Explicación de la jerga de TI

¿Qué es la gestión de la superficie de ataque?

La gestión de la superficie de ataque (ASM) adopta la perspectiva de un atacante y ayuda a los equipos de seguridad a obtener visibilidad de los activos sobre los que TI carece de gobernanza y control, como la TI en la sombra, los sistemas de terceros y las aplicaciones de línea de negocio.

ASM combina personas, procesos, tecnologías y servicios para descubrir, inventariar y gestionar de forma continua los activos internos y externos de una organización. El objetivo final es garantizar que cualquier exposición identificada se aborde antes de que pueda ser explotada por agentes maliciosos. 

Existen tres áreas de ASM: gestión de la superficie de ataque de activos cibernéticos (CAASM), gestión de la superficie de ataque externa (EASM) y servicios de protección frente al riesgo digital (DRPS). Cada área se centra en un caso de uso específico: CAASM para activos y vulnerabilidades, EASM para activos externos y DRPS para activos digitales. 


Relacionado: Serie de informes de investigación sobre el estado de la ciberseguridad de Ivanti: Gestión de la superficie de ataque 

¿Qué es la gestión de la superficie de ataque de activos cibernéticos (CAASM)? 

CAASM proporciona una visión completa, actualizada y consolidada de los activos internos y externos de una organización, como endpoints, servicios, dispositivos y aplicaciones. 

Los productos CAASM lo hacen recopilando datos de fuentes internas existentes, como descubrimiento de activos, gestión de activos de TI, seguridad de endpoints, gestión de vulnerabilidades y herramientas de gestión de parches, así como sistemas de tickets mediante integraciones API. 

A continuación, agrega, normaliza y deduplica automáticamente los datos recopilados, y los presenta en una única interfaz de usuario, lo que elimina la necesidad de que los equipos de TI y seguridad recopilen y concilien manualmente los datos de activos. Los productos CAASM también permiten a los equipos realizar consultas sobre los datos recopilados, identificar vulnerabilidades de seguridad, detectar brechas en los controles de seguridad y solucionar problemas. 

¿Qué es la gestión de la superficie de ataque externa? 

Como su nombre indica, la gestión de la superficie de ataque externa se centra en una visión desde fuera hacia dentro de la superficie de ataque, descubriendo activos y sistemas expuestos a Internet, además de vulnerabilidades relacionadas. 

Entre los ejemplos de activos que descubre EASM se incluyen aplicaciones web, IP, nombres de dominio, certificados SSL y servicios en la nube. Los tipos de vulnerabilidades que identifica EASM incluyen, entre otros, servidores expuestos, credenciales, configuraciones incorrectas de servicios de nube pública, filtraciones en la deep web y la dark web, y vulnerabilidades en código de software de terceros. 

Además del descubrimiento de activos, los productos EASM suelen ofrecer otras capacidades, entre ellas: 

  • Escaneo externo activo de entornos en la nube, de TI, IoT y OT. 
  • Análisis de activos para determinar si son de riesgo, vulnerables o presentan un comportamiento anómalo. 
  • Priorización de activos en función de factores como el impacto empresarial y la probabilidad de explotación por parte de un agente malicioso. 
  • Flujos de trabajo de remediación e integraciones con sistemas de tickets, soluciones de orquestación, automatización y respuesta de seguridad (SOAR) y otras herramientas. 

¿Qué son los servicios de protección frente al riesgo digital (DRPS)? 

DRPS combina tecnología y servicios para proteger los activos digitales y los datos frente a amenazas externas. Amplía la detección y la supervisión más allá del perímetro empresarial —a la web abierta, la deep web, las redes sociales y los marketplaces de aplicaciones— para buscar amenazas contra los recursos digitales empresariales, incluidas las direcciones IP y los activos relacionados con la marca. 

A medida que las organizaciones realizan cada vez más actividades en línea, es fundamental que los equipos de seguridad adopten estas capacidades y miren más allá de las amenazas dentro de la red empresarial. DRPS identifica amenazas y proporciona inteligencia accionable sobre los agentes de amenazas y las herramientas, tácticas y procesos que explotan. 

¿Cuál es la diferencia entre CAASM, EASM y DRPS? 

CAASM, EASM y DRPS son componentes de ASM y se centran en la gestión de activos de seguridad y la priorización de problemas. Estas similitudes pueden generar confusión sobre las diferencias entre estas soluciones. 

Esta tabla resume las diferencias entre CAASM, EASM y DRPS. 

Función / Capacidad CAASM EASM DRPS 
Área de enfoque Activos y vulnerabilidades Activos externos Riesgo digital 
Activos aplicables 
  • Endpoints 
  • Servidores 
  • Dispositivos 
  • Aplicaciones 
  • Aplicaciones web 
  • IP 
  • Nombres de dominio 
  • Certificados SSL 
  • Servicios en la nube 
  • Direcciones IP 
  • Dominios 
  • Activos relacionados con la marca 
Composición 
  • Tecnología 
  • Tecnología
  • Servicios 
  • Procesos 
  • Tecnología
  • Servicios 
Capacidades 
  • Recopilar, agregar, normalizar, deduplicar y presentar datos. 
  • Realizar consultas sobre los datos recopilados. 
  • Identificar vulnerabilidades de seguridad. 
  • Detectar brechas en los controles de seguridad. 
  • Solucionar problemas. 
  • Descubrir activos. 
  • Emplear escaneos externos activos de entornos en la nube, de TI, IoT y OT. 
  • Analizar activos. 
  • Priorizar activos. 
  • Aprovechar flujos de trabajo de remediación. 
  • Integrarse con sistemas de tickets de terceros, soluciones SOAR y otras herramientas. 
  • Detectar y supervisar amenazas fuera del perímetro empresarial. 
  • Obtener inteligencia accionable sobre los agentes de amenazas. 
  • Mitigar amenazas activas. 
  • Llevar a cabo las actividades necesarias para frustrar amenazas futuras y proteger activos digitales. 
Fuentes de datos 

Recopilación pasiva de datos mediante integraciones API con herramientas internas existentes: 

  • Descubrimiento de activos. 
  • ITAM. 
  • Seguridad de endpoints. 
  • Gestión de vulnerabilidades. 
  • Gestión de parches. 
  • Sistemas de tickets. 

Las herramientas CAASM también suelen recopilar datos de herramientas DRPS y EASM. 

  • Escaneos activos de todo Internet realizados por EASM. 
  • DNS pasivo. 
  • WHOIS. 

Supervisión de: 

  • Web abierta. 
  • Deep web. 
  • Dark web. 
  • Redes sociales. 
  • Marketplaces de aplicaciones. 

¿Por qué es importante la gestión de la superficie de ataque? 

Los principales marcos de seguridad coinciden en que comprender la superficie de ataque es fundamental para mantener una postura de seguridad sólida. Tanto NIST CSF como CIS Controls la incluyen como una capacidad fundacional. 

La gestión de la superficie de ataque es tan importante porque, sin visibilidad de toda su superficie de ataque, no sabe qué vulnerabilidades están exponiendo a su organización. Esto, a su vez, le ofrece una visión insuficiente de la postura de riesgo de su organización, por lo que no tiene forma de saber si se mantiene dentro de su apetito de riesgo, ni cómo orientar sus esfuerzos para abordar las exposiciones de mayor riesgo. 

Con unas superficies de ataque que cambian y se amplían con tanta rapidez, la gestión de la superficie de ataque solo puede adquirir mayor relevancia. Los equipos de seguridad no pueden permitirse operar sin visibilidad.


RelacionadoDescubrimiento de la superficie de ataque: cómo identificar la superficie de ataque de su organización