En la era de la digitalización y las necesidades comerciales en constante cambio, el entorno de producción se ha convertido en un organismo vivo. Múltiples funciones y equipos dentro de una organización pueden afectar en última instancia la forma en que un atacante ve los activos de la organización o, en otras palabras, la superficie de ataque externa. Esto aumenta drásticamente la necesidad de definir una estrategia de gestión de la exposición.

Para mantenerse al día con las necesidades comerciales mientras evalúan y administran de manera efectiva el riesgo de seguridad cibernética, hay dos elementos principales que las organizaciones deben considerar con respecto a su superficie de ataque externa: su tamaño y su atractivo para los atacantes . Si bien las organizaciones generalmente se enfocan en tener en cuenta el tamaño de su superficie de ataque, su atractivo no suele ser lo más importante, aunque puede tener un impacto significativo en el riesgo.

Tamaño de la superficie de ataque

¿Cuántos activos son accesibles desde el mundo exterior?

Existe un delicado equilibrio entre las necesidades comerciales y la seguridad. Si bien existen buenas razones para exponer más activos a Internet (es decir, para la experiencia del usuario, integraciones de terceros y requisitos de arquitectura de software), el precio es una mayor superficie de ataque. En última instancia, una mayor conectividad significa más puntos potenciales de infracción para un adversario.

Cuanto mayor sea la superficie de ataque y más activos estén disponibles para el «patio de recreo» del adversario, más necesitará una organización para mitigar el riesgo de exposición. Esto requiere políticas y procedimientos cuidadosamente diseñados para monitorear la superficie de ataque y proteger los activos expuestos continuamente. Por supuesto, existen medidas básicas, como la exploración rutinaria de vulnerabilidades de software y la aplicación de parches. Sin embargo, también hay problemas de configuración, TI en la sombra, credenciales filtradas y aspectos de administración de acceso que deben tenerse en cuenta.

Una nota importante: la frecuencia de las pruebas y validaciones debe al menos alinearse con el ritmo de cambio de la superficie de ataque de la organización. Cuantos más cambios realiza una organización en su entorno, más necesita evaluar la superficie de ataque. Sin embargo, las pruebas de rutina siguen siendo necesarias incluso durante períodos de cambios mínimos.

Atractivo de la superficie de ataque

Si bien el tamaño de la superficie de ataque externa es un indicador bien entendido del riesgo de seguridad cibernética, otro aspecto que es igual de crítico, aunque más elusivo para las organizaciones de hoy, es qué tan atractiva es una superficie de ataque para los atacantes potenciales.

Cuando los adversarios buscan víctimas potenciales, buscan la fruta más madura. Ya sea que se trate de la forma más fácil de comprometer a una organización objetivo en particular o de los objetivos más fáciles de atacar para lograr sus objetivos, se sentirán atraídos por los indicadores de posibles puntos débiles de seguridad en los activos externos y priorizarán sus actividades en consecuencia.

Cuando hablamos de activos «atractivos», no necesariamente nos referimos a objetivos atractivos, como datos personales, que se pueden vender en el mercado negro. Las atracciones son los atributos de un activo que tienen el potencial de ser abusados ​​por los adversarios. Estos se marcan como un posible punto de partida para propagar un ataque.

Los activos de una organización pueden estar parcheados con el software más reciente y mejor. Sin embargo, estos activos aún podrían tener propiedades atractivas. Por ejemplo, una gran cantidad de puertos abiertos aumenta la cantidad de protocolos que se pueden aprovechar para propagar un ataque. Es importante enfatizar que los ataques no están necesariamente vinculados a una vulnerabilidad, sino que pueden ser un abuso de un servicio conocido. Un buen ejemplo de eso se puede encontrar en esta publicación de blog de Pentera Labs que describe cómo abusar de la utilidad PsExec. Además, algunos puertos específicos pueden ser más atractivos, por ejemplo, el puerto 22, que permite el acceso SSH desde el mundo exterior.

Otro ejemplo es un sitio web que permite cargar archivos. Para algunas organizaciones, este es un servicio crítico que habilita el negocio, pero para los atacantes, esta es una forma conveniente de poner un pie en la puerta. Las organizaciones son muy conscientes del riesgo y pueden abordarlo de diferentes maneras, pero eso no cambia el atractivo de este activo y su potencial de riesgo correspondiente.

El principal desafío al tratar con atracciones es que son objetivos en movimiento. Las atracciones cambian tanto en su número de instancias como en su gravedad por cambio de configuración.

Para evaluar efectivamente la severidad de una atracción, es esencial comprender qué tan fácil es para un adversario detectarla durante la fase de enumeración y, más importante aún, qué tan fácil es explotarla. Por ejemplo, tener una conexión VPN es fácil de detectar pero difícil de explotar y, como resultado, puede ser una prioridad menor en el plan de gestión de riesgos de una organización. Por otro lado, tener un formulario de contacto en línea es fácil de detectar y tiene altos niveles de exposición para inyecciones de SQL y vulnerabilidades de explotación como Log4Shell.

Disminuir el número de atracciones reduce el riesgo de una organización, pero eso no siempre es posible. Como resultado, comprender el riesgo subyacente y definir un plan para abordarlo debe ser la prioridad número uno de la organización para controlar las exposiciones en la superficie de ataque externa y, al mismo tiempo, satisfacer las necesidades comerciales.

Fuente y redacción: theahckernews.com

Compartir