La gestión de la superficie de ataque (ASM) es el descubrimiento, el análisis, la corrección y la supervisión continuos de las vulnerabilidades de ciberseguridad y potenciales vectores de ataque que componen la superficie de ataque de una organización.
A diferencia de otras disciplinas de ciberseguridad, la ASM se realiza completamente desde la perspectiva de un hacker, en lugar de la del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan para un atacante malicioso. La ASM se basa en muchos de los mismos métodos y recursos que utilizan los propios hackers, y muchas tareas y tecnologías de ASM han sido diseñadas y realizadas por "hackers éticos", familiarizados con los comportamientos de los ciberdelincuentes y capacitados para emular sus acciones.
La gestión de la superficie de ataque externa (EASM), una tecnología de ASM relativamente nueva, a veces se usa indistintamente con ASM. Pero la EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o con acceso a Internet de una organización (a veces denominados superficie de ataque digital de una organización). La ASM también aborda las vulnerabilidades en las superficies de ataque físico y de ingeniería social de una organización, como actores internos maliciosos o formación inadecuada del usuario final contra estafas de phishing.
La adopción de cloud, la transformación digital y la expansión del trabajo remoto, todo ello acelerado por la pandemia de COVID-19, han provocado que la huella digital y la superficie de ataque de una empresa media sean más amplias, más distribuidas y más dinámicas, con nuevos activos conectados a la red empresarial a diario.
Según el informe State of Attack Surface Management 2022 de Randori (enlace externo a ibm.com), el 67 por ciento de las organizaciones ha expandido su superficie de ataque en los últimos 12 meses, y el 69 por ciento se ha visto comprometida por un activo con acceso a Internet desconocido o mal gestionado en el último año. (Randori es una filial de IBM Corp.) Analistas del sector de Gartner (enlace externo a ibm.com) han concluido que la expansión de la superficie de ataque es una prioridad principal de la gestión de riesgos y seguridad para los CISO en 2022.
Los procesos tradicionales de gestión de vulnerabilidades, evaluación de riesgos y descubrimiento de activos, que se desarrollaban cuando las redes corporativas eran más estables y centralizadas, no pueden seguir a la velocidad que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. La realización de pruebas de penetración, por ejemplo, puede probar vulnerabilidades sospechosas en activos conocidos, pero no puede ayudar a los equipos de seguridad a identificar los nuevos ciberriesgos y vulnerabilidades que surgen a diario.
Pero el flujo de trabajo continuo de ASM y la perspectiva del hacker permiten a los equipos de seguridad y los centros de operaciones de seguridad (SOC) establecer una postura de seguridad proactiva ante una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM proporcionan visibilidad en tiempo real sobre las vulnerabilidades y los vectores de ataque a medida que surgen. Pueden aprovechar la información de herramientas y procesos tradicionales de gestión de vulnerabilidades y evaluación de riesgos para obtener un mayor contexto a la hora de analizar y priorizar vulnerabilidades. Y se pueden integrar con las tecnologías de detección y respuesta de amenazas —incluyendo la gestión de sucesos e información de seguridad (SIEM), la detección y respuesta de puntos finales (EDR) o la detección y respuesta extendidas (XDR)— para mejorar la mitigación de amenazas y acelerar la respuesta en toda la empresa.
La ASM consta de cuatro procesos principales: descubrimiento de activos, clasificación y priorización, corrección y supervisión. Nuevamente, debido a que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo de forma continua y las soluciones de ASM automatizan estos procesos siempre que sea posible. El objetivo es asegurar que el equipo de seguridad siempre disponga de un inventario completo y actual de los activos expuestos, y acelerar la respuesta a las vulnerabilidades y amenazas que presentan un mayor riesgo para la organización.
Descubrimiento de activos
El descubrimiento de activos busca e identifica de forma automática y continua los activos de cloud, software y hardware con acceso a Internet que podrían actuar como puntos de entrada para un hacker o un ciberdelincuente que intente atacar a una organización. Estos activos pueden incluir
- Activos conocidos: toda la infraestructura y los recursos de TI que la organización conoce y gestiona activamente: routers, servidores, dispositivos de propiedad privada o de la empresa (PC, portátiles, dispositivos móviles), dispositivos de IoT, directorios de usuarios, aplicaciones desplegadas en local y en cloud, sitios web y bases de datos de propiedad.
- Activos desconocidos: activos no inventariados que utilizan recursos de la red sin el conocimiento del equipo de TI o de seguridad. TI invisible (shadow IT): hardware o software desplegado en la red sin la aprobación y/o supervisión administrativa oficial —es el tipo de activo desconocido más común. Una fuente gratuita descargada en el ordenador de un usuario, sitios web personales o aplicaciones en cloud utilizadas a través de la red de la organización, o un dispositivo móvil personal no gestionado utilizado para acceder a la información de la empresa, todo ello son ejemplos de TI invisible. TI huérfana: software, sitios web y dispositivos antiguos que ya no se utilizan y que no se han retirado correctamente son otro tipo de activo desconocido bastante común.
- Activos de proveedores o terceros: activos que la organización no posee, pero que forman parte de su infraestructura de TI o cadena de suministro digital. Estos incluyen aplicaciones de software como servicio (SaaS), API, activos de cloud público o servicios de terceros utilizados dentro del sitio web de la organización.
- Activos subsidiarios: cualquier activo conocido, desconocido o de terceros perteneciente a redes de empresas filiales de una organización. Después de una fusión o adquisición, estos activos pueden no llamar inmediatamente la atención de los equipos de TI y seguridad de la organización padre.
- Activos maliciosos o fraudulentos: activos creados o robados por actores de amenazas para atacar a la empresa. Esto puede incluir un sitio web de phishing que suplanta la marca de una empresa, o datos confidenciales robados como parte de una brecha de datos que se compartido en la web oscura.
Clasificación, análisis y priorización
Una vez identificados los activos, se clasifican, se analizan en busca de vulnerabilidades y se priorizan por "capacidad de ataque", básicamente un cálculo objetivo de la probabilidad de que los hackers los aborden.
Los activos se catalogan por identidad, dirección IP, propiedad y conexiones con los otros activos en la infraestructura de TI. Se analizan en busca de posibles exposiciones, las causas de dichas exposiciones (p. ej., configuraciones incorrectas, errores de codificación, parches que faltan) y los tipos de ataques que los hackers pueden realizar a través de estas exposiciones (p. ej., robo de datos confidenciales, difusión de ransomware u otro programa malicioso).
A continuación, se priorizan las vulnerabilidades para su corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, a cada vulnerabilidad se le asigna una valoración de seguridad o una puntuación de riesgo basada en
- la información recopilada durante la clasificación y el análisis;
- los datos de canales de información de amenazas (de propiedad y código abierto), servicios de calificación de seguridad, la web oscura y otras fuentes en cuanto al nivel de visibilidad de las vulnerabilidades para los hackers, con qué facilidad se pueden explotar, cómo se han explotado, etc.;
- resultados de las actividades de gestión de vulnerabilidades y evaluación de riesgos de seguridad propias de la organización. Una de estas actividades, llamada red teaming, consiste básicamente en realizar pruebas de penetración desde el punto de vista del hacker (ya menudo son hackers éticos internos o de terceros los encargados de realizarlas). En lugar de realizar pruebas de vulnerabilidades conocidas o sospechadas, se comprueban todos los activos que un hacker podría intentar explotar.
Corrección
Por lo general, las vulnerabilidades se corrigen por orden de prioridad. Esto puede implicar:
- Aplicar controles de seguridad apropiados al activo en cuestión, por ejemplo, parches de software o sistema operativo, la depuración de código de aplicaciones o la implementación de un cifrado de datos más fuerte.
- Controlar los activos previamente desconocidos: establecer estándares de seguridad para TI previamente no gestionada, retirar TI huérfana de forma segura, eliminar activos fraudulentos, integrar activos de filiales en la estrategia, las políticas y los flujos de trabajo de ciberseguridad de la organización.
La corrección también puede implicar medidas más amplias entre activos para abordar las vulnerabilidades, como la implementación de acceso de privilegio mínimo o autenticación de multifactores (MFA).
Supervisión
Como los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se despliegan nuevos activos o los activos existentes se despliegan de nuevas formas, tanto los activos inventariados de la red como la propia red se supervisan y analizan de forma continua en busca de vulnerabilidades. La supervisión continua permite a la ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad ante cualquier nueva vulnerabilidad que requiera atención inmediata.