En Su mayor riesgo de seguridad no es el malware: es aquello en lo que ya confíapresentamos un argumento simple: la actividad más peligrosa dentro de la mayoría de las organizaciones ya no parece un ataque. Parece administración. PowerShell, WMIC, netsh, Certutil, MSBuild: las mismas utilidades confiables que su equipo de TI usa todos los días también son el conjunto de herramientas preferido de los actores de amenazas modernos. Análisis de Bitdefender de 700.000 incidentes de alta gravedad encontraron abuso de herramientas legítimas en 84% de ellos.
La reacción que más escuchamos fue justa: Lo sabemos. Entonces, ¿qué hacemos realmente al respecto?
Eso es lo que ofrece Bitdefender Evaluación de la superficie de ataque interno está diseñado para responder. Es un compromiso de 45 días y de bajo esfuerzo disponible para organizaciones con 250 o más empleados que convierte el problema abstracto de «vivir de la tierra» en una lista específica y priorizada de usuarios, puntos finales y herramientas que puede quitarles de manera segura a los atacantes sin arruinar el negocio.
Por qué esto, por qué ahora
Una instalación limpia de Windows 11 viene con 133 binarios únicos que viven de la tierra repartidos en 987 instancias. Telemetría de Bitdefender Labs encontrada PowerShell activo en el 73% de los puntos finalesgran parte de él invocado silenciosamente por aplicaciones de terceros. Esto no es un problema de malware, es un problema de exceso de derechos y no se puede solucionar con parches.
Gartner ahora proyecta que La ciberseguridad preventiva representará el 50% del gasto en seguridad de TI para 2030, frente a menos del 5% en 2024.y eso El 60% de las grandes empresas adoptarán tecnologías de reducción dinámica de la superficie de ataque (DASR) para 2030, frente a menos del 10% en 2025.. La razón es mecánica: cuando la mayoría de las intrusiones no involucran malware y los adversarios se mueven en minutos, «detectar y responder» es un ciclo demasiado lento. En primer lugar, debes eliminar los movimientos que los atacantes pueden hacer.
Cómo funciona la evaluación
El compromiso se ejecuta en cuatro pasos durante aproximadamente 45 días, impulsado por GravityZone PHASR — La tecnología de endurecimiento proactivo y reducción de la superficie de ataque de Bitdefender, y se ubica junto a cualquier pila de endpoints que ya ejecute:
- Kickoff y aprendizaje conductual. PHASR crea perfiles de comportamiento para cada par de máquina-usuario, normalmente durante 30 días.
- Revisión del panel de Attack Surface. Recibe una puntuación de exposición (0 a 100) y una lista priorizada de hallazgos en cinco categorías: binarios que viven fuera de la tierra, herramientas de administración remota, herramientas de manipulación, criptomineros y herramientas de piratería, cada una asignada a los usuarios y dispositivos específicos a los que afecta.
- Sprint de reducción opcional. Aplique controles manualmente o deje que el piloto automático de PHASR los aplique. Los usuarios pueden solicitar acceso nuevamente a través de un flujo de trabajo de aprobación integrado con un solo clic.
- Revisión de reducción. Una sesión final cuantifica cuánta superficie ha reducido y qué TI oculta y binarios no autorizados surgieron en el camino.
Los clientes de acceso temprano han reducido su superficie de ataque al 30% o más en los primeros 30 díasy uno informó cerca de 70% bloqueando LOLBins y herramientas remotas, sin gastos generales de investigación ni interrupciones para el usuario final.
Qué significa para las diferentes partes interesadas
- Para el CISO: un número de exposición defendible y listo para la junta que cambia semana tras semana, asignado a los comportamientos que los atacantes realmente utilizan.
- Para el SOC y el administrador de TI: arriba a 50% menos carga de trabajo de investigación y respuestaporque clases enteras de comportamiento sospechoso pero legítimo simplemente no ocurren en puntos finales que no los necesitan.
- Para el tomador de decisiones empresariales: reducción de superficie continua y documentada: cada vez más lo que los reguladores, auditores y ciberaseguradores quieren ver.
Comience donde ya están los atacantes
El artículo anterior finalizaba con un principio: los riesgos más importantes ya no son externos ni desconocidos: ya están dentro de su entorno. Esto termina en una práctica: puede tener un mapa preciso y priorizado de esos riesgos dentro de 45 días, sin costo, sin cambiar su pila existente.
Si ejecuta un entorno con mucho Windows con 250 o más usuarios, Solicite aquí su evaluación de superficie de ataque interno. Los compromisos seguirán ocurriendo. Que una se convierta en una infracción depende casi por completo de lo que un atacante pueda alcanzar una vez que esté dentro. La forma más rápida de acortar esa lista es mirarla.
