En medio de tantos hackers recientes de alto perfil y violaciones de datos, los expertos en seguridad son aficionados a señalar que no existe la seguridad perfecta. ¡Es verdad! Pero también invita a la pregunta: ¿por qué literalmente no todo es pirateado todo el tiempo?
La respuesta tiene que ver con los incentivos relativos y los costes de infiltrarse en una red determinada. Y uno de los conceptos subyacentes a ese cálculo es la idea de una «superficie de ataque«.
Aquí tienes un ejemplo. Imagínate si alguien te pide que entres en dos edificios, uno tras otro. El primero es un hotel, por lo que simplemente caminas por la entrada principal, o tal vez a través del bar, o desde el estacionamiento, o desde la piscina en la parte de atrás. El segundo es una habitación sin ventanas o puertas visibles. ¿Qué crees que sería más complicado?
Dedicaré este post a explicarte en qué consiste una superficie de ataque, sus tipos y cómo analizar y reducir la superficie de ataque.
Indice
¿Qué es una superficie de ataque?
La superficie de ataque de tu organización es el número total de vectores de ataque que podrían usarse como punto de entrada para lanzar un ataque cibernético u obtener acceso no autorizado a datos confidenciales. Esto podría incluir vulnerabilidades en tu gente, entornos físicos, de red o de software.
En términos simples, tu superficie de ataque es todas las brechas en tus controles de seguridad que podrían ser explotadas o evitadas por un atacante.
Esto incluye software, sistemas operativos, aplicaciones web, IoT y dispositivos móviles, servidores web, centros de datos, así como controles físicos como bloqueos y tus empleados que pueden ser vulnerables a ataques de ingeniería social como phishing, spear phishing y whaling.
Todo lo que albergue o tenga acceso a datos confidenciales, datos comerciales, información de identificación personal o información de salud protegida debe ser particularmente bien examinado.
Tipos
Hay tres tipos de superficies de ataque.
Superficie de ataque digital
La superficie de ataque digital es todo lo que vive fuera del firewall al que se puede acceder a través de Internet. A menudo es más fácil para los ciberdelincuentes entrar en tu organización explotando la ciberseguridad deficiente que por medios físicos.
La superficie de ataque digital incluye los siguientes activos:
- Conocidos: activos inventariados y gestionados, como su sitio web corporativo, servidores y las dependencias que se ejecutan en ellos.
- Desconocidos: también conocido como TI oculta o TI huérfana que se mantuvo fuera del alcance de tu equipo de seguridad, como sitios web olvidados, sitios de marketing y software instalado por los empleados.
- No autorizados: Infraestructura maliciosa creada por actores de amenazas como malware, un dominio de tipo typosquatted o un sitio web o aplicación móvil que se hace pasar por tu organización.
Las empresas de hoy tienen superficies de ataque que se extienden mucho más allá de su red interna hasta servicios administrados por terceros y centros de datos, que están fuera del alcance de muchos enfoques tradicionales de seguridad, como las pruebas de penetración.
Estas superficies de ataque no solo se extienden más allá de las redes internas, sino que el tamaño de la organización promedio es mucho mayor. Es por eso que la seguridad de la información y la ciberseguridad son cada vez más importantes.
Las vulnerabilidades potenciales comunes en la superficie de ataque digital son:
Puertos abiertos innecesarios
Un puerto abierto se refiere a un número de puerto TCP o UDP que está configurado para aceptar paquetes. Por el contrario, un puerto cerrado rechaza las conexiones o ignora los paquetes. Si bien los puertos abiertos no son necesariamente peligrosos, pueden serlo.
Los puertos abiertos pueden ser peligrosos cuando el servicio que escucha en el puerto está mal configurado, no tiene parches, es vulnerable a las vulnerabilidades o tiene reglas de seguridad de red deficientes.
De particular peligro son los puertos aptos para gusanos que están abiertos por defecto en algunos sistemas operativos, como el protocolo SMB que fue explotado por un exploit de día cero llamado EternalBlue que resultó en el gusano de ransomware WannaCry.
Susceptibilidad a los ataques de hombre en el medio
Un ataque de hombre en el medio (ataque MITM) es un ataque cibernético en el que un atacante retransmite y posiblemente altera la comunicación entre dos partes que creen que se están comunicando directamente. Esto permite que el atacante retransmita la comunicación, escuche e incluso modifique lo que dice cada parte.
Mala seguridad del correo electrónico
La falta de SPF, DKIM y DMARC puede dejar a tu organización abierta a la falsificación de correo electrónico.
Susceptibilidad al secuestro de dominios
El secuestro de dominios es el acto de cambiar el registro de un nombre de dominio sin el permiso del propietario original, o por abuso de privilegios en el alojamiento de dominios y los sistemas de registro de dominios.
Falta de DNSSEC
Las Extensiones de Seguridad del Sistema de Nombres de Dominio (DNSSEC o Extensiones de Seguridad de DNS) son un conjunto de especificaciones del Grupo de Trabajo de Ingeniería de Internet (IETF) para proteger ciertos tipos de información proporcionada por el Sistema de Nombres de Dominio (DNS) como se usa en el Protocolo de Internet (IP).
Vulnerabilidades
Una vulnerabilidad es una debilidad que puede ser explotada por un ataque cibernético para obtener acceso no autorizado o realizar acciones no autorizadas en un sistema informático. Las vulnerabilidades pueden permitir a los atacantes ejecutar código, acceder a la memoria de un sistema, instalar malware y robar, destruir o modificar datos confidenciales.
Vulnerabilidad a los ataques XSS
Las secuencias de comandos entre sitios (XSS) son un tipo de vulnerabilidad de seguridad que generalmente se encuentra en las aplicaciones web. XSS permite a los atacantes inyectar secuencias de comandos del lado del cliente en páginas web vistas por otros usuarios y puede usarse para omitir el control de acceso, como la política del mismo origen.
Credenciales filtradas
La mayoría de las organizaciones tienen credenciales expuestas debido a la gran cantidad de violaciones de datos de terceros que se producen. Si los empleados no cambian sus contraseñas o reutilizan sus contraseñas, este puede ser uno de los vectores de ataque más dañinos en una organización.
Fugas de datos
Debido a la creciente proliferación del almacenamiento en la nube, muchas organizaciones exponen accidentalmente datos confidenciales en depósitos S3, repositorios GitHub, servidores Rsnyc, servidores FTP y más.
Dominios con Typosquatted
Typosquatting es una forma de cybersquatting en la que alguien se sienta en nombres de dominio similares a los de otra marca o copyright, apuntando a usuarios de Internet que escriben incorrectamente la dirección de un sitio web en su navegador web, en lugar de usar un motor de búsqueda. Typosquatting también se conoce como secuestro de URL, imitación de dominio, un sitio de picadura o una URL falsa.
Todos los riesgos de seguridad descritos anteriormente son observables externamente y los atacantes utilizan una combinación de pruebas de penetración, rastreo web y herramientas de escaneo automatizadas como Kali Linux, Backbox , Metasploit o Nmap para encontrarlos en tiempo real.
La verdad es que cualquier dispositivo que esté expuesto a Internet es un posible punto de entrada a tu organización. Es por eso que los equipos de seguridad están invirtiendo cada vez más en herramientas de administración de superficie de ataque que monitorizan continuamente la postura de seguridad de la organización, así como la exposición a violaciones y fugas de datos.
Superficie de ataque físico
Más allá de la superficie de ataque digital, existen riesgos adicionales que ocurren cuando un atacante obtiene acceso físico a tu oficina o dispositivo. Por un lado, si tienen acceso físico, no importa si el dispositivo está conectado a Internet o no.
Piensa en tu superficie de ataque físico como todas las vulnerabilidades de seguridad en un sistema dado que serían accesibles físicamente para un atacante si pudieran obtener acceso a tu oficina, sala de servidores u otra ubicación física.
Las superficies de ataque físico generalmente son explotadas por amenazas internas como empleados deshonestos, tácticas de ingeniería social, dispositivos BYOD no confiables en redes seguras, o simplemente intrusos que se hacen pasar por trabajadores de servicios.
Como referencia, cuando un atacante obtiene acceso físico a un dispositivo, puede:
- Asignar todos los dispositivos, puertos y servicios en red a los que el dispositivo tiene o está conectado.
- Inspeccionar el código fuente abierto o ejecutándose en el dispositivo.
- Verificar las bases de datos que contienen información confidencial.
- Instalar software malicioso diseñado para infectar el sistema operativo. Esto es particularmente de alto riesgo si otros dispositivos conectados tienen vulnerabilidades verificables.
- Utilizar la escalada de privilegios para obtener acceso no autorizado a áreas o dispositivos privilegiados, por lo que es importante el principio de menor privilegio y defensa en profundidad.
- Exponer datos confidenciales que están en el ordenador.
Muchos expertos creen que si no se considera la seguridad física, una violación de datos es inevitable. Dado que el coste promedio de una violación de datos ahora es de casi 4 millones de dólares a nivel mundial, es importante invertir en seguridad física para evitar violaciones de datos.
Esto puede incluir sistemas de control de acceso biométrico para evitar la manipulación, la eliminación adecuada de archivos de papel y hardware, así como un otros muchos controles de seguridad física.
Dicho esto, la forma más común en que las personas obtienen acceso físico es a través de las personas.
Superficie de ataque de ingeniería social
Las personas son una de las partes más peligrosas y, a menudo, ignoradas de la superficie de ataque de cualquier organización. Piensa en tu superficie de ataque de ingeniería social como el número total de individuos que son susceptibles a la ingeniería social.
La ingeniería social explota la psicología humana y la susceptibilidad de manipular a las víctimas para que divulguen información confidencial y datos sensibles o realicen una acción que rompa los estándares de seguridad habituales.
En general, el éxito de la ingeniería social depende de la falta de conocimiento de los métodos que utilizan los atacantes, así como de la pobre seguridad operativa (proceso que identifica acciones, como la publicación en las redes sociales, que podrían ser útiles para un atacante potencial si se analizan y agrupan adecuadamente con otros datos).
Esta es la razón por la cual la capacitación en seguridad cibernética es la primera línea de defensa en lo que con frecuencia es el eslabón más débil en organizaciones seguras que emplean estrategias sofisticadas de defensa en profundidad.
Los ejemplos de ingeniería social incluyen:
- Un ataque de whaling que se dirige a alguien en cuentas por pagar
- Los medios caen cuando un USB infectado se deja caer en el vestíbulo de un edificio y un empleado desprevenido lo conecta a un ordenador
- Personal de servicio falso como conserjes, personal de reparación o electricistas que obtienen acceso a armarios de servidores, ordenadores o enrutadores.
¿Qué es el análisis de superficie de ataque?
El análisis de superficie de ataque es el proceso de mapear qué partes de la organización son vulnerables y necesitan ser probadas para detectar vulnerabilidades de seguridad. Ayuda a los equipos de seguridad a comprender las áreas de riesgo, encontrar sistemas vulnerables y minimizar los vectores de ataque.
En el pasado, el análisis de la superficie de ataque fue realizado por arquitectos de seguridad y probadores de penetración.
Sin embargo, el software de administración de superficie de ataque es una forma cada vez más popular de hacerlo, ya que es capaz de monitorizar continuamente la infraestructura tanto para los cambios como para las vulnerabilidades y la configuración incorrecta recientemente encontradas.
¿Por qué es importante?
El análisis de la superficie de ataque es importante porque puede:
- Identificar qué partes de tu organización necesitan ser revisadas y probadas para detectar vulnerabilidades de seguridad
- Localizar áreas de alto riesgo que requieren defensa en profundidad.
- Identificar cuándo has realizado cambios en la infraestructura que han cambiado la superficie de ataque, lo que puede ser necesario incluir en el proceso de evaluación de riesgos.
Este proceso puede ayudar a reducir, prevenir y mitigar los riesgos derivados de:
- Herencia, IoT y activos de TI paralelos
- Errores y omisiones humanos como phishing y fugas de datos
- Software vulnerable y desactualizado
- Software de código abierto (OSS) desconocido
- Ataques a gran escala en la industria
- Ciberataques dirigidos a tu organización
- Infracción de propiedad intelectual
- TI heredada de actividades de fusiones y adquisiciones
- Proveedor gestionado activos
Cómo definir la superficie de ataque de tu organización
Tu superficie de ataque es el número total de vectores de ataque que un ciberdelincuente podría usar para acceder a tu organización, y qué datos confidenciales podrían extraer cuando lo hagan.
Al definir tu superficie de ataque, piensa en:
- Todas las rutas que los datos confidenciales pueden tomar dentro y fuera de tu organización
- Todos los controles de seguridad que protegen esas rutas, incluida la conexión de recursos, autenticación, autorización, registro de actividades, validación de datos y codificación
- Todos los datos valiosos que utiliza tu organización internamente, incluidos secretos y claves, propiedad intelectual, datos comerciales críticos e información personal.
- Los controles de seguridad que protegen estos datos, incluidos el cifrado, las sumas de verificación, la auditoría de acceso, la integridad de los datos y los controles de seguridad operativos.
Cómo reducir tu superficie de ataque
Hay varias formas de reducir la superficie de ataque de tu organización:
Cierra los puertos innecesarios
Si bien los puertos abiertos no son necesariamente peligrosos, pueden serlo si el servicio que escucha en el puerto está mal configurado, no tiene parches, es vulnerable a las vulnerabilidades o tiene reglas de seguridad de red deficientes.
Mitiga los riesgos de ataque de hombre en el medio
Comprueba que cada dominio de acceso público tenga SSL habilitado, no tenga HTTP accesible, su nombre de host coincida con su certificado SSL, tenga un certificado SSL válido, haga cumplir HSTS, no use un inseguro Versión SSL / TLS, no tiene un certificado SSL que caduque pronto, usa cookies seguras, no tiene un algoritmo SSL débil, está en la lista de precarga de HSTS y usa el encabezado includeSubDomains HSTS.
Asegúrate de tener la seguridad de correo electrónico adecuada
Utiliza SPF, DKIM y DMARC para que tu organización no sea susceptible a la suplantación de identidad.
Supervisa tus dominios activos y direcciones IP
La mayoría de los secuestros de dominio dependen de que tu dominio caduque, se marque como inactivo y se marque para su eliminación. Considera habilitar la renovación automática y habilitar la detección, actualización y protección de transferencia del registrador de dominios.
Gestiona las vulnerabilidades de uso
La gestión de vulnerabilidades es el proceso de identificación, evaluación, priorización, corrección e informes sobre vulnerabilidades de seguridad en aplicaciones web, computadoras, dispositivos móviles y software.
Habilita cookies HttpOnly
Esto puede ayudar a prevenir ataques de secuencias de comandos entre sitios (XSS).
Supervisa las infracciones de datos de terceros
Las contraseñas reutilizadas y las credenciales expuestas en las infracciones de datos de terceros son uno de los vectores de ataque más comunes y potencialmente peligrosos.
Monitoriza las fugas de datos
Los buckets S3 mal configurados, los servicios Rsync, los repositorios GitHub, los servidores FTP y otras soluciones de almacenamiento en la nube pueden filtrar datos confidenciales.
Registro de dominios potenciales de typosquatting
No existe un peligro inherente a typosquatting. Sin embargo, muchos propietarios de dominios con typosquatted actúan de mala fe, como intentar instalar malware o ransomware, monetizar ventanas emergentes, robar números de tarjetas de crédito, datos personales de phishing o credenciales de inicio de sesión, o alguna otra estafa en el sitio web falso.
Invierte en una herramienta de protección contra errores tipográficos que pueda sugerir dominios potenciales para registrarse.
Inspecciona tus registros DNS
Estos pueden revelar una sorprendente cantidad de información sobre tu organización, como subdominios importantes, falta de seguridad de correo electrónico, proveedores de servicios de correo electrónico, etc.
Ejecuta menos código
Cuando reduces la cantidad de código que se ejecuta en tu ordenador, servidor o infraestructura en la nube, también reduces la cantidad de posibles puntos de entrada que pueden descubrirse y explotarse. Siempre que sea posible, apaga, desactiva o elimina funciones innecesarias y simplifica tu código.
Elimina software y servicios innecesarios
Cuando sea posible, deja de ejecutar servicios que no están en uso. Por ejemplo, ¿realmente necesitas dejar el puerto 23 abierto si no estás usando telnet? Recuerda que cada pieza de software, puerto abierto y dispositivo en red es un posible vector de ataque. Si tienes un ordenador viejo con Microsoft Windows Vista en tu red, considera actualizarlo o desmantelarlo.
Asigna tus subdominios
Usa una herramienta de escaneo de subdominios para ayudarte a asignar tus subdominios. Puedes encontrar que tienes software no utilizado o sin parche ejecutándose en ellos, o que lo que creías que era un subdominio interno está realmente expuesto a Internet.
Analiza tus certificados SSL
El hecho de que tu organización utilice SSL no significa que el sitio web sea necesariamente seguro. Al igual que cualquier software, SSL puede quedar desactualizado y hay muchas vulnerabilidades conocidas en CVE para versiones antiguas de SSL / TLS.
Segmenta tu red
Mantener todos tus activos en una sola red es uno de los mayores errores que puedes cometer. Al dividir y segmentar tu red, puedes reducir el riesgo de que dispositivos infectados o no confiables infecten tus activos de mayor riesgo. Una cosa simple que puedes hacer es configurar una red para invitados que esté separada de la red que usan tus empleados.
Invierte en capacitación en ciberseguridad
Si bien hay un gran enfoque en las soluciones basadas en tecnología, el mayor riesgo que enfrentan muchas organizaciones es su gente. No importa cuán buena sea su política de seguridad de la información si las personas que se supone que la siguen no saben de qué se trata. El phishing, el spear phishing, o el whaling son las cosas que tus empleados deben saber.
Monitoriza a tus proveedores externos
Aunque no administres los activos de tus proveedores, estos representan parte de tu superficie de ataque. Solo mira cómo una infección que comenzó con uno de los subcontratistas de HVAC de Target condujo a una de las mayores violaciones de datos.
Piensa en invertir en una herramienta que pueda monitorizar continuamente a tus proveedores externos en busca de problemas de seguridad.
Audita tu software, red y tráfico
La auditoría es una de las técnicas más antiguas para encontrar indicadores de compromiso y reducción de la superficie de ataque. La auditoría puede ayudarte a detectar configuraciones incorrectas, software desactualizado, sistemas desprotegidos y empleados deshonestos.
Utiliza el control de acceso y la autenticación
Asegúrate de que los datos y sistemas confidenciales estén protegidos por un sistema de control de acceso con autenticación robusta, idealmente con una política de contraseña segura, autenticación biométrica o de dos factores y control de acceso basado en roles.
No expongas información en encabezados
Siempre que sea posible, evita exponer información del servidor, versiones de software y X-Powered-By en encabezados. Esto les da a los atacantes información valiosa que pueden usar.
Por qué no puedes confiar únicamente en reducir tu superficie de ataque
Si sigues las mejores prácticas anteriores, reducirás en gran medida la superficie de ataque de tu organización. Sin embargo, no estarás protegido cuando las cosas cambien y, como sabes, la infraestructura cambia constantemente. Tampoco evitarás fallos en los controles de seguridad y la configuración incorrecta.
Si un atacante es capaz de encontrar un exploit o la vulnerabilidad de tus activos expuestos a Internet antes de hacerlo, puede infligir daños mediante la instalación de software malicioso y ransomware o provocando violaciones de datos.
Es por eso que muchas organizaciones están invirtiendo en herramientas que proporcionan análisis de superficie de ataque en tiempo real y gestión de vulnerabilidades.
Herramientas de manejo de superficie de ataque
Existen muchas herramientas de administración de superficie de ataque diferentes, algunas mejores que otras:
Detector de superficie de ataque OWASP
La herramienta Detector de superficie de ataque descubre los puntos finales de las aplicaciones web, los parámetros que los puntos finales aceptan y el tipo de datos de esos parámetros.
Esto incluye los puntos finales no vinculados que una araña no encontrará en el código del lado del cliente o los parámetros opcionales que el código del lado del cliente no utiliza. También puede ayudar a calcular los cambios en la superficie de ataque entre dos versiones de una aplicación.
Herramientas de análisis de superficie de ataque Sandbox
La herramienta de superficie de ataque de Google puede ayudar a los usuarios de Windows a encontrar la superficie de ataque real de su sistema operativo, servicios y aplicaciones web. Realiza un análisis de su sistema operativo y extrae información para mostrar el tamaño de su superficie de ataque mediante el análisis de archivos, registro, pila de red, puertos, procesos en ejecución, llamadas al sistema NT y objetos.
UpGuard BreachSigh
UpGuard BreachSight es una herramienta de administración de superficie de ataque popular que monitoriza continuamente la superficie de ataque en busca de cambios y escanea la web abierta, profunda y oscura en busca de filtraciones de datos conocidas y desconocidas y fugas de datos.
Encontrará automáticamente toda tu infraestructura externa, la escaneará en busca de configuraciones incorrectas, asignará a cada dominio o IP una clasificación de seguridad y proporcionará una clasificación de riesgos de los riesgos identificados.
UpGuard Vendor Risk
UpGuard Vendor Risk es una herramienta de gestión de riesgos de terceros que monitoriza continuamente la superficie de ataque de tus proveedores. Encuentra y controla a tus proveedores utilizando una búsqueda instantánea de proveedores y realiza un seguimiento de su rendimiento de seguridad a lo largo del tiempo.
Puedes usar el Riesgo del proveedor de UpGuard para comparar las posturas de seguridad de varios proveedores entre sí, para que puedas decidir cuál tiene la superficie de ataque más sólida. También tiene un panel de riesgos que puede ayudarte a priorizar a los proveedores en riesgo, los flujos de trabajo de remediación para garantizar que se resuelvan los riesgos y las plantillas de cuestionarios de evaluación de riesgos de múltiples proveedores.