Centrar la estrategia en aumentar la visibilidad de la superficie de ataque se ha convertido, según los expertos de Qualys, en un aliado fundamental para securizar los entornos actuales
Las aplicaciones web a menudo poseen información que resulta muy valiosa para las actividades de los cibercriminales -robo de información personal, delitos financieros, espionaje corporativo, etc.- lo que las convierte en un objetivo prioritario. Ante la multitud de frentes y la complejidad que adquiere la nube día a día, proteger estas aplicaciones adecuadamente resulta todo un desafío para las empresas y las herramientas de seguridad aisladas no son capaces de cubrir las aplicaciones internas y externas. Asimismo, la criticidad de las amenazas es otra de las tareas que fácilmente se pasa por alto sin el enfoque adecuado.
Para frenar esta problemática, según los investigadores de Qualys, Inc. , proveedor pionero y líder de soluciones de cumplimiento y seguridad basadas en la nube, las empresas deben focalizarse en la puesta en marcha de un plan que incluye tres pasos a seguir y se centra en alcanzar la mayor visibilidad posible de la superficie de ataque externa.
Se trata de desarrollar las nuevas capacidades denominadas EASM (external attack surface management ogestión de superficie de ataque externo) que se ejecutan del siguiente modo:
Paso 1. Inventario de activos
EASM permite a los SOC automatizar el descubrimiento de todos los activos digitales internos y externos, incluidas todas las aplicaciones web, sus dominios y subdominios. Una vez elaborado, este inventario formará la base de medidas de protección efectivas. Al ejecutar este paso, la organización descubre de media que entre el 20 % y el 40 % de sus activos web no están protegidos porque antes eran desconocidos.
En esta fase se aborda el descubrimiento de activos utilizando el nombre de la empresa o el nombre de dominio de nivel superior (TLD, Top Level Dominion) de una organización para ejecutar una búsqueda exhaustiva que identifica y monitoriza cualquier activo creado. Este tipo de herramienta es sensible a las estructuras organizacionales como las subsidiarias e incluso puede manejar fácilmente cambios estructurales como fusiones y adquisiciones.
“Se trata de obtener una visibilidad de 360º donde ningún activo podrá quedar oculto. Además, será posible un conocimiento más profundo, enriqueciendo este inventario con datos detallados que nos permitan disponer del contexto necesario para monitorizar la fecha de creación y hasta el tipo o la propiedad de todos los activos”, subraya Sergio Pedroche, country manager de Qualys para España y Portugal.
Paso 2. Clasificación de activos
Esta fase del proceso se centra en automatizar la priorización de los activos para optimizar el nivel de atención que debe otorgar a cada uno el equipo de seguridad. Es decir, con una categorización adecuada, las aplicaciones web se pueden poner en cola para parches o reconfiguraciones, organizando mejor los recursos humanos disponibles.
La información acerca de la criticidad de negocio, combinada con los datos de perfil de riesgo, agregan otra capa de visibilidad: un mapa de calor funcional de prioridad que permite a los analistas de seguridad usar su tiempo de manera inteligente y garantizar en todo momento que los activos internos y los que se hallan en Internet se fortalecen o, como mínimo, sus vulnerabilidades son reparadas.
Paso 3. Una remediación eficiente y directa
En esta etapa del plan la empresa ya dispone de todos los activos contabilizados y aquellos que representan el mayor riesgo se encuentran clasificados en una lista de acción. Ahora se trata de desplegar medidas de seguridad para proteger las aplicaciones y los usuarios finales.
Esto se logrará mediante la realización de escaneos profundos que permitan buscar errores de configuración en las aplicaciones web, y también con pruebas dinámicas de las APIs para verificar las debilidades del tiempo de ejecución. Alrededor del 80% de todo el tráfico web ahora proviene de APIs, por lo que probar las interfaces se ha vuelto fundamental para la seguridad de las organizaciones.
La información facilitada por las herramientas EASM permitirá asimismo que las empresas puedan gestionar mejor la exposición de información personal, por lo tanto, disminuyendo el riesgo de incumplimiento de las leyes de privacidad y otros estándares de seguridad. También serán capaces de identificar infecciones de malware, permitiendo dar seguimiento a los ataques en tiempo real, reforzando la reputación de marca y generando confianza a largo plazo en toda la cadena de valor.
“Los entornos híbridos de múltiples nubes de hoy en día se caracterizan por ser cambiantes, por enfrentarse a amenazas impredecibles y por la presencia de nuevos elementos como el trabajo en remoto que suman riesgos de seguridad de forma continuada. Este entorno requiere de un mayor control y actualmente el único medio disponible para lograrlo se halla en implementar un plan para la gestión de la superficie de ataque externo”, concluye Pedroche.
Artículo publicado en CiberSecurity News