No se puede controlar cuándo cae la próxima vulnerabilidad crítica. Puede controlar qué parte de su entorno está expuesto cuando lo hace. El problema es que la mayoría de los equipos tienen más exposición a Internet de lo que creen. del intruso El Jefe de Seguridad profundiza en por qué sucede esto y cómo los equipos pueden gestionarlo deliberadamente.
El tiempo de explotación se está reduciendo
Cuanto mayor y menos controlada sea su superficie de ataque, más oportunidades existirán de explotación. Y la ventana para actuar en consecuencia se está reduciendo rápidamente. Para las vulnerabilidades más graves, la divulgación para la explotación puede durar tan solo 24 a 48 horas. Reloj de día cero proyectos cuyo tiempo de explotación será de solo unos minutos para 2028.
No es mucho tiempo si se considera lo que debe suceder antes de implementar un parche: ejecutar análisis, esperar resultados, generar tickets, acordar prioridades, implementar y verificar la solución. Si la divulgación llega fuera de horario, lleva aún más tiempo.
En muchos casos, los sistemas vulnerables no necesitan estar conectados a Internet en primer lugar. Con visibilidad de la superficie de ataque, los equipos pueden reducir la exposición innecesaria desde el principio y evitar la confusión cuando surge una nueva vulnerabilidad.
Cuando un día cero cae en sábado
Shell de herramientas era una vulnerabilidad de ejecución remota de código no autenticado en Microsoft SharePoint. Si un atacante pudiera alcanzarlo, podría ejecutar código en su servidor y, como SharePoint está conectado a Active Directory, comenzaría en una parte altamente confidencial de su entorno.
Se trataba de un día cero, lo que significa que los atacantes lo estaban explotando antes de que estuviera disponible un parche. Microsoft lo reveló un sábado y confirmó que grupos patrocinados por el estado chino lo habían estado explotando durante hasta dos semanas antes. Cuando la mayoría de los equipos se enteraron, los atacantes oportunistas buscaban instancias expuestas y las explotaban a escala.
La investigación de Intruder encontró miles de instancias de SharePoint de acceso público en el momento de la divulgación, a pesar de que SharePoint no necesita estar conectado a Internet. Cada una de esas exposiciones fue innecesaria y cada servidor sin parches fue una puerta abierta.
Por qué se pasan por alto las exposiciones
Entonces, ¿por qué los equipos de seguridad suelen pasar por alto las exposiciones?
En un análisis externo típico, los hallazgos informativos se encuentran debajo de cientos de críticas, altibajos y altibajos. Pero esa información puede incluir detecciones que representen un riesgo de exposición real, como:
- Un servidor SharePoint expuesto
- Una base de datos expuesta a Internet, como MySQL o Postgres.
- Otros protocolos, que normalmente deberían reservarse para la red interna, como RDP y SNMP
Aquí hay un ejemplo real de cómo se ve:
En términos de escaneo de vulnerabilidades, a veces tiene sentido clasificarlos como informativos. Si el escáner se encuentra en la misma subred privada que los objetivos, un servicio expuesto podría realmente ser de bajo riesgo. Pero cuando ese mismo servicio está expuesto a Internet, conlleva un riesgo real incluso sin una vulnerabilidad conocida asociada. Todavía.
El peligro es que los informes de análisis tradicionales tratan ambos casos de la misma manera, por lo que los riesgos reales se escapan de las lagunas.
¿Qué implica realmente la reducción proactiva de la superficie de ataque?
Hay tres elementos clave para que la reducción de la superficie de ataque funcione en la práctica.
1. Descubrimiento de activos: defina su superficie de ataque
Antes de poder reducir su superficie de ataque, necesita una imagen clara de lo que posee y de lo que es accesible externamente. Eso comienza con la identificación de la TI en la sombra: sistemas que su organización posee u opera pero que actualmente no está escaneando ni monitoreando.
Cerrar esa brecha es importante y hay tres elementos clave que recomendamos implementar:
- Integración con sus proveedores de nube y DNS para que cuando se cree una nueva infraestructura, se recoja y analice automáticamente. Esta es un área donde los defensores tienen una ventaja genuina: puedes integrarte directamente con tus propios entornos, los atacantes no.
- Usando la enumeración de subdominios para mostrar hosts accesibles externamente que no están en su inventario. Esto es importante especialmente después de adquisiciones, en las que es posible que esté heredando una infraestructura de la que aún no tiene visibilidad.
- Identificación de infraestructura alojada con proveedores de nube más pequeños y desconocidos. Es posible que tenga una política de seguridad que obligue a los equipos de desarrollo a utilizar solo su proveedor de nube principal, pero debe verificar que se sigan las prácticas.
Vea una inmersión profunda en estas técnicas:
. Trate la exposición como riesgo
El siguiente paso es tratar la exposición de la superficie de ataque como una categoría de riesgo en sí misma.
Eso requiere un capacidad de detección que identifica qué hallazgos informativos representan una exposición y asigna la gravedad adecuada. Una instancia de SharePoint expuesta, por ejemplo, podría razonablemente tratarse como un problema de riesgo medio.
También significa crear espacio para este trabajo en como priorizas. Si los esfuerzos estratégicos como la reducción de la superficie de ataque siempre compiten con los parches urgentes, siempre perderán. Eso podría significar reservar tiempo cada trimestre para revisar y reducir la exposición, o asignar una propiedad clara para que alguien sea responsable de ello, no sólo cuando ocurre una crisis, sino de forma rutinaria.
3. Monitoreo continuo
La reducción de la superficie de ataque no es un ejercicio de una sola vez. La exposición cambia constantemente (se edita una regla de firewall, se implementa un nuevo servicio, se olvida un subdominio) y su equipo necesita detectar esos cambios rápidamente.
Los análisis de vulnerabilidades tardan en completarse y, por lo general, no es posible ejecutar análisis completos diariamente. Escaneo diario de puertos es una mejor opción. Es liviano, rápido y significa que puede detectar servicios recientemente expuestos a medida que aparecen. Si alguien edita una regla de firewall y accidentalmente expone Escritorio remoto, usted se enterará el día en que sucede, no en el siguiente análisis programado, que podría realizarse hasta un mes después.
Menos servicios expuestos, menos sorpresas
Cuando los servicios innecesarios no se exponen en primer lugar, es mucho menos probable que queden atrapados en la explotación masiva que sigue a una divulgación crítica. Eso significa menos sorpresas, menos luchas urgentes y más tiempo para responder deliberadamente cuando surgen nuevas vulnerabilidades.
Intruder automatiza este proceso, desde descubrir TI en la sombra y monitorear nuevas exposiciones, hasta alertar a su equipo en el momento en que algo cambia, para que su equipo de seguridad pueda anticiparse a la exposición en lugar de reaccionar ante ella.
Si quieres ver lo que está expuesto en tu entorno, reservar una demostración de Intruder.
