Puntos Clave
El descubrimiento de la superficie de ataque es un proceso que incluye clasificar los tipos de activos según su nivel de visibilidad y, a continuación, utilizar software, como herramientas de descubrimiento, herramientas de gestión de la superficie de ataque externa y otras, para abordar las brechas de visibilidad e identificar vulnerabilidades. El descubrimiento de la superficie de ataque es un elemento fundamental para una postura de seguridad sólida y un primer paso crítico en la gestión de la exposición. Su superficie de ataque comprende elementos digitales, físicos y humanos. Una vez identificada la superficie de ataque, puede evaluar y priorizar las vulnerabilidades en línea con el apetito de riesgo de su organización para centrar eficazmente los esfuerzos de corrección.Al igual que el césped después de una buena lluvia, su superficie de ataque crecerá rápidamente si no se controla. Y ese aumento del tamaño de la superficie de ataque conlleva un incremento del riesgo de ciberseguridad. Aunque el riesgo no puede eliminarse por completo, porque las superficies de ataque evolucionan constantemente, sí puede gestionarlo para mantener sus niveles generales de riesgo alineados con su apetito de riesgo.
¿Por qué es tan importante el descubrimiento de la superficie de ataque?
La gestión del riesgo de ciberseguridad comienza con la identificación de la superficie de ataque de su organización. Más concretamente, debe identificar qué se oculta bajo la superficie: los endpoints, las vulnerabilidades y otros vectores de ataque que exponen su entorno.
Los principales marcos de seguridad coinciden en que el descubrimiento de la superficie de ataque es esencial para una postura de seguridad sólida. Por ejemplo, la primera función del Marco de Ciberseguridad del National Institute of Standards and Technology (NIST CSF), versión 1.1 es Identificar, y el NIST afirma: “Las actividades de la función Identificar son fundamentales para un uso eficaz del Marco”. Del mismo modo, CIS Controls v8 contiene los siguientes controles:
- Control 1: inventario y control de activos empresariales
- Control 2: inventario y control de activos de software
- Control 7: gestión continua de vulnerabilidades
En pocas palabras, no puede defender aquello que no sabe que tiene. Pero ¿cómo saber qué tiene?
¿Cómo empiezo con el descubrimiento de la superficie de ataque?
El descubrimiento de la superficie de ataque exige adoptar la perspectiva de un atacante sobre su organización para encontrar activos explotables y vulnerabilidades asociadas.
Su superficie de ataque tiene tres componentes: una superficie de ataque digital, una superficie de ataque física y una superficie de ataque humana. Aquí nos centraremos principalmente en descubrir su superficie de ataque digital, aunque también abordaremos brevemente los otros dos aspectos.
Su superficie de ataque digital incluye activos de TI tradicionales —hardware, como endpoints y servidores, así como aplicaciones de software— y activos externos expuestos a Internet, como aplicaciones web, direcciones IP, nombres de dominio, certificados SSL y servicios en la nube.
El primer paso consiste en contabilizar cada elemento de su superficie de ataque digital e identificar las brechas de visibilidad. Puede clasificar cada elemento como:
- Conocidos conocidos: Activos cibernéticos que sabe que forman parte de su superficie de ataque.
- Desconocidos conocidos: Activos cibernéticos que sabe que forman parte de su superficie de ataque, pero sobre los que puede no tener visibilidad o que no tiene bajo gestión.
- Desconocidos desconocidos: Activos cibernéticos que pueden formar parte de su superficie de ataque o no: no lo sabe.
- N/A: Activos cibernéticos que sabe con un 100 % de certeza que no forman parte de su superficie de ataque.
Para obtener una visión más completa de los elementos de su superficie de ataque, utilice nuestra lista de comprobación editable de la superficie de ataque para realizar el inventario.
Herramientas para descubrir y gestionar su superficie de ataque
El siguiente paso, después de clasificar sus tipos de activos, es determinar qué herramientas o enfoques le permitirán cerrar las brechas de visibilidad y convertir sus desconocidos conocidos y desconocidos desconocidos en conocidos conocidos.
Existen soluciones más específicas que se engloban bajo el amplio concepto de gestión de la superficie de ataque: gestión de la superficie de ataque de activos cibernéticos (CAASM), gestión de la superficie de ataque externa (EASM) y servicios de protección frente al riesgo digital (DRPS). Estas herramientas agregan resultados para identificar vulnerabilidades con mayor facilidad, y algunas también cuentan con capacidades para priorizarlas y corregirlas, lo que permite actuar con rapidez a partir de la información sobre la superficie de ataque y reducir el riesgo.
Sin embargo, las organizaciones han necesitado descubrir y gestionar sus superficies de ataque digitales desde antes de que existieran las soluciones ASM. En lugar de soluciones ASM, muchas organizaciones han utilizado —y siguen utilizando— otros enfoques para hacerlo.
| Enfoque | Descripción | Ventajas | Inconvenientes |
|---|---|---|---|
| Herramientas de descubrimiento de activos | Buscan e inventarían los activos de hardware y software que se conectan a su red. | Ya están implementadas en la mayoría de las organizaciones. Son mejores que las hojas de cálculo. | Pueden tener puntos ciegos, como la TI en la sombra, sistemas de terceros y aplicaciones de línea de negocio. |
| Simulación de brechas y ataques (BAS) | Prueba automáticamente vectores de amenaza para obtener una comprensión más profunda de las vulnerabilidades de la postura de seguridad y validar los controles de seguridad. | Genera informes sobre brechas de seguridad y prioriza la corrección en función del riesgo. | Solo se centra en ataques conocidos. No proporciona corrección. |
| Gestión de la postura de seguridad en la nube (CSPM) | Comprender los cambios en las configuraciones de la nube. | Proporciona visibilidad en tiempo real de las configuraciones de la nube. | No revela cuándo las configuraciones se desvían del cumplimiento ni el posible impacto de las amenazas emergentes. |
| Base de datos de gestión de la configuración (CMDB) | Realizar un seguimiento de los cambios realizados en los sistemas. | Ya está implementada en la mayoría de las organizaciones. | No revela cuándo las configuraciones se desvían del cumplimiento ni el posible impacto de las amenazas emergentes. |
| Enfoque desarrollado internamente | Combina hojas de cálculo, scripts y procesos manuales para gestionar la superficie de ataque. | Económico o gratuito desde una perspectiva puramente de coste, sin tener en cuenta las horas de los analistas. | Consume mucho tiempo y es propenso a errores. No es escalable ni funciona en tiempo real. |
| Gestión de activos de TI (ITAM) | Realiza el seguimiento y la supervisión de los activos durante todo su ciclo de vida. | Ya está implementada en la mayoría de las organizaciones. Es mejor que las hojas de cálculo. | Solo cubre activos conocidos y gestionados, mientras pasa por alto aspectos desconocidos o no gestionados de la superficie de ataque. |
| Pruebas de penetración (por ejemplo, herramientas automatizadas de pruebas de penetración y pruebas de penetración como servicio) | Identifican vulnerabilidades en su red y sus aplicaciones mediante la simulación de un ciberataque. | Proporcionan ejemplos de la postura de seguridad y de las prioridades presupuestarias asociadas. | Solo se centran en la primera fase de la cadena de ciberataque: el reconocimiento. Además, los resultados suelen ser puntuales y tan buenos como los encargados de realizar la prueba de penetración que llevan a cabo la simulación. |
| Red teaming | Proporciona una visión completa de la postura de ciberseguridad de una organización mediante la simulación de un ciberataque contra redes, aplicaciones, medidas de protección físicas y empleados. | Va más allá de las pruebas de penetración al centrarse en otras fases de la cadena de ciberataque. También va más allá de la superficie de ataque digital y aborda las superficies de ataque física y humana. | Los resultados suelen ser puntuales y tan buenos como los encargados de realizar la prueba de penetración que llevan a cabo la simulación. |
| Inteligencia de amenazas | Acceso a información sobre amenazas y otros problemas de ciberseguridad. | Proporciona a los expertos en seguridad inteligencia sobre amenazas y vulnerabilidades. | Orientada a organizaciones con operaciones de seguridad muy maduras, formadas por personal cualificado y amplios recursos. |
| Herramientas de gestión de vulnerabilidades (por ejemplo, escáneres) | Identifican y gestionan vulnerabilidades en su infraestructura y sus aplicaciones. | Ya están implementadas en la mayoría de las organizaciones. | Sin visibilidad de los activos desconocidos. Cantidades abrumadoras de datos. |
Aunque estos métodos no ofrecen todas las capacidades de una solución ASM diseñada específicamente, siguen desempeñando funciones importantes en las prácticas de TI y seguridad de una organización.
De hecho, las herramientas CAASM no pueden funcionar sin datos procedentes de herramientas de descubrimiento de activos, ITAM, gestión de vulnerabilidades o gestión de parches. Del mismo modo, EASM complementa los servicios de inteligencia de amenazas y pruebas de seguridad enumerados anteriormente.
¿Cómo identifico la superficie de ataque física de mi organización?
El primer componente principal de la superficie de ataque física de su organización se solapa con su superficie de ataque digital. Se denomina superficie de ataque de endpoints y está compuesta principalmente por todos los endpoints que se conectan a su red: ordenadores de sobremesa, portátiles, dispositivos móviles y dispositivos IoT. Las herramientas y técnicas que utiliza para descubrir su superficie de ataque digital también se aplican aquí.
El segundo componente principal de su superficie de ataque física son sus oficinas, centros de datos y otras instalaciones. De nuevo, las técnicas ya utilizadas para identificar la superficie de ataque digital también se solapan con la superficie de ataque física. En este caso, se trata del componente de pruebas de penetración física del red teaming.
¿Cómo identifico la superficie de ataque humana de mi organización?
La identificación de su superficie de ataque humana comienza revisando el organigrama. Cualquier persona asociada a su organización que pueda acceder a información confidencial —o impedir que otros accedan a ella— contribuye a su superficie de ataque humana. Esto incluye no solo empleados a tiempo completo, sino también empleados a tiempo parcial, miembros del consejo, contratistas, partners, proveedores, suministradores, trabajadores temporales y otros perfiles.
El red teaming, una práctica utilizada para identificar elementos de las superficies de ataque digital y física, también puede utilizarse para identificar un componente importante de la superficie de ataque humana: la susceptibilidad de los empleados a la ingeniería social.
La asignación inadecuada de privilegios de usuario es otro factor importante que contribuye a las superficies de ataque humanas. Revisar los sistemas y datos a los que tienen acceso las personas que contribuyen a su superficie de ataque humana, así como los niveles de acceso que poseen, es otra forma de identificar partes de esa superficie.
Ya he identificado la superficie de ataque de mi organización. ¿Y ahora qué?
Descubrir su superficie de ataque es el primer paso en el camino hacia su objetivo final: corregir las vulnerabilidades que representan el mayor riesgo para su organización. En conjunto, este proceso se denomina gestión de la exposición.
El descubrimiento de la superficie de ataque, como ya hemos comentado, es uno de los fundamentos de su estrategia de seguridad: si no sabe que está ahí, no puede protegerlo. La gestión de la exposición añade otro pilar fundamental: determinar su apetito de riesgo. Esto define cuánto riesgo está dispuesta a asumir su organización para alcanzar sus objetivos. Puede utilizar esta plantilla editable para su declaración de apetito de riesgo.
Una vez abordados estos dos elementos fundamentales, puede evaluar las vulnerabilidades que ha descubierto en su superficie de ataque para determinar cuánto riesgo suponen para su organización y si se encuentran dentro de su apetito de riesgo, un proceso que explicamos en profundidad en esta guía para la evaluación objetiva del riesgo cibernético.
Las vulnerabilidades que quedan fuera de su apetito de riesgo son sus prioridades de corrección, lo que le permite centrar sus esfuerzos donde tendrán el mayor impacto.
Preguntas frecuentes
¿Qué es una superficie de ataque?
Su superficie de ataque es el conjunto de posibles puntos de entrada que pueden utilizarse para acceder a un entorno de TI con el fin de lanzar un ciberataque.
¿Cuáles son las partes de la superficie de ataque?
Su superficie de ataque incluye una superficie de ataque digital (activos de TI tradicionales y activos externos expuestos a Internet), una superficie de ataque física (hardware e instalaciones) y una superficie de ataque humana.
¿Vende Ivanti productos para ayudar a descubrir y gestionar mi superficie de ataque?
Sí, Ivanti Neurons for Discovery, Ivanti Neurons for Risk-Based Vulnerability Management, Ivanti Neurons for External Attack Surface Management e Ivanti Neurons for Application Security Posture Management pueden desempeñar un papel en el descubrimiento y la gestión de su superficie de ataque.
