La gestión de la superficie de ataque (ASM) es el descubrimiento, la evaluación y la mitigación de amenazas al ecosistema de TI de una organización.
La gestión de la superficie de ataque (ASM) es un enfoque de ciberseguridad que pretende ayudar a las organizaciones a reforzar la defensa de sus datos y sistemas haciendo más visibles las amenazas. Se trata de saber dónde existen riesgos, comprender su gravedad relativa y tomar medidas para cerrar las brechas de seguridad relacionadas con las personas, los procesos y la tecnología.
ASM es un enfoque de ciberseguridad tradicional que incluye el descubrimiento y la supervisión de activos. Considera las amenazas potenciales como las vería un atacante: como oportunidades para traspasar las defensas de una organización e infligir daños financieros, operativos o reputacionales.
¿Cuál es la superficie de ataque?
La superficie de ataque es la suma total de todas las formas en las que un atacante puede obtener acceso a la red, los datos o los recursos de TI de una organización. Tiene tres partes:
- La superficie de ataque digital es todo el hardware, software y datos a los que se puede acceder externamente, incluso si están protegidos por cifrado, protocolos de autenticación, firewalls u otras medidas.
- La superficie de ataque físico consta de todo el equipo físico y los dispositivos que pueden ser robados o interactuar físicamente con ellos para causar un compromiso o una filtración.
- La superficie de ataque social o humana se refiere a todas las personas de una organización con acceso a sistemas y datos que podrían ser engañadas, chantajeadas o manipuladas de alguna otra forma (por ejemplo, mediante un esquema de ingeniería social como el phishing) para provocar un compromiso o una brecha.
Gestión de la superficie de ataque frente a gestión de ciberriesgos
La gestión de la superficie de ataque (ASM) es un elemento esencial de la gestión del ciberriesgo y, juntos, ayudan a las organizaciones a mejorar su conocimiento de la situación de ciberseguridad, identificando, priorizando y mitigando proactivamente las amenazas.
La gestión de ciberriesgos es un enfoque de ciberseguridad general que va más allá de ASM, centrándose en conocer y mitigar los riesgos en toda su empresa. Un buen marco de gestión de ciberriesgos ayuda a determinar qué riesgos son los más relevantes, apoyando la “toma de decisiones informada por el riesgo” para reducir la exposición global a las amenazas. Esto permite a los equipos de seguridad fortalecer las defensas, minimizar las vulnerabilidades e informar a los procesos de planificación estratégica y gestión de riesgos generales de sus organizaciones.
Gestión de la superficie de ataque frente a gestión de la superficie de ataque externa (EASM)
La gestión de la superficie de ataque externa (EASM) se centra específicamente en las vulnerabilidades y los riesgos asociados a los dispositivos y sistemas orientados al exterior, incluidos los conectados a Internet. La superficie de ataque interna, que puede incluir equipos locales y recursos particionados, no está cubierta por EASM.
¿Por qué es importante ASM?
ASM se ha vuelto extremadamente importante porque los entornos de TI empresariales son más dinámicos e interconectados que nunca, haciendo que la superficie de ataque sea más grande y variada. Los enfoques tradicionales de detección y supervisión de activos y las soluciones “puntuales” de ciberseguridad no pueden proporcionar toda la visibilidad, inteligencia o protección necesarias. ASM, por otro lado, permite a los equipos de seguridad reducir el número de rutas en el ecosistema de TI empresarial y obtener una visión en tiempo real de las vulnerabilidades emergentes y los vectores de ataque.
¿Con qué protege ASM?
ASM ayuda a las organizaciones a defenderse frente a una amplia gama de amenazas, también conocidas como “vectores de ataque”. Estos incluyen, entre otros:
- Ciberataques: El ransomware, los virus y otro malware se pueden inyectar en los sistemas corporativos, lo que permite a los atacantes acceder a redes y recursos, filtrar datos, secuestrar dispositivos y dañar activos y datos.
- Problemas de codificación y configuraciones erróneas: Las configuraciones erróneas de las tecnologías de red y de nube como puertos, puntos de acceso, protocolos y similares dejan las "puertas" abiertas para los atacantes y son una causa común de filtraciones.
- Esquemas de phishing: Estos incluyen correos electrónicos fraudulentos, mensajes de texto, mensajes de voz (e incluso, hoy en día, con deepfakes generados por IA, videollamadas) que engañan a los usuarios y les incitan a realizar acciones que comprometen la ciberseguridad. Puede tratarse de compartir información confidencial, hacer clic en enlaces que conducen a programas maliciosos, liberar fondos que no deberían pagarse, etc. La IA ha ayudado a hacer que el phishing sea más difícil de detectar y más dirigido.
- Aplicaciones y tecnologías obsoletas: Los sistemas operativos de software, firmware y dispositivos deben codificarse correctamente y parchearse contra vulnerabilidades y amenazas conocidas; de lo contrario, pueden proporcionar a los atacantes una forma de infringir una organización. Los dispositivos antiguos que siguen formando parte del entorno informático pero que no se mantienen o no se utilizan activamente también pueden proporcionar puntos de acceso convenientes para los atacantes, ya que a menudo no se supervisan.
- Contraseñas y cifrado débiles: Las contraseñas fáciles de adivinar, ya sea porque son obvias, demasiado simples o se reutilizan para múltiples cuentas, pueden dar a los agentes maliciosos acceso a los recursos digitales de una organización. Las credenciales robadas también tienen una gran demanda entre los cibercriminales por motivos similares. El cifrado pretende ocultar la información para que solo las personas autorizadas puedan leerla. Si no es lo suficientemente fuerte, los hackers pueden extraer datos que pueden utilizar para lanzar ataques a gran escala.
- TI en la sombra: Las herramientas utilizadas por los empleados de una organización que no forman parte del entorno informático conocido o sancionado se consideran «TI en la sombra» y pueden crear vulnerabilidades precisamente porque el equipo de ciberseguridad no las conoce. Estas incluyen aplicaciones, dispositivos de almacenamiento portátiles, teléfonos personales, tablets, y similares.
¿Cómo funciona ASM?
ASM tiene tres fases principales: descubrimiento, evaluación y mitigación. Debido a que la superficie de ataque está en constante evolución, los tres deben llevarse a cabo continuamente.
Descubrimiento
La fase de descubrimiento define la superficie de ataque y todos los activos que la componen. El objetivo del descubrimiento es identificar todos los dispositivos, software, sistemas y puntos de acceso conocidos y desconocidos que componen la superficie de ataque, incluso las aplicaciones de TI en la sombra, las tecnologías de terceros conectados y las tecnologías que no han formado parte de inventarios anteriores. Aunque muchas soluciones ofrecen la detección como parte de su solución ASM, hay que ser exigente y buscar una solución que integre el cumplimiento y la cuantificación del riesgo cibernético para asegurarse de que se obtiene la imagen completa del riesgo más allá de la detección de activos para mostrar la verdadera exposición. Un proceso de descubrimiento continuo ayuda a revelar cómo la superficie de ataque puede estar cambiando con el tiempo.
Evaluación
Tras el descubrimiento, los equipos de seguridad evalúan cada activo en busca de posibles vulnerabilidades, desde configuraciones erróneas y errores de codificación hasta factores sociales/humanos como la susceptibilidad a esquemas de phishing o ataques de riesgo de email empresarial (BEC). Cada riesgo se puntúa, lo que permite a los equipos de seguridad priorizar los que deben abordarse de forma más urgente.
La puntuación del riesgo se basa generalmente en el nivel de riesgo, la probabilidad de ataque, los posibles daños y la dificultad de remediación. Lo ideal sería que también tuviera en cuenta la información sobre amenazas globales en relación con las vulnerabilidades que se explotan con más frecuencia y facilidad.
Ejemplo: Si una pieza de software proporciona acceso a datos confidenciales, está conectada a Internet y tiene una vulnerabilidad conocida que ya ha sido aprovechada por atacantes del mundo real, aplicar parches probablemente será una prioridad principal.
Una vez que se puntúan todos los riesgos, se calcula el total para proporcionar una puntuación de riesgo empresarial general. Esto permite a la organización comparar y supervisar su perfil de riesgo a lo largo del tiempo.
Mitigación
La mitigación consiste en tomar medidas para hacer frente a las vulnerabilidades que se han descubierto. Eso puede significar ejecutar actualizaciones de software o instalar parches, establecer controles de seguridad y hardware, o implantar marcos de protección como el de confianza cero. También podría incluir deshacerse de sistemas y software antiguos. En cualquier caso, es fundamental que tenga la solución adecuada para ayudarle a abordar la mitigación de forma escalable.
¿Cuáles son los beneficios de ASM?
Una buena gestión de la superficie de ataque proporciona una amplia gama de beneficios para las organizaciones, empezando por fortalecer la postura de seguridad general aportando más visibilidad a todo el entorno de TI y la superficie de ataque. Esto, a su vez, ayuda a reducir el riesgo, respaldado por una supervisión y reevaluación continuas para mantener bajos los niveles de riesgo.
Esto da tranquilidad al equipo de seguridad, además de ofrecer importantes beneficios a la empresa en general. Tener visibilidad de la superficie de ataque permite una mayor transparencia y control sobre los activos, reduciendo el riesgo de ciberataques y aumentando el ahorro de costes. Cuando los equipos de seguridad pueden actuar de forma más rápida y eficaz, las organizaciones pueden estar mejor posicionadas para garantizar la continuidad del negocio. Porque cuando los ataques se identifican y mitigan antes, hay menos riesgo de que se produzcan trastornos importantes.
¿Cómo podemos implementar ASM?
ASM requiere una solución de gestión de exposición al ciberriesgo que esté integrada con una plataforma de ciberseguridad que adopte un enfoque proactivo para llevar a cabo las fases de descubrimiento, evaluación y mitigación.
Es especialmente importante elegir una plataforma con sólidas capacidades de operación de seguridad, como la gestión de eventos e información de seguridad (SIEM), la detección y respuesta de endpoints (EDR) y la detección y respuesta extendidas (XDR). En particular, XDR proporciona datos y análisis esenciales sobre el rendimiento de las protecciones actuales de la superficie de ataque. Estos conocimientos ayudan a que la fase de evaluación de riesgos sea más precisa.
¿Dónde puedo obtener ayuda con la gestión de la superficie de ataque?
La gestión de la superficie de ataque no es suficiente en el exigente panorama de riesgo actual. Las organizaciones requieren capacidades de gestión de exposición al ciberriesgo para predecir, descubrir, evaluar y mitigar riesgos de forma proactiva y reducir significativamente su huella de ciberriesgo.
Trend Vision One ofrece una solución de gestión de exposición al ciberriesgo (CREM) que adopta un enfoque revolucionario combinando capacidades clave como gestión de superficie de ataque externo (EASM), gestión de superficie de ataque de activos cibernéticos (CAASM), gestión de vulnerabilidades y gestión de postura de seguridad en la nube, datos, identidad, API, Al, cumplimiento de normativa y aplicaciones SaaS en una solución potente y fácil de usar.
Obtenga más información sobre cómo la gestión de la exposición al ciberriesgo puede ayudarle con la gestión de la superficie de ataque y mucho más.