La gestión de la superficie de ataque (ASM) es el descubrimiento, análisis, remediación y supervisión continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman la superficie de ataque de una organización.

A diferencia de otras disciplinas de ciberseguridad, ASM se realiza completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan para un atacante malicioso. ASM se basa en muchos de los mismos métodos y recursos que utilizan los hackers, y muchas tareas y tecnologías de ASM son diseñadas y realizadas por "hackers éticos" familiarizados con los comportamientos de los ciberdelincuentes y capacitados para emular sus acciones.

La gestión de la superficie de ataque externo (EASM), una tecnología ASM relativamente nueva, a veces se usa indistintamente con ASM. Pero EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o de Internet de una organización (a veces denominados superficie de ataque digital de una organización). La ASM también aborda las vulnerabilidades en las superficies de ataque de ingeniería social y física de una organización, como los internos maliciosos o la capacitación inadecuada del usuario final contra las estafas de phishing.

La adopción de la nube, la transformación digital y la expansión del trabajo remoto, todo acelerado por la pandemia de COVID-19, han hecho que la huella digital de la empresa promedio y la superficie de ataque sean más grandes, más distribuidas y más dinámicas, con nuevos activos que se conectan a la red de la empresa diariamente.

Según el informe State of Attack Surface Management 2022 (enlace externo a ibm.com) de Randori, el 67 % de las organizaciones han visto expandirse sus superficies de ataque en los últimos 12 meses, y el 69 % se ha visto comprometida por un activo con acceso a Internet desconocido o mal gestionado en el último año (Randori es una subsidiaria de IBM Corp.). Los analistas de la industria de Gartner (enlace externo a ibm.com) nombraron la expansión de la superficie de ataque como una prioridad principal de gestión de riesgos y seguridad para los CISO en 2022.

Los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y gestión de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden seguir el ritmo con el que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. Las pruebas de penetración, por ejemplo, pueden detectar vulnerabilidades sospechosas en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar nuevos riesgos cibernéticos y vulnerabilidades que surgen a diario.

Pero el flujo de trabajo continuo de ASM y la perspectiva del hacker permiten que los equipos de seguridad y los centros de operaciones de seguridad (SOC) establezcan una postura de seguridad proactiva frente a una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM brindan visibilidad en tiempo real de las vulnerabilidades y los vectores de ataque a medida que surgen. Pueden aprovechar la información de las herramientas y procesos tradicionales de evaluación de riesgos y gestión de vulnerabilidades para obtener un mayor contexto al analizar y priorizar las vulnerabilidades. Y pueden integrarse con tecnologías de detección y respuesta a amenazas, incluida la gestión de eventos e información de seguridad (SIEM), detección y respuesta de punto final (EDR) o detección y respuesta extendida (XDR), para mejorar la mitigación de amenazas y acelerar la respuesta a amenazas en toda la empresa.

La ASM consta de cuatro procesos centrales: descubrimiento de activos, clasificación y priorización, remediación y supervisión. Nuevamente, debido a que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo continuamente y las soluciones de ASM automatizan estos procesos siempre que sea posible. El objetivo es garantizar que el equipo de seguridad siempre tenga un inventario completo y actualizado de los activos expuestos y acelerar la respuesta a las vulnerabilidades y amenazas que presentan el mayor riesgo para la organización.

Descubrimiento de activos

El descubrimiento de activos busca e identifica de forma automática y continua el hardware, el software y los activos en la nube de Internet que podrían actuar como puntos de entrada para un hacker o un ciberdelincuente que intente atacar una organización. Estos activos pueden incluir

• Activos conocidos: toda la infraestructura y los recursos de TI que la organización conoce y gestiona activamente: routers, servidores, dispositivos privados o de propiedad privada (PC, portátiles, dispositivos móviles), dispositivos del IoT, directorios de usuarios, aplicaciones implementadas en las instalaciones y en la nube, sitios web y bases de datos propietarias.
  
  
• Activos desconocidos: activos no inventariados que usan recursos de red sin el conocimiento del equipo de TI o de seguridad. TI en la sombra (hardware o software implementado en la red sin aprobación ni supervisión administrativa oficial) es el tipo más común de activo desconocido. Una fuente sin costo descargada en la computadora de un usuario, sitios web personales o aplicaciones en la nube que se usan a través de la red de la organización y un dispositivo móvil personal no gestionado que se usa para acceder a la información de la empresa son ejemplos de TI en la sombra. La TI huérfana (software antiguo, sitios web y dispositivos que ya no se utilizan y que no se han retirado correctamente) es otro tipo común de activo desconocido.
  
  
• Activos de proveedores o terceros: activos que la organización no posee, pero que son parte de la infraestructura de TI o la cadena de suministro digital de la organización. Estos incluyen aplicaciones de software como servicio (SaaS), API, activos de nube pública o servicios de terceros utilizados en el sitio web de la organización.
  
  
• Activos subsidiarios: cualquier activo conocido, desconocido o de terceros que pertenezca a las redes de las empresas subsidiarias de una organización. Después de una fusión o adquisición, es posible que estos activos no llamen inmediatamente la atención de los equipos de TI y seguridad de la organización matriz.
  
  
• Activos maliciosos o fraudulentos: activos creados o robados por actores de amenazas para dañar el negocio. Esto puede incluir un sitio web de phishing que se hace pasar por la marca de una empresa o datos confidenciales robados como parte de una brecha de seguridad de datos que se comparte en la web oscura.

Clasificación, análisis y priorización

Una vez que se identifican los activos, se clasifican, se analizan en busca de vulnerabilidades y se priorizan por "capacidad de ataque", esencialmente una medida objetiva de la probabilidad de que los hackers se dirijan a ellos.

Los activos se clasifican por identidad, dirección IP, propiedad y conexiones a otros activos en la infraestructura de TI. Se analizan en busca de exposiciones que puedan tener, las causas de esas exposiciones (p. ej., configuraciones incorrectas, errores de codificación, parches faltantes) y los tipos de ataques que los hackers pueden llevar a cabo a través de estas exposiciones (p. ej., robo de datos confidenciales, difusión de ransomware u otro malware). 

A continuación, se priorizan las vulnerabilidades para su corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, a cada vulnerabilidad se le otorga una calificación de seguridad o una puntuación de riesgo basada en

• información recopilada durante la clasificación y el análisis;
  
  
• datos de fuentes de inteligencia de amenazas (propietarias y de código abierto), servicios de calificación de seguridad, la web oscura y otras fuentes sobre qué tan visibles son las vulnerabilidades para los hackers, qué tan fáciles son de explotar, cómo han sido explotadas, etc.;
  
  
• resultados de las propias actividades de evaluación de riesgos de seguridad y gestión de vulnerabilidades de la organización. Una de esas actividades, llamada "red teaming", es esencialmente una prueba de penetración desde el punto de vista del hacker (y, a menudo, realizada por hackers éticos internos o de terceros). En lugar de probar vulnerabilidades conocidas o sospechadas, los red teamers prueban todos los activos que un hacker podría intentar explotar.

Remediación

Por lo general, las vulnerabilidades se corrigen en orden de prioridad. Esto puede implicar:

• Aplicar controles de seguridad apropiados al activo en cuestión, por ejemplo, aplicar parches de software o sistema operativo, depurar el código de la aplicación, implementar un cifrado de datos más fuerte
  
  
• Controlar los activos previamente desconocidos: establecer estándares de seguridad para TI previamente no gestionada, retirar de forma segura la TI huérfana, eliminar activos no autorizados, integrar activos subsidiarios en la estrategia, las políticas y los flujos de trabajo de ciberseguridad de la organización.

La remediación también puede implicar medidas más amplias de activos cruzados para abordar las vulnerabilidades, como implementar el acceso con privilegios mínimos o la autenticación multifactor (MFA).

Supervisión

Debido a que los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se implementan nuevos activos o los activos existentes se implementan de nuevas maneras, tanto los activos inventariados de la red como la red misma se supervisan y escanean continuamente en busca de vulnerabilidades. La supervisión continua permite a ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad sobre cualquier nueva vulnerabilidad que requiera atención inmediata.