Las herramientas de Attack Surface Management (ASM) prometen reducir el riesgo. Lo que proporcionan suele ser más información.
A medida que los equipos de seguridad implementan ASM, su inventario de activos aumenta, las alertas comienzan a fluir y los paneles se llenan. Hay actividades visibles y resultados mensurables. Pero cuando los líderes hacen una pregunta simple: “¿Esto reducirá los incidentes?”, la respuesta a menudo no es clara.
Esta brecha entre esfuerzo y resultados está en el centro del problema del ROI en la gestión de la superficie de ataque, especialmente cuando el ROI se mide principalmente por el número de activos en lugar de la reducción de riesgos.
promesa y prueba
La mayoría de los programas de MAPE se basan en la idea racional de que no se puede proteger algo que no se sabe que existe. Como resultado, los equipos se centrarán en descubrir cosas como dominios y subdominios, IP y recursos de la nube, infraestructura de terceros y activos temporales o de corta duración.
A medida que pasa el tiempo, la cuenta aumenta. Los paneles de control van en aumento. Mejora la cobertura.
Sin embargo, ninguna de estas métricas responde directamente si una organización es realmente segura. Los equipos suelen estar más ocupados sin sentirse menos expuestos.
Por qué la ASM se siente ocupada pero ineficaz
ASM tiende a optimizar la cobertura porque es más fácil medirla: más activos descubiertos, más cambios detectados, más alertas generadas. Cada uno se siente como un progreso.
Sin embargo, miden principalmente insumos más que resultados.
De hecho, el equipo experimentará:
Fatiga de alerta Activos “conocidos pero no resueltos” sin resolver durante mucho tiempo Confusión repetida de propiedad Meses de exposición
El trabajo es real. La reducción del riesgo es menos visible.
brecha de medición
Una de las razones por las que el ROI de ASM es difícil de demostrar es porque la mayoría de las métricas de la superficie de ataque se centran en lo que el sistema puede ver, en lugar de en lo que la organización realmente mejora.
Las métricas comunes de gestión de la superficie de ataque incluyen:
Número de activos Número de cambios
Rara vez se realiza un seguimiento de métricas de superficie de ataque más significativas.
¿Qué tan rápido se adquieren los activos riesgosos? ¿Cuánto dura la exposición? Si los vectores de ataque realmente se reducen con el tiempo
El inventario de activos sigue siendo la base para medir las superficies de ataque externo. Sin un descubrimiento más amplio, es imposible entender la exposición en absoluto. Esta brecha se produce cuando las métricas de descubrimiento no se combinan con mediciones que indiquen si realmente se está mitigando el riesgo.
Sin una medición orientada a resultados, será difícil cumplir con la MAPE durante las revisiones presupuestarias, incluso si todos están de acuerdo en que la visibilidad de los activos es necesaria.
¿Cómo sería un retorno de la inversión significativo?
En lugar de preguntar: «¿Cuántos activos hemos descubierto?» una pregunta más útil es: «¿Cuánto más rápidos y seguros fuimos al enfrentar la exposición?»
Esta reconfiguración cambia el ROI de la visibilidad a la calidad de la respuesta y la duración de la exposición. Uno que se correlacione más estrechamente con los riesgos del mundo real.
Tres métricas de resultados que realmente importan
1. Tiempo promedio hasta la propiedad de los activos
¿Cuánto tiempo lleva responder la pregunta básica: «¿A quién pertenece esto?»
Activos sin propiedad clara:
Dura mucho tiempo Parche posterior Probablemente se olvide por completo
Reducir el tiempo de posesión reduce el período durante el cual existe riesgo sin responsabilidad. Esta es una de las señales más claras de que los hallazgos de la ASM se están traduciendo en acciones.
2. Reducir los puntos finales de cambio de estado no autenticados
No todos los activos son igualmente importantes.
El seguimiento de la cantidad de puntos finales externos que pueden cambiar de estado, la cantidad de puntos finales externos que requieren autenticación y cómo esos números cambian con el tiempo proporciona una señal más fuerte de si la superficie de ataque se está reduciendo en áreas importantes.
Un entorno con miles de activos estáticos pero pocas rutas de cambio de estado no autenticadas es significativamente más seguro que un entorno con menos activos pero muchos puntos de entrada peligrosos.
3. Tiempo hasta el desmantelamiento tras la pérdida de propiedad
La exposición a menudo continúa incluso si:
Cambios de equipo Retiro de aplicaciones Migración de proveedores Reorganización
Medir la rapidez con la que se retira un activo después de que deja de ser propietario es uno de los indicadores más sólidos de la salud a largo plazo, pero uno de los menos rastreados.
El descubrimiento por sí solo no reducirá el riesgo si los activos abandonados persisten indefinidamente.
lo que realmente sucede
Es fácil llegar a un acuerdo sobre métricas abstractas, pero difíciles de poner en práctica. El objetivo no es un nuevo panel o un conjunto diferente de alertas, sino un cambio en la visibilidad, como brechas de propiedad, duración de la exposición y riesgos no resueltos que se mezclan con el recuento de activos.
En lugar de enfatizar el número total de activos, esta visión revela que:
¿Qué activos son propiedad? ¿Cuáles son destacados? ¿Cuánto tiempo hace que se desconoce la propiedad?
El objetivo es una resolución más rápida, no más alertas.
Convierta ASM en un control
Los problemas de ASM no se deben a la falta de esfuerzo del equipo. Luchan porque sus esfuerzos no están consistentemente conectados con los resultados que el liderazgo valora.
Al replantear el retorno de la inversión en torno a la velocidad, la propiedad y la duración de la exposición, es posible demostrar un progreso real. Incluso si la cifra bruta de riqueza nunca cambia. A menudo, las victorias más significativas se obtienen haciendo que la superficie ofensiva vuelva a ser aburrida.
punto de partida concreto
Una forma de presionar las métricas de ASM basadas en resultados es hacer que la visibilidad de los activos sea ampliamente accesible para todos los equipos, en lugar de estar encerrada detrás de un silo de herramientas. Descubrimos que cuando los equipos de ingeniería, seguridad e infraestructura pueden ver las brechas de propiedad y los períodos de exposición, la resolución es más rápida sin alertas adicionales.
Con esta idea, decidimos lanzar la edición comunitaria de la plataforma ASM, exponiendo el descubrimiento de activos y la visibilidad de la propiedad sin costos ni limitaciones. El objetivo no es reemplazar las herramientas existentes, sino brindar a los equipos una forma de medir si la exposición realmente está disminuyendo con el tiempo.
Si desea realizar una prueba de presión del ROI de su programa ASM, intente lo siguiente: Ignore la cantidad de activos que posee.
En lugar de eso, pregunte:
¿Cuánto tiempo permanecen sin dueño los activos de riesgo? ¿Cuántas vías no certificadas están cambiando de estado hoy en comparación con el último trimestre? ¿Con qué rapidez desaparecen los activos abandonados?
Si estas respuestas no mejoran, descubrir más no cambiará el resultado.
En pocas palabras: medir lo que realmente cambia el riesgo
La gestión de la superficie de ataque se vuelve defendible cuando se mide no sólo por lo que se acumula, sino también por lo que cambia. El descubrimiento siempre es importante. La visibilidad siempre es importante al medir su superficie de ataque. Sin embargo, ninguno de los dos garantiza que la exposición esté disminuyendo, solo que se está observando la exposición.
El retorno de la inversión (ROI) de la gestión de la superficie de ataque se produce cuando se confirma antes que los activos en riesgo están en posesión, los vectores peligrosos desaparecen más rápido y la infraestructura abandonada no permanece indefinidamente. Un inventario de activos proporciona la cobertura necesaria. Las métricas orientadas a resultados brindan la profundidad necesaria para comprender la mitigación real de riesgos.
En Sprocket Security, pensamos en la gestión de la superficie de ataque no solo en términos de la cantidad de activos presentes, sino también en términos de cuánto duran las exposiciones significativas y qué tan rápido pueden resolverse. Lo más importante es que el progreso se visualiza a través de métricas de la superficie de ataque, no solo del crecimiento del inventario.
Si su programa de gestión de la superficie de ataque no puede responder si su exposición se está reduciendo con el tiempo, es difícil argumentar que está haciendo algo más que informar el problema.
Nota: Este artículo fue escrito y contribuido profesionalmente por Topher Lyons, ingeniero de soluciones de Sprocket Security.
Source link
