¿Qué es la gestión de superficies de ataque?

A diferencia de otras disciplinas de ciberseguridad , ASM se lleva a cabo completamente desde la perspectiva del hacker , en lugar de la perspectiva del defensor. Identifica los objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.

La ASM se basa en muchos de los mismos métodos y recursos que emplean los hackers. Muchas tareas y tecnologías de ASM son concebidas y realizadas por hackers éticos que están familiarizados con los comportamientos de los delincuentes cibernéticos y tienen la habilidad de duplicar sus acciones.

La gestión de la superficie de ataque externa (EASM), una tecnología de ASM relativamente nueva, a veces se usa de manera indistinta con ASM. Sin embargo, la EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o conectados a Internet de una organización, a veces denominados superficie de ataque digital de una organización.

La ASM también aborda las vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización, como usuarios internos maliciosos o una capacitación inadecuada del usuario final contra las estafas de phishing.

La mayor adopción de la nube, la transformación digital y la expansión del trabajo remoto en los últimos años hicieron que la huella digital de la empresa promedio y la superficie de ataque fueran más grandes, más distribuidas y más dinámicas, con nuevos activos que se conectan a la red de la empresa diariamente.

Los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y gestión de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden mantenerse al día con la velocidad a la que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. Las pruebas de penetración, por ejemplo, pueden probar vulnerabilidades sospechosas en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar nuevos riesgos cibernéticos y vulnerabilidades que surgen diariamente.

Pero el flujo de trabajo continuo de ASM y la perspectiva de los hackers permiten a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) establecer una postura de seguridad proactiva frente a una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM brindan visibilidad en tiempo real de las vulnerabilidades y los vectores de ataque a medida que surgen.

Pueden aprovechar información de herramientas y procesos tradicionales de evaluación de riesgos y gestión de vulnerabilidades para obtener un mayor contexto al analizar y priorizar las vulnerabilidades. Además, pueden integrarse con las tecnologías de detección y respuesta a amenazas, como la gestión de eventos e información de seguridad (SIEM), la detección y respuesta de endpoints (EDR) o la detección y respuesta ampliadas (XDR), para mejorar la mitigación de amenazas y acelerar la respuesta a ellas en toda la empresa.

La ASM consta de cuatro procesos centrales: descubrimiento, clasificación y priorización de activos, corrección y monitoreo. Nuevamente, debido a que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo continuamente y las soluciones de ASM los automatizan siempre que sea posible. El objetivo es dotar a los equipos de seguridad de un inventario completo y actualizado de los activos expuestos, y acelerar la respuesta a las vulnerabilidades y amenazas que presentan el mayor riesgo para la organización.

El descubrimiento de activos busca e identifica de forma automática y continua el hardware, el software y los activos en la nube orientados a Internet que podrían actuar como puntos de entrada para un hacker o un delincuente cibernético que intente atacar una organización. Estos activos pueden incluir:

• Activos conocidos: toda la infraestructura y los recursos de TI que la organización conoce y gestiona activamente: enrutadores, servidores, dispositivos privados o emitidos por la empresa (PC, computadoras portátiles, dispositivos móviles), dispositivos IoT, directorios de usuarios, aplicaciones desplegadas on premises y en la nube, sitios web y bases de datos propietarias.
  
  
• Activos desconocidos: activos "no inventariados" que emplean recursos de red sin el conocimiento del equipo de TI o de seguridad. La TI en la sombra (hardware o software que se despliega en la red sin aprobación ni supervisión administrativa oficial) es el tipo más común de activo desconocido. Algunos ejemplos de TI en la sombra incluyen sitios web personales, aplicaciones en la nube y dispositivos celulares no gestionados que usan la red de la organización. La TI huérfana (software, sitios web y dispositivos antiguos que ya no se emplean y que no se retiraron correctamente) es otro tipo común de activo desconocido.
  
  
• Activos de terceros o de proveedores: activos que la organización no posee, pero que forman parte de la infraestructura de TI o la cadena de suministro digital de la organización. Estos incluyen aplicaciones de software como servicio (SaaS), API, activos de nube pública o servicios de terceros utilizados en el sitio web de la organización.
  
  
• Activos subsidiarios: cualquier activo conocido, desconocido o de terceros que pertenezca a las redes de las empresas subsidiarias de una organización. Luego de una fusión o adquisición, es posible que estos activos no lleguen inmediatamente a la atención de los equipos de seguridad y TI de la organización matriz.
  
  
• Activos maliciosos o fraudulentos: activos que los actores de amenazas crean o roban para atacar a la empresa. Esto puede incluir un sitio web de phishing que suplante la marca de una empresa, o datos confidenciales robados como parte de una filtración de datos que se compartan en la dark web.

Una vez que se identifican los activos, se clasifican, analizan en busca de vulnerabilidades y se priorizan por "capacidad de ataque", esencialmente una medida objetiva de la probabilidad de que los hackers los ataquen.

Los activos se incluyen en el inventario por identidad, dirección IP, propiedad y conexiones con los demás activos de la infraestructura informática. Se analizan las exposiciones que puedan tener, las causas de esas exposiciones (por ejemplo, configuraciones erróneas, errores de programación, parches que faltan) y los tipos de ataques que los hackers pueden llevar a cabo a través de estas exposiciones (por ejemplo, robo de datos confidenciales, propagación de ransomware u otro malware). 

A continuación, se priorizan las vulnerabilidades para la corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, cada vulnerabilidad recibe una calificación de seguridad o puntuación de riesgo basada en

• Información recopilada durante la clasificación y el análisis.
  
  
• Datos procedentes de fuentes de información sobre amenazas (propias y de código abierto), servicios de calificación de la seguridad, la dark web y otras fuentes sobre la visibilidad de las vulnerabilidades para los hackers, la facilidad con la que se pueden explotar, cómo se explotaron, etc.
  
  
• Resulta de las actividades propias de gestión de vulnerabilidades y evaluación de riesgos de seguridad de la organización. Una de estas actividades, llamada equipo rojo, es esencialmente una prueba de penetración desde el punto de vista del hacker (y a menudo realizada por hackers éticos internos o de terceros). En lugar de probar las vulnerabilidades conocidas o sospechadas, los miembros del equipo rojo prueban todos los activos que un hacker podría intentar explotar.

Por lo general, las vulnerabilidades se corrigen en orden de prioridad. Esto puede implicar:

• Aplicar los controles de seguridad adecuados al activo en cuestión, por ejemplo, aplicar parches de software o sistema operativo, depurar el código de la aplicación, implementar un cifrado de datos más sólido.
  
  
• Poner bajo control activos previamente desconocidos: establecer estándares de seguridad para TI que antes no se gestionaba, retirar de forma segura la TI huérfana, eliminar activos no autorizados e integrar activos subsidiarios en la estrategia, las políticas y los flujos de trabajo de ciberseguridad de la organización.

La corrección también puede implicar medidas más amplias entre activos para abordar las vulnerabilidades, como implementar el acceso con privilegios mínimos o la autenticación multifactor (MFA).

Debido a que los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se despliegan nuevos activos o los activos existentes se despliegan de nuevas maneras, tanto los activos inventariados de la red como la red en sí se monitorean y analizan continuamente en busca de vulnerabilidades. El monitoreo continuo permite a la ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad sobre cualquier nueva vulnerabilidad que necesite atención inmediata.