Qué es la gestión de la superficie de ataque externa y sus desafíos

A medida que los procesos empresariales se vuelven cada vez más digitales, existe una creciente demanda de infraestructura de TI. Para satisfacer esa demanda, se han creado muchos servicios y aplicaciones que facilitan la creación de esta infraestructura.

Si bien estas herramientas son convenientes y reducen las barreras para la transformación digital, también presentan algunos problemas:

• Las empresas necesitan una política integral para gestionar el ciclo de vida de sus activos de TI, pero esta política podría no existir o ser demasiado reciente, lo que significa que no cubre los sistemas más antiguos.
• Incluso cuando existen políticas, los empleados o contratistas pueden no conocerlas y crear nuevos sistemas o modificar los existentes de manera significativa, invalidando evaluaciones de riesgo previas y creando shadow IT.
• Los atacantes son muy hostiles y persistentes. Las organizaciones más grandes han reportado que enfrentan miles de millones de intentos de hacking todos los días.

Aunque los sistemas internos a menudo están protegidos de toda la actividad maliciosa en internet, aceptar datos de internet es un requisito para que algunos servicios de TI sean útiles. Como estos sistemas son fácilmente accesibles para los atacantes, esta superficie de ataque externa es una preocupación significativa para todas las organizaciones, y gestionarla ha demostrado ser un gran desafío por varias razones.

¿Qué es la superficie de ataque externa?

La superficie de ataque externa de una organización está compuesta por todos los activos digitales expuestos a internet, como aplicaciones, sitios web y puntos de acceso de API, así como la infraestructura de TI (dispositivos de red, servidores y soluciones en la nube) que requieren.

La superficie de ataque externa no incluye computadoras o dispositivos que no pueden ser accedidos externamente, incluso si estos dispositivos tienen conectividad a internet. Sin embargo, cuando un dispositivo se vuelve accesible desde el exterior, incluso si es debido a un error de configuración, pasa a formar parte de la superficie de ataque externa.

Existen muchos casos en los que sistemas o paneles de control de pequeña escala están disponibles externamente. Algunas organizaciones reservan recursos informáticos para que los empleados puedan usarlos en estos proyectos, o los empleados descubren que pueden aprovechar la nube. Estos activos a menudo pasan desapercibidos, creando una infraestructura no gestionada y desconocida, o shadow IT.

Esto significa que la superficie de ataque externa de una organización suele ser más grande de lo esperado. También hay un flujo dinámico de activos que se ponen a disposición temporalmente o para tareas específicas, lo que significa que la superficie de ataque externa no es estática. Aunque el grado de cambio puede variar, la superficie de ataque externa siempre cambiará con el tiempo.

Los riesgos de una superficie de ataque externa no gestionada

Cuando un activo está recibiendo datos de internet, siempre está en riesgo de ser atacado por actores malintencionados. Incluso cuando estos intentos fracasan, los atacantes suelen seguir enviando solicitudes maliciosas. Los actores de amenaza también pueden escanear estos activos para encontrar vulnerabilidades, obtener acceso no autorizado o causar fallos que interrumpen el negocio.

Un ataque a un activo expuesto a internet generalmente no requiere interacción con un empleado (como en el caso de un ataque de phishing). Cada vulnerabilidad debe ser parcheada o mitigada antes de que un atacante la explote. Cuando los atacantes encuentran un punto de entrada a la red corporativa, pueden intentar acceder a sistemas críticos, robar datos confidenciales o desplegar ransomware.

Cuando los activos se exponen por error, a menudo no imponen ninguna barrera de acceso. Ha habido numerosos incidentes documentados en los que un atacante simplemente extrajo datos de una base de datos expuesta o de soluciones de almacenamiento de datos públicamente accesibles. Dado que estos sistemas no están diseñados para acceso externo, los equipos de ciberseguridad y TI a menudo desconocen su existencia.

Al enumerar estos riesgos, tenemos:

• Vulnerabilidades sin parchear — En algunos casos, los atacantes comienzan a explotar una vulnerabilidad pocas horas después de que el desarrollador la haya parcheado. Las empresas deben estar al tanto de estas vulnerabilidades para mitigarlas rápidamente.
• Software obsoleto — Los sistemas que han alcanzado el final de su vida útil (EOL) representan un riesgo incluso cuando no se conoce ninguna vulnerabilidad. Cuando eventualmente se encuentra una vulnerabilidad, la empresa puede descubrir que no hay solución excepto migrar a una versión más reciente o a una plataforma de software o hardware diferente. Las migraciones pueden ser difíciles y requerir pasos adicionales, lo que generará tiempo de inactividad o interrupciones en el negocio.
• Configuraciones defectuosas — Cuando se actualizan bibliotecas de software u otras dependencias, las configuraciones antiguas pueden no funcionar como se esperaba, dejando el sistema inestable o con un comportamiento errático. Por ejemplo, un firewall podría dejar de funcionar correctamente y exponer repentinamente cientos de estaciones de trabajo a internet. Los certificados de dominio son otro ejemplo, ya que estos impiden que el sitio web funcione correctamente si no se reemplazan después de su vencimiento.
• Datos o activos internos expuestos — Servicios de VPN, plataformas de intercambio de datos y muchos otros activos pueden exponer datos internos si no se gestionan y protegen adecuadamente.
• Sistemas heredados — Hay situaciones en las que los sistemas antiguos simplemente no se desmantelan después de que ya no se necesitan, o se reactivan por error.
  
  

Gestionar la superficie de ataque externa es un desafío

En teoría, todo lo que necesitas para controlar tu superficie de ataque externa es una política que solo permita que los activos acepten conexiones entrantes de internet después de pasar por un proceso de validación. En la práctica, esto no aborda las complejidades de la gestión de la superficie de ataque externa (EASM).

Los equipos de la empresa a menudo necesitan actuar y reaccionar rápidamente. Imponer demasiados obstáculos para validar los sistemas antes de que puedan usarse puede ser viable, pero el problema es que los sistemas cambiarán después de que se provisionen. Se añadirán o eliminarán softwares, se aplicarán parches y se implementarán soluciones temporales para errores u otros problemas. Normalmente no es posible validar cada cambio individual.

Los equipos de investigación y desarrollo ejecutarán intencionalmente entornos de prueba o sistemas beta que deben cambiar constantemente para cumplir sus funciones.

Cuando las empresas comienzan a gestionar su superficie de ataque externa, hay un atraso de sistemas que fueron provisionados antes de que existiera cualquier política. Es inaudito que los equipos de seguridad encuentren un inventario completo de cada sistema que usa la organización, por lo que deben buscar en cada departamento para compilar una lista, solo para descubrir que aún está incompleta o que se vuelve obsoleta rápidamente.

Y, como se mencionó anteriormente, muchos sistemas pasan a formar parte de la superficie de ataque externa por error, debido a errores humanos, fallos de software o un total desconocimiento de la política de la empresa. Si la organización no tiene visibilidad sobre su superficie de ataque externa, no puede detectar violaciones de políticas.

Pensando fuera de la caja

La forma más inteligente de mapear la superficie de ataque externa es desde el exterior, usando algunas de las mismas ideas que usaría un atacante, pero de una manera completamente no disruptiva, rápida y automatizada. La información recopilada por una plataforma de EASM es utilizada por los equipos de ciberseguridad para detectar rápidamente sistemas vulnerables, aplicar parches y corregir configuraciones defectuosas.

Este monitoreo externo también debe ser constante, asegurando que las vulnerabilidades se detecten a tiempo y que los equipos de ciberseguridad tengan un mapa actualizado de todos los sistemas que se añaden o eliminan de la superficie de ataque externa. Esto puede identificar violaciones de políticas o intentos de los atacantes de exfiltrar datos.

La Plataforma Axur puede colaborar con su equipo de ciberseguridad para detectar riesgos en su red desde el exterior y brindarle la información y la confianza que necesita para proteger sus activos externos y su huella digital. Si desea saber más, estamos listos para ayudarle.