La gestión de la superficie de ataque externo (EASM) es un enfoque de ciberseguridad centrado en identificar, supervisar y mitigar los riesgos asociados con los datos, los sistemas y las tecnologías que están conectados al mundo exterior.
La superficie de ataque de una organización es el conjunto total de vulnerabilidades, puntos de acceso y vectores de ataque que los agentes maliciosos pueden utilizar para obtener acceso no autorizado a sistemas y datos. Es el objetivo de los delincuentes cuando quieren interrumpir sistemas, robar datos, pedir un rescate o realizar cualquier otro tipo de acción maliciosa.
Cada organización tiene una superficie de ataque interna y externa. La superficie de ataque interna comprende todo lo que constituye el entorno de red interno: infraestructura, dispositivos, aplicaciones, usuarios y más.
La superficie de ataque externa, como su nombre sugiere, es toda la tecnología a la que se enfrenta, e interactúa con, el mundo exterior a través de Internet, servicios en la nube, conectividad móvil y similares. También incluye conexiones con proveedores externos, partners, proveedores y trabajadores remotos.
La gestión de la superficie de ataque externa (EASM) es el proceso de proteger los activos, recursos y tecnologías expuestos externamente. Recibe especial atención porque tantas amenazas provienen de organizaciones externas y porque la superficie de ataque externa en particular es más dinámica y compleja que nunca. Una organización que puede gestionar proactivamente su superficie de ataque externa es capaz de fortalecer drásticamente su postura de seguridad.
Gestión de la superficie de ataque externa frente a gestión de la superficie de ataque
La gestión de la superficie de ataque (ASM) es un término general que cubre toda la superficie de ataque, tanto interna como externa. La gestión de la superficie de ataque externa se centra únicamente en los riesgos externos. Ambos tipos de gestión de la superficie de ataque tienen tres dimensiones: digital, física y social/humana. Ambos requieren un proceso continuo de tres pasos de descubrimiento, evaluación y mitigación.
¿Por qué es importante EASM?
EASM se ha vuelto cada vez más importante a medida que las redes se han interconectado y abierto. Quedaron atrás los días en los que las gateways y los firewalls se podían mantener fuera a los malos de forma fiable, respaldados por pruebas de penetración y vulnerabilidad rutinarias. Hoy en día, las redes tienen menos “fronteras duras” que proteger de las formas tradicionales, lo que crea nuevas y abundantes oportunidades para que los ciberdelincuentes accedan a sistemas y datos y causen daños.
Al mismo tiempo, la TI empresarial se ha vuelto muy descentralizada. Las unidades de negocio y los usuarios individuales pueden poner en marcha recursos en la nube sin ayuda del departamento de TI. Los servicios y aplicaciones de TI en la sombra son descontrolados y muchos trabajadores utilizan dispositivos personales en redes corporativas o con fines laborales.
Todo esto significa que la superficie de ataque externa tiene más vulnerabilidades que nunca y exige un enfoque coordinado e integral para la gestión de ciberriesgos. EASM permite ver toda la superficie de ataque externa, lo que posibilita una supervisión y mitigación continuas. Esto permite a los equipos de ciberseguridad comprender dónde están más en riesgo sus organizaciones y tomar medidas para hacer algo al respecto.
¿Con qué protege EASM?
La mayoría de los vectores de ataque (métodos de realización de un ciberataque) se dirigen a la superficie de ataque externa. Entre los más comunes se encuentran el ransomware y los esquemas de phishing, así como las incursiones destinadas a robar datos privados o de gran valor, o a interrumpir los sistemas operativos. EASM ayuda a los equipos de seguridad a reducir la superficie de ataque externa para que vectores como estos tengan menos oportunidades de entrar en el entorno empresarial.
EASM también equipa a las organizaciones para cumplir con las leyes y normativas de privacidad y protección de datos proporcionando una mayor visibilidad en la superficie de ataque externa y permitiendo a los equipos de seguridad prevenir o contener filtraciones.
Ejemplos de elementos de superficie de ataque externos
Cualquier sistema o servicio accesible a Internet puede formar parte de la superficie de ataque externa. Cada organización tendrá su propia combinación específica de dispositivos y tecnologías que están orientadas hacia el exterior y potencialmente expuestas. Algunos comunes incluyen:
- Aplicaciones web: Cualquier empresa con un sitio de comercio electrónico o un motor de reservas está ejecutando una aplicación web (web app). Esto hace que las aplicaciones web sean una gran parte de las superficies de ataque externas de muchas organizaciones, accesibles para cualquier persona con conexión a Internet. Si una aplicación web está mal configurada o mal protegida, un malhechor puede utilizar esas vulnerabilidades para desplegar malware, robar datos o acceder a los sistemas corporativos back-end conectados a la aplicación web.
- Servicios en la nube: Los servicios en la nube y la infraestructura virtualizada proporcionan a las organizaciones acceso a recursos informáticos convenientes, flexibles y altamente escalables. Pero como requieren una conexión de red externa para que una organización las utilice, están expuestas y son potencialmente vulnerables a los ataques. Al igual que con las aplicaciones web, cuando la infraestructura en la nube está mal configurada, los hackers pueden aprovechar esas debilidades.
- Sistemas de acceso remoto: La explosión del trabajo remoto e híbrido durante y desde la pandemia requiere que los trabajadores accedan a los sistemas y datos corporativos desde sus redes domésticas o desde redes potencialmente inseguras en sus desplazamientos. Las tecnologías utilizadas para proteger esas conexiones, como las redes privadas virtuales (VPN), han llegado a ser objetivo de los atacantes como vías hacia los entornos de TI corporativos.
- Dispositivos de Internet de las cosas (IoT): Muchas empresas y edificios disponen ya de IoT para todo, desde controles ambientales hasta sistemas de seguridad, incluidos los hogares de los trabajadores y las oficinas domésticas. Esos dispositivos también constituyen una parte creciente de la superficie de ataque externa.
Otra área de exposición externa que las organizaciones necesitan tener en cuenta en sus estrategias de EASM implica relaciones con proveedores externos. Muchas empresas dependen de terceros para servicios comerciales, financieros y técnicos, como los proveedores de servicios gestionados (MSP) para TI y los socios de procesamiento de pagos. Cualquier conectividad entre esos terceros y los activos de TI de la organización puede ser un objetivo potencial para los atacantes.
¿Cómo funciona EASM?
Al igual que la gestión general de la superficie de ataque (ASM), EASM implica un proceso continuo y repetido de descubrimiento, evaluación y mitigación.
Descubrimiento
Una plataforma de ciberseguridad con capacidades de gestión de la superficie de ataque externa debería poder identificar todos los activos orientados hacia el exterior, incluidos los que pueden no estar incluidos en los inventarios existentes. Los activos y elementos analizados como parte del proceso de descubrimiento incluyen servicios en la nube, aplicaciones web, direcciones IP, dominios y más. Una solución EASM también puede descubrir aplicaciones de TI en la sombra en la nube que representan brechas totales de ciberseguridad (“desconocimientos desconocidos”).
Evaluación
Tras el descubrimiento, la solución EASM se puede utilizar para evaluar los riesgos de la superficie de ataque externa. Esto normalmente incluye buscar configuraciones erróneas, software sin parches, sistemas obsoletos, vulnerabilidades conocidas y potenciales, y mucho más. Una vez que las vulnerabilidades se han identificado de esta manera, se pueden priorizar según su nivel relativo de riesgo (conocido como puntuación de riesgo). Esto proporciona a la organización una forma de determinar qué riesgos son más urgentes o significativos para que los recursos puedan asignarse en consecuencia para responder.
Mitigación
La mitigación puede implicar la retirada del hardware antiguo, la actualización y aplicación de parches de software, la corrección de configuraciones erróneas, la gestión de aplicaciones de TI en la sombra y mucho más. Como parte del proceso EASM en curso, la superficie de ataque externa debe supervisarse continuamente para que a medida que el entorno de TI y el panorama de amenazas cambien, la organización pueda ser proactiva y mantener una postura de seguridad sólida.
¿Cuáles son los beneficios de EASM?
EASM tiene una serie de beneficios para las organizaciones:
- Visibilidad: EASM proporciona a las organizaciones una visión completa de sus activos tecnológicos orientados hacia el exterior, descubriendo vulnerabilidades previamente desconocidas para permitir ciberdefensas más sólidas y completas.
- Efectividad: EASM contribuye a una respuesta ante incidentes más rápida y precisa gracias a una detección de amenazas más rápida y a una imagen más completa del entorno de TI, lo que hace posible contener las amenazas de forma más rápida y completa.
- Cumplimiento: Las organizaciones de muchos sectores deben cumplir con los marcos legales y normativos para la protección de datos y la privacidad. EASM respalda el cumplimiento como parte de un buen enfoque general de gestión de ciberriesgos.
Todo esto combinado proporciona una postura de seguridad general más sólida basada en información en tiempo real y respuestas de ciberseguridad específicas.
¿Cómo encaja EASM con la gestión de ciberriesgos?
La gestión del ciberriesgo es una forma de mejorar el conocimiento de la situación de ciberseguridad de una organización: identificar, priorizar y mitigar las amenazas. EASM es solo una pequeña parte de un marco general de gestión de ciberriesgos.
En términos generales, la gestión de ciberriesgos tiene como objetivo ayudar a las organizaciones a ser más proactivas en la identificación y gestión de amenazas, con medidas y controles de seguridad personalizados para adaptarse a las necesidades específicas, el contexto del sector y el entorno de amenazas del negocio en cuestión. Su objetivo es permitir una visión en tiempo real de las amenazas mediante una supervisión continua y evaluaciones continuas, y garantizar que todos los empleados comparten la misma mentalidad proactiva de ciberseguridad.
Las fases de la gestión del ciberriesgo son las mismas que las de EASM: descubrimiento, evaluación y mitigación.
Una completa solución de gestión de la exposición al ciberriesgo incluirá ASM, EASM, gestión de la superficie de ataque de activos cibernéticos (CAASM), |gestión del riesgo de vulnerabilidad, postura de seguridad, cuantificación del riesgo de cumplimiento y puntuación de riesgos, así como políticas, procedimientos y otros componentes relacionados con la gobernanza para garantizar objetivos claros y un seguimiento coherente.
¿Dónde puedo obtener ayuda con EASM?
EASM es una parte importante de ASM, pero para desarrollar una verdadera resiliencia de riesgo, las organizaciones requieren una amplia gama de capacidades de exposición a ciberriesgos de vanguardia como EASM, gestión de la superficie de ciberataque (CAASM), gestión de vulnerabilidades y gestión de la postura de seguridad. Trend Vision One ofrece una solución de Cyber Risk Exposure Management que combina todas esas capacidades para permitirle supervisar continuamente los puntos de entrada, priorizar las acciones de mitigación en función del impacto, traducir los riesgos en términos financieros y predecir futuras amenazas para neutralizar los riesgos antes de que se materialicen.
Obtenga más información sobre cómo la gestión de la exposición al ciberriesgo puede ayudarle a ir más allá de simplemente gestionar la superficie de ataque.