¿Qué es el ciclo de vida de la administración de la superficie de ataque (ASM)?

La administración de la superficie de ataque es el proceso sistemático de identificación, evaluación y protección de los activos digitales de una organización y de los puntos de entrada susceptibles de sufrir ciberataques. A diferencia de otros enfoques de ciberseguridad, una solución de administración de la superficie de ataque considera los riesgos de seguridad de forma proactiva y desde la perspectiva del atacante.

El ciclo de vida de la administración de la superficie de ataque facilita tácticas más agresivas que buscan vulnerabilidades en la superficie de ataque digital para mejorar la postura de seguridad general. Este enfoque del ciclo de vida es crucial porque proporciona un marco dinámico para ayudar a los equipos de seguridad a detectar y mitigar de forma proactiva los riesgos cibernéticos.

Las 6 etapas de los ciberataques

Antes de profundizar en los detalles del ciclo de vida de la administración de la superficie de ataque, merece la pena comprender cómo los actores de amenazas evalúan y explotan la base de riesgos de una organización. El conocimiento de las seis etapas de un ciberataque proporciona contexto a los cuatro pasos del ciclo de vida y cómo pueden frustrar a un atacante en varios puntos.

• Reconocimiento-investigación, identificación y selección de objetivos (por ejemplo, activos digitales en las instalaciones, un activo accesible desde Internet, datos en entornos de nube u otra superficie de ataque externa con puntos de entrada de cara al público) que les permitan cumplir sus objetivos.
• Arma y lanzamiento: Determine los métodos de entrega de cargas útiles maliciosas (por ejemplo, ransomware).
• Explotación: implementar un exploit contra aplicaciones o sistemas vulnerables para aprovechar los puntos de entrada iniciales en la organización.
• Instalación-Instalar el malware para realizar operaciones posteriores, como mantener el acceso, la persistencia y la escalada de privilegios.
• Mando y control: establezca un canal de mando para comunicar y pasar información de un lado a otro entre los dispositivos infectados y su infraestructura (por ejemplo, para compartir información de vigilancia, controlar sistemas a distancia o ejecutar violaciones de datos).
• Acciones sobre el objetivo-actuar sobre sus motivaciones para alcanzar su meta.

4 etapas del ciclo de vida de la administración de la superficie de ataque

El ciclo de vida de la administración de la superficie de ataque comprende cuatro pasos o etapas que los equipos de seguridad siguen para proteger el servicio de ataque digital. Se trata de un proceso continuo de evaluación de riesgos para facilitar la administración de vulnerabilidades y mejorar la ciberseguridad de la organización.

El enfoque proactivo del ciclo de vida de la administración de la superficie de ataque ayuda a identificar todo el inventario de activos, especialmente los de alto riesgo y los desconocidos, para que los equipos de seguridad puedan remediar los problemas y mejorar los índices de seguridad.

Etapa 1: Descubrimiento y clasificación de activos

Las soluciones de administración de la superficie de ataque identifican y mapean sistemas y aplicaciones utilizando herramientas y técnicas automatizadas de descubrimiento de activos. Entre ellos se incluyen los que forman parte de bases en la nube de terceros y externas, los endpoints remotos y en las instalaciones y los dispositivos de los usuarios (es decir, traiga su dispositivo o BYOD). La administración especializada de la superficie de ataque externa (EASM) se utiliza a veces para descubrir activos digitales de terceros en entornos de múltiples nubes.

Las soluciones de administración de la superficie de ataque son expertas en superar los retos de descubrir activos no autorizados o desconocidos. La ASM suele aprovechar muchas de las mismas técnicas avanzadas de reconocimiento que un posible atacante. Estos sistemas pueden seguir buscando activos digitales, identificándolos con frecuencia en tiempo real.

Una vez identificados, los activos digitales se catalogan en un inventario detallado que incluye hardware, software, aplicaciones, dispositivos de almacenamiento de datos y todos los activos accesibles desde Internet. El inventario se clasifica en función de la criticidad, la sensibilidad y la exposición potencial al riesgo. La supervisión continua y la actualización periódica del inventario son esenciales para garantizar que el proceso de administración de la superficie de ataque siga siendo eficaz.

Etapa 2: Evaluación de riesgos y administración de vulnerabilidades

Con una visión clara de todos los activos, las organizaciones pueden llevar a cabo una evaluación exhaustiva de riesgos para identificar posibles vectores de ataque, como software obsoleto, errores de configuración o endpoints inseguros.

Se utilizan varios métodos diferentes para analizar y evaluar las vulnerabilidades de los activos identificados. Estos métodos incluyen la exploración automatizada de vulnerabilidades, las pruebas de penetración (pen testing), las auditorías de configuración, el análisis de la composición del software y la integración de inteligencia de amenazas. Esto proporciona a los equipos de seguridad visibilidad de los factores de riesgo cibernético, como fallos de software, errores de configuración y vulnerabilidades conocidas.

Las soluciones de administración de la superficie de ataque utilizan el modelado de amenazas para analizar los vectores de ataque con el fin de evaluar la probabilidad de que sea blanco de un ataque y el impacto potencial. El modelado de amenazas ayuda a los equipos de seguridad a reducir el alcance de las amenazas a un sistema específico y a priorizarlas. Les proporciona información que les ahorra tiempo y les permite remediar rápidamente las amenazas prioritarias.

La información proporcionada por las soluciones de gestión de ataques y la priorización contextual mejora la administración de vulnerabilidades al guiar a los equipos de seguridad en la determinación del mejor enfoque para la corrección.

Los equipos de seguridad pueden utilizar la evaluación de riesgos y los datos contextuales para planificar la corrección de los ciberriesgos basándose en criterios de priorización, como la explotabilidad, el impacto y los ataques anteriores. Esto es importante porque a menudo se identifican más vulnerabilidades que recursos disponibles para solucionarlas rápidamente.

Etapa 3: Implementación de medidas correctoras

El mapeo y la contextualización de la superficie de ataque se utilizan para dirigir los esfuerzos de reparación. En función de las prioridades, se utilizan tácticas automatizadas y manuales de administración de la superficie de ataque. Las soluciones de administración de la superficie de ataque ayudan a los equipos de seguridad a determinar un flujo de trabajo para remediar los riesgos y proporcionan herramientas que automatizan algunas tareas, como:

• Actualizaciones de la configuración
• Implementación de la encriptación de datos
• Instalación de parches y actualizaciones
• Identificación continua de activos y evaluaciones de los riesgos asociados
• Controles de remediación
• Retirar dominios huérfanos
• Análisis de activos de terceros en busca de riesgos y puntos débiles
• Depuración del sistema

Se utilizan varias tácticas manuales de corrección para encontrar problemas que las herramientas automatizadas pueden pasar por alto. Estas tácticas incluyen:

• Análisis expertos realizados por equipos de seguridad cualificados para profundizar en las amenazas complejas
• Análisis forense dirigido por humanos para comprender la naturaleza y el impacto de las violaciones de datos
• Auditorías y revisiones manuales de sistemas, políticas y procedimientos
• Pruebas de penetración manuales periódicas

Además, la remediación puede implicar medidas más amplias. Entre ellas se incluyen la implementación de acceso de privilegios mínimos, autenticación multifactorial (MFA), y programas de capacitación y concienciación que refuercen la importancia de seguir las prácticas de seguridad.

Los esfuerzos de remediación de la superficie de ataque digital son ejecutados por varios equipos diferentes, incluyendo:

• Los equipos de seguridad se encargan de la administración de riesgos y vulnerabilidades.
• Equipos de operaciones informáticas: actualicen los sistemas afectados.
• Equipos de desarrollo: incorporen conocimientos sobre los vectores de ataque a su ciclo de vida de desarrollo de software (SDLC) a medida que construyen, actualizan y mantienen los activos digitales.

Etapa 4: Mejora y adaptación continuas

La administración de la superficie de ataque es un proceso continuo. Los pasos detallados anteriormente deben repetirse continuamente para garantizar la detección temprana de cambios en el entorno que puedan introducir nuevos vectores de ataque y tácticas de ataque en evolución.

Entre las herramientas de administración de la superficie de ataque que apoyan la supervisión continua de nuevas vulnerabilidades y amenazas se encuentran:

• Herramientas de administración de la configuración: detectan y rectifican los errores de configuración en los dispositivos y sistemas de la red de acuerdo con las políticas de seguridad predefinidas.
• Sistemas de detección de intrusiones y prevención (IDPS)- supervisan continuamente las actividades sospechosas y pueden bloquear o alertar automáticamente sobre posibles amenazas.
• Sistemas de administración de parches: detectan automáticamente el software obsoleto y aplican los parches y actualizaciones necesarios para cerrar las brechas de seguridad.
• Sistemas de gestión de eventos e información de seguridad (SIEM): agregan y analizan datos de diversas fuentes, automatizando los procesos de alerta y respuesta en función de las amenazas identificadas.
• Escáneres de vulnerabilidades: analizan sistemas y aplicaciones en busca de vulnerabilidades conocidas, proporcionando actualizaciones y alertas periódicas.

La supervisión continua permite a la administración de la superficie de ataque detectar y evaluar nuevas vulnerabilidades y vectores de ataque en tiempo real. Estas alertas proporcionan a los equipos de seguridad la información que necesitan para lanzar respuestas de reparación inmediatas y eficaces. Además, los entornos pueden adaptarse para preparar mejor la defensa contra las amenazas en evolución y de día cero.

Estrategias para complementar el ciclo de vida de la MAPE

El ciclo de vida de la administración de la superficie de ataque (ASM) es fundamental para una postura de ciberseguridad sólida. Sin embargo, es esencial reconocer que la ASM por sí sola no es suficiente para proteger su organización por completo.

A continuación se presentan algunas estrategias que pueden utilizarse para complementar el ciclo de vida de la ASM y reforzar aún más su seguridad:

Reducción de la superficie de ataque (ASR)

La reducción de la superficie de ataque (ASR) es una parte crucial del proceso de administración de la superficie de ataque que implica la implementación de estrategias para minimizar el número de puntos de entrada potenciales para un atacante.

Las tácticas clave incluyen exigir múltiples formas de verificación antes de conceder el acceso (por ejemplo, autenticación multifactor), mantener el software y los sistemas actualizados con los últimos parches (por ejemplo, administración de parches) y limitar los derechos de acceso de los usuarios sólo a lo estrictamente necesario para su función (por ejemplo, el principio del mínimo privilegio, PoLP).

Administración de la superficie de ataque cibernético (CASM)

La administración de la superficie de ataque cibernético se integra con las fuentes de datos existentes para proporcionar a las organizaciones una visión unificada y continuamente actualizada de toda su superficie de ataque. Esto proporciona a los equipos de seguridad la información necesaria para comprender su inventario de activos y priorizar las medidas correctoras en función de los datos contextuales.

CASM aborda los puntos ciegos del sistema y los problemas de cumplimiento con su visibilidad integral y la supervisión y administración continuas de estos activos. Estas capacidades garantizan el cumplimiento de las políticas de seguridad y las normas de conformidad.

Administración de la superficie de ataque externa (EASM)

La administración de la superficie de ataque externa (EASM) identifica y protege los activos accesibles desde Internet de una organización, evitando las ciberamenazas procedentes del exterior de la red interna. El proceso identifica todos los sistemas, servicios y endpoints de cara al público, incluidos los sitios web, las aplicaciones web, los servidores y los recursos basados en la nube.

EASM también analiza estos activos externos en busca de puntos débiles, errores de configuración o componentes obsoletos que los actores de amenazas podrían explotar. Esta supervisión continua de la superficie de ataque a través de Internet permite a los equipos de seguridad detectar nuevos riesgos emergentes.

Servicios de protección contra riesgos digitales (DRPS)

Los servicios de protección frente a los riesgos digitales son soluciones de ciberseguridad especializadas que se centran en identificar, supervisar y mitigar los riesgos digitales fuera del perímetro de seguridad tradicional. Abarca la inteligencia de amenazas, la protección de marcas, la detección de fugas de datos, la detección de fraudes y phishing y la supervisión de la reputación. Con DRPS, los equipos de seguridad pueden ampliar su administración de la vulnerabilidad de los riesgos cibernéticos más allá de su red interna.

Retos que aborda el ciclo de vida de la MAPE

Hacer frente a los vectores de ataque basados en la nube

El ciclo de vida de la administración de la superficie de ataque aborda muchos retos, especialmente la gestión de los vectores de ataque basados en la nube que abarcan entornos complejos de múltiples nubes. Proporciona herramientas y procesos para ayudar a los equipos de seguridad a obtener una visibilidad completa en todos los entornos de nube.

Esto permite una identificación y administración más exhaustivas de los activos en modelos de servicios en nube híbridos y de múltiples nubes, incluidos SaaS, IaaS y PaaS.

Consideraciones sobre IoT y los trabajadores remotos

Las soluciones de administración de la superficie de ataque abordan las consideraciones relativas al IoT y a los trabajadores remotos. Tanto los trabajadores remotos como los dispositivos de IoT han contribuido a ampliar los perímetros y las superficies de ataque.

El ciclo de vida de la administración de ataques ayuda a los equipos de seguridad a supervisar a estos usuarios y dispositivos distribuidos. También facilita la administración de las protecciones de seguridad para mitigar sus riesgos. Esto incluye la administración de la seguridad de los endpoints y la supervisión y actualización continuas de las medidas de seguridad en todo el extenso panorama del IoT y de los trabajadores remotos.

Un panorama de amenazas en evolución

Seguir las etapas del ciclo de vida de la administración de la superficie de ataque agiliza la detección de amenazas en evolución y emergentes y la respuesta a las mismas. La supervisión continua proporciona información que permite identificar las vulnerabilidades actuales y anticiparse a las amenazas futuras. Esto permite un enfoque proactivo de la ciberseguridad que mantiene a los equipos de seguridad por delante de las amenazas.

Estas capacidades se apoyan en la inteligencia de amenazas sobre amenazas emergentes, patrones de ataque y actores de amenazas. También aprovecha a los hackers éticos, que aportan una visión diferente a la de los sistemas automatizados. Sus simulaciones de ciberataques encuentran vectores de ataque antes de que los actores de amenazas puedan explotarlos.

Preguntas frecuentes sobre el ciclo de vida de la administración de la superficie de ataque