Superficie de ataque

Tipos de superficies de ataque

Cualquier cosa o persona que tenga o tenga acceso a datos confidenciales, datos comerciales o información de identificación personal en una compañía es una parte potencial de su superficie de ataque. Podemos dividir esto en tres tipos de superficies de ataque.

Superficie de ataque digital

Cada computadora y dispositivo expuesto a Internet está expuesto a un ataque cibernético. La superficie de ataque digital de una compañía podría ser el objetivo de piratas informáticos de todo el mundo. Aquí hay una idea de lo que se incluiría en la superficie de ataque digital de una compañía:

• Sitios web
• Servidores
• Databases
• Laptops
• Sistemas operativos
• Aplicaciones
• Recursos/cargas de trabajo en la nube
• Proveedores externos

Cuantos más dispositivos se conecten a la red de una compañía, más grande será el entorno de software de la compañía, lo que aumentará la superficie de ataque de una compañía y los posibles puntos de entrada para los atacantes.

Superficie de ataque del dispositivo

La superficie de ataque físico de una compañía incluye todo el hardware y los dispositivos físicos de la compañía, así como los dispositivos de los empleados que pueden conectarse a la red corporativa.

La superficie de ataque físico incluye:

• Estaciones
• Laptops
• Dispositivos móviles
• TVs
• Impresoras
• Routers
• Interruptores
• Cámaras de seguridad

Una vez que un atacante obtiene acceso a un dispositivo, puede infiltrar en la red corporativa para mover lateralmente y obtener acceso a otros dispositivos o servidores. A partir de ahí, el pirata informático puede obtener acceso a información confidencial o dañar sistemas y datos.

Superficie de ataque de ingeniería social

Las personas pueden ser uno de los mayores riesgos de seguridad en una compañía si no se les educa sobre las amenazas potenciales. Los atacantes no tienen que pasar por la molestia de piratear la red de una organización si pueden usar la ingeniería social para engañar a un empleado para que les dé acceso.

La ingeniería social se aprovecha de la psicología humana para engañar a una persona para que haga algo que normalmente no haría. Hay una variedad de formas en que un atacante puede emplear la ingeniería social para acceder a los activos de una compañía.

• Un ataque de phishing por email, en el que se engaña a un empleado para que abra un archivo adjunto de email o haga clic en un enlace malicioso que descarga malware
• Al hacer pasar por una persona de servicio como un conserje o una persona de reparación, un atacante puede obtener acceso físico a los activos de la compañía
• Caídas de medios donde se coloca un USB infectado en una compañía y un empleado lo conecta inadvertidamente a una computadora

Vectores de ataque

Un vector de ataque es la ruta que emplea un atacante para violar su red. Estos pueden tomar muchas formas, incluido malware, phishing, ataques de intermediarios y credenciales comprometidas. Algunos vectores de ataque se dirigen a las debilidades en la seguridad y la infraestructura, mientras que otros se dirigen a las debilidades de las personas que tienen acceso a su red.          

Análisis de superficie de ataque

El análisis de la superficie expuesta a ataques dibuja un mapa de qué activos y aplicaciones son vulnerables a los ataques y deben probar para detectar problemas de seguridad. Un análisis de superficie expuesta a ataques proporciona a su equipo de seguridad una guía para hacer que la red sea más segura y menos vulnerable a una infracción.

Esto comienza con el conocimiento del tipo de vectores de ataque que los atacantes podrían usar para acceder a una red corporativa. Los vectores de ataque comunes incluyen:

• Credenciales comprometidas: Como la forma más común de acceder a la información, los nombres de usuario y las contraseñas que caen en las manos equivocadas pueden permitir que los atacantes ingresen a su red. Por lo general, esto sucede cuando los empleados se convierten en víctimas de intentos de phishing e ingresan sus inicios de sesión en sitios web falsos. Una vez que se capturaron las credenciales, puede ser fácil para los atacantes acceder a su red. Es por eso que la autenticación de dos factores es una precaución de seguridad tan importante.
• Contraseñas débiles: Las contraseñas que son débiles o reutilizadas a menudo facilitan a los atacantes la obtención de credenciales de inicio de sesión. Para contrarrestar esto, las organizaciones pueden hacer cumplir los requisitos de seguridad de las contraseñas y desalentar el uso repetido de contraseñas.
• Personas maliciosas: Cuando un empleado expone intencionalmente información confidencial de la compañía o expone vulnerabilidades, es un infiltrado malicioso. Si nota que un empleado no está contento, puede ser una buena idea monitorear sus datos y acceso a la red.
• Datos no cifrados o mal cifrados: Cuando los datos no están cifrados, los atacantes pueden interceptarlos y leerlos. Es importante mantener los datos cifrados en cada etapa: en reposo, en tránsito y en procesamiento. Las redes no pueden confiar únicamente en las medidas de cumplimiento para mantener los datos seguros: los datos deben estar encriptados.
• Ransomware: Bajo un ataque de ransomware, los usuarios no pueden acceder a sus datos hasta que pagan el rescate. Puede prevenir los ataques de ransomware manteniendo los sistemas parcheados y actualizados. Nunca instale software a menos que sepa exactamente qué es.
• Phishing software: El phishing ocurre cuando un empleado es contactado por email, teléfono o mensaje de texto por alguien que se hace pasar por una persona u organización legítima. El atacante espera obtener acceso a información personal o de la compañía hacer pasar por un jefe o colega de trabajo de su organización. Eduque a sus empleados sobre los signos de un ataque de phishing y capacítelos para que verifiquen dos veces antes de responder a cualquier comunicación sospechosa.
• Virus: Si un virus puede infectar un dispositivo en su red, es posible que ese virus se propague a toda la red. Los virus pueden destruir datos valiosos y bloquear el software. El uso de software antivirus es un buen primer paso, pero las organizaciones deben confiar en medidas de seguridad adicionales como la microsegmentación.
• Configuración incorrecta de un firewall o carga de trabajo pública: Cuando un firewall o una carga de trabajo pública está mal configurado, podría haber vulnerabilidades en la red. Cerciorar de conocer todas las licencias de su servicio en la nube e integre cualquier característica de seguridad. Una auditoría periódica de su firewall y cargas de trabajo públicas también es una buena manera de garantizar que su red sea segura.

Cómo reducir la superficie de ataque

Una vez que una organización completó un análisis de superficie de ataque, tendrá una buena idea de dónde falta seguridad y cómo mejorarla. Las siguientes herramientas y métodos se emplean comúnmente para reducir el servicio de ataque de una compañía.

• Modificar las reglas de acceso demasiado permisivas para que los empleados solo tengan acceso a los activos de TI que necesitan para realizar el trabajo
• Implementar la segmentación para garantizar que los atacantes no puedan mover lateralmente si obtienen acceso
• Capacitar a los empleados en técnicas de ingeniería social para que no sean víctimas de phishing y otros tipos de ataques
• Recurra a la gestión de la postura de seguridad en la nube para abordar las configuraciones incorrectas que dejan vulnerables a los recursos en la nube
• Aumentar los niveles de cifrado y agregar cifrado donde actualmente no se está empleando
• Instalación de software antivirus para prevenir amenazas de virus conocidas
• Aumento de la seguridad en los servidores sitio web
• Aumentar o hacer cumplir los requisitos de complejidad de las contraseñas
• Implemente la autenticación multifactor para respaldar el nombre de usuario y las contraseñas
• Programar escaneos de seguridad regulares y actualizaciones de software para abordar las vulnerabilidades más rápidamente
• Habilitar el filtrado de contenido de Internet para evitar que los empleados visiten sitios no seguros

Conclusion

Una superficie de ataque es todo el entorno de red y software que está expuesto a posibles ataques remotos o locales. El mapeo de una superficie de ataque a través del análisis del servicio de ataque le dará a una organización un plan de juego para reducirla. Esto se hace a través de estándares de seguridad más altos, capacitación en seguridad y software de seguridad.

Aprende más

Reduzca su superficie de ataque con la segmentación de confianza cero (ZTS). Descubra cómo ZTS contiene la propagación del ransomware y las infracciones en la superficie de ataque híbrida, desde la nube múltiple hasta los centros de datos, los endpoints remotos, la TI y la OT.