Los cinco principales retos de la superficie de ataque
La creciente superficie de ataque está ampliando la brecha entre seguridad y desarrolladores de software, aumentando las vulnerabilidades y ralentizando las investigaciones.
Según una investigación de ESG, el 52% de las empresas afirma que las operaciones de seguridad son más difíciles hoy que hace dos años, cuando estalló la pandemia de la COVID-19. El 41% de estos cree que la causa es un constante panorama de amenazas en evolución y peligroso, y el 38% identifica una superficie de ataque creciente y cambiante. Además, el 37% cree que el volumen de alertas y la complejidad están impulsando el cambio, y el 34% culpa al uso creciente de servicios en la nube pública.
Pero hay una realidad inexpugnable, la superficie de ataque ha aumentado. Las empresas están conectando sistemas de TI a terceros, dando soporte al teletrabajo, desarrollando aplicaciones nativas en la nube y utilizando cada vez más servicios SaaS. Esto redunda en que las organizaciones tengan decenas de miles de activos orientados a internet.
Afrontar los desafíos de la superficie de ataque
Los encuestados mencionaron cinco retos que se presentan en la actualidad.
Se requiere una relación más profunda con los desarrolladores. Esta respuesta refleja una brecha entre el desarrollo de software y la seguridad a medida que se construyen más aplicaciones nativas en la nube e impulsan nuevas funciones a las aplicaciones de producción de manera continua. ¿Están utilizando funciones sin servidor? ¿Se conectan a API inseguras? ¿Dejan datos confidenciales en cubos S3 abiertos? En muchos casos, los equipos de seguridad no saben las respuestas a estas preguntas. La gestión de seguridad en la nube (CSPM) puede ayudar, pero estas herramientas no son ubicuas y los grupos de desarrollo de la nube pueden acumularlas. Cerrar la brecha entre seguridad y desarrolladores debe ser una alta prioridad para todos los CISO.
Reevaluación de las herramientas y procesos actuales. Esta es otra barrera común que continúa afectando a los equipos de operaciones de seguridad. Para descubrir y administrar la superficie de ataque, las organizaciones tienden a comenzar con las herramientas existentes: sistemas de administración de activos, escáneres de vulnerabilidades, administración de registros, CSPM… Pronto se dan cuenta de que recopilar datos de sistema dispares puede llevar una eternidad; el 43% de las organizaciones así lo afirman. Se tarda más de 80 horas en hacer un inventario completo de administración de la superficie de ataque. Dado que los datos provienen de múltiples sistemas, alguien tiene que verificar los resultados, lo que deriva en gastos generales y errores humanos. ¿El resultado? El 69% de las empresas dice haber sufrido un ciberincidente debido a un activo de superficie de ataque desconocido, no administrado o mal administrado.
Aumenta el volumen de vulnerabilidades y los ciclos de aplicación de parches relacionados. Esto es matemática simple; más activos es igual a más vulnerabilidades y a más ciclos de aplicación de parches. Algunas organizaciones tienen los procesos y recursos para mantenerse al día; pero muchas otras no.
Se ralentizan las investigaciones de seguridad y las acciones de respuesta. En este caso, es posible que los analistas de seguridad no tengan acceso a todos los datos que necesitan y terminen buscándolos en diferentes fuentes. Esto contribuye a la frecuencia de los incidentes de seguridad descritos anteriormente debido a los tiempos de permanencia prolongados mientras los analistas intentan resolver las cosas. También es probable que las acciones de respuesta a incidentes estén incompletas, ya que los equipos de seguridad y TI reparan algunos sistemas, pero pierden el alcance completo de un ataque en su superficie.
Resultados en brechas de visibilidad. La creciente superficie de ataque conduce a puntos ciegos de visibilidad, una pesadilla para los analistas. Y, es que, no se puede administrar lo que no se puede medir.
