La gestión de la superficie de ataque (ASM) se refiere a los procesos y tecnologías que adoptan la visión y el enfoque de un hacker sobre la superficie de ataque de una organización, descubriendo y monitoreando continuamente los activos y vulnerabilidades que los hacker ven e intentan explotar cuando atacan a la organización. La ASM por lo general se compone de:
Descubrimiento, inventario y monitoreo continuos de activos potencialmente vulnerables. Cualquier iniciativa de ASM comienza con un inventario completo y continuamente actualizado de los activos de TI de una organización orientados a Internet, incluidos los activos on premises y en la nube. Adoptar el enfoque de un hacker garantiza el descubrimiento no solo de activos conocidos, sino también de aplicaciones o dispositivos de TI en la sombra. Es posible que estas aplicaciones o dispositivos se abandonaron pero no se eliminaron o desactivado (TI huérfana). O activos que son plantados por hackers o malware (TI no autorizada), y más, esencialmente cualquier activo que pueda ser explotado por un hacker o una amenaza cibernética.
Una vez descubiertos, los activos se monitorean continuamente, en tiempo real, en busca de cambios que aumenten su riesgo como vector de ataque potencial.
Análisis de la superficie de ataque, evaluación de riesgos y priorización. Las tecnologías ASM califican con puntajes los activos de acuerdo con las vulnerabilidades y los riesgos de seguridad que plantean, y los priorizan para la respuesta o corrección de amenazas.
Reducción y corrección de la superficie de ataque. Los equipos de seguridad pueden aplicar sus hallazgos del análisis de la superficie de ataque y el equipo rojo para tomar diversas acciones a corto plazo para reducir la superficie de ataque. Estos pueden incluir la aplicación de contraseñas más seguras, la desactivación de aplicaciones y dispositivos de endpoint que ya no están en uso, la aplicación de parches de aplicaciones y sistemas operativos, la capacitación de usuarios para reconocer estafas de phishing, la institución de controles de acceso biométrico para la entrada a la oficina o la revisión de controles y políticas de seguridad en torno a las descargas de software y los medios extraíbles.
Las organizaciones también pueden tomar medidas de seguridad más estructurales o a largo plazo para reducir su superficie de ataque, ya sea como parte de una iniciativa de gestión de la superficie de ataque o de forma independiente. Por ejemplo, implementar la autenticación de dos factores (2fa) o la autenticación multifactor puede reducir o eliminar posibles vulnerabilidades asociadas con contraseñas débiles o una mala higiene de contraseñas.
En una escala más amplia, un enfoque de seguridad de confianza cero puede reducir significativamente la superficie de ataque de una organización. Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos. Los principios y tecnologías de confianza cero (validación continua, acceso con privilegios mínimos, monitoreo continuo, microsegmentación de red) pueden reducir o eliminar muchos vectores de ataque y proporcionar datos valiosos para el análisis continuo de la superficie de ataque.
Más información sobre la gestión de la superficie de ataque