Descubra las mejores formas de mitigar la superficie de ataque de su organización para maximizar la ciberseguridad.

En casi toda la cobertura de las infracciones modernas, escuchará una mención de la «superficie del ciberataque» o algo similar. Es fundamental comprender cómo funcionan los ataques y dónde están más expuestas las organizaciones. Durante la pandemia, se podría decir que la superficie de ataque ha crecido más y más rápido que en cualquier otro momento del pasado. Y esto ha creado sus propios problemas. Desafortunadamente, las organizaciones son cada vez más incapaces de definir el tamaño real y la complexión de su superficie de ataque en la actualidad, lo que deja sus activos digitales y físicos expuestos a los actores de amenazas.

Afortunadamente, al ejecutar algunas de las mejores prácticas, estos mismos defensores también pueden mejorar su visibilidad de la superficie de ataque y, con ello, obtener una mejor comprensión de lo que es necesario para minimizarla y gestionarla.

¿Qué es la superficie de ataque corporativa?

En un nivel básico, la superficie de ataque se puede definir como los activos físicos y digitales que posee una organización y que podrían verse comprometidos para facilitar un ciberataque. El objetivo final de los actores de amenazas detrás de esto podría ser cualquier cosa, desde implementar ransomware y robar datos hasta reclutar máquinas en una botnet, descargar troyanos bancarios o instalar malware de minería criptográfica. La conclusión es: cuanto mayor sea la superficie de ataque, mayor será el objetivo al que deben apuntar los malos.

Echemos un vistazo a las dos categorías principales de superficies de ataque con más detalle:

La superficie de ataque digital

Esto describe todo el hardware, software y componentes relacionados conectados a la red de una organización. Éstos incluyen:

Aplicaciones: Las vulnerabilidades en las aplicaciones son comunes y pueden ofrecer a los atacantes un punto de entrada útil a los datos y sistemas de TI críticos.

Código: Un riesgo importante ahora que gran parte de él se compila a partir de componentes de terceros, que pueden contener malware o vulnerabilidades.

Puertos: Los atacantes buscan cada vez más puertos abiertos y si algún servicio está escuchando en un puerto específico (es decir, el puerto TCP 3389 para RDP). Si esos servicios están mal configurados o contienen errores, estos pueden explotarse.

Servidores: Estos podrían ser atacados a través de exploits de vulnerabilidades o inundados de tráfico en ataques DDoS.

Sitios web: Otra parte de la superficie de ataque digital con múltiples vectores de ataque, incluidos fallas de código y mala configuración. Un compromiso exitoso puede conducir a la desfiguración de la web o la implantación de código malicioso para ataques desde el interior y otros (p. Ej. formjacking).

Certificados: Organizaciones con frecuencia deja que estos caduquen, permitiendo que los atacantes se aprovechen.

Esto está lejos de ser una lista exhaustiva. Para resaltar la gran escala de la superficie de ataque digital, considere esta investigación de 2020 sobre empresas en la lista FTSE 30. Encontró:

  • 324 certificados caducados
  • 25 certificados que utilizan el algoritmo hash SHA-1 obsoleto
  • 743 posibles sitios de prueba expuestos a Internet
  • 385 formas inseguras de las cuales 28 se utilizaron para la autenticación
  • 46 marcos web con vulnerabilidades conocidas
  • 80 instancias de PHP 5.x ahora desaparecido
  • 664 versiones de servidor web con vulnerabilidades conocidas

La superficie de ataque físico

Esto incluye todos los dispositivos de punto final a los que un atacante podría acceder «físicamente», como:

  • Computadores de escritorio
  • Unidades de disco duro
  • Laptops
  • Teléfonos / dispositivos móviles
  • Memorias USB

También hay motivos para decir que sus empleados son una parte importante de la superficie de ataque físico de la organización, ya que pueden ser manipulados. a través de la ingeniería social (phishing y sus variantes) en el transcurso de un ciberataque. También son responsables de la TI en la sombra, el uso no autorizado de aplicaciones y dispositivos por parte de los empleados para eludir los controles de seguridad corporativos. Al utilizar estas herramientas para el trabajo no aprobadas y, a menudo, inadecuadamente aseguradas, podrían estar exponiendo a la organización a amenazas adicionales.

¿Se agranda la superficie de ataque?

Las organizaciones han estado desarrollando sus recursos digitales y de TI durante muchos años. Pero el advenimiento de la pandemia vio inversiones a gran escala, para respaldar el trabajo remoto y mantener las operaciones comerciales en un momento de extrema incertidumbre del mercado. Expandió la superficie de ataque de varias formas obvias:

  • Puntos finales de trabajo remotos (por ejemplo, portátiles, equipos de escritorio)
  • Infraestructura y aplicaciones en la nube
  • Dispositivos IoT y 5G
  • Uso de código de terceros y DevOps
  • Infraestructura de trabajo remoto (VPN, RDP, etc.)

No hay vuelta atrás. Según los expertos, muchas empresas han superado un punto de inflexión digital que cambiará sus operaciones para siempre. Eso es potencialmente una mala noticia para la superficie de los ataques, ya que podría invitar:

  • Ataques de phishing que explotan la falta de conciencia de seguridad en los empleados
  • Explotaciones de malware y vulnerabilidades dirigidas a servidores, aplicaciones y otros sistemas
  • Contraseñas robadas o forzadas brutas utilizadas para inicios de sesión no autorizados
  • Explotación de configuraciones incorrectas (por ejemplo, en cuentas en la nube)
  • Certificados web robados

…y mucho más. De hecho, hay cientos de vectores de ataque en juego para los actores de amenazas, algunos de los cuales son muy populares. ESET encontró 71 mil millones de intentos de compromiso a través de un RDP mal configurado entre enero de 2020 y junio de 2021.

Cómo mitigar los riesgos de la superficie de ataque

La superficie de ataque es fundamental para las mejores prácticas de ciberseguridad porque comprender su tamaño y tomar medidas para reducirlo o gestionarlo es el primer paso hacia la protección proactiva. A continuación se ofrecen algunos consejos:

  • Primero, comprenda el tamaño de la superficie de ataque con auditorías de activos e inventarios, pruebas de penetración, escaneo de vulnerabilidades y más.
  • Reduzca el tamaño de la superficie de ataque y el riesgo cibernético asociado donde pueda a través de:
  • Gestión de configuración y parches basada en riesgos
  • Consolidar puntos finales, deshacerse del hardware heredado
  • Actualización de software y sistemas operativos
  • Segmentar redes
  • Seguir las mejores prácticas de DevSecOps
  • Gestión continua de vulnerabilidades
  • Mitigación de riesgos de la cadena de suministro
  • Medidas de seguridad de los datos (es decir, cifrado fuerte)
  • Gestión sólida de identidades y accesos
  • Enfoques de confianza cero
  • Registro y monitoreo continuo de sistemas.
  • Programas de formación de concienciación del usuario

El entorno de TI corporativo está en un estado de cambio constante, gracias al uso generalizado de VM, contenedores y microservicios, y la llegada y salida continua de empleados y nuevo hardware y software. Eso significa que cualquier intento de administrar y comprender la superficie de ataque debe realizarse con herramientas ágiles e inteligentes que funcionen a partir de datos en tiempo real. Como siempre, “visibilidad y control” deben ser sus palabras clave en este viaje.

Author

Write A Comment