En la ciberseguridad, una “superficie de ataque” es el conjunto total de vulnerabilidades, puntos de acceso y vectores de ataque que pueden verse explotados para obtener acceso no autorizado a los sistemas e información de una organización.
La superficie de ataque es lo que los actores maliciosos atacan cuando buscan penetrar las defensas de una organización para interrumpir sistemas, robar información, demandar un pago de rescate o cualquier otro tipo de acción maliciosa. Esto la convierte en un área clave de enfoque para los profesionales de ciberseguridad.
La superficie de ataque incluye cualquier vulnerabilidad, punto de acceso o método que pueda usarse para irrumpir en la red o el ambiente de TI: cualquier hardware o software, ya sea on-premises, en el internet o en la nube.
Para la mayoría de las organizaciones, la superficie de ataque consiste de tres partes: una digital, una física y una social o humana. Un enfoque tradicional para gestionar la superficie de ataque ya no es suficiente. Todas estas superficies deben de ser monitoreadas de forma continua y proactiva aprovechando la gestión de la exposición a riesgos cibernéticos, para que las amenazas puedan ser descubiertas y detenidas lo antes posible.
Además de defender la superficie de ataque, la mayoría de los equipos de ciberseguridad también intentan reducirla lo más que se pueda, limitando de esta forma las oportunidades que tendrían los cibercriminales para entrar y hacer daño. Esto puede ser difícil de lograr debido a que los sistemas y ambientes de TI de muchas organizaciones podrían estar más interconectados y abiertos que nunca.
Conozca más sobre cómo gestionar su superficie de ataque.
Superficie de Ataque vs. Vector de Ataque
Los vectores de ataque son un aspecto de la superficie de ataque en general. Son las técnicas que los cibercriminales usan para obtener acceso ilícito a información y a sistemas. Muchos vectores podrían ser usados contra múltiples partes de la superficie de ataque, por ejemplo:
¿Qué es lo que deberíamos de saber sobre nuestra superficie de ataque?
Como mencionamos anteriormente, la gestión tradicional de la superficie de ataque no es suficiente. Las organizaciones y sus equipos de seguridad necesitan de una solución de gestión de la exposición a riesgos cibernéticos para compilar una foto clara y completa de la superficie entera de ataque. Cualquier análisis de la superficie de ataque debería de incluir todo el ambiente, desde el equipo de la red, los servidores de la nube, dispositivos del internet de las cosas (IoT), hasta cuentas de usuarios, privilegios de acceso y más.
También es importante que las organizaciones conozcan dónde se almacena toda su información, especialmente cualquier información que es de misión crítica, privada, confidencial, clasificada o sensible.
Crear esa “foto” y mantenerla actualizada requiere de un mapeo extenso de las partes digitales, físicas y sociales (humanas) de la superficie de ataque, incluyendo los cambios que se realicen con el tiempo.
¿Cuáles son los riesgos principales para la superficie de ataque?
Cada una de las distintas partes de la superficie de ataque (digital, física, social) tiene sus propios riesgos que deben tomarse en cuenta para su gestión adecuada. Estos riesgos, los cuales incluyen vectores de ataque específicos, están cambiando constantemente conforme las tecnologías y las amenazas evolucionan. Abajo se encuentran algunos ejemplos.
Riesgos de la superficie de ataque digital
Cualquier recurso de la red o cualquier tipo de información que pudiera accederse desde afuera, incluso si está encriptado y protegido por firewalls y medidas de autenticación, forma parte de la superficie de ataque digital y es vulnerable a:
- Ciberataques: Ransomware, virus y otro tipo de malware que puede ser inyectado en los sistemas corporativos, permitiendo que los atacantes accedan a redes y recursos, exfiltren información, tomen el control de dispositivos y dañen activos e información.
- Problemas y fallas de configuración en el código: Las fallas de configuración en la nube y en la red como en el caso de puertos, puntos de acceso y protocolos, dejan “puertas” abiertas para los cibercriminales y son una fuente común de brechas.
- Tecnologías expuestas: Cualquier tecnología conectada al internet púbico es accesible para los hackers y por lo tanto vulnerable a ser atacada. Esto puede incluir aplicaciones y servidores web, servidores y aplicaciones en la nube y más.
- Tecnologías y aplicaciones desactualizadas: El software, firmware y sistemas operativos en los dispositivos debe de estar configurado y parchado correctamente contra vulnerabilidades y amenazas conocidas, de otra forma podrían convertirse en un punto de entrada para que los cibercriminales se infiltren en una organización. Los dispositivos más antiguos que aún forman parte del ambiente de TI, pero que no reciben mantenimiento o uso constante, también pueden ser un punto de acceso para los atacantes, ya que no suelen ser monitoreados.
- Shadow IT: Las herramientas utilizadas por los empleados de una organización que no forman parte del ambiente de TI conocido o autorizado son consideradas como “shadow IT”, y pueden crear vulnerabilidades precisamente porque el equipo de ciberseguridad no sabe de su existencia. Estas podrían incluir aplicaciones, dispositivos de almacenamiento portátil, teléfonos y tabletas personales, y más.
- Contraseñas y encriptación débiles: Las contraseñas que son fáciles de adivinar, ya sea porque son demasiado obvias, demasiado simples o que se reutilizan para múltiples cuentas, podrían darle acceso a los actores maliciosos a los recursos digitales de una organización. También hay una alta demanda de credenciales robadas entre los cibercriminales por razones similares. La encriptación debe de cifrar la información de forma que solamente las personas autorizadas puedan tener acceso. Si no es lo suficientemente fuerte, los hackers podrían extraer información que podrían usar para lanzar ataques a mayor escala.
Riesgos de la superficie de ataque física
La superficie de ataque física incluye tecnologías que los individuos tienen en su poseción físicamente (como laptops) o que podrían accederse únicamente en sitios específicos. Dos grandes riesgos asociados con la superficie de ataque digital son:
- Robo de dispositivos: Las laptops y otros dispositivos son robados rutinariamente de automóviles, de lugares públicos cuando quedan sin supervisión e incluso durante robos en oficinas y otros edificios. Una vez que los cibercriminales tienen acceso a estos dispositivos, pueden usarlos para obtener acceso a las redes corporativas o a otros recursos.
- Baiting: En los ataques de baiting, los cibercriminales dejan dispositivos de almacenamiento externo (como USBs) en lugares públicos, con la esperanza de que alguien lo conecte a una computadora para ver qué hay en él. Estos USB “señuelo” están cargados con malware que entonces se carga al sistema del usuario y ejecuta a un ataque.
Riesgos sociales o humanos de la superficie de ataque
Los seres humanos son a menudo la “primera línea de defensa” en la ciberseguridad. Esto se debe a que sus acciones pueden directamente fortalecer o debilitar la superficie de ataque. Los ciberataques que aprovechan el comportamiento humano son conocidos como ataques de ingenería social. La superficie de ataque social o humana es básicamente igual al número de usuarios cuyo comportamiento podría intencionalmente o inadvertidamente dañar a la organización.
Los riesgos comunes incluyen:
- Estafas de phishing: Estas incluyen emails, mensajes de texto, mensajes de voz e incluso, con la ayuda de la IA, videollamadas fraudulentas que engañan a los usuarios para actuar de forma que comprometa la ciberseguridad. Esto podría ser compartir información sensible, hacer click en links que lleven hacia malware, liberar fondos y más. La IA ha ayudado a que el phishing sea mucho más difícil de detectar.
- Personal interno malicioso: Los empleados con un resentimiento contra la organización, que han recibido un soborno, o que han sido víctima de extorsión podrían hacer uso de sus autorizaciones legítimas para exfiltrar información, compartir credenciales, instalar malware, dañar los sistemas de la empresa o realizar otras acciones dañinas.
¿Cómo reducir la superficie de ataque?
No es posible para ninguna organización eliminar definitivamente la superficie de ataque, pero sí es posible contenerla y minimizarla. Una vez que se ha mapeado la superficie de ataque, los equipos de ciberseguridad podrían implementar prácticas de gestión de riesgos cibernéticos para monitorear continuamente cualquier cambio y proactivamente predecir riesgos emergentes. Esto podría revelar oportunidades para reducir las áreas de vulnerabilidad y exposición, incluyendo:
- Optimizar el ambiente, eliminando cualquier software o dispositivo obsoleto, y limitando el número de endpoints.
- Crear separaciones en la red y agregar firewalls y otras barreras para limitar el movimiento interno de los atacantes una vez que obtengan acceso.
- Usar los resultados del análisis de la superficie de ataque para identificar y cerrar brechas y puntos débiles, por ejemplo, solicitando contraseñas más fuertes, eliminando software y dispositivos obsoletos, reduciendo la shadow IT, implementando controles y políticas específicas de seguridad y más.
- Fortalecer las medidas de seguridad por medio de la adopción de mejores prácticas, incluyendo enfoques zero trust y la autenticación de dos factores o multifactor. Con zero trust, solamente las personas correctas tienen acceso a información, aplicaciones y recursos específicos cuando sea necesario. Zero trust limita dramáticamente quién, cuándo y cúanto tiempo alguien puede usar los recursos tecnológicos. Esto protege los activos de forma inherente y también hace que una brecha sea mucho más obvia en caso de ocurrir.
- Incrementer la conciencia de ciberseguridad del personal por medio de capacitación, pruebas y recordatorios periódicos. Los temas de las capacitaciones pueden incluir mejores prácticas para contraseñas, políticas empresariales, cómo mantenerse alerta ante estafas de phishing y otros ataques de ingeniería social, y acciones que se deben tomar en caso de que se sospeche una brecha de seguridad.
¿Qué es Attack Surface Management?
Attack Surface Management (ASM) es un enfoque tradicional de seguridad que busca ayudar a las organizaciones a fortalecer la defensa de datos y sistemas. Se trata de saber dónde se encuentran los riesgos, comprender su severidad relativa y tomar acciones para cerrar las brechas de seguridad relacionadas con las personas, los procesos y la tecnología. ASM permite que los equipos de seguridad reduzcan el número de caminos posibles hacia el ecosistema de TI de la empresa y les brinda una visualización de las vulnerabilidades y vectores de ataque emergentes.
ASM se ha vuelto extremadamente importante porque los ambientes empresariales de TI son más dinámicos e interconectados que nunca, dando como resultado una superficie de ataque más variada y de mayor tamaño. Los enfoques tradicionales de ASM, los cuales ofrecen descubrimiento y monitoreo de activos y las soluciones puntuales de ciberseguridad que solamente cubren un propósito no pueden brindar la visibilidad, inteligencia o protección completa que se requiere actualmente. El panorama actual requiere de monitoreo continuo de puntos de entrada y priorización de las acciones de mitigación de acuerdo con su impacto. Este enfoque ayuda a traducir los riesgos a términos de negocios y a predecir amenazas, permitiendo que se neutralicen los riesgos proactivamente antes de que se materialicen.
¿Juega algún papel el gobierno en la gestión de la superficie de ataque?
Autoridades en muchas jurisdicciones han creado normativas, legislaciones, regulaciones y políticas para crear expectativas sobre cómo las organizaciones deberían de mantener seguros sus ambientes digitales. Esto incluye frameworks como el Cyber Risk Scoring Framework del National Institute of Standards and Technology de los Estados Unidos, el cual puede usarse para evaluar y gestionar la superficie de ataque.
Una buena colaboración entre la industria y el gobierno en materia de cibeseguridad contribuye a que las medidas de protección en general se fortalezcan, y promueve la difusión de mejores prácticas para una gestión efectiva de la superficie de ataque.
¿Quién puede ayudarnos a gestionar nuestra superficie de ataque?
La gestión de la superficie de ataque por sí sola no es suficiente. El panorama de riesgo alcual demanda capacidades de gestión de la exposición a riesgos cibernéticos para proactivamente predecir, descubrir, acceder y mitigar riesgos para poder reducir el nivel de riesgo de la organización.
Trend Vision One™ ofrece una solución de Cyber Risk Exposure Management (CREM) con un enfoque revolucionario que combina capacidades clave como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), gestión de vulnerabilidades y gestión de la postura de seguridad a través de nubes, datos, identidades, APIs, IA, cumplimiento y aplicaciones SaaS en una solución poderosa, pero fácil de usar.
Conozca más sobre cómo Cyber Risk Exposure Management puede ayudar con la superficie de ataque y mucho más.