¿Qué es CAASM?

La gestión de superficie de ataque de activos cibernéticos (CAASM) es una forma proactiva de identificar, gestionar y reducir su superficie de ataque cibernético. La CAASM ofrece una visibilidad unificada de todos sus activos, incluyendo los entornos locales, en la nube y de terceros. 

Ayuda a los equipos de seguridad a hacer un inventario de los datos de varias fuentes y correlacionarlos para comprender mejor cada activo conectado y el riesgo relacionado.

A medida que su organización adopta nuevas tecnologías y amplía su huella digital, su superficie de ataque crece exponencialmente, lo que genera brechas de seguridad y vulnerabilidades que los atacantes pueden explotar. 

Las herramientas tradicionales de gestión de activos no ofrecen una visión consolidada de los distintos entornos. Al unificar la visibilidad de los activos con la CAASM, puede priorizar de forma más eficaz y corregir de forma proactiva los riesgos cibernéticos.

La principal función de las herramientas de la CAASM es proporcionar un inventario unificado de todos los datos conocidos sobre activos, riesgos y configuraciones. 

Si bien algunas herramientas pueden escanear de forma directa la superficie de ataque mediante un monitoreo pasivo o activo, la mayoría de las herramientas de la CAASM se integran a través de API directamente con las herramientas existentes para agregar información sobre los activos. 

Las fuentes de datos comunes incluyen la gestión de activos de TI, la base de datos de gestión de configuraciones (CMDB), la detección de redes, la evaluación de vulnerabilidades, la gestión de superficie de ataque externa (EASM), la detección y respuesta de puntos de conexión (EDR), la detección y respuesta ampliadas (XDR), la seguridad en la nube, la información de seguridad y la gestión de eventos (SIEM), la seguridad de la tecnología operativa (OT), la gestión de identidades y accesos, el análisis de composición de software y DevOps, entre otros. 

La CAASM recopila información sobre activos de diversas fuentes y la almacena en un lago de datos central para su análisis. 

Posteriormente racionaliza y normaliza la información sobre activos procedente de diversas herramientas para eliminar la duplicación, estandarizar el formato de la información y crear una visión coherente de los activos. 

Además, racionaliza las entradas redundantes o conflictivas, como los distintos nombres de un mismo dispositivo en varias herramientas.

Luego enriquece la información sobre los activos con el contexto de varias herramientas para proporcionar una visión más profunda, como todos los detalles de riesgo de activos conocidos para un activo determinado, incluyendo las vulnerabilidades, los errores de configuración y los permisos excesivos, el propietario y el uso de los activos, el estado de cumplimiento y las relaciones entre activos. Algunos ejemplos de relaciones entre activos son la conectividad entre activos, los recursos virtuales y las cargas de trabajo asociadas a un activo, y las relaciones entre activos e identidades, como los usuarios de un activo. 

Las herramientas de la CAASM evalúan y normalizan el riesgo a lo largo de toda la superficie de ataque con el fin de permitir la priorización. 

La priorización de riesgos suele tener en cuenta varias variables importantes, incluyendo la gravedad de un riesgo con base en la prioridad o en la puntuación estándar del sector, como el Sistema de puntuación de vulnerabilidades comunes (CVSS), que utiliza una métrica cualitativa para la gravedad de las vulnerabilidades. 

La explotabilidad de los riesgos afecta a la priorización de las vulnerabilidades, ya que se tienen en cuenta factores como el código de explotación disponible para las vulnerabilidades y la accesibilidad de los activos desde Internet. 

La criticidad de los activos se centra en sus funciones, como el impacto comercial o material, incluyendo el potencial de interrumpir un servicio, proceso o función comercial crítico. 

Dado que la mayoría de las herramientas ofrece una puntuación del riesgo específica, las herramientas de la CAASM suelen proporcionar opciones propias o basadas en estándares para puntuar y priorizar el riesgo de forma coherente.

Con actualizaciones constantes, las herramientas de la CAASM detectan nuevos activos, cambios de configuración o vulnerabilidades emergentes para mantener una visión actualizada de su superficie de ataque e identificar cambios riesgosos antes de que provoquen incidentes. 

Puede realizar consultas sencillas o complejas para identificar patrones o llevar a cabo una higiene cibernética de rutina. Las integraciones permiten agilizar los flujos de trabajo, como la apertura de tickets para su corrección, el envío de informes por correo electrónico o el envío de alertas. 

Las herramientas de la CAASM suelen prestar servicio a un público diverso, desde los equipos de TI y de cumplimiento hasta los ejecutivos y profesionales de la seguridad. 

En los tableros de control y los informes, se proporciona información sobre el inventario de activos, las tendencias de los riesgos y su evolución a lo largo del tiempo, la situación de cumplimiento y visibilidad hacia otros indicadores clave de rendimiento (KPI). 

La información coherente sobre los activos a lo largo de los silos permite mejorar la colaboración, la toma de decisiones y la inversión entre equipos normalmente dispares.

• Visibilidad constante de los activos a lo largo de toda la superficie de ataque, incluyendo TI oculta, dispositivos no gestionados y activos de terceros.
• Agregación y normalización de datos de diversas herramientas de seguridad y TI para crear un inventario unificado de activos y riesgos relacionados.
• Evaluaciones de riesgos para identificar vulnerabilidades, errores de configuración y puntos de exposición relacionados con cada activo para determinar los niveles de riesgo.
• Capacidades de priorización de vulnerabilidades e integraciones con flujos de trabajo de corrección.
• Monitoreo y actualizaciones continuos del inventario de la superficie de ataque para reflejar de forma dinámica los cambios y exponer nuevos riesgos.

• Garantiza una visibilidad completa hacia todos los activos cibernéticos, incluyendo TI, OT, IoT, nube, identidades, aplicaciones, máquinas virtuales, contenedores y Kubernetes.
• Mejora la evaluación de riesgo mediante la inclusión proactiva de toda la información de riesgo conocida asociada a los activos y la normalización de la puntuación del riesgo entre fuentes dispares.
• Promueve una mejor colaboración y confianza con una visión coherente de la información sobre activos en todos los equipos de TI, cumplimiento y seguridad. 
• Agiliza los procesos de corrección mediante la integración y automatización de los flujos de trabajo de seguridad y TI, como la apertura de tickets y las recomendaciones de pasos de corrección.
• Reduce los errores y retrasos que generan las auditorías manuales y periódicas de la información sobre activos, con una detección constante de activos y riesgos.
• Acelera y estandariza la elaboración de informes de cumplimiento en todos los ámbitos, y proporciona informes listos para usar alineados con las normativas y las evaluaciones comparativas. 
• Brinda contexto de negocios y técnico para priorizar mejor los riesgos que podrían tener un impacto material en su organización.

Según Gartner, la Continuous Threat Exposure Management (CTEM) es un "conjunto de procesos y capacidades que permite que las empresas evalúen de forma constante y sistemática la accesibilidad, la exposición y la explotabilidad de los activos digitales y físicos de una empresa".

El proceso de CTEM consta de cinco pasos: alcance, detección, priorización, validación y movilización. La CAASM desempeña un papel clave en los cinco pasos del modelo de CTEM. 

La integración de CAASM con CTEM le ofrece una visibilidad constante en tiempo real y una gestión de riesgo eficaz para gestionar de forma proactiva su superficie de ataque y reducir la exposición global a las amenazas.

Cinco pasos para implementar soluciones de gestión de superficie de ataque de activos cibernéticos:

1. Identifique lo que su organización desea conseguir, como reducir los puntos ciegos o mejorar la priorización de riesgos.
2. Evalúe herramientas de ciberseguridad para obtener una visibilidad completa de los activos que se integre a la perfección con su pila de TI y seguridad existente.
3. Centre los esfuerzos iniciales en los activos y sistemas comerciales críticos o en los riesgos que previamente se pasaron por alto.
4. Cree flujos de trabajo para la detección, correlación y corrección con el fin de utilizar la CAASM para agregar valor a los procesos y sistemas existentes.
5. Utilice métricas como la reducción de riesgos, el tiempo medio de corrección (MTTR) y las mejoras de visibilidad para dar seguimiento al progreso.

La aplicación y puesta en funcionamiento de la CAASM como parte de su programa de seguridad puede mejorar significativamente la visibilidad y la gestión de riesgo. Sin embargo, dado que las implementaciones de la CAASM requieren la participación de un amplio conjunto de equipos, herramientas y flujos de trabajo, pueden surgir retos que ralenticen o impidan el éxito de las implementaciones. Por ejemplo:

• La CAASM se basa en la integración con una amplia gama de herramientas para proporcionar una vista unificada, pero los datos incompletos o incoherentes pueden limitar su eficacia.
• Garantizar la compatibilidad, configurar las API y gestionar la autenticación en todas las herramientas puede llevar mucho tiempo e implicar desafíos desde el punto de vista técnico.
• Las grandes organizaciones con miles de activos repartidos en varios entornos (locales, en la nube, híbridos) pueden tener problemas de escalabilidad.
• El etiquetado incorrecto de activos, la información desactualizada o los inventarios incompletos que surgen de la TI oculta pueden socavar la confiabilidad de la información o provocar brechas de visibilidad.
• Muchas organizaciones carecen de personal de seguridad suficiente o de los conjuntos de habilidades necesarios para configurar y mantener la CAASM. 
• Las partes interesadas, como los equipos de TI con herramientas de gestión de activos o CMDB, pueden resistirse a la adopción de la CAASM, al intercambio de datos o a los cambios en los flujos de trabajo.

Para implementar y poner en marcha eficazmente la CAASM se requiere una planificación cuidadosa y una ejecución enfocada. Aquí compartimos algunas prácticas recomendadas que serán de utilidad:

1. Optimice la aplicación con la planificación anticipada de las integraciones. Identifique las herramientas clave y la disponibilidad y compatibilidad de sus API, correlacione los flujos de datos entre herramientas y priorice las integraciones que ofrezcan un valor rápido a las partes interesadas.
2. Mejore la calidad de los datos mediante auditorías periódicas de los datos para comprobar su integridad y exactitud, la normalización e identificación de los datos duplicados o conflictivos, la limpieza de datos de los sistemas integrados, y la definición de procesos y propietarios para mantener la calidad constante de los datos.
3. Comience con algunos casos de uso de alto impacto en los que se aborden directamente las prioridades de su organización, como mejorar el cumplimiento o reducir su superficie de ataque. Defina métricas, como el volumen de riesgos identificados y corregidos, para cuantificar y demostrar el éxito.
4. Obtenga la participación de las partes interesadas para una adopción satisfactoria. Involucre a los equipos desde el principio. Infórmeles sobre las ventajas de la CAASM y comparta con ellos los resultados rápidos para generar confianza. 
5. Invierta en la automatización para agilizar procesos, permitir la agregación de datos, automatizar flujos de trabajo como la generación de tickets en plataformas de TI y establecer alertas para riesgos críticos a fin de garantizar respuestas más rápidas y coherentes.
6. Aproveche las capacidades de elaboración de informes. Cree tableros de control personalizados, controle las tendencias a lo largo del tiempo y adapte los informes a los requisitos de cumplimiento. Proporcione información práctica y demuestre un valor cuantificable a los directivos y las partes interesadas.

La CAASM se centra en los activos internos y consolida los datos de su entorno. La gestión de superficie de ataque externa EASM) se centra en los activos salientes visibles para los atacantes. 

La EASM identifica riesgos como servicios expuestos, errores de configuración y TI oculta desde una perspectiva externa, que complementa la visión interna de la CAASM. Juntas, la EASM y la CAASM le proporcionan una comprensión integral de toda su superficie de ataque y los riesgos.

Las herramientas de la CAASM ofrecen a las principales partes interesadas información práctica adaptada a sus responsabilidades específicas. 

Director de Seguridad de la Información (CISO)
La CAASM ofrece a los CISO la priorización de riesgos de inventario de activos unificado y una visibilidad completa hacia los activos cibernéticos. Con estos datos, los CISO pueden mejorar sus procesos de toma de decisiones estratégicas y enfocar los recursos en abordar los riesgos más críticos para la seguridad.

Equipo de Operaciones de Seguridad (SecOps)
La CAASM agiliza la gestión de vulnerabilidades y acelera la respuesta ante incidentes gracias al contexto de activos y riesgos en tiempo real. Una solución CAASM permite que el equipo de SecOps corrija vulnerabilidades más rápidamente con una respuesta optimizada a las amenazas. 

Responsable de cumplimiento
Al validar y monitorear el cumplimiento de las normativas, una CAASM puede simplificar los procesos de cumplimiento y reducir el riesgo de sanciones. Gracias a las funciones automatizadas de elaboración de informes, usted puede aumentar la confianza en las auditorías y obtener información actualizada sobre el cumplimiento fácilmente disponible.

Director de operaciones de TI
La CAASM complementa el monitoreo constante de controles de seguridad, como la MFA y el cifrado, para garantizar una aplicación coherente en todos los sistemas. Esta solución también minimiza los riesgos operativos que crean los errores de configuración y mejora la gestión global de la seguridad informática.

Arquitecto de la nube
La CAASM identifica la TI oculta y los activos en la nube con errores de configuración, y ofrece información sobre los recursos no gestionados en entornos de nube dinámicos. Puede utilizar esta información para reducir con mayor eficacia su superficie de ataque y garantizar que las implementaciones en la nube se rijan por las políticas organizativas y las prácticas recomendadas de seguridad.

Responsable de gestión de riesgo
La CAASM puede evaluar los riesgos de la cadena de suministro, como las evaluaciones de proveedores, para reducir la exposición a vulnerabilidades y garantizar que las prácticas de seguridad y cumplimiento de sus socios respeten las normas y otros requisitos de su organización.

Director de fusiones y adquisiciones (M&A)
La CAASM complementa la rápida identificación y evaluación de riesgos cibernéticos para entidades recién adquiridas. Al abordar los activos vulnerables o no conformes antes de la integración, puede proteger el proceso general de fusiones y adquisiciones.

Ingeniero de DevOps
Al integrarse en los pipelines de CI/CD, la CAASM supervisa las aplicaciones en busca de vulnerabilidades y errores de configuración para brindar una implementación segura de las aplicaciones y, al mismo tiempo, mantener la agilidad del flujo de trabajo de DevOps.

Con la adaptación de las capacidades de la CAASM a las necesidades específicas de las funciones, puede fomentar la colaboración y garantizar un abordaje proactivo para gestionar su superficie de ataques cibernéticos.

Consulte los recursos y productos de CAASM adicionales de Tenable para comprender mejor la gestión de superficie de ataque de activos cibernéticos y cómo esta ayuda a identificar, priorizar y cerrar la exposición cibernética.