La gestión de la superficie de ataque (ASM) es el descubrimiento, análisis, priorización, corrección y monitoreo continuos de las vulnerabilidades de ciberseguridad y los posibles vectores de ataque que conforman la superficie de ataque de una organización.
A diferencia de otras disciplinas de ciberseguridad, la ASM se hace completamente desde la perspectiva de un hacker, en lugar de la perspectiva del defensor. Identifica los objetivos y evalúa los riesgos en función de las oportunidades que presentan a un atacante malicioso.
La ASM se basa en muchos de los mismos métodos y recursos que emplean los hackers. Muchas tareas y tecnologías de ASM son concebidas y realizadas por "hackers éticos" que están familiarizados con los comportamientos de los delincuentes cibernéticos y tienen la habilidad de duplicar sus acciones.
La gestión de la superficie de ataque externa (EASM), una tecnología de ASM relativamente nueva, a veces se usa de manera indistinta con ASM. Sin embargo, la EASM se centra específicamente en las vulnerabilidades y los riesgos que presentan los activos de TI externos o conectados a Internet de una organización, a veces denominados superficie de ataque digital de una organización.
La ASM también aborda las vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización, como usuarios internos maliciosos o una capacitación inadecuada del usuario final contra las estafas de phishing.
Obtenga insights para gestionar mejor el riesgo de una filtración de datos con el último Informe del costo de una filtración de datos.
La mayor adopción de la nube, la transformación digital y la expansión del trabajo remoto en los últimos años hicieron que la huella digital de la empresa promedio y la superficie de ataque fueran más grandes, más distribuidas y más dinámicas, con nuevos activos que se conectan a la red de la empresa diariamente.
Los procesos tradicionales de descubrimiento de activos, evaluación de riesgos y gestión de vulnerabilidades, que se desarrollaron cuando las redes corporativas eran más estables y centralizadas, no pueden mantenerse al día con la velocidad a la que surgen nuevas vulnerabilidades y vectores de ataque en las redes actuales. Las pruebas de penetración, por ejemplo, pueden probar vulnerabilidades sospechosas en activos conocidos, pero no pueden ayudar a los equipos de seguridad a identificar nuevos riesgos cibernéticos y vulnerabilidades que surgen diariamente.
Pero el flujo de trabajo continuo de ASM y la perspectiva de los hackers permiten a los equipos de seguridad y a los centros de operaciones de seguridad (SOC) establecer una postura de seguridad proactiva frente a una superficie de ataque en constante crecimiento y transformación. Las soluciones de ASM brindan visibilidad en tiempo real de las vulnerabilidades y los vectores de ataque a medida que surgen.
Pueden aprovechar información de herramientas y procesos tradicionales de evaluación de riesgos y gestión de vulnerabilidades para obtener un mayor contexto al analizar y priorizar las vulnerabilidades. Además, pueden integrarse con las tecnologías de detección y respuesta a amenazas —como la gestión de eventos e información de seguridad (SIEM), la detección y respuesta de endpoints (EDR) o la detección y respuesta ampliadas (XDR)— para mejorar la mitigación de amenazas y acelerar la respuesta a ellas en toda la empresa.
La ASM consta de cuatro procesos centrales: descubrimiento, clasificación y priorización de activos, corrección y monitoreo. Nuevamente, debido a que el tamaño y la forma de la superficie de ataque digital cambian constantemente, los procesos se llevan a cabo continuamente y las soluciones de ASM los automatizan siempre que sea posible. El objetivo es dotar a los equipos de seguridad de un inventario completo y actualizado de los activos expuestos, y acelerar la respuesta a las vulnerabilidades y amenazas que presentan el mayor riesgo para la organización.
Descubrimiento de activos
El descubrimiento de activos busca e identifica de forma automática y continua el hardware, el software y los activos en la nube orientados a Internet que podrían actuar como puntos de entrada para un hacker o un delincuente cibernético que intente atacar una organización. Estos activos pueden incluir:
Clasificación, análisis y priorización
Una vez que se identifican los activos, se clasifican, analizan en busca de vulnerabilidades y se priorizan por "capacidad de ataque", esencialmente una medida objetiva de la probabilidad de que los hackers los ataquen.
Los activos se incluyen en el inventario por identidad, dirección IP, propiedad y conexiones con los demás activos de la infraestructura informática. Se analizan las exposiciones que puedan tener, las causas de esas exposiciones (por ejemplo, configuraciones erróneas, errores de programación, parches que faltan) y los tipos de ataques que los hackers pueden llevar a cabo a través de estas exposiciones (por ejemplo, robo de datos confidenciales, propagación de ransomware u otro malware).
A continuación, se priorizan las vulnerabilidades para la corrección. La priorización es un ejercicio de evaluación de riesgos: por lo general, cada vulnerabilidad recibe una calificación de seguridad o puntuación de riesgo basada en
Corrección
Por lo general, las vulnerabilidades se corrigen en orden de prioridad. Esto puede implicar:
La corrección también puede implicar medidas más amplias entre activos para abordar las vulnerabilidades, como implementar el acceso con privilegios mínimos o la autenticación multifactor (MFA).
Supervisión
Debido a que los riesgos de seguridad en la superficie de ataque de la organización cambian cada vez que se despliegan nuevos activos o los activos existentes se despliegan de nuevas maneras, tanto los activos inventariados de la red como la red en sí se monitorean y analizan continuamente en busca de vulnerabilidades. El monitoreo continuo permite a la ASM detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real, y alertar a los equipos de seguridad sobre cualquier nueva vulnerabilidad que necesite atención inmediata.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección que podrían exponer sus activos más críticos.
La superficie de ataque de una organización es la suma de sus vulnerabilidades de ciberseguridad.
Las amenazas internas se producen cuando los usuarios con acceso autorizado a los activos de una empresa los ponen en peligro de forma deliberada o accidental.
Un enfoque de confianza cero requiere que todos los usuarios, ya sea fuera o dentro de la red, estén autenticados, autorizados y validados continuamente para obtener y mantener el acceso a las aplicaciones y los datos.
El malware es un código de software escrito para dañar o destruir computadoras o redes, o para proporcionar acceso no autorizado a computadoras, redes o datos.
Una guía para proteger su entorno y cargas de trabajo de computación en la nube.
La seguridad de los datos es la práctica de proteger la información digital del robo, la corrupción o el acceso no autorizado a lo largo de su ciclo de vida.