¿Qué hace que una buena solución ASM destaque?

Jun 13, 2023

En esta entrevista de Help Net Security, Patrice Auffret, CTO de Onyphe, explica cómo la visión de seguridad tradicional basada en el perímetro se está volviendo obsoleta. Sugiere que las organizaciones deberían redefinir su concepto de superficie de ataque y analiza las medidas proactivas que pueden tomar para fortalecer su solución de gestión de superficie de ataque (ASM).

Primero, definamos la MAPE. El término fue acuñado por Gartner en algún momento de 2020. Es una nueva herramienta en el arsenal de ciberseguridad defensiva para las organizaciones. La MAPE debería ayudar a las organizaciones a tener una mejor visión de sus activos expuestos a Internet, así como a identificar los desconocidos. Desde entonces han aparecido muchas soluciones en la categoría de MAPE, pero no todas son iguales. Una buena solución ASM debe incorporar Attack Surface Discovery (ASD), que es la capacidad de encontrar activos desconocidos. Hemos estado activos en las categorías ASD y ASM durante 6 años, antes de que estos términos existieran.

En 2023, las organizaciones no podrán parchear todo rápidamente y en todo momento. La ASM debería permitir a los equipos de TI centrarse en las amenazas más importantes: aquellas explotadas por los ciberdelincuentes para penetrar las redes e implementar ransomware. Sabemos, gracias a los informes de inteligencia sobre amenazas, que la gran mayoría de las intrusiones se producen debido a servicios de Protocolo de escritorio remoto (RDP) expuestos a Internet, dispositivos VPN y vulnerabilidades críticas (CVE). Un informe de la Unidad 42 de Palo Alto de 2022 destaca que estos tres vectores de acceso inicial representan el 46% de las intrusiones a la red basada en Internet.

Desde una perspectiva de gestión de la superficie de ataque externo, como mínimo, las empresas deberían centrarse en esos tres vectores.

La superficie de ataque de una organización puede incluir toda la tecnología que sustenta sus procesos y datos comerciales, incluidas la infraestructura y las aplicaciones subcontratadas. Es por eso que la TEA es tan esencial y un requisito previo para una MAPE eficaz. Además, sostenemos que, para muchas organizaciones, la MAPE es la parte fácil y el desafío es tener un inventario completo de sus activos expuestos. Ahí es donde entra en juego una solución ASD.

Otro beneficio clave de ASD es que puede alimentar un escáner de vulnerabilidad tradicional con una lista de direcciones IP o nombres de dominio completos (FQDN) como complemento a las soluciones ASM.

Además, debería prohibirse el obsoleto enfoque basado en la propiedad intelectual para el inventario de activos. Hoy en día, es necesario adoptar un enfoque basado en dominios para el inventario de activos. ¿Porque? Simplemente porque con una infraestructura efímera basada en la nube, las direcciones IP están sujetas a cambios, mientras que los nombres de dominio deben permanecer consistentes a lo largo del tiempo, con nuevos dominios agregados constantemente. ¿Cómo podemos seguir los cambios y nuevos dominios? Una buena solución ASD tiene que recopilar datos de múltiples fuentes, como DNS, registros de transparencia de certificados (CTL), escaneo basado en IP en Internet y, lo que es aún más importante, escaneo basado en URL. Este último es crucial porque cada vez más empresas protegen sus sitios web con soluciones CDN, como Cloudflare. Si solo escanea las direcciones IP de Clouflare, no podrá obtener visibilidad de sus servidores web reales, lo que puede tener problemas de seguridad ocultos.

Al aprovechar todas estas fuentes de información, una organización puede comenzar a partir de un único nombre de dominio, utilizar palabras clave y proveedores de servicios conocidos y luego iterar para crear un inventario de todos los activos expuestos. Luego, debe utilizar las herramientas adecuadas para encontrar direcciones IP vinculadas a todos sus dominios y otros pivotes, como el campo de organización en los certificados TLS o los rastreadores HTTP, como Google Analytics y Meta Pixels, que se encuentran en los sitios web. Esta lista de patrones se convierte en su inventario de activos y debe actualizarla periódicamente para encontrar nuevos activos expuestos.

Una buena solución ASM debe ser independiente de IP y al mismo tiempo poder buscar por bloques de red organizaciones con sus rangos de IP o centros de datos.

ASM interno es más simple: ya debería tener la lista de sus direcciones IP o bloques de red. El escaneo de sus rangos debe realizarse con regularidad, lo que se ha hecho durante décadas.

La ASM externa es más difícil ya que debe identificar sus activos, como describimos anteriormente, y luego actualizar la lista de pivotes crecientes. Además, para ASM externo, queremos indicar que la dirección IP encontrada es un dispositivo VPN, una cámara o un sistema de tickets. Es importante saber qué tipo de activo está expuesto. ¿Conoce todos sus servidores VPN expuestos? ¿Tiene una solución que pueda darle fácilmente esta lista? Ese es uno de los objetivos de la ASM.

El hecho de que un activo esté alojado en la nube o en otro lugar realmente no importa al final, los delincuentes son independientes del proveedor de alojamiento cuando buscan objetivos. Al mismo tiempo, una solución ASM debería poder indicar a qué tipo de instalación de alojamiento está vinculada una dirección IP, ya que puede ayudar a hacer cumplir una política de seguridad interna, por ejemplo.

Se están volviendo menos efectivos porque, como se argumentó anteriormente, las direcciones IP están sujetas a cambios y hay que seguir estas actualizaciones casi a diario. Las pruebas de penetración tradicionales suelen estar estrictamente vinculadas a un alcance determinado (direcciones IP y nombres de dominio, en el escenario más común) proporcionado por el cliente final. Es posible que la persona que proporcione esa lista no conozca todos los activos relevantes. Una prueba de penetración más realista sería la basada en “sin alcance”, ya que así es como trabajan los ciberdelincuentes. El pentest basado "sin alcance" debe utilizar una solución ASD antes de comenzar. ¿Por qué los pentests legítimos deberían estar limitados a un alcance estrecho desde el principio, mientras que los “pentests” ilegítimos realizados por delincuentes no lo están?

Además, con respecto a los escáneres de vulnerabilidades tradicionales que las organizaciones han estado utilizando durante décadas, su objetivo es generar un informe con todas las vulnerabilidades, críticas o no, lo que puede imponer una carga enorme a los equipos de remediación. Además, los escáneres de vulnerabilidades deben encontrar algo, incluso cuando no sea explotable o inútil, desde la perspectiva del atacante. Consideramos obsoleto este enfoque de “encontrar todo” simplemente porque los equipos no pueden priorizar adecuadamente la carga de trabajo que genera, y eso conduce a la fatiga de remediación. Por último, no se debe esperar a que un escáner de vulnerabilidades encuentre un problema para iniciar la reparación; Puede que ya sea demasiado tarde.

Los escáneres de vulnerabilidad tradicionales son perfectos para crear KPI para la gestión, mientras que las soluciones ASD/ASM son útiles para los equipos de seguridad operativa que están bajo fuego todos los días. Necesitan soluciones eficientes para centrarse en las amenazas críticas actuales, no en informes extensos y paneles coloridos.

La primera medida proactiva es mantener un inventario de activos actualizado basado en la correlación entre múltiples fuentes de información como hemos descrito: DNS, CTL, escaneo de IP y escaneo de URL. Este enfoque permite a las organizaciones identificar lo que las soluciones básicas de MAPE no pueden.

En segundo lugar, la ASM debe aprovechar la inteligencia sobre amenazas cibernéticas (CTI) para centrarse firmemente en lo que buscan los ciberdelincuentes. Estamos realizando inteligencia de amenazas interna para poder concentrarnos en detectar lo que importa. Por lo tanto, la ASM debe poder identificar los sistemas y servicios que actualmente son el objetivo de los delincuentes.

En tercer lugar, con respecto a las vulnerabilidades críticas (CVE), las organizaciones deben comprender que utilizar el sistema de puntuación CVSS actual para priorizar la aplicación de parches es defectuoso. Sostenemos que los equipos de seguridad deberían definir un sistema de puntuación binario: un CVE se explota para penetrar en las redes, o no. Ese es el enfoque adoptado por el catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA, y estamos totalmente alineados con esa excelente iniciativa. Después de décadas de intentarlo, ni siquiera las grandes organizaciones pueden parchear todo su software y hardware. Centrarse en las vulnerabilidades críticas y los servidores RDP/VPN definitivamente mejoraría la postura de seguridad de la mayoría de los entornos de TI. Al mismo tiempo, ayude a los equipos de seguridad operativa a centrarse en lo más importante.

Finalmente, una última y crítica consideración al realizar ASD y ASM es identificar a sus proveedores y subsidiarias. ¿Manejan tus datos? Si es así, deberían ser parte del inventario de activos e integrarse en su programa de MAPE. A menudo hemos visto informes de empresas que se han visto comprometidas debido a un proveedor o una filial. Deben considerarse parte de su organización.