No puedes controlar cuándo aparecerá la próxima vulnerabilidad crítica. Cuando lo hace, puede controlar qué parte de su entorno está expuesto. El problema es que la mayoría de los equipos están más expuestos a Internet de lo que creen. De un intruso El jefe de seguridad explica por qué ocurre esto y cómo los equipos pueden gestionarlo deliberadamente.

El tiempo de explotación se está reduciendo

Cuanto más grande y menos controlada esté tu superficie de ataque, más oportunidades habrá de explotarla. Y el margen para actuar en consecuencia se está reduciendo rápidamente. En el caso de las vulnerabilidades más graves, la divulgación para su explotación puede tardar entre 24 y 48 horas. Reloj Zero Day proyectos cuyo tiempo de explotación será de solo unos minutos en 2028.

No es mucho tiempo si tenemos en cuenta lo que tiene que suceder antes de implementar un parche: ejecutar escaneos, esperar los resultados, generar tickets, acordar prioridades, implementar y verificar la solución. Si la divulgación llega fuera de horario, lleva incluso más tiempo.

En muchos casos, los sistemas vulnerables no necesitan estar conectados a Internet en primer lugar. Con la visibilidad de la superficie de ataque, los equipos pueden reducir la exposición innecesaria desde el principio y evitar por completo los problemas cuando aparece una nueva vulnerabilidad.

Cuando un día cero cae un sábado

Carcasa de herramientas era una vulnerabilidad de ejecución remota de código no autenticada en Microsoft SharePoint. Si un atacante pudiera acceder a ella, podría ejecutar código en su servidor y, dado que SharePoint está conectado a Active Directory, estaría iniciando el ataque en una parte muy sensible de su entorno.

Era un día cero, lo que significa que los atacantes lo estaban explotando antes de que hubiera un parche disponible. Microsoft lo reveló un sábado y confirmó que grupos patrocinados por el estado chino lo habían estado explotando durante hasta dos semanas antes de eso. Cuando la mayoría de los equipos se dieron cuenta, los atacantes oportunistas estaban buscando instancias expuestas y explotándolas a gran escala.

La investigación de Intruder descubrió miles de instancias de SharePoint de acceso público en el momento de la divulgación, a pesar de que SharePoint no necesita estar conectado a Internet. Cada una de esas exposiciones era innecesaria, y cada servidor sin parches era una puerta abierta.

Por qué se pasan por alto las exposiciones

Entonces, ¿por qué los equipos de seguridad suelen pasar por alto las exposiciones?

En un análisis externo típico, los hallazgos informativos se encuentran por debajo de cientos de puntos críticos, altos, medios y bajos. Sin embargo, esa información puede incluir detecciones que representen un riesgo real de exposición, como:

  • Un servidor de SharePoint expuesto
  • Una base de datos expuesta a Internet, como MySQL o Postgres
  • Otros protocolos, que normalmente deberían reservarse para la red interna, como RDP y SNMP

Este es un ejemplo real de cómo se ve:

En términos de análisis de vulnerabilidades, clasificarlos como informativos a veces tiene sentido. Si el escáner se encuentra en la misma subred privada que los objetivos, un servicio expuesto podría representar un riesgo realmente bajo. Sin embargo, cuando ese mismo servicio está expuesto a Internet, conlleva un riesgo real incluso sin una vulnerabilidad conocida asociada a él. Sin embargo.

El peligro es que los informes escaneados tradicionales tratan ambos casos de la misma manera, por lo que los riesgos reales pasan desapercibidos.

Qué implica realmente la reducción proactiva de la superficie de ataque

Hay tres elementos clave para que la reducción de la superficie de ataque funcione en la práctica.

1. Descubrimiento de activos: defina su superficie de ataque

Antes de que puedas reducir tu superficie de ataque, necesitas tener una idea clara de lo que tienes y de lo que puedes acceder desde el exterior. Esto comienza con la identificación de la TI en la sombra, es decir, los sistemas que su organización posee u opera, pero que actualmente no está escaneando ni supervisando.

Cerrar esa brecha es importante, y hay tres elementos clave que recomendamos tener en cuenta:

  1. Integración con sus proveedores de nube y DNS de modo que cuando se cree una nueva infraestructura, se recoja y escanee automáticamente. Esta es un área en la que los defensores tienen una ventaja real: pueden integrarse directamente con sus propios entornos, los atacantes no.
  2. Uso de la enumeración de subdominios para mostrar los hosts con acceso externo que no están en tu inventario. Esto es especialmente importante después de las adquisiciones, en las que es posible que esté heredando una infraestructura de la que aún no tiene visibilidad.
  3. Identificación de la infraestructura alojada en proveedores de nube más pequeños y desconocidos . Es posible que tenga una política de seguridad que obligue a los equipos de desarrollo a utilizar únicamente su proveedor de nube principal, pero debe comprobar que se sigue esa práctica.

Vea una inmersión profunda en estas técnicas:

. Trate la exposición como un riesgo

El siguiente paso es tratar la exposición a la superficie de ataque como una categoría de riesgo por derecho propio.

Eso requiere un capacidad de detección que identifica qué hallazgos informativos representan una exposición y asigna la gravedad adecuada. Una instancia de SharePoint expuesta, por ejemplo, podría tratarse razonablemente como un problema de riesgo medio.

También significa crear espacio para este trabajo en cómo priorizas . Si los esfuerzos estratégicos, como la reducción de la superficie de ataque, siempre compiten con la aplicación urgente de parches, siempre perderán. Esto podría significar dedicar tiempo cada trimestre a revisar y reducir la exposición, o asignar una responsabilidad clara para que alguien sea responsable de ello, no solo cuando estalle una crisis, sino de forma rutinaria.

3. Monitorización continua

La reducción de la superficie de ataque no es un ejercicio de una sola vez. La exposición cambia constantemente (se edita una regla de firewall, se implementa un nuevo servicio, se olvida un subdominio) y su equipo debe detectar esos cambios rápidamente.

Los análisis de vulnerabilidades tardan en completarse y, por lo general, no es posible realizar análisis completos a diario. Escaneo diario de puertos se ajusta mejor. Es ligero, rápido y permite detectar los servicios recién expuestos a medida que aparecen. Si alguien modifica una regla de firewall y descubre accidentalmente el escritorio remoto, usted lo sabrá el día en que se produce, no en el siguiente análisis programado, que podría tener lugar hasta un mes después.

Menos servicios expuestos, menos sorpresas

Cuando los servicios innecesarios no se exponen desde el principio, es mucho menos probable que queden atrapados en la explotación masiva que sigue a una divulgación crítica. Esto significa menos sorpresas, menos problemas urgentes y más tiempo para responder de forma deliberada cuando surjan nuevas vulnerabilidades.

Intruder automatiza este proceso, desde la detección de la TI clandestina y la supervisión de nuevas exposiciones hasta alertar a su equipo en el momento en que algo cambia, para que su equipo de seguridad pueda anticiparse a la exposición en lugar de reaccionar ante ella.

Si quieres ver lo que está expuesto en tu entorno, reserve una demostración de Intruder .

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.