Los Expertos Opinan: 4 pasos para conocer su superficie de ataque explotable

Publicado el 16-05-2023      Notícia sobre: Artículos

 

Ramón Lucini, Director Regional, Pentera


Medidas practicas que puede tomar hoy para identificar el verdadero riesgo que enfrenta su organización: aprenda a separar las vulnerabilidades explotables del resto. 

Según una encuesta comparativa de oficiales de seguridad de la información de Cisco, el 17% de las organizaciones tuvieron al menos 100 000 alertas de seguridad diarias en 2020, cifra que no ha hecho más que aumentar. 

Esta tendencia se mantuvo en 2022 con un récord de 25 226 CVE (vulnerabilidades y exposiciones comunes) recién descubiertas, sobrepasando el récord del año 2021, que estaba en 20 137. Más software y una mayor huella digital resultan en un número récord de vulnerabilidades. Esto no es solo un indicador del incremento de la vulnerabilidad en la superficie de ataque de la organización, sino que esta cantidad de incidencias complica aún más el trabajo de defensa, provocando también el agotamiento de los profesionales de la ciberseguridad. 

Por supuesto, “vulnerabilidad” no es sinónimo de “explotabilidad”; de hecho, la proporción común entre ser vulnerable en teoría y explotable en la práctica es de 1:100. Entonces, ¿qué permitiría a los equipos de seguridad centrarse en los auténticos puntos débiles de la pila de vulnerabilidades? La clave está en el contexto de cada vulnerabilidad, sus controles compensatorios y los datos a los que esta conduciría. 

En el presente artículo detallaremos qué medidas pueden tomar hoy mismo los profesionales de la seguridad para identificar los verdaderos riesgos a los que se enfrente su organización: cómo identificar las vulnerabilidades explotables del montón. 

A continuación, podrá leer 4 pasos para conocer su superficie de ataque explotable. 

  1. Adoptar la perspectiva del adversario 

La única forma de filtrar ese mar de vulnerabilidades es intentar explotarlas. Eso es lo que haría un adversario. De esta forma, los equipos de seguridad obtienen un vector de ataque conciso que señalará el eslabón más débil de la organización. Partiendo de aquí, las solicitudes de reparación que se hagan llegar al equipo de TI serán específicas, controlables y se basarán en el impacto a la empresa, mientras que el resto de las vulnerabilidades podrán esperar a las tareas de gestión de parches que estén en curso. Al adoptar la perspectiva del atacante, la organización podrá dirigir un programa de seguridad proactivo en lugar de reaccionar a los incidentes a medida que vayan surgiendo, algo que, desgraciadamente, es inevitable. 

  1. Abarcar el pleno alcance de los posibles ataques 

Los adversarios eligen la vía con una menor resistencia para llegar a los activos más importantes. Para ello, deben emplear todas sus estrategias para llevar a cabo un ataque, aprovechando cualquier vulnerabilidad y las correlaciones relevantes que vayan apareciendo. Por tanto, los métodos de validación empleados deben estar a la altura de las circunstancias: deben ir más allá de un escaneo estático de vulnerabilidades o de una simulación de ataques de control, incluyéndose tests de penetración con un pleno alcance. Así, esto abarcaría marcos de emulación de ataques a controles de seguridad, ataques implicando vulnerabilidades y credenciales, pruebas de equipos de red, auditorías de accesos privilegiados y pasos de movimientos laterales, entre otros. 

  1. Automatizar, automatizar y seguir automatizando 

En la actualidad, la validación de la seguridad debe ser tan dinámica como la superficie de ataque que se esté protegiendo. Las pruebas periódicas y manuales ya no bastan para hacer frente a los cambios por los que pasa una organización. Los equipos de seguridad deben tener una visión inmediata de sus activos y sus puntos de exposición, y la única forma de conseguirlo es mediante una automatización de las pruebas. El aumento de la digitalización y la adopción de la nube, el trabajo remoto, las amenazas de ransomware y, en los últimos tiempos, Log4Shell solo son algunos ejemplos que ilustran la importancia de la validación continua para que los equipos de seguridad defiendan eficazmente a su organización. 

  1. Adaptarse a MITRE ATT&CK y OWASP Top Ten 

Al adaptarse a los estándares de la industria, los equipos de seguridad se aseguran de que sus pruebas cubran las nuevas estrategias de los adversarios. La mayoría de los ataques tienen éxito gracias al uso de las TTP (tácticas, técnicas y procedimientos) más comunes, por lo que al fortalecer la superficie de ataque contra estos métodos se consigue una cobertura exhaustiva de las técnicas de los adversarios en el mundo real. Además, esto permite a los responsables de seguridad informar claramente a la dirección sobre la validación de la eficacia de los controles de seguridad y la preparación de la empresa ante amenazas potenciales. 

Introducir la Validación de Seguridad Automatizada 

La Validación de Seguridad Automatizada es un método avanzado destinado a comprobar la integridad de todas las capas de ciberseguridad, combinando la cobertura continua y la priorización de riesgos para mitigar las lagunas de seguridad de manera eficaz. 

Este enfoque brinda una visión real de las vulnerabilidades de seguridad existentes mediante la emulación de ataques reales; esto permite implementar un plan de reparación basado en el impacto, en lugar de corregir miles de vulnerabilidades. 

Los equipos de seguridad pueden saber exactamente en qué posición se encuentran y tomar las medidas necesarias para alcanzar el máximo nivel de preparación en materia de seguridad. 

A la hora de evaluar las plataformas de validación de seguridad, asegúrese de comprobar los siguientes puntos: 

  • Implementación sin agentes y de bajo contacto, para asegurar una sobrecarga mínima o nula 

  • Pruebas automatizadas y sin libro de tácticas, que ofrezcan un proceso coherente para la identificación de fallos de seguridad y su reparación 

  • Atacar con seguridad la red de producción, aprovechando las vulnerabilidades éticas para emular al adversario sin interrumpir las operaciones de la empresa 

  • Validar toda la pila de seguridad con la gama completa de técnicas reales conformes a los estándares de la industria 

  • Exponer los fallos de seguridad en las cargas de trabajo en la nube y emular las debilidades de expansión lateral desde las instalaciones a la nube y al personal que trabaje a distancia 

  • Informes inmediatos que ofrezcan una lista ordenada por prioridades de las vulnerabilidades que sea más importante solucionar en función de su impacto en la empresa 

La pregunta que debe responder es: ¿sabe cuál es el verdadero riesgo de seguridad de su organización en un momento determinado? ¿Sabe dónde se encuentran los puntos más débiles de la organización para poder repararlos o mitigarlos antes de que un atacante los aproveche? 

Global Gold Sponsor