External Attack Surface Management (EASM) es un enfoque de ciberseguridad que se centra en identificar, monitorear y mitigar riesgos asociados con datos, sistemas y tecnologías que están conectadas con el mundo exterior.
La superficie de ataque de una organización es el conjunto total de vulnerabilidades, puntos de acceso y vectores de ataque que los actores maliciosos podrían usar para obtener acceso no autorizado a sus sistemas e información. Son los blancos de los cibercriminales cuando buscan irrumpir en sistemas, robar información, exigir un rescate o realizar cualquier otro tipo de acción maliciosa.
Toda organización tiene una superficie de ataque interna y externa. La superficie de ataque interna se compone de todo lo que conforma el ambiente interno de la red: infraestructura, dispositivos, aplicaciones, usuarios y más.
La superficie de ataque externa , como el nombre lo sugiere, es toda la tecnología que está en contacto con, y se conecta con, el mundo exterior por medio del internet, los servicios en la nube, la conectividad móvil y medios similares. También incluye las conexiones a proveedores externos, partners, vendors y trabajadores remotos.
La gestión de la superficie externa de ataque (EASM) es el proceso de proteger estos activos, recursos y tecnologías expuestas. Debe tener una atención especial debido a que muchas amenazas vienen desde organizaciones externas, y porque la superficie externa de ataque en particular es mucho más dinámica y compleja que nunca. Una organización que sea capaz de proactivamente gestionar su superficie de ataque externa podrá fortalecer dramáticamente su postura de seguridad.
External Attack Surface Management vs. Attack Surface Management
Attack Surface Management (ASM) es un término general que cubre la superficie total de ataque, tanto interna como externa. La gestión de la superficie de ataque externa se enfoca exclusivamente en los riesgos externos. Ambos tipos de gestión de la superficie de ataque se componen de tres dimensiones: digital, física y social/humana. Ambos requieren de un proceso continuo de descubrimiento, evaluación y mitigación.
¿Por qué es Importante EASM?
EASM ha cobrado importancia conforme las redes se han vuelto cada vez más interconectadas y abiertas. Los gateways y los firewalls ya no son capaces por sí mismos de mantener a raya a los cibercriminales. Actualmente, las redes tienen menos “fronteras duras” para proteger de formas tradicionales, creando nuevas oportunidades para los cibercriminales de obtener acceso a los sistemas y hacer de las suyas.
Al mismo tiempo, la TI empresarial se ha vuelto mucho más descentralizada. Las unidades de negocio y los usuarios individuales pueden obtener recursos en la nube sin ninguna ayuda del departamento de TI. Las aplicaciones y servicios de Shadow IT son cada vez más comunes, y muchos empleados usan dispositivos personales para acceder a redes corporativas.
Todo esto significa que la superficie de ataque externa tiene más vulnerabilidades que nunca antes, y esto requiere de un enfoque integral para la gestión de riesgos cibernéticos. EASM ayuda a visualizar toda la superficie de ataque externa, permitiendo un monitoreo y mitigación continuos. Esto permite que los equipos de ciberseguridad puedan comprender cuáles son los puntos en los que su organización se ve en mayor riesgo, y puedan actuar al respecto.
¿Contra qué protege EASM?
La mayoría de los vectores de ataque (métodos para realizar un ciberataque) se dirigen hacia la superficie de ataque externa. Los más comunes incluyen las estafas de phishing y los ataques de ransomware, así como las incursiones que buscan robar información privada o de alto valor, o que buscan interrumpir las operaciones del negocio. EASM ayuda a los equipos de seguridad a disminuir el tamaño de la superficie de ataque para que los vectores como estos brinden menos oportunidades de acceso al ambiente empresarial.
EASM también le da las herramientas a las organizaciones para cumplir con leyes y regulaciones de privacidad y protección de datos por medio de una mejor visibilidad de la superficie de ataque externa, permitiendo que los equipos de seguridad prevengan o contengan las brechas.
Ejemplos de elementos de la superficie de ataque externa
Cualquier sistema o servicio accesible por internet puede formar parte de la superficie de ataque externa. Cada organización tendrá su propia combinación específica de dispositivos y tecnologías que tienen contacto con el exterior y por lo tanto están potencialmente expuestas. Algunas incluyen:
- Aplicaciones web: Cualquier negocio con un sitio de e-commerce o motor de reservaciones está corriendo una aplicación web (web app). Las web apps son una parte importante de las superficies de ataque externas, ya que son accesibles a cualquiera que tenga una conexión a internet. Si una web app no está bien configurada o no está protegida adecuadamente, un actor malicioso podría usar sus vulnerabilidades para desplegar malware, robar información o acceder a los sistemas corporativos que están conectados a esa app.
- Servicios en la nube: Los servicios en la nube y las infraestructuras virtualizadas le brindan acceso a las organizaciones a recursos de cómputo convenientes, flexibles y altamente escalables. Pero, porque requieren una conexión a una red externa para que una organización pueda usarlas, están expuestas y potencialmente son vulnerables ante ataques. Como con las web apps, cuando la infraestructura en la nube no está bien configurada, los hackers pueden aprovechar esas vulnerabilidades.
- Sistemas de acceso remoto: La explosión en el trabajo remoto e híbrido durante y desde que terminó la pandemia requiere de que los empleados accedan a los sistemas y datos corporativos desde sus redes domésticas o desde redes potencialmente inseguras. Las tecnologías utilizadas para proteger esas conexiones, como las redes privadas virtuales (VPNs), han sido blanco de los cibercriminales como un posible camino de entrada hacia los ambientes corporativos de TI.
- Dispositivos de Internet of Things (IoT) Muchas empresas y edificios ahora cuentan con dispositivos IoT para todo, desde los controles ambientales hasta los sistemas de seguridad, incluyendo los hogares y oficinas remotas de sus empleados. Estos dispositivos también conforman una parte en crecimiento de la superficie de ataque externa.
Otra área que las organizaciones deben de tomar en cuenta para sus estrategias EASM es la de las relaciones con terceros. Muchos negocios dependen de terceros para servicios comerciales, financieros y técnicos, como los MSPs (managed service providers) para TI y partners de procesamiento de pagos. Cualquier conectividad entre esos terceros y los activos de TI de la organización podrían ser un blanco potencial para los ciberataques.
¿Cómo funciona EASM?
Como la gestión de la superficie de ataque en general (ASM), EASM involucra un proceso continuo y repetitivo de descubrimiento, evaluación y mitigación.
Descubrimiento
Una plataforma de ciberseguridad con capacidades de gestión de la superficie de ataque externa debería de identificar todos los activos en contacto con el exterior, incluyendo aquellos que no podrían estar incluidos en los inventarios existentes. Los activos y los elementos escaneados como parte del proceso de descubrimiento incluyen servicios en la nube, web apps, direcciones IP, dominios y más. Una solución de EASM también puede descubrir aplicaciones de shadow IT en la nube que representan las brechas totales de ciberseguridad (elementos desconocidos).
Evaluación
Después del descubrimiento, la solución de EASM entonces puede usarse para evaluar los riesgos de la superficie de ataque externa. Esto típicamente incluye buscar fallas en la configuración, software no parachado, sistemas desactualizados, vulnerabilidades potenciales y más. Una vez que se han identificado las vulnerabiliddes, pueden priorizarse de acuerdo con su nivel relativo de riesgo (conocido como puntuación de riesgos). Esto le da a la organización una forma de determinar cuáles son los riesgos más urgentes o importantes para que se asignen adecuadamente los recursos para responder.
Mitigación
La mitigación puede involucrar actualizar y parchar software, sacar de servicio hardware antiguo, comenzar a gestionar las aplicaciones de shadow IT y más. Como parte del proceso EASM, la superficie de ataque externa debe de ser monitoreada cuidadosamente conforme cambia el panorama de TI y de amenazas, y las organizaciones pueden ser proactivas y mantener una fuerte postura de seguridad.
¿Cuáles son los beneficios de EASM?
EASM tiene un número de beneficios para las organizaciones.
- Visibilidad: EASM le brinda a las organizaciones una vista integral de sus activos tecnológicos en contacto con el exterior, descubriendo vulnerabilidades previamente desconocidas para fortalecer su defensa cibernética.
- Efectividad: EASM contribuye a una respuesta a incidentes más rápida y precisa gracias a una detección acelerada de amenazas y una visualización completa del panorama de TI, haciendo posible contener a las amenazas con mayor prontitud.
- Cumplimiento: Las organizaciones en muchos sectores están obligadas a cumplir con frameworks legales y regulatorios para la protección y privacidad de datos. EASM soporta el cumplimiento como parte de un buen enfoque general de riesgo cibernético.
Todos estos elementos combinados brindan una postura de seguridad más fuerte basada en inteligencia en tiempo real y respuestas enfocadas de ciberseguridad.
¿Cuál es el lugar de EASM en la gestión de riesgos cibernéticos?
La gestión de riesgos cibernéticos es una forma de mejorar la conciencia situacional de una organización identificando, priorizando y mitigando las amenazas. EASM es solamente una pequeña parte del framework en general de la gestión de riesgos cibernéticos.
Generalmente, la gestión de riesgos cibernéticos busca ayudar a las organizaciones a ser más proactivas para identificar y gestionar las amenazas, esto con medidas de seguridad personalizadas y controles para ajustarse a las necesidades específicas, contexto de la industria y panorama de amenazas del negocio en cuestión. Su meta es habilitar insights en tiempo real sobre las amenazas por medio de monitoreo y evaluaciones continuas, y asegurando que todos los empleados compartan la misma mentalidad de ciberseguridad proactiva.
Las fases de la gestión de riesgos cibernéticos son las mismas que las de EASM: descubrimiento, evaluación y mitigación.
Una solución completa de gestión de riesgos cibernéticos incluirá ASM, EASM, CAASM (Cyber Asset Attack Surface Management) gestión de riesgos para vulnerabilidades, postura de seguridad, cuantificación de riesgos cibernéticos y puntuaciones de riesgos, así como políticas, procesos y otros componentes relacionados con la gobernanza para asegurar metas claras y seguimiento consistente.
¿Dónde puedo obtener ayuda con EASM?
EASM es una parte importante de ASM, pero, para crear una verdadera resiliencia cibernética, las organizaciones requieren de un amplio rango de capacidades para la gestión de la exposición de riesgos cibernéticos como EASM, CAASM (Cyber Asset Attack Surface Management), gestión de vulnerabilidades y gestión de la postura de seguridad. Trend Vision One ofrece una solución de Cyber Risk Exposure Management que combina todas esas capacidades para permitirle monitorear continuamente los puntos de entrada, priorizar las acciones de mitigación de acuerdo con su impacto, traducir los riesgos a términos financieros y predecir las amenazas futuras para neutralizarlas antes de que se materialicen.
Conozca más sobre cómo Cyber Risk Exposure Management puede ayudarle con la gestión de su superficie de ataque y mucho más.