El contenido de esta publicación es responsabilidad exclusiva del autor. AT&T no adopta ni respalda ninguna de las opiniones, posiciones o información proporcionada por el autor en este artículo. Los acontecimientos de los últimos años, incluida la proliferación de ransomware, la pandemia y las tensiones políticas, han acelerado el desarrollo de herramientas tanto ofensivas como defensivas en el dominio cibernético. Los conceptos de ciberseguridad que surgieron hace unos años se están perfeccionando, lo que demuestra los beneficios prácticos de las estrategias modernas de gestión de riesgos digitales. Los analistas de Gartner han destacado la expansión de la superficie de ataque como un riesgo importante para los entornos cibernéticos corporativos en los próximos años. Las entidades más vulnerables incluyen dispositivos de IoT, aplicaciones en la nube, sistemas de código abierto y cadenas de suministro de software complejas. Existe una demanda creciente de conceptos como Gestión de la superficie de ataque de activos cibernéticos (CAASM), Gestión de la superficie de ataque externo (EASM) y Gestión de la postura de seguridad en la nube (CSPM) en los marcos de seguridad corporativos. Esta tendencia también está documentada en el gráfico «hype» de Gartner. Analicemos el concepto de CAASM, que se centra en identificar y gestionar todos los activos digitales dentro de una organización, ya sean internos o externos. Este enfoque tiene como objetivo proporcionar una visión integral y control sobre el entorno cibernético de la organización, mejorando las medidas de seguridad y las prácticas de gestión. ¿Qué es CAASM? CAASM ayuda a los departamentos de TI a lograr una visibilidad de extremo a extremo de los activos cibernéticos de una empresa. Esta estrategia crea una comprensión más completa del estado real de la infraestructura, lo que permite al equipo de seguridad responder rápidamente a las amenazas existentes y a las posibles futuras. Los productos y soluciones basados en CAASM se integran con una amplia gama de fuentes de datos y herramientas de seguridad. CAASM recopila y agrega datos y analiza el tráfico perimetral, proporcionando una vista continua y multidimensional de toda la superficie de ataque. Tener acceso a los datos de activos actuales permite a los oficiales de seguridad de la información visualizar la infraestructura y abordar las brechas de seguridad con prontitud. Pueden priorizar la protección de los activos y desarrollar una perspectiva unificada sobre la postura de seguridad real de la organización. Esto prepara el escenario para estrategias proactivas de gestión de riesgos. Exploración de las funciones principales de CAASM El enfoque CAASM equipa a los profesionales de la seguridad con una variedad de herramientas necesarias para gestionar eficazmente la superficie de ataque de una organización y abordar los riesgos. Descubrimiento de activos La falta de visibilidad de todos los activos de una organización aumenta el riesgo de ataques cibernéticos. Los productos Cyber Asset Attack Surface Management detectan y catalogan automáticamente cada componente de la infraestructura digital de una empresa, abarcando sistemas locales, en la nube y varios sistemas remotos, incluida la TI en la sombra. Una empresa que emplea CAASM obtiene una visión general clara de todas sus aplicaciones web, servidores, dispositivos de red y servicios en la nube implementados. CAASM facilita un inventario completo de los dispositivos, aplicaciones, redes y usuarios que constituyen la superficie de ataque de la empresa. Detección de vulnerabilidades Es importante comprender los riesgos que plantea cada activo, como perder las últimas actualizaciones de seguridad u oportunidades para acceder a datos confidenciales. Los sistemas CAASM integran datos de activos, lo que ayuda a los equipos de seguridad a identificar configuraciones incorrectas, vulnerabilidades y otros riesgos. El análisis considera versiones de software, parches y configuraciones que los piratas informáticos podrían aprovechar para lanzar un ataque. Priorización de riesgos Los sistemas CAASM evalúan cuán críticas son las vulnerabilidades detectadas, ayudando a priorizar y reducir los riesgos más sustanciales. Supongamos que los desarrolladores de una empresa están utilizando una biblioteca de código abierto que tiene una vulnerabilidad conocida de Log4Shell. En tal escenario, CAASM ayudará a los especialistas de TI a identificar todos los activos afectados por esta vulnerabilidad. También ayudará a priorizar este problema entre otros riesgos y comunicar la información de riesgo relevante al departamento de seguridad de la información. Integración con herramientas de seguridad Se logra una amplia visibilidad de los componentes de la infraestructura integrando las soluciones CAASM con las herramientas de ciberdefensa existentes, que incluyen: Soluciones de protección y monitoreo de Active Directory Escáneres de vulnerabilidad Plataformas de protección de endpoints (ERP) Lista de materiales de software (SBOM) Gestión de la superficie de ataque externo (EASM) ) Monitoreo continuo Los productos CAASM monitorean continuamente la superficie de ataque de una organización en busca de cambios y nuevas vulnerabilidades, cubriendo hardware, software y datos, tanto en las instalaciones como en la nube. Por ejemplo, si se implementa un nuevo almacenamiento en la nube sin controles de acceso adecuados, CAASM detectará la configuración insegura y alertará al equipo de seguridad. Esta visibilidad en tiempo real reduce significativamente la ventana de oportunidad para posibles ataques. Las plataformas CAASM de mitigación y remediación ofrecen información y recomendaciones sobre formas de remediar vulnerabilidades identificadas, configuraciones incorrectas de activos y problemas con las herramientas de seguridad. Por ejemplo, estas acciones pueden implicar la implementación automatizada de parches virtuales, ajustes de configuración u otras medidas diseñadas para reducir la superficie de ataque de la organización. Informes y análisis Las funciones avanzadas de análisis e informes de los productos CAASM permiten a una empresa realizar un seguimiento del estado de seguridad de su infraestructura a lo largo del tiempo, evaluar el éxito de sus iniciativas de seguridad y demostrar el cumplimiento de los requisitos reglamentarios. CAASM frente a otras herramientas de gestión de superficies Exploremos las principales diferencias entre CAASM y estrategias similares. Utilizando una tabla, los compararemos uno al lado del otro, centrándonos en los sistemas de gestión de la superficie de ataque externo y de gestión de la postura de seguridad en la nube. CAASM frente a EASM frente a CSPM CAASM EASM CSPM Enfoque del producto Cubre todos los activos cibernéticos, incluidos los sistemas locales, en la nube, remotos y dispositivos IoT. Se centra en recursos externos como aplicaciones públicas, servicios en la nube, servidores y elementos de terceros. Se dirige a la infraestructura, la configuración y el cumplimiento de las políticas de seguridad de la nube. Gestión de amenazas Gestiona amenazas internas y externas, se integra con herramientas EASM para datos externos. Aborda amenazas de fuentes externas o atacantes. Soluciona errores de configuración y problemas de cumplimiento en entornos de nube. Visibilidad Una visión integral de la superficie de ataque incluye activos, configuraciones erróneas y vulnerabilidades. Ve la superficie de ataque externa desde la perspectiva de un atacante. Monitoreo continuo del estado de seguridad de la nube. Integración Se integra con diversas fuentes de datos y herramientas de seguridad para detectar y priorizar puntos débiles. Utiliza escaneo, reconocimiento y análisis de amenazas para evaluar los riesgos externos. Se integra a través de API con herramientas de servicios en la nube para la evaluación y monitoreo de políticas de seguridad. Gestión de la superficie de ataque Controla y reduce la superficie de ataque mediante la detección y el monitoreo continuos de vulnerabilidades. Gestiona la superficie de ataque externa identificando software y elementos de red explotables. Mejora la seguridad de la nube mediante la identificación y resolución de configuraciones erróneas y riesgos de cumplimiento. Objetivos Tiene como objetivo mejorar la seguridad general abordando oportunamente los riesgos en todos los activos. Busca reducir el riesgo de filtraciones de datos minimizando la superficie de ataque externo. Tiene como objetivo mejorar la seguridad en la nube de acuerdo con las mejores prácticas y estándares. Como puede ver, CAASM es un sistema de información de seguridad universal que engloba y protege continuamente todos los activos digitales de la empresa contra amenazas tanto externas como internas. La integración de productos basados en CAASM mejora el intercambio de datos, complementando eficazmente EASM y otras herramientas destinadas a supervisar los activos de la empresa. Medición del éxito de la adopción de CAASM Puede evaluar la eficacia de CAASM después de su integración en el sistema de ciberdefensa de la empresa mediante el seguimiento de varios indicadores. Identifiquemos los principales factores que te ayudarán a realizar esta evaluación. Cobertura de activos La medida principal de la eficacia de CAASM radica en cuán integralmente cubre los activos de la organización. Esto incluye servidores, dispositivos, aplicaciones, bases de datos, redes y recursos en la nube. Cuanto más amplia sea la gama de activos que CAASM puede monitorear, con mayor precisión podrá mapear la posible superficie de ataque, lo que conducirá a una protección contra amenazas más efectiva. Tiempo medio de inventario La métrica Tiempo medio de inventario (MTTI) muestra la rapidez con la que se identifican y agregan nuevos activos a CAASM. Un proceso de descubrimiento más rápido sugiere una estrategia proactiva para detectar y manejar activos. Velocidad de mitigación de vulnerabilidades Las tasas de detección y corrección de vulnerabilidades reflejan el porcentaje de vulnerabilidades identificadas resueltas dentro de un período de tiempo específico. Abordar rápidamente los problemas significa una estrategia más eficiente para minimizar los riesgos de seguridad. Tiempo medio de detección y respuesta de incidentes El tiempo medio de detección (MTTD) muestra la rapidez con la que se detecta un incidente de seguridad, mientras que el tiempo medio de respuesta (MTTR) rastrea el tiempo necesario para responder y recuperarse. MTTD y MTTR más bajos indican que CAASM se está desempeñando de manera más eficiente dentro de la empresa. Cumplimiento Esta métrica refleja la proporción de activos que cumplen con los estándares de la industria y los requisitos regulatorios. Cuanto mayor sea este porcentaje, más eficientemente se gestionarán los activos, lo que reducirá las posibilidades de que se produzcan incidentes de seguridad. Ahorro de costos y retorno de la inversión Reducir el tiempo de inactividad del negocio, reducir los gastos de respuesta a incidentes, evitar sanciones regulatorias y más: todo refleja la eficacia de la implementación de CAASM y contribuye a su retorno de la inversión a largo plazo. Conclusión CAASM es beneficioso para organizaciones maduras con infraestructuras complejas y dinámicas. El monitoreo continuo de todos los activos, incluida la TI en la sombra, permite la adaptación oportuna de las medidas de protección contra amenazas existentes y emergentes, lo que convierte a CAASM en un componente valioso de la estrategia de ciberseguridad de una empresa.
Source link
Deja una respuesta