Cómo detectar y evaluar de manera continua toda su superficie de ataque
Para eliminar los puntos ciegos de la red y comprender plenamente toda su superficie de ataque, es fundamental determinar qué herramientas de detección y evaluación son necesarias para cada tipo de activo.
Si usted ha trabajado en el área de seguridad por algunos años, seguramente ha observado cómo evoluciona su red, de ser una red que contiene activos de TI locales estrictamente tradicionales, a una red que comprende entornos tanto locales como en la nube con una multitud de tipos de activos, incluyendo plataformas virtuales, servicios en la nube, contenedores, aplicaciones web, tecnología operativa (OT) e Internet de las cosas (IoT). Aunque la evolución sí es bien entendida por los profesionales de la seguridad, muchos todavía luchan para realizar las modificaciones adecuadas que les permitan detectar y evaluar adecuadamente su amplia gama de activos digitales modernos.
En la época en que las redes no eran más que colecciones homogéneas de activos físicos locales, en su mayoría ubicados dentro del centro de datos y el espacio de direcciones IP bien controlados dentro de la organización, simplemente ejecutar un escáner de vulnerabilidades de red era suficiente para comprender lo que había y dónde se estaba expuesto. Era muy común emprender un abordaje de "hervir el océano" a la hora de evaluar dónde se estaba potencialmente en riesgo de que los adversarios explotaran sus vulnerabilidades. Pero con la gama de tipos de activos de hoy en día, usted necesita más herramientas específicas para obtener visibilidad de forma segura y precisa de toda la superficie de ataque y desarrollar un entendimiento más profundo de la postura de seguridad de todos los activos, donde sea que residan en el entorno.
Los tipos de activos más modernos requieren una metodología específica o las herramientas para detectar y evaluar de forma precisa. Estos son algunos ejemplos:
- Conectores en la nube: Debido a que los entornos en la nube no están físicamente conectados a la red, es necesario un conector para mantenerlos en contacto con la plataforma de gestión de vulnerabilidades.
- Agentes: Los activos como las computadoras portátiles son a menudo desconectados de la red durante los escaneos rutinarios, lo que provoca que se pasen por alto sus vulnerabilidades durante largos períodos de tiempo. Instalar agentes de forma local en el host puede resolver este problema mediante el monitoreo constante e informar los resultados siempre que el activo esté conectado a la red.
- Sensores de consulta activa para dispositivos de OT: La mayoría de los activos en los entornos de OT e IoT son sistemas diseñados para fines específicos que funcionan de modo muy diferente a los activos de TI tradicionales. Debido a esto, se evalúan mejor con sensores que puedan consultar de forma segura (¡no escanear!) estos dispositivos utilizando su lenguaje de comandos nativo para determinar si existen vulnerabilidades o errores de configuración. Esto permite un monitoreo constante, no sólo para detectar ataques potenciales, sino también errores de configuración de parámetros y umbrales.
- Escáner de aplicaciones web: Las aplicaciones web se ven y comportan de forma distinta a los activos de TI tradicionales por diversos motivos. Y sus vulnerabilidades son normalmente categorizadas como Enumeraciones de debilidades comunes (CWE) en lugar de Vulnerabilidades y exposiciones comunes (CVE). Como resultado, se necesita un escáner diseñado para propósitos específicos para detectar y evaluar las aplicaciones web para obtener una comprensión de su postura de seguridad de aplicaciones web.
- Seguridad de contenedores: Los activos digitales modernos, como las imágenes de contenedor, no pueden evaluarse utilizando los métodos tradicionales. Los dispositivos de seguridad diseñados específicamente para contenedores pueden almacenar y escanear imágenes en la medida en que son generadas y proporcionan detección de malware y vulnerabilidades, junto con monitoreo continuo y validación de imágenes de contenedor.
Por supuesto, uno de los principales problemas de seguridad que enfrentan hoy los profesionales es que hay muchas más vulnerabilidades de las que pueden manejar. El emprender un abordaje de "hervir el océano" simplemente no es factible para la mayoría de las organizaciones debido a las limitaciones de tiempo y recursos. En su lugar, usted necesita realmente determinar qué vulnerabilidades representan el mayor riesgo para sus sistemas más críticos, de modo que pueda priorizar eficazmente sus esfuerzos de reparación.
Para llevar a cabo una priorización de vulnerabilidades eficaz, es necesario analizar sus datos de seguridad para entender completamente cada vulnerabilidad bajo contexto. El problema es que usted probablemente ya tenga demasiados datos para analizar, y probablemente se esté analizando todo manualmente. Y cada una de las herramientas de seguridad destacadas anteriormente genera aún más datos, exacerbando el problema. Por ello, usted necesita una plataforma de gestión de vulnerabilidades global que sea capaz de ingerir todos los tipos de datos de seguridad y emplear la automatización para procesarlos y analizarlos inmediatamente. De esta manera, obtendrá la inteligencia de seguridad que necesita a la velocidad que necesita.
En resumen, el hacer coincidir las herramientas de detección y evaluación con cada tipo de activo permite comprender plenamente toda su superficie de ataque, eliminando puntos ciegos en toda su red. Y el utilizar una herramienta de gestión de vulnerabilidades capaz de ingerir los datos de cada una de estas herramientas, le permite evaluar sus diversos activos en una vista unificada para que pueda asignar la debida prioridad a sus esfuerzos de remediación de vulnerabilidades.
Más información
- ¿Desea más información acerca de la determinación de los sensores y métodos adecuados para detectar y evaluar toda su superficie de ataque ― y, a continuación, cómo lidiar efectivamente con el aluvión de datos que viene con toda esa visibilidad adicional? Vea al seminario web, Puede ser hora de dejar de entrar en pánico por ese aluvión de demasiadas vulnerabilidades.
- Sepa cómo migrar desde una VM tradicional a una VM basada en el riesgo, incluyendo las herramientas, los productos y las integraciones que se recomiendan para cada paso del procedimiento. Lea el documento técnico, Arquitectura de referencia: Gestión de Vulnerabilidades Basada en el Riesgo.
- Sepa por qué una plataforma de VM unificada es necesaria para evaluar y defender dinámicamente toda su superficie de ataque. Lea el documento técnico, Superación de los desafíos creados por herramientas de gestión de vulnerabilidades dispares.
Artículos relacionados
- Cloud
- Risk-based Vulnerability Management
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning