Las herramientas de diligencia de superficie de ataque (ASM) prometen un peligro limitado. Lo que suelen entregar es más información.
Los equipos de seguridad implementan ASM, los inventarios de activos crecen, las alertas comienzan a fluir y los paneles se llenan. Hay actividad visible y resultados mensurables. Pero cuando el liderazgo hace una pregunta simple, “¿Esto está reduciendo los incidentes?“La respuesta muchas veces no está clara.
Esta brecha entre esfuerzo y resultado es el problema central del retorno de la inversión en la diligencia de la superficie de ataque, especialmente cuando el retorno de la inversión se mide principalmente a través del recuento de activos en motivo de la reducción de riesgos.
La promesa frente a la prueba
La mayoría de los programas de MAPE se basan en una idea mediano: no se puede proteger lo que no se sabe que existe. Como resultado, los equipos se centran en el descubrimiento: dominios y subdominios, IP y fortuna de la cúmulo, infraestructura de terceros y activos transitorios o de corta duración.
Con el tiempo, los recuentos aumentan. Los paneles de control tienen una tendencia al encarecimiento. La cobertura restablecimiento.
Pero ninguna de esas métricas avala directamente si la ordenamiento es efectivamente más segura. En muchos casos, los equipos terminan más ocupados sin sentirse menos expuestos.
Por qué la MAPE se siente ocupada pero no efectiva
ASM tiende a optimizar la cobertura porque la cobertura es hacedero de valorar: más activos descubiertos, más cambios detectados y más alertas generadas. Cada uno de ellos se siente como un progreso.
Pero en su mayoría miden insumos, no resultados.
En la actos, los equipos experimentan:
- Pesadumbre de alerta
- Grandes retrasos en activos “conocidos pero no resueltos”
- Confusión repetida de propiedad
- Exposición que dura meses
El trabajo es efectivo. La reducción del peligro es más difícil de ver.
La brecha de medición
Una de las razones por las que el ROI de ASM es difícil de demostrar es que la mayoría de las métricas de la superficie de ataque se centran en lo que el sistema puede ver, no en lo que la ordenamiento efectivamente restablecimiento.
Las métricas comunes de diligencia de la superficie de ataque incluyen:
- Número de activos
- Número de cambios
Rara vez se rastrean métricas de superficie de ataque más significativas:
- ¿Qué tan rápido se adquieren los activos riesgosos?
- ¿Cuánto tiempo persiste la exposición peligrosa?
- Si las rutas de ataque efectivamente se reducen con el tiempo
El inventario de activos sigue siendo fundamental para valorar la superficie de ataque foráneo. Sin un descubrimiento amplio, es ficticio entender la exposición en completo. La brecha aparece cuando las métricas de descubrimiento no se combinan con mediciones que muestran si efectivamente se está reduciendo el peligro.
Sin mediciones orientadas a resultados, la MAPE se vuelve difícil de defender durante las revisiones presupuestarias, incluso cuando todos están de acuerdo en que la visibilidad de los activos es necesaria.
¿Cómo sería un retorno de la inversión significativo?
En motivo de preguntar: “¿Cuántos activos descubrimos?“Una pregunta más útil es: “¿Cuánto más rápido y seguro llegamos a manejar la exposición?”
Ese replanteamiento cambia el retorno de la inversión de la visibilidad a la calidad de la respuesta y la duración de la exposición. Cosas que se correlacionan mucho más estrechamente con el peligro del mundo efectivo.
Tres métricas de resultados que efectivamente importan
1. Tiempo medio para obtener la propiedad de los activos
¿Cuánto tiempo lleva reponer la pregunta básica: “¿A quién pertenece esto?”
Activos sin propiedad clara:
- Quédate más tiempo
- Obtener parche más tarde
- Es más probable que se olviden por completo.
Estrechar el tiempo de adquisición acorta el período en el que existe exposición sin responsabilidad. Es una de las señales más claras de que los hallazgos de la MAPE se están convirtiendo en acciones.
2. Reducción de puntos finales no autenticados que cambian de estado
No todos los activos importan por igual.
El seguimiento de cuántos puntos finales externos pueden cambiar de estado, cuántos requieren autenticación y cómo esos números cambian con el tiempo proporciona una señal mucho más resistente de si la superficie de ataque se está reduciendo donde más importa.
Un entorno con miles de activos estáticos pero pocos caminos no autenticados que cambien el estado es significativamente más seguro que uno con menos activos pero muchos puntos de entrada riesgosos.
3. Tiempo para el desmantelamiento posteriormente de la pérdida de propiedad
La exposición suele persistir posteriormente de:
- Cambios de equipo
- Desuso de aplicaciones
- Migraciones de proveedores
- Reorganizar
Contar la presteza con la que se retiran los activos una vez que desaparece la propiedad es uno de los indicadores más sólidos de higiene a liberal plazo y uno de los menos rastreados.
Si los activos abandonados permanecen indefinidamente, el descubrimiento por sí solo no reduce el peligro.
Cómo se ve esto en la actos
Es hacedero durar a un acuerdo con las métricas abstractas y es difícil ponerlas en actos. El objetivo no es un nuevo panel o un conjunto diferente de alertas, sino un cambio en lo que se hace visible: brechas de propiedad, duración de la exposición y riesgos no resueltos que de otro modo se mezclarían con los recuentos de activos.
En motivo de acentuar el recuento total de activos, surge esta visión:
- ¿Qué activos son propiedad?
- cuales estan sin resolver
- ¿Cuánto tiempo no ha estado clara la propiedad?
El objetivo no es más alertas sino una resolución más rápida.
Convertir la MAPE en un control
ASM no tiene problemas porque los equipos no estén trabajando lo suficiente. Tiene dificultades porque el esfuerzo no está consistentemente vinculado a los resultados que interesan al liderazgo.
Replantear el ROI en torno a la velocidad, la propiedad y la duración de la exposición permite mostrar un progreso efectivo. Incluso si el recuento bruto de activos nunca cambia. En muchos casos, las victorias más significativas provienen de hacer que la superficie de ataque vuelva a ser aburrida.
Un punto de partida concreto
Una forma de poner a prueba las métricas de ASM basadas en resultados es hacer que la visibilidad de los activos sea ampliamente accesible para todos los equipos, no encerrada detrás de silos de herramientas. Descubrimos que cuando los equipos de ingeniería, seguridad e infraestructura pueden ver las brechas de propiedad y la duración de la exposición, la resolución se acelera sin juntar más alertas.
Ese pensamiento nos llevó a exhalar un tirada comunitaria de nuestra plataforma ASM que expone el descubrimiento de activos y la visibilidad de la propiedad sin costos ni límites. El objetivo no es reemplazar las herramientas existentes, sino brindarles a los equipos una forma de valorar si la exposición efectivamente se está reduciendo con el tiempo.
Si desea probar el ROI de su software ASM, intente esto: ignore cuántos activos tiene.
En motivo de eso, pregunte:
- ¿Cuánto tiempo permanecen sin propietario los activos de peligro?
- ¿Cuántos caminos no autenticados que cambian el estado existen hoy en comparación con el final trimestre?
- ¿Con qué presteza desaparecen los activos abandonados?
Si esas respuestas no mejoran, más descubrimientos no cambiarán el resultado.
Conclusión: valorar lo que efectivamente cambia el peligro
La diligencia de la superficie de ataque se vuelve defendible cuando se mide por lo que cambia, no sólo por lo que se acumula. El descubrimiento siempre importará. La visibilidad siempre será importante al valorar la superficie de ataque. Pero nadie de los dos garantiza que la exposición se esté reduciendo, sólo que se esté observando.
El ROI de la diligencia de la superficie de ataque aparece cuando se confirma más rápidamente la propiedad de los activos riesgosos, cuando las rutas peligrosas desaparecen antiguamente y cuando la infraestructura abandonada no permanece indefinidamente. El inventario de activos proporciona la amplitud necesaria; Las métricas orientadas a resultados proporcionan la profundidad necesaria para comprender la reducción efectivo del peligro.
En Sprocket Security, intentamos pensar en la diligencia de la superficie de ataque no solo en términos de cuántos activos existen, sino igualmente de cuánto tiempo persiste la exposición significativa y qué tan rápido se resuelve. Lo más importante es que las métricas de la superficie de ataque hagan visible el progreso, no solo el crecimiento del inventario.
Si un software de diligencia de superficies de ataque no puede reponer si la exposición se está reduciendo con el tiempo, es difícil argumentar que está haciendo poco más que informar el problema.
Nota: Este artículo fue escrito y contribuido de modo experta por Topher Lyons, ingeniero de soluciones de Sprocket Security.
