Attack Surface Management (ASM) es el descubrimiento, evaluación y mitigación de amenazas al ecosistema de TI de una organización.
Attack Surface Management (ASM) es un enfoque de seguridad que busca ayudar a las organizaciones a fortalecer su defensas incrementando la visibilidad de las amenazas para la protección de datos y sistemas. Se trata de saber dónde se encuentran los riesgos, comprender su severidad relativa y tomar acciones para cerrar las brechas de seguridad relacionadas con las personas, los procesos y la tecnología.
ASM es un enfoque tradicional de ciberseguridad que incluye el descubrimiento y monitoreo de activos. Busca amenazas potenciales de la forma en que un atacante las vería: como oportunidades para romper las defensas de una organización y hacer daño financiero, operativo o a la reputación de la empresa.
¿Qué es la superficie de ataque?
La superficie de ataque es la suma total de todas las formas en que un atacante podría obtener acceso a las redes, datos o recursos de TI de una organización. Se conforma de tres partes:
- La superficie de ataque digital es todo el hardware, software e información que podría accederse de forma externa, incluso si está protegida por encriptación, procesos de autenticación, firewalls u otras medidas.
- La superficie de ataque física consiste de todo el equipo físico y dispositivos que podrían ser robados o alterados físicamente para causar un compromiso o una brecha.
- La superficie de ataque social o humana se refiere a todas las personas en la organización con acceso a sistemas e información que podrían ser engañados, extorsionados o manipulados (por ejemplo, por una estafa de ingeniería social como el phishing) para causar un compromiso o una brecha.
Attack Surface Management vs. Cyber Risk Management
Attack Surface Management (ASM) es un elemento esencial de la gestión de riesgos cibernéticos y, juntos, ayudan a las organizaciones a mejorar su awareness de ciberseguridad identificando, priorizando y mitigando las amenazas proactivamente.
La gestión de riesgos cibernéticos es un enfoque general de ciberseguridad que va más allá del ASM, enfocándose en conocer y mitigar los riegos que existen a lo largo del negocio. Un buen marco de gestión de riesgos cibernéticos ayuda a determinar cuáles son los riesgos más relevantes, soportando una toma de decisiones informada por los riesgos para reducir de forma general la exposición a los mismos. Esto permite que los equipos de seguridad fortalezcan sus defensas, minimicen las vulnerabilidades y tomen decisiones informadas sobre la gestión de riesgos en general de la organización y los procesos de planeación estratégica.
Attack Surface Management vs. External Attack Surface Management (EASM)
External Attack Surface Management (EASM) se enfoca específicamente en las vulnerabilidades y los riesgos asociados con los dispositivos y los sistemas que están en contacto con el exterior, incluyendo aquellos conectados al internet. EASM no cubre la superficie de ataque interna, la cual podría incluir equipo on-premises y recursos divididos.
¿Por qué importa ASM?
ASM se ha vuelto extremadamente importante porque los ambientes empresariales de TI son más dinámicos e interconectados que nunca, dando como resultado una superficie de ataque más variada y de mayor tamaño. Los enfoques tradicionales de descubrimiento y monitoreo de activos y las soluciones puntuales de ciberseguridad que solamente cubren un propósito no pueden brindar la visibilidad, inteligencia o protección completa que se requiere actualmente. ASM, por otra parte, permite que los equipos de seguridad reduzcan el número de caminos posibles hacia el ecosistema de TI de la empresa y les brinda una vista en tiempo real de las vulnerabilidades y vectores de ataque emergentes.
¿Contra qué protege ASM?
ASM ayuda a las organizaciones a defenderse contra un gran variedad de amenazas, también conocidas como “vectores de ataque.” Estos incluyen, pero no están limitados a:
- Ciberataques: Ransomware, virus y otro tipo de malware que podría ser inyectado a los sistemas corporativos, permitiendo que los atacantes accedan a redes y recursos, exfiltren datos, tomen el control de dispositivos y dañen accesos y datos.
- Problemas y errores de configuración en el código: Las fallas de configuración en las redes y en la nube como en el caso de puertos, puntos de acceso, protocolos y similares inadvertidamente dejan “puertas” abiertas para los atacantes, y son una causa común para las brechas.
- Estafas de phishing: Estas incluyen emails, mensajes de texto, mensajes de voz e incluso, con la ayuda de la IA, videollamadas fraudulentas que engañan a los usuarios para actuar de forma que comprometa la ciberseguridad. Esto podría ser compartir información sensible, hacer click en links que lleven hacia malware, liberar fondos y más. La IA ha ayudado a que el phishing sea mucho más difícil de detectar.
- Tecnologías y aplicaciones desactualizadas: El Software, firmware y los sistemas operativos deben de estar parchados contra vulnerabilidades y amenazas conocidas, de otra forma podrían inadvertidamente brindarle a los atacantes una entrada hacia la organización. Los dispositivos más antiguos que aún forman parte del ambiente de TI pero no reciben mantenimiento también podrían ser un acceso conveniente para los cibercriminales, ya que tienden a no ser monitoreados.
- Contraseñas y encriptado débiles: Las contraseñas que son fáciles de adivinar, ya sea porque son demasiado obvias, demasiado sencillas o que se reutilizan en múltiples cuentas, pueden brindarle acceso a los cibercriminales a los recursos digitales de una organización. Existe una gran demanda por credenciales robadas por razones similares. La encriptación debe de cifrar la información de forma que solamente las personas autorizadas puedan acceder a ella. Si no es lo suficientemente fuerte, los hackers podrían extraer información que podrían usar para lanzar ataques de mayor escala.
- Shadow IT: Las herramientas que utilizan los empleados de una organización que no son parte del ambiente autorizado o conocido de TI son consideradas como “shadow IT”, y podrían crear vulnerabilidades precisamente porque el equipo de ciberseguridad no tiene conocimiento de su existencia. Estas incluyen aplicaciones, dispositivos de almacenamiento móvil y teléfonos y tabletas personales, entre otros.
¿Cómo funciona ASM?
ASM cuenta con tres fases principales: descubrimiento, evaluación y mitigación. Debido a que la superficie de ataque siempre está cambiando, se deben llevar a cabo las tres de forma continua.
Descubrimiento
La fase de descubrimiento define la superficie de ataque y todos los activos que la componen. La meta del descubrimiento es identificar todos los dispositivos, software, sistemas y puntos de acceso conocidos que componen la superficie de ataque, incluyendo las aplicaciones de shadow IT, tecnologías de terceros y tecnologías que no se habían inventariado anteriormente. Aunque muchas soluciones ofrecen el descubrimiento como parte de su solución de ASM, debe de tener cuidado al seleccionar una. Debe de buscar una solución que integre el cumplimiento y la cuantificación de riesgos cibernéticos para asegurar que está obteniendo el panorama completo de los riesgos más allá del mero descubrimiento de activos para mostrar cuál es su verdadero grado de exposición. Un proceso continuo de descubrimiento ayuda a revelar cómo podría estar cambiando la superficie de ataque con el tiempo.
Evaluación
Después del descubrimiento, los equipos de seguridad evalúan cada activo para detectar vulnerabilidades potenciales, desde fallas de configuración y errores en el código hasta factores sociales/humanos como la susceptibilidad a fraudes de phishing o ataques de business email compromise (BEC). Cada riesgo recibe una puntuación, permitiendo que los equipos de seguridad puedan priorizar los que necesitan atención urgente.
La puntuación de los riesgos generalmente se basa en el nivel de riesgo, probabilidad de un ataque, daños potenciales y dificultad de remediación. Idealmente, también tomará en cuenta la inteligencia global de amenazas que detecta cuáles son las vulnerabilidades que se están explotando con mayor frecuencia y con mayor facilidad.
Ejemplo: Si una pieza de software brinda acceso a información sensible, está conectada al internet y tiene una vulnerabilidad conocida que ya ha sido explotada en otros ataques, parcharla deberá de ser la prioridad.
Una vez que se le ha asignado una puntuación a todos los riesgos, se calcula el total para conocer la puntuación de riesgo en general de la organización. Esto permite que la organización tenga una línea base y pueda monitorear su perfil de riesgo en el tiempo.
Mitigación
La mitigación se trata de actuar para lidiar con las vulnerabilidades que han sido descubiertas. Esto podría significar actualizar software o instalar parches, configurar controles y hardware específicos de seguridad, o implementar frameworks de protección como el zero trust. También podría significar deshacerse de software y sistemas viejos. De cualquier forma, es crucial que cuente con la solución correcta que le permita abordar las acciones de mitigación de forma escalable.
¿Cuáles son los beneficios de ASM?
Una buena gestión de la superficie de ataque brinda un amplio rango de beneficios para las organizaciones, empezando por el fortalecimiento de la postura general de ciberseguridad gracias a una mayor visibilidad del ambiente completo de TI y de la superficie de ataque. Esto a su vez ayuda a reducir el riesgo con el apoyo de monitoreo y evaluaciones continuas para mantener bajos los niveles de riesgo.
Así, el equipo de seguridad podrá descansar con tranquilidad por las noches, y el negocio en general se verá beneficiado. Tener visibilidad de la superficie de ataque permite una mayor transparencia y control sobre los activos, reduciendo el riesgo de los ciberataques y aumentando los ahorros en costos relacionados. Cuando los equipos de seguridad pueden actuar más rápido y con mayor eficiencia, las organizaciones estarán mejor posicionadas para asegurar la continuidad del negocio. Porque, entre más temprano se identifiquen y mitiguen los ataques, hay menos posibilidades de una interrupción significativa a las operaciones.
¿Cómo implementar ASM?
ASM requiere de una solución de gestión de la exposición a riesgos cibernéticos que esté integrada a una plataforma de ciberseguridad que tenga un enfoque proactivo para llevar a cabo las fases de descubrimiento, evaluación y mitigación.
Es especialmente importante elegir una plataforma con fuertes capacidades de operaciones de seguridad como la gestión de eventos e información de seguridad, (SIEM), detección y respuesta en endpoints, (EDR) y detección y respuesta extendidas (XDR). XDR en particular brinda analíticos e información esenciales sobre el desempeño de las medidas de protección de la superficie de ataque. Esos insights ayudan a que la etapa de evaluación de riesgos sea aún más precisa.
¿Dónde puedo obtener ayuda con Attack Surface Management?
Attack Surface Management desafortunadamente no es suficiente por sí sola para enfrentar el panorama de riesgos actual. Las organizaciones requieren de capacidades de gestión de la exposición a riesgos cibernéticos para proactivamente predecir, descubrir, acceder y mitigar riesgos para poder reducir el nivel de riesgo de la organización.
La solución de Cyber Risk Exposure Management (CREM) que ofrece Trend Vision One™ tiene un enfoque revolucionario que combina capacidades clave como External Attack Surface Management (EASM), Cyber Asset Attack Surface Management (CAASM), gestión de vulnerabilidades y gestión de la postura de seguridad a través de nubes, datos, identidades, APIs, IA, cumplimiento y aplicaciones SaaS en una solución poderosa, pero fácil de usar.
Conozca más sobre cómo Cyber Risk Exposure Management puede ayudarle con la gestión de su superficie de ataque y mucho más.