Por Tim Bobak, Director de la Unidad de Negocio AssetZero, Group-IB
Con el tamaño de la presencia digital y de los perímetros de seguridad en su punto más alto, mantener un inventario de activos completo y actualizado se está convirtiendo en un serio desafío para las empresas. Los activos que no se gestionan adecuadamente socavan las inversiones en seguridad de la red y crean graves riesgos. Un activo no gestionado puede ser una instancia en la nube olvidada que ejecuta un software vulnerable, una base de datos mal configurada que está expuesta involuntariamente a Internet o un servidor web que se desplegó sin ser añadido a los inventarios oficiales de activos.
La gestión de la superficie de ataque externa (EASM) es una categoría emergente de productos que superan este tipo de problemas y descuidos que existen más allá de la visión de las herramientas de seguridad tradicionales. En concreto, las soluciones EASM descubren continuamente todos los activos informáticos externos de una organización, crean un inventario de activos, comprueban las posibles vulnerabilidades y priorizan los problemas para su remediación. Esto incluye incluso situaciones en las que los actores de las amenazas han tomado el control de la infraestructura de una empresa.
La presencia digital se está expandiendo, lo que lleva al Shadow IT
Las migraciones a la nube, la transición digital, el crecimiento de las empresas y las fusiones y adquisiciones están conduciendo a una expansión rápida y sin precedentes de la presencia digital. Esto es así para organizaciones de todos los sectores y regiones. Los nuevos servicios y aplicaciones se despliegan constantemente en diferentes infraestructuras: centros de datos locales, Clouds privadas y Clouds públicas de múltiples proveedores de servicios en la nube, además de infraestructuras alojadas por terceros, como los proveedores SaaS.
El gran tamaño de la presencia digital, combinado con la creciente complejidad de las infraestructuras IT modernas, hace que sea muy difícil para las empresas mantener una visibilidad completa de todos los activos IT en su entorno. Los activos externos que son desconocidos para la organización anfitriona se conocen como «Shadow IT». En resumen, este término se refiere a los activos conectados a Internet que no están siendo inventariados, gestionados o protegidos activamente.
Shadow IT crea puntos débiles en el perímetro de seguridad que añaden un riesgo evitable y aumentan la probabilidad de una brecha. Ya en 2016, Gartner estimó que «en 2020, un tercio de los ataques exitosos experimentados por las empresas serán en sus recursos de Shadow IT».
Una investigación reciente de IBM confirma estas predicciones. En 2021, el IBM X-Force Threat Intelligence Index report descubrió que “Scan-and-exploit” fue el vector de ataque inicial número 1, representando el vector principal en el 35% de los ataques.
Estas cifras también están respaldadas por los datos recogidos por el Equipo de Respuesta a Emergencias Informáticas de Group-IB (CERT-GIB). En 2021, más del 50% de los casos de Digital Forensic & Incident Response (DFIR) tuvieron su origen en un error de seguridad prevenible basado en el perímetro.
Gestión de la superficie de ataque externa: Una tecnología emergente
A medida que la presencia digital y la complejidad de las infraestructuras IT siguen creciendo, es cada vez más importante que las organizaciones mantengan un inventario de activos completo y actualizado. Aquí es donde entran en juego las soluciones de gestión de la superficie de ataque externa.
La gestión de la superficie de ataque externa (EASM) es una categoría tecnológica emergente que automatiza el proceso de mapeo de todos los activos IT externos de una organización, incluyendo Shadow IT. Aunque esta es la función principal de los productos EASM, a menudo ofrecen funciones adicionales que ayudan a las organizaciones a obtener una visibilidad completa, gestionar el riesgo y mejorar la seguridad.
- Enumeración automatizada de activos
Las herramientas EASM automatizan el proceso de identificación e inventario de activos externos, incluyendo Shadow IT y la infraestructura olvidada.
- Descubrimiento continuo y recursivo
Dado que las soluciones EASM están automatizadas, pueden trabajar 24 horas al día, 7 días a la semana, sin ninguna supervisión directa ni aportación manual del personal de seguridad. Los nuevos activos se identifican casi inmediatamente después de su despliegue.
- Identificación de posibles vulnerabilidades
Después de inventariar todos los activos externos, los productos EASM comprueban las posibles vulnerabilidades. Esto incluye todo, desde hardware vulnerable y software obsoleto hasta certificados SSL caducados y puertos abiertos.
- Priorización de problemas
Para ayudar a gestionar y mitigar el riesgo, las herramientas EASM asignan una puntuación de riesgo cuantitativa a todos los activos identificados. Los problemas se priorizan según el nivel de riesgo.
- Remediación racionalizada
Con todas las incidencias evaluadas y priorizados, los equipos de seguridad pueden aprovechar al máximo el tiempo dedicado a la remediación, lo que permite resolver incidencias de gran impacto, mejorando drásticamente la postura de seguridad con una inversión limitada de recursos.
