Las soluciones Cyber Asset Attack Surface Management (CAASM) o External Attack Surface Management (EASM) están diseñadas para cuantificar, minimizar y fortalecer la superficie de ataque. El objetivo de las herramientas CAASM es brindar al atacante la menor información posible sobre la postura de seguridad de la organización mientras se mantienen los servicios comerciales críticos.
Si alguna vez ha visto una película de robos, el primer paso para ejecutar Score of the Century es vestir la ubicación: observar los procedimientos de seguridad, medir los tiempos de respuesta y mapear las rutas de escape. Este proceso es similar tanto al ataque como a la protección de los activos de TI corporativos: familiarícese con los recursos visibles públicamente en Internet, aprenda qué constituye la pila de tecnología y encuentre vulnerabilidades y vulnerabilidades.
Conceptos básicos de gestión de superficie de ataque
La superficie de ataque es la totalidad de los recursos corporativos, también conocidos como activos, a los que se puede acceder de alguna forma a través de Internet. Pueden ser aplicaciones locales con puertos abiertos a través del firewall corporativo, aplicaciones SaaS alojadas en la nube o cualquier cantidad de recursos alojados en la nube con presencia pública. La superficie de ataque incluye elementos como puertos y protocolos abiertos, SSL y estándares criptográficos utilizados, aplicaciones alojadas e incluso las plataformas de servidor en las que se aloja la aplicación.
Las unidades que forman la superficie de ataque se denominan activos. Son la dirección IP o nombre de dominio acoplado al stack tecnológico que conforma la aplicación o servicio.
Las vulnerabilidades son fallas de configuración o software sin parches que abren la puerta a ataques de usuarios maliciosos para comprometer uno o más sistemas.
Si bien la administración de la superficie de ataque se enfoca principalmente en los activos en la Internet pública, los activos dentro de los límites de un centro de datos empresarial o una red en la nube también pueden poner en riesgo a una organización si no se controlan y administran adecuadamente. Debido a que estos activos no están disponibles para entidades externas, la capacidad de monitorearlos requiere un agente de software o la capacidad del servicio de monitoreo para intervenir en su red.
Los servidores y las aplicaciones a menudo tienen un fondo suave cuando se ven desde la red corporativa. Cualquier herramienta de monitoreo debe evaluar una gama más amplia de servicios y, en muchos casos, probar los servicios como usuario anónimo y como usuario autenticado en la red.
Herramientas CAASM y EASM para la detección y gestión de superficies de ataque
Los escaneos periódicos de la red ya no son suficientes para mantener una superficie de ataque reforzada. El monitoreo continuo de nuevos activos y desviaciones de configuración es fundamental para garantizar la seguridad de los activos de la empresa y los datos de los clientes.
Los nuevos activos deben identificarse e integrarse en la solución de monitoreo, ya que podrían ser parte de un ataque a la marca o una TI en la sombra. La desviación de la configuración puede ser benigna y parte de un cambio de diseño, pero también puede ser el resultado de un error humano o las primeras etapas de un ataque. La identificación temprana de estos cambios permite que el equipo de seguridad cibernética responda adecuadamente y mitigue daños adicionales.
Aquí hay 9 herramientas para ayudarlo a identificar y administrar el riesgo.
Gestión de superficie de ataque de activos cibernéticos de Axonius
Axonius ofrece una sólida suite CAASM que cubre todos los factores clave para el monitoreo de la superficie de ataque. Axonius comienza con un inventario de activos que se actualiza automáticamente y se complementa con contexto de fuentes de datos internas y recursos a los que Axonius tiene acceso fuera de la red de un usuario. También puede realizar un monitoreo basado en controles de seguridad de conjuntos de políticas como PCI o HIPAA e identificar configuraciones o vulnerabilidades que corresponden a violaciones de políticas, lo que permite al usuario tomar medidas para remediar el hallazgo.
Interfaz CrowdStrike Falcon
CrowdStrike Falcon Surface EASM proporciona una vista desde la perspectiva del adversario, proporcionando un mapa en tiempo real de los activos expuestos y los posibles vectores de ataque. El inventario de activos de CrowdStrike también proporciona un historial de cambios a lo largo del tiempo, proporcionando detalles instantáneos sobre la deriva de la configuración. La priorización del riesgo para la organización está habilitada por el contexto desarrollado a través de flujos de datos internos y externos. Las acciones correctivas se pueden tomar automáticamente a través de alertas y acciones basadas en la integración (notificar a un canal de Slack, crear un ticket en Jira o ServiceNow, o activar una acción en una cuenta de usuario o sistema), o las acciones correctivas basadas en playbook pueden guiar a los administradores a través del fortalecimiento. una configuración del sistema o aplicación de actualizaciones del sistema.
Gestión de la superficie de ataque de CyCognito
El producto CAASM de CyCognito proporciona monitoreo continuo e inventario de activos, ya sea que estén en las instalaciones, en la nube, en un tercero o a través de un afiliado. El contexto comercial, como la propiedad y las relaciones entre los activos, se puede agregar para facilitar el proceso de clasificación y ayudar a priorizar la respuesta al riesgo. Este contexto y la priorización inteligente (que evalúa aspectos como la facilidad de uso y la clasificación de activos) ayudan a centrarse en los riesgos más críticos para la red. CyCognito también rastrea las desviaciones de configuración de los activos, permite ver el historial de cambios e identifica nuevos riesgos para la infraestructura corporativa.
informante
Informer proporciona capacidades de EASM que automatizan el descubrimiento de activos en aplicaciones web, API y otros aspectos de la pila de TI empresarial de cara al público. Estos activos son monitoreados continuamente, con riesgos identificados priorizados en tiempo real. Informer ofrece servicios complementarios para realizar una validación de riesgo manual e incluso pruebas de penetración. El sistema de respuesta basado en el flujo de trabajo de Informer facilita la participación de varios equipos en la respuesta a incidentes al integrarse con las aplicaciones de comunicación y emisión de boletos existentes. Una vez que se han mitigado las amenazas identificadas por Informer, se puede iniciar una nueva prueba de inmediato para confirmar que el cambio de configuración o la actualización del sistema han remediado completamente el riesgo.
Gestión de superficie de ataque de activos cibernéticos de JupiterOne
JupiterOne comercializa su solución CAASM como una forma de agregar sin problemas datos de activos cibernéticos en una vista unificada. El contexto se agrega automáticamente cuando corresponde, y las relaciones de activos se pueden definir y ajustar para mejorar el análisis de vulnerabilidades y la respuesta a incidentes. Las consultas personalizadas permiten que el equipo de ciberseguridad responda preguntas complejas, mientras que el inventario de activos se puede buscar mediante un mapa visual interactivo, lo que permite evaluar el alcance del incidente y priorizar la respuesta. Sus inversiones existentes en herramientas de seguridad se pueden aprovechar mediante integraciones, lo que convierte a JupiterOne en una visión holística y centralizada de la seguridad de su empresa.
Gestión de la superficie de ataque externa de Microsoft Defender
Microsoft está asumiendo discretamente un papel de liderazgo en el panorama de la seguridad empresarial, aprovechando sus inversiones en la nube para ofrecer valor a los clientes, y su oferta de EASM con la marca Defender no es una excepción. Microsoft Defender EASM proporciona el descubrimiento de activos y recursos no administrados, incluidos los proporcionados por TI en la sombra y los activos que residen en otras plataformas en la nube. Una vez que se identifican los activos y los recursos, Defender EASM examina todas las capas de la pila de tecnología en busca de vulnerabilidades, incluida la plataforma subyacente, los marcos de aplicaciones, las aplicaciones web, los componentes y el código central.
Microsoft Defender EASM permite a los profesionales de TI reparar rápidamente las vulnerabilidades en los activos recién descubiertos al categorizar y priorizar las vulnerabilidades en tiempo real a medida que se descubren. Debido a que es Microsoft, Defender EASM se integra estrechamente con otras soluciones centradas en la seguridad de Microsoft, como Microsoft 365 Defender y Defender for Cloud, y Sentinel.
Rapid7 InsightVM
Rapid7 ha creado un negocio al permitir que la TI empresarial identifique vulnerabilidades en los activos empresariales. Resulta que los aspectos fundamentales de la exploración del sistema y el análisis de datos son útiles en la gestión de la superficie de ataque, e InsightVM se basa en esa base para proporcionar capacidades sólidas que compiten con cualquier otra solución mencionada. La reputación de Rapid7 en la industria es tal que no solo utilizan las puntuaciones Mitre CVE (vulnerabilidades y exposiciones comunes) para priorizar las vulnerabilidades, sino también una autoridad de numeración CVE con la capacidad de identificar y puntuar las vulnerabilidades recién descubiertas. InsightVM supervisa los cambios en los recursos corporativos, ya sean recursos recién implementados o recursos con nuevas vulnerabilidades o cambios de configuración. Rapid7 también trae sus análisis y opciones de tablero a InsightVM, lo que permite a los usuarios ver un tablero en vivo con información en tiempo real o profundizar en los detalles de la vulnerabilidad utilizando sus herramientas de consulta.
SOCRadar AttackMapper
SOCRadar intenta dar a los usuarios una vista de los activos desde el punto de vista del atacante con AttackMapper, parte de su conjunto de herramientas para equipos SOC. AttackMapper monitorea dinámicamente los activos en tiempo real, identifica activos nuevos o modificados y analiza esos cambios en busca de posibles vulnerabilidades. SOCRadar correlaciona sus hallazgos con métodos de ataque de vulnerabilidad conocidos para brindar contexto al proceso de toma de decisiones y selección. AttackMapper no solo monitorea los puntos finales y las vulnerabilidades del software, ya que cosas como las debilidades de SSL y la caducidad del certificado e incluso los registros y configuraciones de DNS también son justos. Incluso la alteración del sitio web puede ser identificada por AttackMapper para proteger la reputación de la marca.
durable.asm
Tenable ha ofrecido herramientas para identificar vulnerabilidades durante muchos años, y su conjunto de herramientas actual satisface bien las necesidades de los profesionales de seguridad de TI de hoy. Tenable.asm es el módulo EASM de Tenable y está completamente integrado con las herramientas de administración de vulnerabilidades de Tenable. Tenable.asm brinda contexto sobre detalles de activos y vulnerabilidades, no solo desde una perspectiva técnica, sino también el contexto a nivel empresarial necesario para priorizar completamente la respuesta. Una vez que se ha agregado contexto a los datos de activos y vulnerabilidades, el usuario puede consultar y filtrar más de 200 campos de metadatos, lo que permite profundizar rápidamente en los activos y recursos críticos para la organización.
Derechos de autor © 2023 IDG Communications, Inc.