Las listas estáticas una forma incorrecta de mapear tu superficie de ataque

No sigas haciendo listas estáticas para mapear tus superficies de ataque

HIXSA

7 junio, 2023

Blog

Históricamente, Excel ha sido la forma más común de completar el inventario de activos, pero las hojas de cálculo son estáticas. Las listas estáticas son un excelente lugar para comenzar y obtener una instantánea de su superficie de ataque, pero las listas estáticas no deben usarse como una herramienta continua para datos dinámicos. Hacerlo es el equivalente moderno de cincelar información en piedra.

Hay muchas razones heredadas para mantener inventarios de activos en hojas de cálculo. Por ejemplo, las hojas de cálculo se pueden compartir, buscar y organizar fácilmente. Dicho esto, la hoja de cálculo sigue siendo la misma a menos que alguien la actualice manualmente. Rápidamente, la información se vuelve menos relevante para el entorno existente.

Las listas estáticas no pueden seguir el ritmo de Internet

La superficie de ataque de tu empresa evoluciona constantemente, lo que hace que las listas estáticas sean un método insuficiente para el mapeo de la superficie de ataque. Si bien eso puede parecer obvio, es difícil de cuantificar. Sabemos que los entornos pueden cambiar con el tiempo. A partir de el análisis Fortune 500 hemos visto evidencia anecdótica de una deriva anual de activos del 1% al 5%. Puede que no parezca significativo en un ejemplo único, pero cuando una empresa tiene millones de activos, mantener estas listas actualizadas es simplemente imposible de hacer a mano.

Con tantos activos en tu inventario, no sorprende que con el tiempo las empresas decidan “estos activos ya no son nuestros” o “no nos importan los activos”.

Cuanto mayor sea tu superficie de ataque, más probable es que los activos cambien. Por ejemplo, se agregan y eliminan hosts, se abren y cierran puertos/servicios, o se agrega, elimina o actualiza software.

La automatización es la mejor estrategia para mantener actualizado tu mapa de superficie de ataque. Con la automatización, si se desconocen o no se controlan los cambios, puede referirse a ellos de forma segura como activos, servicios y software ocultos.

Razones para eliminar o agregar activos

Analicemos las muchas razones por las que sería necesario agregar o eliminar un activo de un mapa de superficie de ataque:

  • Nombre(s) de dominio vencido(s)
  • Nombre de host/activo dado de baja o filtrado por IP por un firewall perimetral
  • Puerto/servicio deshabilitado o filtrado por IP por un firewall perimetral
  • Transferencia de la propiedad de los activos a otra empresa (es decir, a través de una fusión o adquisición)
  • Gestión de activos transferida a un tercero (es decir, vendedores/proveedor de la nube)
  • Activos caducados que ya no son relevantes para la organización (es decir, su función ha terminado)
  • Activos registrados en el nombre de dominio incorrecto (es decir, palabra clave/error tipográfico)
  • Adquirido por otra empresa
  • Nuevo software adquirido
  • Software empresarial actualizado
  • Hackeado a través de software
  • Cambios en la línea de negocio
  • Creó nuevos sitios web para desarrolladores o pruebas de control de calidad.
  • Se agregó nuevo hardware para que los ingenieros de redes lo prueben.
  • Colaboraciones con terceros para desarrollar nuevos activos
  • Publicación de nuevas páginas web de marketing.

Como podemos ver, la gestión de la superficie de ataque es más que simplemente agregar activos a un inventario; también se trata de eliminar astutamente los activos innecesarios. Si no se administra correctamente, los datos de tus activos estarán desactualizados y serán irrelevantes, lo que hará que tu mapa de superficie de ataque quede inutilizable.

No es aconsejable confiar en listas estáticas más tiempo del necesario.

Por ejemplo, en base a lo anterior, con nuestro análisis de Fortune 500, si se extrapola, una pequeña empresa con solo 20 000 activos puede cambiar hasta mil activos en promedio, y solo se necesita una máquina que tenga un problema explotable para que un atacante aprovechar.

La identificación de los activos que forman parte de tu superficie de ataque se denomina “descubrimiento” o Discovery y, a menudo, se combina con la gestión de activos. El descubrimiento es más que una instantánea de tu mapa de superficie de ataque; es un proceso que gestiona de manera efectiva y continua los activos. Si bien las herramientas de descubrimiento son relevantes para las pruebas de penetración, brindan poco valor en comparación con el uso de un mapa de activos actualizado en una organización madura.

Las listas estáticas no tienen ninguna posibilidad contra las vulnerabilidades zero-day

Las vulnerabilidades zero-day ocurren ya sea que yu lista de activos esté actualizada o no. Cuando se presenta un exploit zero-day, no quieres darte cuenta de que tu lista estática tiene semanas o, peor aún, meses desactualizada. El tiempo que lleva actualizar manualmente tu lista es enorme y no puedes escalar mientras intentas combatir amenazas reales.

La velocidad es una táctica creciente para los atacantes que se dirigen a las organizaciones. Si estás operando con listas desactualizadas, la velocidad es lo único que no tienes. Es por eso que Tenable brinda a los usuarios acceso directo a los datos subyacentes. Si sabes que un producto o servicio es vulnerable, puedes tomar medidas correctivas.

Las listas estáticas fallan cuando los adversarios son más rápidos

Los adversarios adaptan y cambian las tácticas para adaptarse a las actitudes y prioridades cambiantes, lo que limita la eficacia de las listas de activos estáticas. Por ejemplo, es posible que la comunidad de hackers no considere atacar tu organización, pero, se convierte en un objetivo principal cuando un problema se comparte en las redes sociales. O puede que un día no seas un objetivo y, de repente, por la desgracia de otra persona, te conviertas en el siguiente entorno más rico en objetivos. El conocimiento de cómo piensan y operan los adversarios con respecto a tu entorno es esencial.

Sin embargo, es imposible verificar si hay actividad maliciosa si no tienes idea de lo que posees. Si un adversario está hablando de “example.com”, pero tu ni siquiera sabe que posee “example.com”, entonces no puedes asegurarlo. Además, no puedes monitorear las señales sociales o la actividad de piratería en los canales clandestinos, si simplemente no tienes idea de qué activos debes monitorear.

Comprender cómo cambia el valor de los activos con el tiempo

El valor de un activo no es estático

Los equipos de seguridad a menudo se enfocan en cómo cambian los riesgos, pero olvidan que los valores de los activos pueden cambiar con el tiempo. Es posible que se conozcan nuevas vulnerabilidades o que su alcance cambie según otras características del sitio.

El activo puede disminuir de valor

Esto sucede cuando:

  1. Se eliminan características del sitio: por ejemplo, cuando una empresa elimina una base de datos de tarjetas de crédito y comienza a compensar las tarjetas de crédito con un tercero. El valor del sitio para un atacante es mucho menor si no hay nada que valga la pena robar.
  2. La temporada de valor ha terminado: muchos sitios minoristas y páginas de destino son extremadamente valiosos entre el Día de Acción de Gracias y Navidad debido a las compras navideñas. Después de las vacaciones, el valor del sitio disminuye porque recibe menos tráfico. Por ejemplo, digamos que para la temporada, hay un acuerdo promocional único que solo dura unas pocas semanas. Después de que termine, nadie visitará el sitio.
  3. El sitio está en desuso: si los vínculos ya no apuntan al sitio, no solo es menos probable que el atacante lo encuentre, también los usuarios legítimos, por lo que disminuye el riesgo y el valor simultáneamente.

El activo puede aumentar de valor

A la inversa, así es como el valor de los activos aumenta con el tiempo:

  1. Aumento de la popularidad del sitio: cuando un sitio se vuelve popular, recibe un aumento masivo en la cantidad de usuarios que se convierten en clientes potenciales y, en última instancia, en clientes.
  2. Lanzamiento de nuevas funciones: Las nuevas funciones del sitio pueden mejorar la valoración de la empresa. Una aplicación totalmente funcional casi siempre vale más que una a la que le faltan funciones.
  3. Almacenamiento de información confidencial: si un activo se convierte en el conducto para la colocación de información confidencial, aumenta su valor y requiere que la empresa refuerce las protecciones. Pueden ser secretos comerciales, códigos de aplicación, listas de clientes o PII/PHI tradicional.

Está claro que las listas estáticas no son efectivas para el mapeo de superficie de ataque. Sin embargo, no solo son la forma más común en que las empresas administran sus activos, sino que también son ampliamente utilizados por proveedores, contratistas y terceros. A menudo hay un “turco mecánico” (una persona detrás de la cortina) encargado de actualizar la lista con regularidad. Eso al menos tiene la ventaja de estar actualizado, pero con algunas desventajas significativas de error humano. Es por eso que la automatización es clave para una gestión exitosa de la superficie de ataque.

También te puede interesar: Los nuevos riesgos (y oportunidades) de ciberseguridad en el metaverso

Tenable One para una correcta gestión de exposición

Los nuevos tipos de dispositivos conectados y plataformas de computación, desde la nube hasta la IoT, han explotado la superficie de ataque cibernético. Y más herramientas que recopilan más datos no equivalen a una perspectiva accionable para el CISO, la alta dirección y la Junta Directiva. La vieja forma de simplemente escanear dispositivos de TI locales para detectar vulnerabilidades ya no es suficiente

El objetivo de Tenable es brindarle a cada organización, sin importar lo grande o pequeña que sea, la visibilidad y la perspectiva para responder cuatro preguntas fundamentales en todo momento: ¿Dónde estamos expuestos? ¿Dónde debemos priorizar en función del riesgo? ¿Estamos reduciendo la exposición con el tiempo? ¿Qué resultado obtenemos si nos comparamos con nuestros pares? Hoy, aproximadamente 40 mil organizaciones en todo el mundo confían en Tenable para comprender y reducir el riesgo de ciberseguridad.

Agenda una llamada y descubre por qué los líderes de la ciberseguridad recurren a Tenable para integrar las pruebas de seguridad en los procesos en desarrollo, mejorar la productividad de los desarrolladores y eliminar los riesgos de seguridad.

Consulta la información original en inglés.

HIXSA

Guía del CIO para la evaluación de soluciones RPA

En esta guía para CIO’s compartimos las claves para evaluar soluciones de RPA para tu negocio.

Saber más...

Guía de AI Service Desk y Automatización

En este documento te compartimos un modelo probado de automatización de la mesa de servicio de TI, que ayuda a analizar desafíos, evaluar soluciones y elegir el mejor enfoque de automatización.

Saber más...

10 consejos de lectura obligada para seleccionar un sistema ECM

En este eBook te mostramos cómo un sistema ECM y la gestión inteligente de la información puede hacer tu negocio más competitivo

Saber más...

Business Case para la Gestión de Contenido Empresarial

En este eBook te compartimos como la afluencia de contenido muy diverso de una variedad de sistemas y repositorios apunta a la urgente necesidad de las empresas invertir en la gestión de contenidos para tomar control de su contenido.

Saber más...