🌐 Attack Surface Management

Introducción

Attack Surface Management (ASM) de StrikeOne es una solución integral que proporciona visibilidad en tiempo real de la exposición al riesgo cibernético de una organización. ASM interrumpe la ejecución manual tradicional de servicios de seguridad ofensivos costosos y complejos al ofrecer una plataforma automatizada accesible para toda la industria.

ASM | IA Powered

Attack Surface Management (ASM, por sus siglas en inglés) se refiere al proceso de identificar, clasificar y monitorear todos los puntos de acceso vulnerables en una red o sistema que un atacante podría explotar.

Es una solución integral que proporciona visibilidad en tiempo real de la exposición al riesgo cibernético de una organización. La solución es completa y está diseñada para cubrir todos los aspectos necesarios para la gestión efectiva de la superficie de ataque. Proporciona información inmediata y actualizada sobre qué tan expuesta está una organización a posibles ataques cibernéticos, permitiendo así a la organización entender y reaccionar rápidamente a estas amenazas.

ASM interrumpe la ejecución manual tradicional de costosos y complejos servicios de seguridad ofensivos Tradicionalmente, las evaluaciones de seguridad ofensivas, como las pruebas de penetración y las auditorías de seguridad, son procesos manuales, laboriosos y costosos, llevados a cabo por expertos en seguridad. ASM cambia este enfoque al eliminar o reducir significativamente la necesidad de estas tareas manuales.

Al ofrecer una plataforma automatizada accesible a toda la industria. En lugar de depender de procesos manuales, ASM utiliza una plataforma automatizada que puede ser utilizada por cualquier organización, independientemente de su tamaño o sector. Esto democratiza el acceso a herramientas avanzadas de gestión de la superficie de ataque, haciéndolas disponibles para un público más amplio y no solo para grandes corporaciones con presupuestos elevados para seguridad.

Primeros pasos

• Tener una cuenta registrada en StrikeOne.
• Debes tener tokens asociados a tu cuenta.
• Crea un proyecto.
• Escanea

Organización

• Beneficios de tener una organización:
  • Los beneficios de establecer una organización radican en la posibilidad de crear equipos, lo que permite compartir tokens, proyectos, asignar permisos específicos e invitar a miembros de manera eficiente.
• Si desea obtener información sobre cómo crear y configurar su organización, le invitamos a consultar el apartado correspondiente en User Management Module (UMM).

Tokens

• Cada token es equivalente a un escaneo.

• Existen dos tipos de tokens: uno a nivel organizacional y otro a nivel de usuario. Los tokens a nivel de usuario pueden ser utilizados siempre y cuando el usuario cuente con los permisos necesarios para su utilización en los escaneos. Además, es posible que un usuario tenga los permisos requeridos, pero no los proyectos compartidos, lo que le permitiría hacer uso de sus respectivos tokens a nivel de usuario. En el caso de que el proyecto esté compartido, se utilizará el token a nivel organizacional.

Nota: Para realizar un escaneo utilizando los tokens de la organización, el usuario debe estar en un equipo.

• En la vista de tokens, se podrá observar la información referente a los tokens otorgados, utilizados y aquellos disponibles en ese momento como también se puede visualizar el estado de dicho token y filtrar la búsqueda por el estado deseado.

Nota: Una vez que el token ha expirado, no podrá ser utilizado.

• Se podrá acceder al historial detallado, el cual incluye información sobre el usuario que utilizó el token, el dominio en el que se efectuó el escaneo, la fecha en que se empleó y el identificador del escaneo correspondiente.

Nota: Cuando se realiza el escaneo el token queda tomado hasta que termine el escaneo, si falla en alguna de las fases o no cuenta con la información suficiente para continuar, este será devuelto.

Configuración proyectos compartidos

• Para que se puedan compartir los proyectos con los miembros del equipo se debe hacer la siguiente configuración a nivel de organización la cual se encuentra en User Management Module (UMM).

• Es obligatoria la primera configuración de Compartir proyectos entre sus miembros.

Creando un proyecto

• Inserte nombre de proyecto.
• Inserte dominio. Ejemplo: google.com
• Seleccione tipo de Compañía (pequeña, mediana o grande).
• Inserte descripción del proyecto.
• Escaneos periódicos:
  • Puede configurar escaneos (diarios, semanales y mensuales).
  • Seleccione la hora para iniciar el escaneo.

• Compartir proyecto:
  • Esta opción estará disponible siempre que la configuración esté establecida a nivel organizacional.
  • Además se podrá asignar entre tus equipos creados en la organización.

• Programar fecha del escaneo
  • En esta opción se podrá seleccionar la fecha para programar el escaneo.

Lista de proyectos

Lista de proyectos asociados a la cuenta.

• Desde la pestaña de proyectos, y con los permisos correspondientes, será posible realizar escaneos y visualizar como también se podra buscar información, todo esto podrá ser detallado de cada proyecto, como su dominio, propietario, tipo de escaneo, porcentaje de riesgo, vulnerabilidades y fecha de creación, en esta columna podrás acceder a la vista de vulnerabilidades presionando una que contenga. Adicionalmente, se mostrará un indicador que señale el tiempo restante para el próximo escaneo programado. Cada proyecto dispondrá de un botón de acciones que unificará el acceso a la pestaña de detalles, la opción para escanear, el enlace al dashboard y las funciones para actualizar o eliminar el proyecto. Dentro de este menú, el botón de "Reescanear" se activará únicamente si el escaneo previo se realizó hace menos de un año; de lo contrario, se mostrará una alerta indicando que la acción no es posible.

• De igual manera, los proyectos que se encuentren compartidos harán uso de los tokens a nivel organizacional. Para dejar de compartir un proyecto, será necesario utilizar el botón correspondiente que se encuentra en la tabla y seleccionar a que equipo dejar de compartirlo. En cambio, los proyectos que no estén compartidos emplearán los tokens a nivel de usuario.

Nota: las columnas de propietario y compartir proyectos estarán disponibles si la organización esta configurada para compartir proyectos.

• Actualizar proyecto:
  • En la pestaña de actualización del proyecto, podrás modificar tanto el nombre como la descripción, definir si deseas que sea un escaneo periódico y programar la fecha del próximo escaneo, en caso de que no se haya definido previamente.

"Ver más":

• Pestaña Escaneos:

  • Lista de escaneos asociados con el proyecto.
  • Acciones:
    • Podrás ver los pasos de escaneo.
    • Podrás acceder a la pestaña de reescaneo mediante el botón que aparece junto al tipo de escaneo cuando este sea de tipo reescaneo.
  • Se podrá visualizar el tipo de escaneo realizado, el porcentaje de riesgo asociado y las vulnerabilidades detectadas.

  

• Pestaña Reportes:

  • Podrás ver y descargar los informes generados anteriormente.

    

Escaneo

El escaneo consta de múltiples fases:

• Descubrimiento: Identificación automatizada y recopilación de información sobre los activos de una organización, como servidores, aplicaciones, dispositivos de red, etc., que están expuestos en internet.
• Vulnerabilidades: Análisis de vulnerabilidades de activos previamente idenetificados en la fase de descubrimiento.
• Filtraciones: Etapa donde se monitorean distintas fuentes (Deep, Dark, Clear Web). Esto incluye búsquedas en bases de datos filtradas, foros, grupos de comunicación, entre otras fuentes de información.
• Clasificación: Etapa donde se analizan los hallazgos y se clasifican según su tipo. El sistema utiliza criterios para definir y categorizar Vulnerabilidades y Filtraciones, lo que facilita la priorización y la toma de decisiones.
• Ánalisis IA: Etapa donde se aplica Inteligencia Artificial para entregar resultados, recomendaciones, mejores prácticas, entre otros.

Dashboard

Puedes ver las estadísticas generales de cada proyecto.

• Cyber Risk Score: Este porcentaje representa el nivel de exposición y vulnerabilidad de la superficie de ataque detectada. Un valor más alto indica un mayor riesgo, según la cantidad y la gravedad de las vulnerabilidades encontradas, así como la criticidad de los activos afectados y la evidencia de una violación de datos (Dark y Deep Web).

• Además, si el escaneo es de tipo reescaneo, podrás acceder a esa vista mediante el botón que se mostrará sobre el gráfico. También podrás acceder a la pestaña de reportes usando el botón que se encuentra debajo del mismo gráfico.

• Hosts: Un host se refiere a cualquier dispositivo al que se pueda acceder a través de una red, como servidores, computadoras, dispositivos móviles, etc. En el contexto de la gestión de la superficie de ataque, los hosts representan puntos de entrada potencial para amenazas externas o internas.

• Dominios: Los dominios son identificadores únicos que representan direcciones en Internet. En ASM, los dominios pueden incluir nombres de sitios web, subdominios y otros recursos en línea que pueden ser objetivos potenciales de ataques.

• Servicios: Los servicios son aplicaciones o procesos que se ejecutan en un host y se puede acceder a ellos a través de la red. Esto podría incluir servidores web, bases de datos, servidores de correo electrónico, entre otros. Identificar y administrar estos servicios es crucial para comprender las posibles vulnerabilidades y exposiciones en su infraestructura.

• Certificados: Los certificados son archivos digitales que se utilizan para establecer la autenticidad y seguridad de las comunicaciones en línea, especialmente a través del protocolo HTTPS. En el contexto de la gestión de la superficie de ataque, los certificados pueden ayudar a identificar sitios web seguros y potencialmente detectar sitios fraudulentos o comprometidos.

• Filtraciones: Las filtraciones se refieren a la exposición no autorizada de datos sensibles o confidenciales. En la gestión de la superficie de ataque, monitorear las infracciones le permite identificar y mitigar las brechas de seguridad que podrían exponer la valiosa información de su organización.

• Vulnerabilidades: Las vulnerabilidades son debilidades o fallas en un sistema que los atacantes pueden explotar; su identificación y remediación son esenciales en la Gestión de la Superficie de Ataque (ASM) para reducir el riesgo de un ciberataque. Esta pestaña le permite consultar información detallada de cada vulnerabilidad encontrada, mostrando datos clave como su nivel de severidad (ej. Informativo, Bajo, Crítico) y el puerto afectado. Adicionalmente, dispondrá de un botón para acceder a un análisis generado por IA y otro botón de "Ver Más" que despliega información crucial, como los pasos recomendados para la remediación y el impacto potencial de la falla.

Rescan

La vista de Rescan compara automáticamente los resultados del último escaneo original con el reescaneo seleccionado. Su objetivo es que el usuario vea de forma inmediata:

• Cómo ha cambiado el puntaje de riesgo cibernético.
• Cuántas vulnerabilidades (por severidad) se resolvieron o persistieron.
• Un desglose detallado de cada vulnerabilidad y su estado actual.

Con esta información podrás verificar rápidamente si tus correcciones o mitigaciones están surtiendo efecto y priorizar las acciones de remediación.

Gestión de vulnerabilidades

Puedes gestionar las vulnerabilidades y enriquecerlas, para tener un mejor detalle.

VPR

VPR es una clasificación de prioridad de vulnerabilidad que se basa en la gravedad de la vulnerabilidad y la probabilidad de que sea explotada.

• Vulnerabilidades totales: Este gráfico muestra el número total de vulnerabilidades identificadas en el sistema. Es una métrica clave para comprender el alcance general de las posibles amenazas a la seguridad que enfrenta el proyecto.
• Vulnerabilidades con CVSS y exploits críticos: Este gráfico indica la cantidad de vulnerabilidades con una puntuación CVSS (Sistema de puntuación de vulnerabilidad común) crítica o alta que también tienen un exploit conocido.
• Vulnerabilidades priorizadas: Este gráfico muestra la cantidad de vulnerabilidades a las que se ha dado prioridad para su corrección. La priorización se basa en varios factores, incluida la criticidad de la vulnerabilidad, el tamaño de la empresa y la criticidad del dominio.
• Vulnerabilidades: Este gráfico proporciona una visión general de la distribución de las vulnerabilidades según su nivel de riesgo.

BAS

Puedes simular y validar si alguno de tus activos esta potencialmente afecto a nuevas vulnerabilidades.

Ejecutando un script

• Selecione un Script
  • Seleccione un Proyecto
  • Seleccione un objetivo
  • Puede customizar el puerto
• Ejecute Script
• Obtenga los resultados

Reportes

Puedes crear un reporte en base al último análisis del proyecto. Puede ser generado en español o inglés.

En esta sección de reportes, podrá seleccionar el tipo de informe que desee generar, eligiendo entre un informe general o un informe de Re-scan.

Una vez seleccionado el tipo de informe, se mostrará una tabla con los proyectos creados, permitiéndole elegir el proyecto para el cual desea generar el reporte.

Después de seleccionar un proyecto, se mostrarán los datos más relevantes del reporte.

Una vez confirmados los datos y habilitada la opción para continuar, podrá seleccionar el idioma en el que desea descargar el informe. Adicionalmente, podrá ingresar direcciones de correo electrónico (opcional) en caso de que desee enviar los informes por este medio.

En el último paso se mostrará un resumen de toda la información previamente seleccionada. Además, habrá un botón que iniciará la generación del reporte y, si se ingresaron direcciones de correo electrónico, también lo enviará por ese medio. Una vez generado, el botón cambiará a la opción 'Descargar reporte', la cual estará disponible durante un minuto antes de expirar.

Asistente IA

El asistente puede ayudar a comprender tu situación actual en internet, en cualquier momento:

• Brinda recomendaciones de seguridad.
• Brinda tu estado general del proyecto.
• Otorga mitigaciones de vulnerabilidades.