Imagen: Gorodenkoff/Adobe Stock

A menos que trabaje en una empresa multimillonaria, es fácil pensar que los atacantes no se preocupan mucho por usted, pero las organizaciones grandes y pequeñas están bajo ataque. Es una perogrullada que la seguridad debe comenzar con una auditoría, porque no puede proteger lo que no sabe que tiene: necesita una lista completa de sus recursos de hardware y software en su propia infraestructura y en la nube.

Pero en lugar de pensar en listas de dispositivos, bases de datos, servidores y otros activos, puede obtener mejores defensas mirando su inventario desde el exterior, como lo haría un atacante, pensando en las debilidades, la seguridad de sus activos, a qué están conectados. y lo que estaría expuesto si se vieran comprometidos.

VER: Violación de contraseña: por qué la cultura pop y las contraseñas no se mezclan (PDF gratuito) (República Tecnológica)

"La seguridad es difícil", admite Rob Lefferts, CVP de Microsoft 365 Security. “Necesitamos ayudar a los equipos de seguridad y defensores de todo tipo a cambiar la forma en que piensan sobre lo que hacen los atacantes… ¿Cómo pensamos como lo hacen los atacantes y cómo podemos ver nuestras propias organizaciones como las vería un atacante? »

Dos nuevos servicios de seguridad en la nube de Defender (basados ​​en la adquisición de RiskIQ) prometen ayudar. Microsoft Defender Threat Intelligence reúne todos los diferentes conjuntos de datos que necesita para verificar un dominio, host o dirección IP que cree que podría estar en peligro, con métricas para ayudarlo a saber de qué preocuparse, así como información sobre grupos de ataque, malware y vulnerabilidades.

Figura A

Imagen: Microsoft. Defender Threat Intelligence lo ayuda a ver si hay amenazas de seguridad en el contenido web que aloja o al que se conecta en su sitio, como criptominería o redirección a una página comprometida.

Ayudar a los equipos de seguridad a comprender quiénes son los atacantes y cuáles son sus objetivos y técnicas les ayuda a defender mejor sus sistemas, sugiere Lefferts.

Además de la versión de prueba habitual del servicio Defender Threat Intelligence, hay un portal comunitario con muchos artículos detallados.

“Nos aseguramos de que cualquier persona, pague o no, pueda acceder a cierta información del portal”.

Figura B

Imagen: Microsoft. Defender Threat Intelligence lo mantiene actualizado con nuevos grupos y técnicas de ataque.
Índice
  • Cómo ver tu seguridad desde el exterior
  • Cómo ayudar a su equipo de seguridad
  • Cómo evitar sorpresas de seguridad
  • Cómo ver tu seguridad desde el exterior

    Defender External Attack Surface Management escanea su infraestructura desde Internet como lo haría un atacante, busca todos los activos conectados a su organización y busca vulnerabilidades conocidas y problemas de cumplimiento. Esto es especialmente importante con más empleados que trabajan de forma remota y necesitan conectarse a recursos corporativos en línea, que casi ocho de cada diez organizaciones temen asegurar.

    "Estamos introduciendo una nueva tecnología que permite a alguien identificar y descubrir recursos desconocidos o no administrados que están en Internet", dijo a TechRepublic Brandon Dixon, gerente senior de programas de Microsoft Defender Threat Intelligence.

    Figura C

    Imagen: Microsoft. Obtenga una descripción general de los problemas potenciales con su superficie de ataque externa.

    El tablero de superficie de ataque muestra riesgos de gravedad alta, media y baja con información agrupada en lo que Dixon llama una descripción general, que puede ser una vulnerabilidad conocida o una configuración incorrecta.

    “Le permitimos acceder directamente a esta información de alto nivel a los activos relevantes”, dijo. "Y a lo largo de ese proceso, en realidad puede ver una cadena visual de por qué este activo no solo está en el inventario, sino también a qué otros activos está vinculado".

    Figura D

    Imagen: Microsoft. Solo averiguar qué hosts, puertos, direcciones IP y certificados están expuestos es un buen comienzo.

    A veces, la razón por la que un activo está expuesto a los atacantes es porque estaba mal configurado, pero a menudo es el ritmo de los negocios y la presión de la pandemia lo que está acelerando la tendencia de usar los servicios en la nube más rápido que los equipos. La seguridad no puede manejarlo", dijo Dixon. dijo.

    “Tal vez tenían un buen proceso comercial para administrar los recursos de los empleados, pero cuando se trataba de eventos como eventos de marketing o computación en la sombra en general, era un punto ciego”, declaró. “La mayoría de nuestros clientes ni siquiera saben lo que realmente existe desde la perspectiva de la informática en la sombra, pero, por supuesto, los atacantes pueden verlo. Este exterior a la vista da para mucho.

    Figura E

    Imagen: Microsoft. Además de informarle qué problemas de seguridad tiene, Defender EASM explica cómo pueden ser utilizados por los atacantes.

    Cómo ayudar a su equipo de seguridad

    Si bien muchos equipos de seguridad tienen buenos procesos, la creciente superficie de ataque que deben administrar genera fatiga. EASM puede ayudar a aumentar las herramientas y los procesos existentes al priorizar los problemas, dice Dixon.

    "Si piensa en la cantidad de vulnerabilidades que aparecen constantemente, tiene un equipo existente, tiene un flujo de trabajo existente que está tratando de mantener al tanto, pero para la mayoría de los equipos con los que hemos hablado, ese es un proceso que es bastante desafiante", dijo. "El componente EASM les ayuda a priorizar dónde gastar sus esfuerzos y dónde solucionar los problemas rápidamente".

    También ayuda a gestionar el riesgo y la gobernanza sin necesidad de crear un nuevo equipo. Y el servicio no solo escanea su superficie de ataque externa una vez. Debido a que los sistemas informáticos son dinámicos, el servicio realiza exploraciones con frecuencia.

    "A medida que su superficie de ataque evoluciona, también lo hace nuestra visibilidad", dijo Dixon. “Se presta bien para comenzar a automatizar más”.

    De esta manera, puede ser proactivo y reaccionar ante una alerta de una carga de trabajo que accidentalmente terminó en Internet, en lugar de reaccionar ante un compromiso de ese sistema. Incluso la prueba gratuita les dará a las organizaciones una idea de su exposición, dice Lefferts.

    "Puede ir tan lejos como ejecutar el descubrimiento, ver qué activos tiene, comprender rápidamente cómo se ve su superficie de ataque externa", dijo.

    Cómo evitar sorpresas de seguridad

    Si no sabes qué activos tienes, no los arreglas.

    "El momento en que un CISO obtiene un inventario completo de su infraestructura pública es un poco doloroso, pero es una parte importante del proceso de crecimiento", dijo Lefferts. “Mientras pensamos en el concepto de administrar su postura de seguridad, ¿cómo se asegura de que todo su dominio esté seguro? Realmente comienza con ese viaje de descubrimiento.

    Pero a más largo plazo, Microsoft quiere ayudar a los equipos de seguridad a lidiar con un panorama tecnológico cada vez más fragmentado.

    "A veces me siento culpable", dijo Lefferts. “Hemos desarrollado tanta tecnología y tanta capacidad, no solo en el área de seguridad… el comportamiento organizacional se está complicando mucho. Herramientas como EASM nos ayudan a construir esos gráficos que los unen y realmente ayudan a esas grandes organizaciones a operar de una manera que no permite que el atacante se escape, que es exactamente el problema actual.

    Microsoft también planea enfocar sus herramientas en grupos de ataque que las organizaciones pueden descubrir a través de Defender Threat Intelligence, sugiere Dixon.

    "Así como mapeamos una organización en Internet, potencialmente sus vendedores y proveedores, podemos hacer lo mismo con los adversarios, dejándolos prácticamente sin ningún lugar donde esconderse", dijo.