La gestión de la superficie de ataque (ASM) es el descubrimiento, análisis, remediación y supervisión continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman la superficie de ataque de una organización.
A diferencia de otras disciplinas de ciberseguridad, ASM se realiza completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor. Identifica objetivos y evalúa los riesgos en función de las oportunidades que presentan para un atacante malicioso. ASM se basa en muchos de los mismos métodos y recursos que utilizan los hackers, y muchas tareas y tecnologías de ASM son diseñadas y realizadas por "hackers éticos" familiarizados con los comportamientos de los ciberdelincuentes y capacitados para emular sus acciones.
La gestión de la superficie de ataque externo (EASM), una tecnología ASM relativamente nueva, a veces se usa indistintamente con ASM. Pero EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o de Internet de una organización (a veces denominados superficie de ataque digital de una organización). La ASM también aborda las vulnerabilidades en las superficies de ataque de ingeniería social y física de una organización, como los internos maliciosos o la capacitación inadecuada del usuario final contra las estafas de phishing.
La adopción de la nube, la transformación digital y la expansión del trabajo remoto, todo acelerado por la pandemia de COVID-19, han hecho que la huella digital de la empresa promedio y la superficie de ataque sean más grandes, más distribuidas y más dinámicas, con nuevos activos que se conectan a la red de la empresa diariamente.
Según el informe State of Attack Surface Management 2022 (enlace externo a ibm.com) de Randori, el 67 % de las organizaciones han visto expandirse sus superficies de ataque en los últimos 12 meses, y el 69 % se ha visto comprometida por un activo con acceso a Internet desconocido o mal gestionado en el último año (Randori es una subsidiaria de IBM Corp.). Los analistas de la industria de Gartner (enlace externo a ibm.com) nombraron la expansión de la superficie de ataque como una prioridad principal de gestión de riesgos y seguridad para los CISO en 2022.
Los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y gestión de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden seguir el ritmo con el que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. Las pruebas de penetración, por ejemplo, pueden detectar vulnerabilidades sospechosas en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar nuevos riesgos cibernéticos y vulnerabilidades que surgen a diario.
Pero el flujo de trabajo continuo de ASM y la perspectiva del hacker permiten que los equipos de seguridad y los centros de operaciones de seguridad (SOC) establezcan una postura de seguridad proactiva frente a una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM brindan visibilidad en tiempo real de las vulnerabilidades y los vectores de ataque a medida que surgen. Pueden aprovechar la información de las herramientas y procesos tradicionales de evaluación de riesgos y gestión de vulnerabilidades para obtener un mayor contexto al analizar y priorizar las vulnerabilidades. Y pueden integrarse con tecnologías de detección y respuesta a amenazas, incluida la gestión de eventos e información de seguridad (SIEM), detección y respuesta de punto final (EDR) o detección y respuesta extendida (XDR), para mejorar la mitigación de amenazas y acelerar la respuesta a amenazas en toda la empresa.
La ASM consta de cuatro procesos centrales: descubrimiento de activos, clasificación y priorización, remediación y supervisión. Nuevamente, debido a que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo continuamente y las soluciones de ASM automatizan estos procesos siempre que sea posible. El objetivo es garantizar que el equipo de seguridad siempre tenga un inventario completo y actualizado de los activos expuestos y acelerar la respuesta a las vulnerabilidades y amenazas que presentan el mayor riesgo para la organización.
Descubrimiento de activos
El descubrimiento de activos busca e identifica de forma automática y continua el hardware, el software y los activos en la nube de Internet que podrían actuar como puntos de entrada para un hacker o un ciberdelincuente que intente atacar una organización. Estos activos pueden incluir
Clasificación, análisis y priorización
Una vez que se identifican los activos, se clasifican, se analizan en busca de vulnerabilidades y se priorizan por "capacidad de ataque", esencialmente una medida objetiva de la probabilidad de que los hackers se dirijan a ellos.
Los activos se clasifican por identidad, dirección IP, propiedad y conexiones a otros activos en la infraestructura de TI. Se analizan en busca de exposiciones que puedan tener, las causas de esas exposiciones (p. ej., configuraciones incorrectas, errores de codificación, parches faltantes) y los tipos de ataques que los hackers pueden llevar a cabo a través de estas exposiciones (p. ej., robo de datos confidenciales, difusión de ransomware u otro malware).
A continuación, se priorizan las vulnerabilidades para su corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, a cada vulnerabilidad se le otorga una calificación de seguridad o una puntuación de riesgo basada en
Remediación
Por lo general, las vulnerabilidades se corrigen en orden de prioridad. Esto puede implicar:
La remediación también puede implicar medidas más amplias de activos cruzados para abordar las vulnerabilidades, como implementar el acceso con privilegios mínimos o la autenticación multifactor (MFA).
Supervisión
Debido a que los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se implementan nuevos activos o los activos existentes se implementan de nuevas maneras, tanto los activos inventariados de la red como la red misma se supervisan y escanean continuamente en busca de vulnerabilidades. La supervisión continua permite a ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad sobre cualquier nueva vulnerabilidad que requiera atención inmediata.
Gestione la expansión de su huella digital y alcance el objetivo con menos falsos positivos para mejorar rápidamente la resiliencia cibernética de su organización.
Conecte sus herramientas, automatice su centro de operaciones de seguridad (SOC) y libere tiempo para lo que más importa.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la reparación de fallas que podrían exponer sus activos más importantes
La superficie de ataque de una organización es la suma de sus vulnerabilidades de ciberseguridad.
Las amenazas internas ocurren cuando los usuarios con acceso autorizado a los activos de una empresa comprometen esos activos de forma deliberada o accidental.
Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos
El malware es un código de software escrito para dañar o destruir computadoras o redes, o para proporcionar acceso no autorizado a computadoras, redes o datos.
Una guía para proteger su entorno informático en la nube y sus cargas de trabajo.
La seguridad de datos es la práctica de proteger la información digital ante posibles robos, corrupción o accesos no autorizados a lo largo de su ciclo de vida.