Qué es una superficie de ataque y por qué debería importarle

Estudio Wright / Shutterstock.com

Su superficie de ataque es la suma de las oportunidades dentro de su red que un ciberdelincuente puede atacar y explotar. Para minimizar el riesgo cibernético, debe comprender y administrar la superficie de ataque.

Índice de contenidos()

    Tu superficie de ataque

    La superficie de ataque de una organización a menudo se describe como la suma de las formas en que se podría violar la organización. Este es un punto de vista autolimitante. Asume que la colección de vectores de ataque conocidos es una lista completa de vulnerabilidades que los ciberdelincuentes podrían intentar explotar.

    Una mejor definición es que la superficie de ataque es la suma de todos los activos de TI expuestos a los atacantes. Independientemente de si tienen vulnerabilidades conocidas o no, cualquier entidad de TI expuesta, desde servidores hasta API, debe considerarse parte de la superficie de ataque. En cualquier momento se puede descubrir una nueva vulnerabilidad que afecte a uno de sus activos.

    Todo lo que esté expuesto al riesgo cibernético, que es principalmente equivalente al mundo exterior, es un objetivo potencial. Su superficie de ataque es el área objetivo total que presenta a los ciberdelincuentes. No hace falta decir que cuanto menor sea el área objetivo total, mejor. Pero sin estar completamente fuera de la red, es imposible que una organización no tenga una superficie de ataque de un tipo u otro.

    Si va a quedarse atascado con una superficie de ataque, el único curso de acción sensato es comprenderlo, tratar de racionalizarlo y minimizarlo, y proteger lo que queda lo mejor que pueda.

    Traza tu superficie de ataque

    La pandemia de COVID-19 de 2020 resultó en un cambio repentino del trabajo de oficina al trabajo desde casa para muchos empleados. Llamarlo "migración" quizás sea ser amable. En muchos casos, lo que sucedió fue más como abandonar el barco. De cualquier manera, fue un ejemplo de un cambio dramático e inesperado en la industria de TI.

    En circunstancias normales, los cambios no triviales se planifican, en teoría, con mucha antelación y se llevan a cabo de forma controlada y reflexiva. Pasar de una aplicación crítica de línea de negocio a otra o pasar de la informática en las instalaciones a la nube son ejemplos de lo que generalmente se entiende por "migración".

    Dejando a un lado las diferencias en la ejecución, en ambos casos ha cambiado su superficie de ataque. Tanto los cambios planificados como los forzados expondrán a diferentes activos de TI a riesgos. Pero es muy posible que eliminen o reduzcan los riesgos en otras áreas.

    No es fácil visualizar todo esto, ni apreciar el impacto de los cambios. Para las organizaciones de múltiples sitios, el problema es aún más difícil. Una forma de obtener el control es trazar los activos de TI, incluido el software, en un eje de un gráfico y trazar las amenazas y vulnerabilidades en el otro. Para cada vulnerabilidad que se aplique a un activo, coloque un marcador donde se cruzan. El gráfico resultante es una aproximación de la superficie de ataque.

    Hay paquetes de software disponibles que le ayudarán a mapear su superficie de ataque. Automatizar el proceso garantizará que no se olvide de los sistemas heredados, el software o las API semi-inactivas que pueden pasarse por alto fácilmente. Estos paquetes son particularmente útiles para descubrir skunkworks y otras iniciativas de TI en la sombra que no han sido proporcionadas e implementadas por su equipo de TI. El software Attack Surface Management (ASM) también proporciona capacidades de monitoreo y alerta.

    Open Web Application Security Project (OWASP) ha creado un detector de superficie de ataque de código abierto diseñado para descubrir los puntos finales, parámetros y tipos de datos de parámetros de una aplicación web Prueba de seguridad OWASP ZAP y PortSwigger Burp Suite.

    Herramientas como estas se centran en los aspectos digitales de la superficie de ataque. No consideran la seguridad física de sus instalaciones, ni la conciencia de ciberseguridad de su personal. Las medidas de seguridad física y acceso controlan quiénes pueden ingresar a su edificio y adónde pueden ir una vez que ingresan. La capacitación en concientización sobre seguridad cibernética permite al personal adoptar las mejores prácticas de seguridad cibernética, reconocer ataques de phishing, técnicas de ingeniería social y, en general, alentarlos a pecar de cautelosos.

    Ya sea que los combine con su servicio de ataque digital en uno ubersuperficie de ataque o no, el acceso físico y la capacitación en concientización sobre ciberseguridad no pueden ignorarse ni tratarse como ciudadanos de segunda clase. Todos forman parte del gobierno de seguridad general. Tenga en cuenta que la mayoría del software ASM ofrece beneficios solo cuando se considera la superficie de ataque digital.

    RELACIONADOS: ¿Utiliza 2FA? Estupendo. Pero no es infalible

    Racionalice y controle su superficie de ataque

    Armado con información de la verificación manual de la superficie de ataque o de los informes del software ASM, puede revisar críticamente los atributos de la superficie de ataque. Precisamente, ¿qué lo hace tan grande y qué tan vulnerable es?

    Los activos deben agruparse según su criticidad y sensibilidad. Son fundamentales si afectarían significativamente de manera adversa el funcionamiento de la organización. si estuvieran comprometidos. Son sensibles si manejan datos personales o cualquier información privada de la empresa.

    ¿Se requieren todos los activos en su forma actual? ¿Se pueden combinar algunos, aumentando la seguridad y reduciendo los costos? ¿Deben cerrarse los proyectos de TI en la sombra o incorporarse a los activos corporativos? ¿La topología de su red sigue siendo el diseño óptimo para las necesidades de su organización en la actualidad, en términos de funcionalidad, productividad y seguridad? ¿Todas las cuentas administrativas o de otro tipo todavía tienen un caso comercial sólido detrás de ellas?

    Después de hacer todas las preguntas planteadas por la auditoría y acordar las respuestas, es casi seguro que se necesitará un trabajo correctivo para cerrar las vulnerabilidades y asegurar la red. Una vez completado, vuelva a escanear o verifique la red para establecer una línea de base de la superficie de ataque y luego monitorear los cambios.

    RELACIONADOS: Cómo defenderse de los rootkits

    Inteligencia activable

    Los sistemas de gestión de la superficie de ataque proporcionan, en varios niveles, un panel que muestra el estado en tiempo real de los activos que componen la superficie de ataque. Las alertas le notifican sobre adiciones o cambios que afectan su superficie de ataque. La importancia y la sensibilidad de sus recursos de TI guiarán su prioridad de estos recursos. Asegúrese de que los recursos de alta prioridad se muestren de manera destacada en el tablero o, al menos, que se apliquen los mecanismos de alerta más completos.

    Obtener información sobre su superficie de ataque, optimizarla, protegerla y monitorearla son pasos importantes, pero no significan nada si no reacciona a la información que proporciona su software ASM. Esto podría ser tan simple como parchear o investigar eventos inexplicables.

    Ya tendrá un proceso completo de administración de parches y una planificación para administrar las versiones programadas de parches y los parches de emergencia extraordinarios. Si su ASM informa que se ha conectado un punto final vulnerable a la red, su equipo puede decidir si eliminarlo de la red o actualizarlo. El manejo de excepciones al régimen de parches normal facilita mucho el proceso de eliminación de valores atípicos.

    RELACIONADOS: ¿Por qué algunos puertos de red son peligrosos y cómo los protege?

    Evolucionar para sobrevivir

    La gestión de la superficie de ataque se está convirtiendo en una prioridad para muchas organizaciones. La cantidad y el tipo de dispositivos conectados a las redes están creciendo y cambiando. El turno de noche para trabajar desde casa es un ejemplo. El crecimiento explosivo de los dispositivos de Internet de las cosas y la computación en la nube o híbrida son otros.

    La superficie de ataque está evolucionando más rápido que nunca. Es por eso que la administración y el monitoreo proactivos son imprescindibles.

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir