¿Qué es la gestión de superficies de ataque?

A diferencia de otras disciplinas de ciberseguridad, la ASM se lleva a cabo completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.

La ASM se basa en muchos de los mismos métodos y recursos que utilizan los hackers. Muchas tareas y tecnologías de ASM las diseñan y realizan hackers éticos que están familiarizados con el comportamiento de los ciberdelincuentes y son expertos en duplicar sus acciones.

La gestión de superficies de ataque externo (EASM), una tecnología de ASM relativamente nueva, se utiliza a veces indistintamente con ASM. Sin embargo, EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o orientados a Internet de una organización, a veces denominados superficie de ataque digital de una organización.

ASM también aborda las vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización, como usuarios internos negligentes o una capacitación inadecuada del usuario final contra las estafas de phishing.

El aumento de la adopción de la nube, la transformación digital y la expansión del trabajo remoto en los últimos años hicieron que la huella digital y la superficie de ataque de la empresa promedio fueran más grandes, más distribuidas y más dinámicas, con nuevos activos que se conectan a la red de la empresa a diario.

Los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y gestión de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden seguir el ritmo a la velocidad a la que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. Las pruebas de penetración, por ejemplo, pueden detectar presuntas vulnerabilidades en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar los nuevos ciberriesgos y vulnerabilidades que surgen a diario.

Pero el flujo de trabajo continuo de ASM y la perspectiva de los hackers permiten a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) establecer una posición de seguridad proactiva frente a una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM proporcionan visibilidad en tiempo real de las vulnerabilidades y los vectores de ataque a medida que surgen.

Pueden basarse en la información de las herramientas y procesos tradicionales de evaluación de riesgos y gestión de vulnerabilidades para obtener un mayor contexto a la hora de analizar y priorizar las vulnerabilidades. Y pueden integrarse con tecnologías de detección y respuesta a amenazas, incluida la gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR) o detección y respuesta extendidas (XDR), para mejorar la mitigación de amenazas y acelerar la respuesta a amenazas en toda la empresa.

La ASM consta de cuatro procesos básicos: descubrimiento, clasificación y priorización de activos, corrección y monitorización. Una vez más, dado que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo de forma continua, y las soluciones ASM automatizan estos procesos siempre que sea posible. El objetivo es dotar a los equipos de seguridad de un inventario completo y actualizado de los activos expuestos y acelerar la respuesta a las vulnerabilidades y amenazas que presentan el mayor riesgo para la organización.

La detección de activos busca e identifica de forma automática y continua el hardware, el software y los activos en la nube orientados a Internet que podrían actuar como puntos de entrada para un hacker o un ciberdelincuente que intente atacar una organización. Estos activos pueden incluir:

• Activos conocidos: toda la infraestructura y los recursos de TI que la organización conoce y gestiona activamente: enrutadores, servidores, dispositivos emitidos por la empresa o de propiedad privada (PC, ordenadores portátiles, dispositivos móviles), dispositivos de IoT, directorios de usuarios, aplicaciones implementadas on-premises y en la nube, sitios web y bases de datos patentadas.
  
  
• Activos desconocidos : activos "no registrados" que utilizan los recursos de la red sin que el equipo de TI o de seguridad lo sepa. La TI invisible (hardware o software que se implementa en la red sin aprobación administrativa oficial y/o supervisión) es el tipo más común de activo desconocido. Algunos ejemplos de TI invisible son los sitios web personales, las aplicaciones en la nube y los dispositivos móviles no gestionados que utilizan la red de la organización. La TI huérfana (software, sitios web y dispositivos antiguos que ya no se utilizan y que no se han retirado correctamente) es otro tipo común de activo desconocido.
  
  
• Activos de terceros o proveedores: activos que la organización no posee, pero que forman parte de la infraestructura informática o de la cadena de suministro digital de la organización. Incluyen aplicaciones de software como servicio (SaaS), API, activos de nube pública o servicios de terceros utilizados en el sitio web de la organización.
  
  
• Activos de filiales: cualquier activo conocido, desconocido o de terceros que pertenezca a las redes de las filiales de una organización. Tras una fusión o adquisición, es posible que estos activos no llamen inmediatamente la atención de los equipos de TI y seguridad de la organización matriz.
  
  
• Activos maliciosos o no autorizados: activos que los actores de amenazas crean o roban para atacar a la empresa. Esto puede incluir un sitio web de phishing que se hace pasar por la marca de una empresa o datos confidenciales robados como parte de una vulneración de datos que se comparten en la dark web.

Una vez identificados los activos, se clasifican, se analizan en busca de vulnerabilidades y se priorizan por atacabilidad, es decir, una medida objetiva de la probabilidad de que los hackers los ataquen.

Los activos se inventarian por identidad, dirección IP, propiedad y conexiones con los demás activos de la infraestructura de TI. Se analizan las exposiciones que puedan tener, las causas de esas exposiciones (por ejemplo, configuraciones incorrectas, errores de codificación, parches faltantes) y los tipos de ataques que los hackers pueden llevar a cabo a través de estas exposiciones (por ejemplo, robo de datos confidenciales, propagación de ransomware u otro malware). 

A continuación, se priorizan las vulnerabilidades para su corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, a cada vulnerabilidad se le asigna una calificación de seguridad o una puntuación de riesgo basada en

• Información recopilada durante la clasificación y el análisis.
  
  
• Datos de fuentes de inteligencia de amenazas (patentadas y de código abierto), servicios de clasificación de seguridad, la dark web y otras fuentes sobre el grado de visibilidad de las vulnerabilidades para los hackers, su facilidad de explotación, la forma en que han sido explotadas, etc.
  
  
• Resultados de las actividades propias de gestión de vulnerabilidades y evaluación de riesgos de seguridad de la organización. Una de estas actividades, llamada red teaming, es esencialmente una prueba de penetración desde el punto de vista del hacker (y a menudo realizada por hackers éticos internos o de terceros). En lugar de probar las vulnerabilidades conocidas o sospechadas, los miembros del equipo rojo prueban todos los activos que un hacker podría intentar explotar.

Normalmente, las vulnerabilidades se corrigen en orden de prioridad. Esto puede implicar:

• Aplicar los controles de seguridad adecuados al activo en cuestión, por ejemplo, aplicar parches de software o sistema operativo, depurar el código de la aplicación, implementar un cifrado de datos más sólido.
  
  
• Poner bajo control activos previamente desconocidos: establecer estándares de seguridad para TI no administradas anteriormente, retirar de forma segura la TI huérfana, eliminar activos no autorizados, integrar activos subsidiarios en la estrategia, las políticas y los flujos de trabajo de ciberseguridad de la organización.

La corrección también puede implicar medidas más amplias y de activos cruzados para abordar vulnerabilidades, como la implementación de acceso con privilegios mínimos o la autenticación multifactor (MFA).

Dado que los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se implementan nuevos activos o que los activos existentes se despliegan de nuevas formas, tanto los activos inventariados de la red como la propia red se monitorizan y escanean continuamente en busca de vulnerabilidades. La monitorización continua permite a ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad de cualquier nueva vulnerabilidad que requiera atención inmediata.