La amplia adopción de instalaciones en la nube y la posterior multiplicación de las redes de las organizaciones, combinadas con la reciente migración al trabajo remoto, tuvo la consecuencia directa de una expansión masiva de la superficie de ataque de las organizaciones y condujo a un número creciente de puntos ciegos en las redes conectadas. arquitecturas
lo imprevisto resultados de esta superficie expandida y de ataque con el monitoreo fragmentado ha habido un marcado aumento en la cantidad de ataques cibernéticos exitosos, más notoriamente, ransomware, pero que también cubre una variedad de otros tipos de ataques. Los principales problemas son los puntos ciegos no supervisados utilizados por los atacantes cibernéticos para violar la infraestructura de las organizaciones y escalar su ataque o moverse lateralmente en busca de información valiosa.
El problema radica en el descubrimiento. La mayoría de las organizaciones han evolucionado más rápido que su capacidad para realizar un seguimiento de todas las partes móviles involucradas y ponerse al día para catalogar todos los activos pasados y presentes a menudo se considera una tarea compleja y que requiere muchos recursos con pocos beneficios inmediatos.
Sin embargo, dado el costo potencial de una violación exitosa y la mayor capacidad de los ciberatacantes para identificar y usar activos expuestos, dejar uno solo sin monitorear puede conducir a una brecha catastrófica.
Aquí es donde las tecnologías emergentes como Attack Surface Management (ASM) pueden ser invaluables.
¿Qué es la gestión de superficie de ataque (ASM)?
ASM es una tecnología que extrae conjuntos de datos de Internet y bases de datos de certificados o emula a atacantes que ejecutan técnicas de reconocimiento. Ambos enfoques tienen como objetivo realizar un análisis completo de los activos de su organización descubiertos durante el proceso de descubrimiento. Ambos enfoques incluyen escanear sus dominios, subdominios, direcciones IP, puertos, TI en la sombra, etc., en busca de activos de Internet antes de analizarlos para detectar vulnerabilidades y brechas de seguridad.
ASM avanzado incluye recomendaciones de mitigación procesables para cada brecha de seguridad descubierta, recomendaciones que van desde limpiar activos innecesarios y no utilizados para reducir la superficie de ataque hasta advertir a las personas que su dirección de correo electrónico está disponible y podría aprovecharse para ataques de phishing.
ASM incluye informes sobre inteligencia de código abierto (OSINT) que podrían usarse en un ataque de ingeniería social o una campaña de phishing, como información personal disponible públicamente en las redes sociales o incluso en material como videos, seminarios web, discursos públicos y conferencias.
En última instancia, el objetivo de ASM es garantizar que ningún activo expuesto quede sin supervisión y eliminar cualquier punto ciego que podría convertirse en un punto de entrada aprovechado por un atacante para obtener un punto de apoyo inicial en su sistema.
¿Quién necesita ASM?
En su seminario web sobre el estado de efectividad de la ciberseguridad de 2021, el evangelista cibernético David Klein aborda directamente los hallazgos preocupantes descubiertos por la adopción de ASM por parte de los usuarios de Cymulate. Sin que ellos lo supieran, antes de ejecutar ASM:
- El 80% no tenía registros de correo electrónico anti-spoofing, SPF
- El 77% tenía protecciones de sitio web insuficientes
- El 60% tenía cuentas expuestas, infraestructura y servicios de gestión.
- El 58% había pirateado cuentas de correo electrónico.
- El 37% usó Java alojado externamente.
- El 26 % no tenía ningún registro DMARC configurado para el dominio.
- El 23 % no coincidía con el host del certificado SSL.
Una vez identificadas, estas brechas de seguridad podrían cerrarse, pero el factor preocupante es el alcance de la exposición desconocida antes de su identificación.
Los usuarios de ASM en este análisis provienen de una gran variedad de industrias verticales, regiones y tamaños de organizaciones. Esto indica que cualquier persona con una infraestructura conectada se beneficiará de la adopción de ASM como parte integral de su infraestructura de ciberseguridad.
¿Dónde puedes encontrar ASM?
Aunque la tecnología aún es reciente, hay un número creciente de proveedores de ASM. Como siempre, es más eficiente considerar agregar ASM como parte de una plataforma más desarrollada en lugar de un producto independiente.
El enfoque de una solución ASM está dictado en parte por el enfoque de la canasta de productos con la que está asociada. Como tal, una solución ASM asociada con una suite reactiva como Endpoint Detection and Response (EDR) es más probable para mí en función de las capacidades de escaneo ampliadas, mientras que una solución ASM incluida en una plataforma proactiva como Extended Security Posture Management (XSPM) es es más probable que se concentre en aprovechar las capacidades de escaneo para expandirse en la emulación de las técnicas y herramientas de reconocimiento de los atacantes cibernéticos.
Seleccionando un MAPE integrada facilita la centralización de datos relacionados con la postura de seguridad de la organización en un solo panel de vidrio, lo que reduce el riesgo de sobrecarga de datos de los equipos SOC.
