Gestión de superficie de ataque externa (EASM)

La gestión de superficie de ataque externa (EASM) es un proceso para identificar, monitorear y proteger sus activos digitales accesibles desde el exterior, incluyendo los siguientes: 

• Direcciones IP públicas
• Dominios
• Integraciones con terceros
• Servicios en la nube.
• Aplicaciones web

Las herramientas de EASM descubren riesgos tales como vulnerabilidades, errores de configuración, TI oculta y exposiciones de terceros para disminuir las amenazas cibernéticas externas.

A medida que los atacantes cibernéticos explotan cada vez más los puntos de entrada desprotegidos, la EASM le ayuda a identificar su exposición desde la perspectiva de un atacante para que pueda desarrollar una estrategia de defensa cibernética proactiva y completa.

A medida que se amplía su superficie de ataque externa, su organización se enfrenta a retos de EASM particulares:

• La adopción de la nube, el trabajo remoto y las soluciones SaaS de terceros aumentan exponencialmente el número de sus activos accesibles desde el exterior.
• Los empleados pueden implementar herramientas y plataformas no autorizadas que evaden el monitoreo de TI, lo que crea puntos de entrada no gestionados que los atacantes podrían explotar.
• Los atacantes cibernéticos pueden utilizar herramientas avanzadas de reconocimiento, automatización, IA y aprendizaje automático para descubrir y explotar brechas de seguridad en su perímetro digital.
• Su organización enfrenta mayores exigencias de seguridad y privacidad para la gestión de activos externos, tales como el Reglamento General de Protección de Datos (RGPD), la Ley de Privacidad del Consumidor de California (CCPA) y los Estándares de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS).

La gestión de superficie de ataque externa le ayuda a superar estos retos. Es una parte importante de una estrategia completa de gestión de exposición. La evaluación constante de su superficie de ataque externa identifica todos sus activos accesibles desde el exterior, que normalmente quedan fuera de la vista de los equipos de seguridad y TI, para que pueda descubrir y cerrar las brechas de seguridad antes de que los atacantes las exploten.

El hecho de no gestionar eficazmente la superficie de ataque externa aumenta el riesgo de que se produzcan filtraciones de datos, interrupciones operativas y daños a la reputación.

• La EASM comienza con la detección pasiva de activos. Recopila datos de registros públicos, DNS, bases de datos WHOIS y registros de transparencia de certificados para identificar tanto los activos conocidos como los desconocidos, incluyendo los dominios históricos y la infraestructura utilizada anteriormente.
• Posteriormente, la plataforma realiza un escaneo activo y toma de huellas dactilares, y valida los activos detectados analizando los puertos abiertos, los servicios en ejecución, las configuraciones TLS y las aplicaciones web para determinar la propiedad de los activos y las posibles vulnerabilidades.
• Con la enumeración de dominios y subdominios, puede descubrir dominios registrados, subdominios y servicios basados en la nube, al tiempo que monitorea los registros DNS para detectar cambios y prevenir riesgos como la toma de control de subdominios.
• Las herramientas de EASM también correlacionan rangos de IP y recursos en la nube. La EASM puede descubrir activos accesibles desde el exterior dentro de AWS, Azure, Cloudflare y GCP para revelar errores de configuración, tales como buckets de almacenamiento expuestos y máquinas virtuales mal protegidas.

Cuando el sistema detecta activos, el monitoreo continuo y la evaluación de riesgo proporcionan un seguimiento en tiempo real de las brechas de seguridad y marcan problemas como certificados SSL caducados, puertos abiertos, bases de datos de acceso público y paneles de administración expuestos.

La diferencia clave entre la EASM y la IASM es que la ASM interna opera dentro de su red, lo que requiere acceder a los sistemas de escaneo. La EASM identifica los riesgos desde fuera de su red utilizando fuentes de datos públicas.

• La gestión de superficie de ataque interna se enfoca en la protección de su entorno de TI interno, incluyendo los servidores locales, los dispositivos de los empleados y las aplicaciones internas. Identifica vulnerabilidades, errores de configuración y amenazas internas.
• La ASM externa (EASM) detecta y protege activos de acceso público, tales como aplicaciones web, servicios en la nube y registros DNS. Analiza constantemente los sistemas expuestos, los errores de configuración, la TI oculta y los riesgos de terceros para que los atacantes no puedan explotar activos desconocidos o no monitoreados.

Utilice herramientas de gestión de superficie de ataque externa para hacer lo siguiente:

• Descubrir automáticamente todos los activos accesibles desde Internet, incluyendo los recursos no gestionados o abandonados, tales como la TI oculta y las aplicaciones tradicionales.
• Conectar sin problemas datos de la superficie de ataque externa como bases de datos de gestión de la configuración (CMDB), plataformas de gestión de vulnerabilidades y plataformas de evaluación de la exposición (EAP).
• Asignar niveles de riesgo de vulnerabilidad con base en la criticidad para enfocarse en sus amenazas externas más apremiantes.
• Detectar posibles puntos de entrada que aumenten el riesgo cibernético, tales como puertos abiertos, errores de configuración y software obsoleto que los atacantes podrían explotar.
• Mantener constantemente una visibilidad en tiempo real hacia los cambios en la superficie de ataque, incluyendo vulnerabilidades o exposiciones recién detectadas.
• Crear informes fáciles de comprender con recomendaciones de mitigación a medida.

• Identifique todos los activos públicos, como dominios olvidados, instancias en la nube y servicios de terceros, para reducir los riesgos de TI oculta.
• Realice escaneos constantemente para detectar errores de configuración, puertos abiertos, bases de datos expuestas y configuraciones de seguridad deficientes antes de que los atacantes los exploten.
• Obtenga una visión en tiempo real de su superficie de ataque externa para descubrir amenazas emergentes como dominios de phishing, intentos de suplantación de identidad y credenciales filtradas.
• Descubra y elimine activos innecesarios o abandonados para reducir su huella externa y hacer que a los atacantes les resulte más difícil encontrar puntos de entrada.
• Proteja las cargas de trabajo en la nube, los entornos, las API y los buckets de almacenamiento.
• Apoye el cumplimiento de marcos como NIST, ISO 27001 y PCI DSS. 
• Obtenga información que le ayude a priorizar los esfuerzos de corrección mediante la simulación de la forma en que los atacantes detectan y atacan sus activos.

Para reducir su superficie de ataque externa, puede implementar algunas estrategias que le ayudarán a reducir su huella digital general.

• Establezca correlaciones de sus activos digitales y realice un inventario de ellos para comprender el alcance total de su superficie de ataque externa. Esto incluye la identificación de todos los sistemas, aplicaciones y servicios accesibles desde Internet. Un inventario de hardware y software es un principio básico para marcos tales como NIST o Controles CIS.
• Reduzca la complejidad de su entorno de TI mediante la eliminación de aplicaciones, dispositivos y funcionalidades innecesarios.
• Realice escaneos periódicos para detectar vulnerabilidades y aborde los errores de configuración sin demora. Esto incluye realizar evaluaciones de la configuración de seguridad y la puntuación cuantitativa del riesgo.

Si bien la EASM y la gestión de superficie de ataque de los activos cibernéticos (CAASM) se enfocan en la visibilidad y la reducción del riesgo, sus alcances difieren.

Ámbito de la EASM

• Se enfoca en los activos visibles para los atacantes externos.
• Detecta riesgos como TI oculta, aplicaciones web vulnerables e integraciones de terceros.
• Con el apoyo de la inteligencia de amenazas, ayuda a priorizar las amenazas y vulnerabilidades externas para su corrección.

Ámbito de la CAASM

• Proporciona visibilidad interna a lo largo de los entornos de TI, IoT, OT y en la nube.
• Establece correlaciones entre activos, configuraciones e identidades para realizar evaluaciones de riesgos completas.
• Ayuda a gestionar las vulnerabilidades y los controles de seguridad dentro de su infraestructura interna.

La combinación de EASM y CAASM le ofrece una imagen completa de los riesgos cibernéticos externos e internos.

En el marco de la Continuous Threat Exposure Management (Gestión Continua de la Exposición a Amenazas, CTEM), la EASM es fundamental para las etapas de determinación del alcance y detección.

La determinación del alcance define los límites de su superficie de ataque externa mediante la identificación de todos los activos a los que se dirigen los atacantes. La EASM apoya esta tarea mediante la correlación constante de los activos conocidos y desconocidos accesibles desde Internet para que pueda definir y precisar su alcance con base en la evolución de los riesgos.

La detección identifica y cataloga los activos externos, incluyendo la TI oculta y las exposiciones de terceros. La EASM mejora la detección con reconocimiento automatizado, correlación de datos e inteligencia de amenazas para descubrir activos ocultos, olvidados o mal configurados que los agentes maliciosos podrían explotar.

A continuación, presentamos algunos consejos que le ayudarán a implementar estrategias de EASM como parte de su programa completo de gestión de riesgo:

1. Identifique los activos accesibles desde el exterior más críticos para el negocio que debe proteger.
2. Evalúe las herramientas de EASM con base en la precisión de la detección, la capacidad de monitoreo y la facilidad de integración con los sistemas existentes.
3. Asegúrese de que la plataforma de EASM se integre sin problemas con sus soluciones de evaluación y gestión de vulnerabilidades, herramientas de inventario de activos y marcos de seguridad más amplios.
4. Anticípese a las amenazas mediante la reevaluación periódica y la adaptación a los cambios en su superficie de ataque externa y al cambiante escenario de las amenazas.
5. Establezca flujos de trabajo entre los equipos de TI, seguridad y cumplimiento para optimizar la mitigación de riesgos.

La implementación de la EASM como parte de una estrategia completa de gestión de exposición puede minimizar sus riesgos de superficie de ataque y apoyar la resiliencia del negocio.

¿Le interesa obtener más información sobre cómo la EASM se ajusta a su marco de ciberseguridad? Considere la posibilidad de asociarse con un proveedor de gestión de superficie de ataque externa de primer nivel como Tenable. Las herramientas de gestión de superficie de ataque de Tenable se integran perfectamente con prácticas de ASM y programas de CTEM más amplios.