un plan para abordar la higiene de la seguridad sistémica: Cuando tiene todos sus datos accesibles desde el exterior en un solo lugar, puede identificar rápidamente problemas sistémicos de higiene de la seguridad en toda la organización. Por ejemplo, puede ver rápidamente si sigue utilizando en su entorno software obsoleto o que pronto quedará obsoleto. Averigüe si no está eliminando correctamente los servidores antiguos o si necesita gestionar mejor sus DNS para evitar el secuestro de subdominios.

Todos los entornos tecnológicos son cada día más complejos y la gestión de su sistema es un reto, independientemente del tamaño de su equipo. La plataforma ASM Censys permite a los equipos optimizar su programa de gestión de la superficie de ataque con confianza y precisión, ofreciéndoles la mejor visibilidad de lo que necesitan proteger.

Para obtener más información sobre la plataforma de gestión de la superficie de ataque de Censys, visite nuestro sitio web o solicite una demostración hoy mismo.

Encuentre más obras de Morgan Princing aquí.