La gestión de la superficie de ataque (ASM) es el descubrimiento, el análisis, la corrección y la supervisión continuos de las vulnerabilidades de ciberseguridad y potenciales vectores de ataque que componen la superficie de ataque de una organización.
A diferencia de otras disciplinas de ciberseguridad, la ASM se realiza completamente desde la perspectiva de un hacker, en lugar de la del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan para un atacante malicioso. La ASM se basa en muchos de los mismos métodos y recursos que utilizan los propios hackers, y muchas tareas y tecnologías de ASM han sido diseñadas y realizadas por "hackers éticos", familiarizados con los comportamientos de los ciberdelincuentes y capacitados para emular sus acciones.
La gestión de la superficie de ataque externa (EASM), una tecnología de ASM relativamente nueva, a veces se usa indistintamente con ASM. Pero la EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o con acceso a Internet de una organización (a veces denominados superficie de ataque digital de una organización). La ASM también aborda las vulnerabilidades en las superficies de ataque físico y de ingeniería social de una organización, como actores internos maliciosos o formación inadecuada del usuario final contra estafas de phishing.
La adopción de cloud, la transformación digital y la expansión del trabajo remoto, todo ello acelerado por la pandemia de COVID-19, han provocado que la huella digital y la superficie de ataque de una empresa media sean más amplias, más distribuidas y más dinámicas, con nuevos activos conectados a la red empresarial a diario.
Según el informe State of Attack Surface Management 2022 de Randori (enlace externo a ibm.com), el 67 por ciento de las organizaciones ha expandido su superficie de ataque en los últimos 12 meses, y el 69 por ciento se ha visto comprometida por un activo con acceso a Internet desconocido o mal gestionado en el último año. (Randori es una filial de IBM Corp.) Analistas del sector de Gartner (enlace externo a ibm.com) han concluido que la expansión de la superficie de ataque es una prioridad principal de la gestión de riesgos y seguridad para los CISO en 2022.
Los procesos tradicionales de gestión de vulnerabilidades, evaluación de riesgos y descubrimiento de activos, que se desarrollaban cuando las redes corporativas eran más estables y centralizadas, no pueden seguir a la velocidad que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. La realización de pruebas de penetración, por ejemplo, puede probar vulnerabilidades sospechosas en activos conocidos, pero no puede ayudar a los equipos de seguridad a identificar los nuevos ciberriesgos y vulnerabilidades que surgen a diario.
Pero el flujo de trabajo continuo de ASM y la perspectiva del hacker permiten a los equipos de seguridad y los centros de operaciones de seguridad (SOC) establecer una postura de seguridad proactiva ante una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM proporcionan visibilidad en tiempo real sobre las vulnerabilidades y los vectores de ataque a medida que surgen. Pueden aprovechar la información de herramientas y procesos tradicionales de gestión de vulnerabilidades y evaluación de riesgos para obtener un mayor contexto a la hora de analizar y priorizar vulnerabilidades. Y se pueden integrar con las tecnologías de detección y respuesta de amenazas —incluyendo la gestión de sucesos e información de seguridad (SIEM), la detección y respuesta de puntos finales (EDR) o la detección y respuesta extendidas (XDR)— para mejorar la mitigación de amenazas y acelerar la respuesta en toda la empresa.
La ASM consta de cuatro procesos principales: descubrimiento de activos, clasificación y priorización, corrección y supervisión. Nuevamente, debido a que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo de forma continua y las soluciones de ASM automatizan estos procesos siempre que sea posible. El objetivo es asegurar que el equipo de seguridad siempre disponga de un inventario completo y actual de los activos expuestos, y acelerar la respuesta a las vulnerabilidades y amenazas que presentan un mayor riesgo para la organización.
Descubrimiento de activos
El descubrimiento de activos busca e identifica de forma automática y continua los activos de cloud, software y hardware con acceso a Internet que podrían actuar como puntos de entrada para un hacker o un ciberdelincuente que intente atacar a una organización. Estos activos pueden incluir
Clasificación, análisis y priorización
Una vez identificados los activos, se clasifican, se analizan en busca de vulnerabilidades y se priorizan por "capacidad de ataque", básicamente un cálculo objetivo de la probabilidad de que los hackers los aborden.
Los activos se catalogan por identidad, dirección IP, propiedad y conexiones con los otros activos en la infraestructura de TI. Se analizan en busca de posibles exposiciones, las causas de dichas exposiciones (p. ej., configuraciones incorrectas, errores de codificación, parches que faltan) y los tipos de ataques que los hackers pueden realizar a través de estas exposiciones (p. ej., robo de datos confidenciales, difusión de ransomware u otro programa malicioso).
A continuación, se priorizan las vulnerabilidades para su corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, a cada vulnerabilidad se le asigna una valoración de seguridad o una puntuación de riesgo basada en
Corrección
Por lo general, las vulnerabilidades se corrigen por orden de prioridad. Esto puede implicar:
La corrección también puede implicar medidas más amplias entre activos para abordar las vulnerabilidades, como la implementación de acceso de privilegio mínimo o autenticación de multifactores (MFA).
Supervisión
Como los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se despliegan nuevos activos o los activos existentes se despliegan de nuevas formas, tanto los activos inventariados de la red como la propia red se supervisan y analizan de forma continua en busca de vulnerabilidades. La supervisión continua permite a la ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad ante cualquier nueva vulnerabilidad que requiera atención inmediata.