Inicio
Topics
¿Qué es la gestión de la superficie de ataque?
La gestión de la superficie de ataque (ASM) es el descubrimiento, el análisis, la priorización, la corrección y la monitorización continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que componen la superficie de ataque de una organización.
A diferencia de otras disciplinas de ciberseguridad, la ASM se lleva a cabo completamente desde la perspectiva de un hacker, en lugar de de desde la perspectiva del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.
La ASM se basa en muchos de los mismos métodos y recursos que utilizan los piratas informáticos. Muchas tareas y tecnologías de ASM las diseñan y realizan "hackers éticos" que están familiarizados con el comportamiento de los ciberdelincuentes y son expertos en duplicar sus acciones.
La gestión de superficies de ataque externo (EASM), una tecnología de ASM relativamente nueva, se utiliza a veces indistintamente con ASM. Sin embargo, EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o orientados a Internet de una organización, a veces denominados superficie de ataque digital de una organización.
ASM también aborda las vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización, como usuarios internos negligentes o una capacitación inadecuada del usuario final contra las estafas de phishing.
Obtenga conocimientos para gestionar mejor el riesgo de una vulneración de datos con el último informe Coste de una filtración de datos.
El aumento de la adopción de la nube, la transformación digital y la expansión del trabajo remoto en los últimos años hicieron que la huella digital y la superficie de ataque de la empresa promedio fueran más grandes, más distribuidas y más dinámicas, con nuevos activos que se conectan a la red de la empresa a diario.
Los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y gestión de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden seguir el ritmo a la velocidad a la que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. Las pruebas de penetración, por ejemplo, pueden detectar presuntas vulnerabilidades en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar los nuevos ciberriesgos y vulnerabilidades que surgen a diario.
Pero el flujo de trabajo continuo de ASM y la perspectiva de los hackers permiten a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) establecer una posición de seguridad proactiva frente a una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM proporcionan visibilidad en tiempo real de las vulnerabilidades y los vectores de ataque a medida que surgen.
Pueden basarse en la información de las herramientas y procesos tradicionales de evaluación de riesgos y gestión de vulnerabilidades para obtener un mayor contexto a la hora de analizar y priorizar las vulnerabilidades. Y pueden integrarse con tecnologías de detección y respuesta a amenazas, incluida la gestión de eventos e información de seguridad (SIEM), detección y respuesta de endpoints (EDR) o detección y respuesta extendidas (XDR), para mejorar la mitigación de amenazas y acelerar la respuesta a amenazas en toda la empresa.
La ASM consta de cuatro procesos básicos: descubrimiento, clasificación y priorización de activos, corrección y monitorización. Una vez más, dado que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo de forma continua, y las soluciones ASM automatizan estos procesos siempre que sea posible. El objetivo es dotar a los equipos de seguridad de un inventario completo y actualizado de los activos expuestos y acelerar la respuesta a las vulnerabilidades y amenazas que presentan el mayor riesgo para la organización.
Descubrimiento de activos
La detección de activos busca e identifica de forma automática y continua el hardware, el software y los activos en la nube orientados a Internet que podrían actuar como puntos de entrada para un hacker o un ciberdelincuente que intente atacar una organización. Estos activos pueden incluir:
Clasificación, análisis y priorización
Una vez identificados los activos, se clasifican, se analizan en busca de vulnerabilidades y se priorizan por "atacabilidad", es decir, una medida objetiva de la probabilidad de que los piratas informáticos los ataquen.
Los activos se inventarian por identidad, dirección IP, propiedad y conexiones con los demás activos de la infraestructura de TI. Se analizan las exposiciones que puedan tener, las causas de esas exposiciones (por ejemplo, configuraciones incorrectas, errores de codificación, parches faltantes) y los tipos de ataques que los hackers pueden llevar a cabo a través de estas exposiciones (por ejemplo, robo de datos confidenciales, propagación de ransomware u otro malware).
A continuación, se priorizan las vulnerabilidades para su corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, a cada vulnerabilidad se le asigna una calificación de seguridad o una puntuación de riesgo basada en
Corrección
Normalmente, las vulnerabilidades se corrigen en orden de prioridad. Esto puede implicar:
La corrección también puede implicar medidas más amplias y de activos cruzados para abordar vulnerabilidades, como la implementación de acceso con privilegios mínimos o la autenticación multifactor (MFA).
Supervisión
Dado que los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se implementan nuevos activos o que los activos existentes se despliegan de nuevas formas, tanto los activos inventariados de la red como la propia red se supervisan y escanean continuamente en busca de vulnerabilidades. La monitorización continua permite a ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad de cualquier nueva vulnerabilidad que requiera atención inmediata.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de los fallos que podrían exponer sus activos más cruciales.
La superficie de ataque de una organización es la suma de sus vulnerabilidades de ciberseguridad.
Las amenazas internas se producen cuando los usuarios con acceso autorizado a los activos de una empresa los ponen en peligro de forma deliberada o accidental.
Un enfoque de zero trust requiere que todos los usuarios, ya sea fuera o ya dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos.
El malware es un código de software escrito para dañar o destruir ordenadores o redes, o para proporcionar acceso no autorizado a ordenadores, redes o datos.
Una guía para asegurar su entorno de cloud computing y sus cargas de trabajo.
La seguridad de los datos es la práctica de proteger la información digital contra el robo, la corrupción o el acceso no autorizado durante todo su ciclo de vida.