La superficie de ataque de un entorno de software es la suma de los diferentes puntos (para " vectores de ataque ") donde un usuario no autorizado (el "atacante") puede intentar ingresar o extraer datos de un entorno. [1] [2] Mantener la superficie de ataque lo más pequeña posible es una medida de seguridad básica. [3]
Una superficie de ataque (también conocida como superficie de ataque digital o superficie de ataque externa) es un conjunto de puntos, elementos del sistema o puntos finales mediante los cuales un ataque podría potencialmente violar, afectar o controlar los sistemas, y extraer o manipular información con fines nefastos. [4]
Las superficies de ataque a menudo se denominan "huella digital", que consta de miles de activos, componentes y sistemas de información controlados externamente (por ejemplo, infraestructura de Internet) y millones de señales en entornos de nube pública y privada, la marca de la organización, las redes sociales y ecosistema móvil. [5]
En respuesta a la pandemia de COVID-19, muchas organizaciones aumentaron significativamente sus superficies de ataque para tener en cuenta los requisitos del trabajo desde casa, [6] las demandas de la cadena de suministro digital y la necesidad de atender a los clientes sin interacción física directa. [7]
A menudo, estos desarrollos han llevado a entornos de trabajo descentralizados, crecimiento en las cargas de trabajo y aplicaciones en la nube, incluido el software como servicio (SaaS) y el aumento de los procesos de desarrollo de tecnología (DevOps) que cumplen un papel crucial en la capacidad de adaptación de una organización. Con el perímetro de seguridad de cada organización sangrando cada vez más en Internet, defender la empresa extendida es un desafío a escala global.
Elementos de una superficie de ataque
El cambio digital mundial ha acelerado el tamaño, el alcance y la composición de la superficie de ataque de una organización. El tamaño de una superficie de ataque puede fluctuar con el tiempo, agregando y restando activos y sistemas digitales (por ejemplo , sitios web , hosts , aplicaciones móviles y en la nube, etc.). El tamaño de la superficie de ataque también puede cambiar rápidamente. Los activos digitales evitan los requisitos físicos de los dispositivos de red tradicionales, servidores, centros de datos y redes locales. Esto lleva a que las superficies de ataque cambien rápidamente, según las necesidades de la organización y la disponibilidad de servicios digitales para lograrlo.
El alcance de la superficie de ataque también varía de una organización a otra. Con el auge de las cadenas de suministro digitales, las interdependencias y la globalización, la superficie de ataque de una organización tiene un alcance más amplio de preocupación (es decir, vectores de ciberataques). Por último, la composición de la superficie de ataque de una organización consiste en pequeñas entidades vinculadas entre sí en relaciones digitales y conexiones con el resto de Internet y la infraestructura organizacional, incluido el alcance de terceros, la cadena de suministro digital e incluso la infraestructura de amenazas adversas.
La composición de una superficie de ataque puede variar ampliamente entre varias organizaciones, pero a menudo identifica muchos de los mismos elementos, que incluyen:
- Números de sistema autónomo (ASN)
- Dirección IP y bloques de IP
- Dominios y subdominios (directos y de terceros)
- Certificados SSL y atribución
- Registros, contactos e historial de WHOIS
- Servicios y relación de pares de anfitriones y anfitriones
- Puertos y servicios de Internet
- NetFlow
- Marcos web (PHP, Apache, Java, etc.)
- Servicios de servidor web (correo electrónico, base de datos, aplicaciones)
- Nube pública y privada
Ejemplos de vectores de ataque
Hay más de 100 vectores de ataque y métodos de violación que los piratas informáticos pueden utilizar. Sin embargo, algunos son más comunes que otros. Estos son algunos de los vectores de ataque más comunes: [8]
- Credenciales comprometidas
- Contraseñas débiles y robadas
- Insiders maliciosos
- Cifrado deficiente o faltante
- Mala configuración
- Secuestro de datos
- Suplantación de identidad
- Relaciones de confianza
- Vulnerabilidades de día cero
- Ataque de fuerza bruta
- Denegación de servicio distribuida (DDoS)
- Amenazas de JavaScript (Magecart)
Los vectores de ataque incluyen campos de entrada del usuario, protocolos , interfaces y servicios .
Entender una superficie de ataque
Debido al aumento en los innumerables puntos vulnerables potenciales que tiene cada empresa, ha habido una ventaja creciente para los piratas informáticos y atacantes, ya que solo necesitan encontrar un punto vulnerable para tener éxito en su ataque. [9]
Hay tres pasos para comprender y visualizar una superficie de ataque:
Paso 1: Visualiza. Visualizar el sistema de una empresa es el primer paso, al mapear todos los dispositivos, rutas y redes. [9]
Paso 2: Encuentre indicadores de exposiciones. El segundo paso es corresponder cada indicador de una vulnerabilidad potencialmente expuesta al mapa visualizado en el último paso. Las IOE incluyen "controles de seguridad faltantes en sistemas y software". [9]
Paso 3: encuentre indicadores de compromiso. Este es un indicador de que un ataque ya ha tenido éxito. [9]
Reducción de superficie
Un enfoque para mejorar la seguridad de la información es reducir la superficie de ataque de un sistema o software. Las estrategias básicas de reducción de la superficie de ataque incluyen las siguientes: reducir la cantidad de código en ejecución, reducir los puntos de entrada disponibles para los usuarios que no son de confianza y eliminar los servicios solicitados por relativamente pocos usuarios. Al tener menos código disponible para actores no autorizados, tenderá a haber menos fallas. Al desactivar las funciones innecesarias, existen menos riesgos de seguridad . Aunque la reducción de la superficie de ataque ayuda a prevenir fallas de seguridad, no mitiga la cantidad de daño que un atacante podría infligir una vez que se encuentre una vulnerabilidad. [10]
Ver también
Referencias
- ^ "Hoja de trucos de análisis de superficie de ataque" . Abra el proyecto de seguridad de aplicaciones web . Consultado el 30 de octubre de 2013 .
- ^ Manadhata, Pratyusa (2008). Una métrica de superficie de ataque (PDF) .
- ^ Manadhata, Pratyusa; Wing, Jeannette M. "Medir la superficie de ataque de un sistema" (PDF) . Cite journal requiere
|journal=
( ayuda ) - ^ "¿Qué es la gestión de superficies de ataque?" . RiskIQ . 2020-10-16 . Consultado el 2 de junio de 2021 .
- ^ "6 amenazas de marca que afectan a su organización" . RiskIQ . 2020-10-05 . Consultado el 2 de junio de 2021 .
- ^ "Dispositivos perimetrales y de acceso remoto vulnerables: la superficie de ataque oculta que está creciendo fuera de control" . RiskIQ . 2020-08-04 . Consultado el 2 de junio de 2021 .
- ^ "La gestión de la superficie de ataque requiere una inteligencia profunda tanto dentro como fuera del cortafuegos" . RiskIQ . 2020-04-21 . Consultado el 2 de junio de 2021 .
- ^ "8 vectores comunes de ataques cibernéticos y métodos de incumplimiento" . Balbix . 2019-11-27 . Consultado el 12 de julio de 2020 .
- ^ a b c d Friedman, Jon (marzo de 2016). "Ataca tu superficie de ataque" (PDF) . skyboxsecurity.com . Consultado el 6 de marzo de 2017 .
- ^ Michael, Howard. "Mitigue los riesgos de seguridad minimizando el código que expone a los usuarios que no son de confianza" . Microsoft . Consultado el 30 de octubre de 2013 .