La gestión de la superficie de ataque (ASM) consiste en la detección, evaluación y mitigación de amenazas al ecosistema de TI de una organización.
Attack Surface Management Definición
La gestión de la superficie de ataque (ASM) es un enfoque de ciberseguridad que tiene como objetivo ayudar a las organizaciones a fortalecer la defensa de sus datos y sistemas al hacer que las amenazas sean más visibles. Se trata de saber dónde existen los riesgos, entender su gravedad relativa y tomar medidas para cerrar las brechas de seguridad relacionadas con personas, procesos y tecnología.
ASM es un enfoque tradicional de ciberseguridad que incluye el descubrimiento y monitoreo de activos. Examina las amenazas potenciales de la misma manera en que un atacante las vería: como oportunidades para violar las defensas de una organización e infligir daños financieros, operativos o reputacionales.
Para comprender la Gestión de la Superficie de Ataque (ASM), primero es necesario saber qué se entiende por superficie de ataque.
La superficie de ataque es el total de todas las formas en que un atacante podría acceder a la red, datos o recursos de TI de una organización. Se compone de tres partes:
La superficie de ataque digital incluye todo el hardware, software y datos que pueden ser accesibles externamente, incluso si están protegidos por medidas como cifrado, protocolos de autenticación o cortafuegos.
La superficie de ataque física consiste en todo el equipo y dispositivos físicos que pueden ser robados o manipulados físicamente para causar una compromisión o violación.
La superficie de ataque social o humana se refiere a todas las personas dentro de una organización con acceso a sistemas y datos que podrían ser engañadas, chantajeadas o manipuladas de alguna otra manera (por ejemplo, a través de un esquema de ingeniería social como el phishing para causar una compromisión o violación).
¿Contra qué protege el ASM?
ASM ayuda a las organizaciones a defenderse de una amplia gama de amenazas, también conocidas como 'vectores de ataque'. Estos incluyen, pero no se limitan a:
Ciberataques
Ransomware, virus y otros malware pueden ser inyectados en los sistemas corporativos, permitiendo a los atacantes acceder a redes y recursos, exfiltrar datos, secuestrar dispositivos y dañar activos y datos.
Problemas de codificación y configuraciones erróneas
Las configuraciones erróneas de tecnologías de red y nube, como puertos, puntos de acceso, protocolos, etc., dejan 'puertas' abiertas para los atacantes y son una causa común de violaciones.
Esquemas de phishing
Estos incluyen correos electrónicos fraudulentos, mensajes de texto, mensajes de voz (e incluso, hoy en día, con deepfakes generados por IA, videollamadas) que engañan a los usuarios y los incitan a realizar acciones que comprometen la ciberseguridad. Esto puede incluir compartir información sensible, hacer clic en enlaces que llevan a malware, liberar fondos que no deberían ser pagados, y más. La IA ha hecho que el phishing sea más difícil de detectar y más dirigido.
Contraseñas débiles y cifrado
Las contraseñas fáciles de adivinar - ya sea porque son obvias, demasiado simples o reutilizadas para múltiples cuentas - pueden dar a los actores malintencionados acceso a los recursos digitales de una organización. Las credenciales robadas también tienen una gran demanda entre los ciberdelincuentes por razones similares. El cifrado está destinado a ocultar la información para que solo las personas autorizadas puedan leerla. Si no es lo suficientemente fuerte, los hackers pueden extraer datos que luego pueden usar para lanzar ataques a mayor escala.
Shadow IT
Las herramientas utilizadas por los empleados de una organización que no forman parte del entorno de TI conocido o autorizado se consideran 'shadow IT' y pueden crear vulnerabilidades precisamente porque el equipo de ciberseguridad no las conoce. Estos incluyen aplicaciones, dispositivos de almacenamiento portátil, teléfonos y tabletas personales, y similares.
¿Cómo funciona el ASM?
ASM tiene tres fases principales: descubrimiento, evaluación y mitigación. Dado que la superficie de ataque está en constante cambio, todas las tres deben llevarse a cabo de manera continua.
Descubrimiento
La fase de descubrimiento define la superficie de ataque y todos los activos que la componen. El objetivo del descubrimiento es identificar todos los dispositivos, software, sistemas y puntos de acceso conocidos y desconocidos que componen la superficie de ataque—incluso incluyendo aplicaciones shadow IT, tecnologías de terceros conectadas y tecnologías que no han formado parte de inventarios anteriores. Aunque muchas soluciones ofrecen el descubrimiento como parte de su solución ASM, es necesario ser discerniente. Busque una solución que integre el cumplimiento y la cuantificación del riesgo cibernético para asegurarse de obtener una imagen completa del riesgo más allá del descubrimiento de activos para mostrar la verdadera exposición. Un proceso de descubrimiento continuo ayuda a revelar cómo la superficie de ataque puede estar cambiando con el tiempo.
Evaluación
Después del descubrimiento, los equipos de seguridad evalúan cada activo en busca de vulnerabilidades potenciales—todo, desde configuraciones erróneas y errores de codificación hasta factores sociales/humanos como la susceptibilidad a esquemas de phishing o ataques de compromiso de correo electrónico empresarial (BEC). Cada riesgo se puntúa, permitiendo a los equipos de seguridad priorizar los que necesitan ser abordados con mayor urgencia.
La puntuación de riesgos generalmente se basa en el nivel de riesgo, la probabilidad de ataque, los daños potenciales y la dificultad de corrección. Idealmente, también debería tener en cuenta la inteligencia global sobre amenazas relativas a las vulnerabilidades que se explotan con mayor frecuencia y facilidad.
Ejemplo: Si un software da acceso a datos sensibles, está conectado a Internet y tiene una vulnerabilidad conocida que ya ha sido explotada por atacantes del mundo real, parchearlo probablemente será una prioridad máxima.
Una vez que todos los riesgos están puntuados, el total se calcula para proporcionar una puntuación de riesgo empresarial general. Eso permite a la organización comparar y monitorear su perfil de riesgo con el tiempo.
Mitigación
La mitigación consiste en tomar medidas para abordar las vulnerabilidades que se han descubierto. Eso podría significar ejecutar actualizaciones de software o instalar parches, configurar controles de seguridad y hardware, o implementar marcos de protección como zero trust. También podría incluir deshacerse de sistemas y software antiguos. De cualquier manera, es crucial que tenga la solución adecuada para ayudarlo a abordar la mitigación de manera escalable.
¿Por qué es Importante el ASM?
Hay dos razones principales por las que se necesita la gestión de la superficie de ataque:
El entorno de TI de las organizaciones necesita ser protegido
La digitalización de todo tipo de trabajos está progresando rápidamente en los últimos años debido a los cambios en el entorno empresarial provocados por la promoción de la transformación digital y los cambios en la forma en que trabajamos, como el trabajo remoto. Como resultado, el entorno de TI se está volviendo más complejo que nunca debido a la introducción de nuevas tecnologías como el uso de dispositivos VPN y servicios en la nube, y el uso de dispositivos IoT.
Por otro lado, muchas organizaciones no pueden mantenerse al día con los rápidos cambios y la creciente complejidad de sus propios entornos de TI y los riesgos que conllevan, y las medidas de seguridad se están dejando en un segundo plano. Como resultado, desde la perspectiva de los ciberdelincuentes, el número de objetivos para los ataques está aumentando.
La sofisticación de los métodos de ataque cibernético
Los métodos utilizados en los ataques cibernéticos y otros crímenes están volviéndose más sofisticados para aumentar la tasa de éxito de los ataques. En el pasado, el principal tipo de ataque cibernético era el tipo 'scatter-and-gather', en el cual programas maliciosos se enviaban a un gran número de destinatarios no especificados a través de correo electrónico u otros medios. Sin embargo, los ataques cibernéticos modernos están volviéndose más sofisticados, con un número creciente de 'ataques dirigidos' que explotan las vulnerabilidades de los VPN y los RDP, así como la información de autenticación robada, para infiltrarse en la red de la organización objetivo y luego realizar actividades internas como la escalada de privilegios, el movimiento lateral y el robo de información.
Como resultado, las organizaciones necesitan considerar no solo los activos digitales que están públicamente disponibles, sino también los activos digitales dentro de la propia organización, e implementar medidas de seguridad en consecuencia.
Tipos de Attack Surface Management
La gestión de la superficie de ataque (ASM) se divide en varios tipos que cubren diferentes aspectos del entorno digital de una organización. Estos incluyen la ASM externa, la ASM interna, la ASM de activos cibernéticos y la ASM de código abierto. Cada tipo juega un papel crucial en la vigilancia y mitigación de riesgos, ofreciendo a las organizaciones un enfoque completo para proteger sus activos digitales.
Gestión de la Superficie de Ataque Externa
La ASM externa se centra en los activos empresariales internos expuestos a Internet público, como aplicaciones web, recursos basados en la nube, direcciones IP y nombres de dominio que podrían ser explotados por atacantes. Estos servicios accesibles a Internet público a menudo son objetivo de atacantes que buscan explotar vulnerabilidades o configuraciones erróneas.
Gestión de la Superficie de Ataque Interna
La ASM interna aborda los riesgos dentro de la red privada de una organización, incluidos dispositivos, aplicaciones y sistemas que no son accesibles públicamente pero que podrían ser explotados si los atacantes obtienen acceso. Es particularmente relevante para combatir amenazas persistentes avanzadas (APT) y amenazas internas, que a menudo implican movimientos laterales y escalada de privilegios dentro de la red. Los sistemas heredados o los servidores internos mal protegidos pueden servir como vulnerabilidades que los atacantes explotan una vez dentro de la red.
Gestión de la Superficie de Ataque de Activos Cibernéticos
La ASM de activos cibernéticos se centra en gestionar y asegurar los activos individuales dentro de una organización, incluidos endpoints, cuentas de usuario, instancias en la nube y dispositivos móviles. Esto es especialmente crítico en los entornos de trabajo híbridos de hoy en día, donde los activos están distribuidos entre infraestructuras locales y basadas en la nube. Las organizaciones que operan en entornos multi-nube a menudo tienen activos diversificados, como contenedores, máquinas virtuales y API.
Gestión de la Superficie de Ataque de Código Abierto
La ASM de código abierto se centra en gestionar los riesgos asociados con las tecnologías de código abierto y la información públicamente accesible. Aunque el software de código abierto se usa ampliamente, introduce vulnerabilidades debido a su transparencia y dependencia de las contribuciones de la comunidad. Además, los atacantes a menudo explotan datos expuestos como credenciales filtradas, claves API o archivos de configuración sensibles encontrados en repositorios abiertos como Github.
Attack Surface Management vs. Cyber Risk Management
La gestión de la superficie de ataque (ASM) es un elemento esencial de la gestión de riesgos cibernéticos, y juntos, ayudan a las organizaciones a mejorar su conciencia situacional de ciberseguridad—identificando, priorizando y mitigando proactivamente las amenazas.
La gestión de riesgos cibernéticos es un enfoque de ciberseguridad general que va más allá de la ASM, centrándose en conocer y mitigar los riesgos en toda la empresa. Un buen marco de gestión de riesgos cibernéticos ayuda a determinar qué riesgos son más relevantes, apoyando la "toma de decisiones informada por el riesgo" para reducir la exposición general a las amenazas. Eso permite a los equipos de seguridad fortalecer las defensas, minimizar las vulnerabilidades e informar los procesos generales de gestión de riesgos y planificación estratégica de sus organizaciones.
¿Cuáles son los beneficios del ASM?
Una buena gestión de la superficie de ataque proporciona una amplia gama de beneficios para las organizaciones, comenzando por fortalecer la postura de seguridad general al aportar mayor visibilidad a todo el entorno de TI y la superficie de ataque. Eso, a su vez, ayuda a reducir el riesgo, apoyado por un monitoreo continuo y una reevaluación para mantener bajos los niveles de riesgo.
Esto brinda tranquilidad al equipo de seguridad, al tiempo que ofrece beneficios significativos para toda la empresa. Tener visibilidad de la superficie de ataque permite una mayor transparencia y control sobre los activos, reduciendo el riesgo de ciberataques y aumentando los ahorros en costos. Cuando los equipos de seguridad pueden actuar más rápido y de manera más efectiva, las organizaciones están mejor posicionadas para garantizar la continuidad del negocio. Porque cuando los ataques se identifican y mitigan antes, hay menos riesgo de interrupciones significativas.
¿Cómo podemos implementar el ASM?
El ASM requiere una solución de gestión de la exposición al riesgo cibernético que esté integrada con una plataforma de ciberseguridad que adopte un enfoque proactivo para llevar a cabo las fases de descubrimiento, evaluación y mitigación.
Elegir una plataforma con sólidas capacidades de operaciones de seguridad, como la gestión de información y eventos de seguridad (SIEM), la detección y respuesta de endpoints (EDR) y la detección y respuesta extendida (XDR) es especialmente importante. El XDR en particular proporciona datos y análisis esenciales sobre cómo están funcionando las protecciones actuales de la superficie de ataque. Esas ideas ayudan a hacer que la fase de evaluación de riesgos sea más precisa.
¿Dónde puedo obtener ayuda con la gestión de la superficie de ataque?
La gestión de la superficie de ataque no es suficiente en el exigente panorama de riesgos de hoy. Las organizaciones necesitan capacidades de gestión de la exposición al riesgo cibernético para predecir, descubrir, evaluar y mitigar proactivamente los riesgos para reducir significativamente su huella de riesgo cibernético.
Trend Vision One™ ofrece una solución de Gestión de la Exposición al Riesgo Cibernético (CREM) que adopta un enfoque revolucionario al combinar capacidades clave como la Gestión de la Superficie de Ataque Externa (EASM), la Gestión de la Superficie de Ataque de Activos Cibernéticos (CAASM), la Gestión de Vulnerabilidades y la Gestión de la Postura de Seguridad a través de la nube, datos, identidad, API, IA, cumplimiento y aplicaciones SaaS en una solución poderosa y fácil de usar.
La Gestión de la Exposición al Riesgo Cibernético puede ayudarlo con la gestión de la superficie de ataque y más allá.