Lea el artículo completo para conocer los puntos clave de la reciente charla del vicepresidente de productos de Intruder, Andy Hornegold, sobre la gestión de la exposición. Si desea escuchar las ideas de Andy de primera mano, vea el seminario web a pedido de Intruder. Para obtener más información sobre cómo reducir su superficie de ataque, comuníquese con su equipo hoy mismo. Gestión de la superficie de ataque vs. gestión de la exposición La gestión de la superficie de ataque (ASM) es el proceso continuo de descubrir e identificar activos que un atacante puede ver en Internet, mostrando dónde existen brechas de seguridad, dónde se pueden usar para realizar un ataque y dónde las defensas son lo suficientemente fuertes como para repeler un ataque. Si hay algo en Internet que un atacante puede explotar, generalmente cae dentro del ámbito de la gestión de la superficie de ataque. La gestión de la exposición lleva esto un paso más allá para incluir activos de datos, identidades de usuario y configuración de cuentas en la nube. Se puede resumir como el conjunto de procesos que permiten a las organizaciones evaluar de forma continua y constante la visibilidad, la accesibilidad y la vulnerabilidad de sus activos digitales. El viaje continuo de la gestión de amenazas La gestión continua es clave por varias razones. Su negocio, su superficie de ataque y el panorama de amenazas no son estáticos, están cambiando y evolucionando constantemente. Nuevas vulnerabilidades se revelan cada hora, nuevos exploits para vulnerabilidades antiguas se lanzan públicamente y los actores de amenazas están actualizando sus técnicas continuamente. Además, los nuevos sistemas y servicios a menudo están expuestos a Internet, y si está ejecutando procesos de CI/CD, sus aplicaciones se actualizan con frecuencia, lo que podría crear brechas de seguridad explotables. Más allá de los CVE Cada vez más, la gestión de vulnerabilidades se ve a través de una lente estrecha de vulnerabilidades que tienen CVE. El equipo de Intruder no estuvo de acuerdo con este enfoque y cree que si hay una debilidad en su superficie de ataque, es una vulnerabilidad independientemente de si tiene un CVE asociado o no. Entonces, a diferencia del enfoque estrecho de la gestión de vulnerabilidades, la gestión de exposición abarca todo el panorama, incluidas las configuraciones incorrectas y las debilidades potenciales que no tienen un CVE asociado. Tomemos la inyección SQL, por ejemplo. No tiene un CVE, pero sigue siendo una vulnerabilidad en su aplicación que podría generar graves consecuencias si se explota. Además, tener Windows Remote Desktop expuesto a Internet no tiene un CVE asociado, pero presenta un riesgo que un atacante puede intentar explotar. En última instancia, la gestión de la exposición proporciona un nombre común para la forma en que percibimos y gestionamos estas amenazas. Priorización de vulnerabilidades: la necesidad de contexto Actualmente, la mayoría de los escáneres de vulnerabilidad proporcionan una lista de vulnerabilidades, cada una como un punto de datos independiente. Por ejemplo, podrían informar: «El sistema X tiene la vulnerabilidad Y; debe ir a solucionarla». Sin embargo, cuando se trata de un gran número de vulnerabilidades, esta información por sí sola no es suficiente. La priorización eficaz requiere más contexto para garantizar que el recurso limitado de su equipo se centre en los problemas que realmente marcarán la diferencia. Por ejemplo, es fundamental comprender qué activos respaldan sus funciones comerciales críticas, qué vulnerabilidades se pueden encadenar para afectar las funciones comerciales críticas y dónde un atacante podría ingresar potencialmente a su red si se explotaran estos activos. Este enfoque transforma la gestión de vulnerabilidades de tareas aisladas y compartimentadas en una estrategia cohesiva, que proporciona el contexto necesario para determinar no solo si se debe reparar una vulnerabilidad, sino también cuándo. De manera muy similar a como la meditación ayuda a filtrar el bombardeo diario de pensamientos y distracciones, el enfoque de Intruder para la gestión de la exposición tiene como objetivo filtrar el ruido para centrarse en los problemas que más importan. Por qué es importante la gestión de la exposición La gestión de la exposición es importante porque no todo lo que se puede solucionar debe solucionarse de inmediato. Sin un enfoque estratégico, corre el riesgo de perder un tiempo valioso resolviendo problemas de bajo impacto, como un certificado TLS que no es de confianza en una red interna, en lugar de abordar vulnerabilidades que podrían llevar a la vulneración de un sistema de misión crítica. Es posible que usted y su equipo tengan un impacto desproporcionado e incluso más significativo en el perfil de riesgo de su organización al tener más tiempo para centrarse en actividades estratégicamente importantes que protejan a su organización de manera más eficaz. Esto se puede lograr evitando una reacción instintiva a cada vulnerabilidad (similar a jugar al topo), que es lo que la gestión de la exposición pretende lograr. Es posible reducir el volumen de tareas que su equipo está llevando a cabo explorando su entorno, entendiendo qué activos respaldan los procesos críticos para el negocio, estableciendo equipos dedicados responsables de la remediación de esos activos y estableciendo umbrales o desencadenantes que especifiquen cuándo se deben abordar los problemas. La necesidad de la gestión de la exposición Hay muchos ejemplos recientes de atacantes que obtienen el control total a través de puntos de entrada aparentemente inocuos. Un desarrollador de Microsoft descubrió una puerta trasera colocada deliberadamente en xz-utils, una utilidad esencial de compresión de datos para sistemas operativos Linux y similares a Unix. Esta vulnerabilidad, encontrada en las versiones 5.6.0 y 5.6.1, permitió que un actor de amenazas desconocido ejecutara comandos en sistemas que ejecutaban estas versiones de xz-utils y tenían SSH expuesto a Internet. El momento del descubrimiento fue increíblemente afortunado, se descubrió antes de que las versiones comprometidas de xz-utils pudieran llegar a muchas distribuciones de Linux convencionales como Debian y Red Hat. Aunque no hubo casos reportados de explotación, los riesgos potenciales eran sustanciales. Un actor de amenazas habría obtenido acceso a esos sistemas, lo que les habría dado un punto de partida para comprometer otros sistemas en cualquier red conectada para extraer todos y cada uno de los datos confidenciales. Los equipos de seguridad habrán dedicado tiempo y esfuerzo a investigar si estaban expuestos. Con la gestión de la exposición, habría sido fácil identificar cualquier versión afectada dentro de sus entornos y establecer rápidamente que la exposición fue mínima, ya que las versiones comprometidas de xz-utils no están tan extendidas. Curiosamente, el esfuerzo para integrar la puerta trasera tomó cuatro años, lo que reveló un plan calculado y a largo plazo para comprometer el software de código abierto. Esto no es necesariamente nuevo, pero pone de relieve el hecho de que las amenazas persistentes avanzadas no se centran solo en las grandes empresas; si los actores de amenazas pueden comprometer un paquete de código abierto como xz-utils y hacer que llegue a las distribuciones convencionales, entonces todos están en riesgo. Luego está Palo Alto Networks. La empresa emitió un llamado urgente para que las empresas parchearan una vulnerabilidad crítica de día cero, conocida como CVE-2024-3400, en su software PAN-OS ampliamente utilizado que impulsa los productos de firewall GlobalProtect. Esta falla, encontrada en las versiones más nuevas del software, permite a los atacantes tomar el control total de un firewall afectado de forma remota sin requerir autenticación, lo que representa una amenaza significativa para miles de empresas que dependen de estos firewalls para su seguridad. Dado su potencial para una explotación remota directa, Palo Alto le ha otorgado a esta vulnerabilidad la calificación de gravedad más alta. Con el uso de las herramientas de gestión de la superficie de ataque disponibles, la identificación de los activos vulnerables debería ser casi instantánea y, con un proceso de gestión de la exposición en su lugar, el umbral para la remediación debería haber permitido que los responsables de la remediación o mitigación entraran en acción rápidamente. Estos ejemplos demuestran cómo se pueden eliminar las amenazas de manera efectiva si las organizaciones cambian de un enfoque reactivo, de apresurarse para solucionar, a una gestión de la exposición proactiva, donde gestionan continuamente su superficie de ataque. ‍Comience su viaje hacia una gestión de exposición eficaz Comenzar con la gestión de exposición comienza con pasos prácticos y manejables: Use lo que ya tiene: primero, recuerde que puede aprovechar los servicios que ya está usando. Por ejemplo, si está usando una herramienta como Intruder, ya tiene un proveedor de gestión de vulnerabilidades y gestión de superficie de ataque que puede impulsar su enfoque de gestión de exposición. Alternativamente, un servicio de consultoría puede realizar ejercicios de mapeo de rutas de ataque y talleres de perfil de amenazas. Defina su alcance: al definir el alcance de lo que cubrirá su proceso de gestión de exposición, concéntrese primero en los activos que están expuestos a Internet, ya que estos suelen ser los más vulnerables a los ataques. Intruder puede ayudarlo al brindarle una vista de sus sistemas que dan a Internet, que puede usar como punto de partida para su proceso de gestión de exposición. También puede usar el etiquetado de objetivos de Intruder para segmentar los sistemas en sus alcances definidos. En el proceso de alcance, también busca identificar a las personas que son responsables de remediar el riesgo cuando se detecta una vulnerabilidad; puede agregar esos usuarios a Intruder y empoderarlos para que solucionen y validen que se hayan resuelto los problemas. Si los datos están disponibles, también recuerde realizar un seguimiento de las aplicaciones SaaS que utiliza, ya que pueden contener datos y credenciales confidenciales. Descubra y priorice sus activos: utilice una herramienta para identificar activos conocidos y desconocidos e identifique cuáles son críticos para el negocio y respaldan el alcance que ha definido anteriormente. Intruder descubre automáticamente nuevos activos en la nube al integrarse con sus cuentas en la nube y ejecuta verificaciones automáticas de subdominios. También puede agregar contexto a sus activos mediante etiquetas para especificar cómo contribuyen los sistemas a sus procesos comerciales y qué riesgo representan para esos procesos si se ven comprometidos. Realice el descubrimiento y la priorización de debilidades: el enfoque a continuación se desplaza a evaluar cuáles de estos activos corren mayor riesgo de verse comprometidos y cuáles serían los objetivos más atractivos para los atacantes cibernéticos. Con Intruder puede encontrar vulnerabilidades en su infraestructura, aplicaciones y API, y recibir una lista priorizada de problemas para saber qué hacer primero. Intruder también proporciona un enfoque continuo para el descubrimiento y la priorización de vulnerabilidades al monitorear su red, mostrándole qué está expuesto e iniciando análisis cuando algo cambia. Actuar: Entonces es el momento de actuar, ya sea a través de la remediación, la mitigación o la aceptación de riesgos. Intruder facilita la gestión y verificación de sus esfuerzos de remediación. Ejecute análisis de remediación, exporte problemas a sus sistemas de tickets, configure alertas en Slack y Teams, y más. Traerlo todo de vuelta a casa En última instancia, todos tenemos una cantidad limitada de tiempo. Al minimizar las distracciones y permitir que su equipo se concentre en lo que realmente importa, la gestión de la exposición le permite lograr el mayor impacto con la menor inversión de tiempo. Si su equipo se centra en el 25% de las vulnerabilidades que realmente importan, tiene un 75% de tiempo adicional para centrarse en las actividades que son fundamentales para mantener su negocio seguro. Intruder tiene como objetivo equipar a las organizaciones para que se centren en lo significativo, lo impactante y, en última instancia, proteger su panorama digital en el mundo acelerado de hoy. Y si eso significa fines de semana más tranquilos y alejarnos con confianza de nuestros escritorios sabiendo que nuestros activos están protegidos, entonces creo que estamos en el camino correcto. Tal vez no se trate tanto de gestionar vulnerabilidades o exposiciones, sino de gestionar nuestro enfoque en el flujo interminable de amenazas a la ciberseguridad. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.