¿Qué es un inventario de activos de TI?

La gestión de inventarios de activos tiene un significado muy diferente en función de si hablamos del equipo de TI o del de ciberseguridad. Conocer las diferencias le ayudará a entender por qué los equipos de ciberseguridad necesitan contar con un sistema de gestión del inventario propio y por qué es imprescindible que esa gestión se realice en tiempo real.

¿Qué es un inventario de activos de TI?

Un equipo de TI mantiene un inventario de activos para asegurarse de que la organización disponga de los recursos de TI que necesita de manera eficiente y rentable. En este inventario, se almacenan multitud de datos sobre los activos, como la ubicación, los usuarios, el mantenimiento y el servicio técnico, la documentación, el rendimiento, las licencias, el estado del cumplimiento normativo, el coste, la fase en que se encuentra en su ciclo de vida, etc. Los inventarios de TI pueden incluir:

• El hardware: servidores, ordenadores portátiles, teléfonos inteligentes, impresoras, etc.
• El software: aplicaciones, software como servicio (SaaS), nubes, etc.

Aunque siempre habrá elementos comunes entre este tipo de inventario y el que mantienen los equipos de seguridad, toda auditoría de seguridad debería priorizar un inventario en el que consten todos los activos de la organización que estén conectados a internet y que podrían estar expuestos y correr el riesgo de recibir un ataque. Estos activos incluyen hardware, software, dispositivos, datos, entornos en la nube, dispositivos IoT y el internet de las cosas industrial (IIoT), es decir, cualquier cosa y esté donde esté, ya sea en las propias instalaciones de la organización, en la nube o en un entorno compartido.

¿Por qué es importante contar con un inventario de activos de TI?

Muy sencillo: porque los equipos de SecOps deben encontrar y corregir las vulnerabilidades antes que los atacantes. Encontrar estas vulnerabilidades, en toda su integridad y con rapidez, no es tarea fácil, ya que las amenazas se multiplican y evolucionan, y las superficies de ataque modernas cada vez son más extensas y complejas, y contienen más activos. Muchos activos están obsoletos o mal configurados y los empleados crean informática en la sombra sin ni siquiera percatarse. Además, los activos que pertenecen a un proveedor independiente pueden volver a conectarse en cualquier momento y plantear una amenaza para la organización. Y la lista continúa.

Hasta la presunción de que una organización conoce todos sus activos es peligrosa. De media, los clientes de Cortex^® Xpanse^™ detectan un 35 % más de activos de los que pensaban que tenían. Según un estudio de ESG, tan solo el 28 % de las organizaciones consideraban que sus procesos de gestión de activos tenían inventariado más del 75 % de sus activos.

¿Por qué debe cambiar la gestión de activos?

La gestión de activos siempre se ha realizado sobre la base de un inventario manual y se ha configurado como una auditoría puntual mensual o trimestral. Sin embargo, esta gestión tiene dos grandes inconvenientes: no solo consume una gran cantidad de tiempo y resulta enormemente laboriosa, sino que todo el inventario resultante, por naturaleza, está plagado de errores y se queda obsoleto enseguida.

Todo esto es muy peligroso, pues el inventario que utilizan los equipos de seguridad dará la medida de la precisión de otros procesos. Los escáneres de vulnerabilidades o de antivirus/antimalware solo analizan los activos del inventario, por lo que los activos no encontrados pasan a convertirse rápidamente en riesgos y exposiciones sin identificar. Además, los Red Teams tendrán problemas para valorar la gravedad porque las pruebas de penetración y demás procedimientos exigen una única fuente de información fidedigna para todos los activos.

Cómo habría que gestionar el inventario

Teniendo en cuenta los retos que plantea una superficie de ataque moderna, la clave para controlar los activos y mantener un inventario exhaustivo consiste en garantizar que, en todo momento, se detectan y supervisan todos los activos conectados a internet, sean de hardware o de software, locales o en la nube. Este modelo de gestión de activos ofrecerá una única fuente de información fidedigna, con independencia de dónde se encuentre y de si pertenecen a un partner o a un proveedor.

Los equipos de seguridad también deberían tener en cuenta que ni toda la gestión de la superficie de ataque (ASM) ni todo el software de gestión de activos son iguales. Una solución de ASM debe ayudar a la organización a garantizar el cumplimiento normativo. También debe reducir los costes de ayudar a prevenir ataques, así como mejorar la eficiencia de SecOps para dedicar menos esfuerzo humano a encontrar y mitigar los riesgos de la superficie de ataque.

Una solución de ASM también debe detectar las exposiciones, ofrecer los datos contextuales necesarios para saber a quién pertenece el activo y a quién le corresponde corregir los problemas. Sería conveniente que esos avisos y datos pudieran transferirse fácilmente a una herramienta de orquestación, automatización y respuesta de seguridad (SOAR) que se encargue de automatizar las medidas correctivas.

Para asegurarse de que un inventario contiene todos los activos, estos deben escanearse de fuera adentro. Esta perspectiva es importante porque, por un lado, permite encontrar todos los activos y obtener los datos sin necesidad de otras herramientas o aplicaciones de software de gestión de activos y, por otro, coincide con la perspectiva que tiene un adversario de la superficie de ataque.

Los actores de amenazas pueden automatizar los análisis de internet para encontrar los activos vulnerables en menos de una hora y los equipos de seguridad deberían gestionar el inventario a esa velocidad como mínimo. La gestión de la superficie de ataque moderna puede ser eficiente y eficaz, de manera que el equipo de SecOps pueda detectar, evaluar y mitigar los riesgos de la superficie de ataque, incluidos los que afectan a la nube y los entornos que pertenezcan a proveedores y empresas fusionadas o adquiridas. Además, ASM ofrece priorización de riesgos y permite a los equipos centrarse en los más importantes.

Por qué los responsables de la defensa necesitan inventariar los activos

Hay otra razón por la que resulta crucial contar con un inventario de activos completo y actualizado: los atacantes nunca dejan de buscar la manera de acceder a su entorno, y no pierden el tiempo en hacerlo. Son capaces de analizar toda la red Internet en busca de sistemas vulnerables en menos de una hora.

Además, saben aprovechar los anuncios de vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés): Nada más publicarse un anuncio de vulnerabilidades y exposiciones comunes (CVE), normalmente tardan de 15 a 60 minutos o menos en ponerse a buscar la vulnerabilidad. El 2 de marzo de 2021, Microsoft anunció vulnerabilidades en Microsoft Exchange Server y Outlook Web Access (OWA). Muchos actores de amenazas no tardan ni cinco minutos en empezar a realizar análisis para dar con estas vulnerabilidades.

Cómo gestionar el inventario de activos con Cortex Xpanse

Xpanse analiza constantemente toda la red de internet para ofrecer un inventario de activos completo, ayudar a SecOps a detectar los activos desconocidos y supervisar y evaluar todos los riesgos de la superficie de ataque.

Cortex Xpanse encuentra las siguientes exposiciones:

• Servicios de acceso remoto (p. ej., RDP)
• Servicios de intercambio/uso compartido de archivos poco seguros (p. ej., SMB, NetBIOS)
• Sistemas sin actualizar vulnerables a los ataques de exploit públicos y sistemas descatalogados
• Portales de sistemas de administración de TI
• Aplicaciones de operaciones empresariales confidenciales (p. ej., Jenkins, Grafana, Tableau)
• Inicios de sesión y protocolos de texto sin cifrar (p. ej., Telnet, SMTP, FTP)
• Dispositivos de Internet de las Cosas (IoT) directamente expuestos
• Criptografía débil y poco segura/obsoleta
• Infraestructura de desarrollo expuesta
• Portales de marketing poco seguros o abandonados
• Activos que ejecutan versiones de software con anuncios de CVE críticos.

Xpanse incluye funciones de las que otras soluciones de ASM carecen. Puede configurarse de acuerdo con las políticas de la empresa para reducir el número de alertas innecesarias. Añade operacionalización a través de integraciones y API bidireccionales, y recopila datos tanto internos como externos para comprender mejor los activos. También crea rápidamente nuevas huellas digitales y políticas en función de las noticias y sucesos del día.

Además, Xpanse se integra con herramientas como Cortex XSOAR para automatizar la gestión de las alertas. Así, las organizaciones se aseguran de diseñar procesos que aumentan la resiliencia y facilitan la gestión de futuros riesgos y exposiciones.

Si desea seguir informándose sobre ASM y el inventariado de activos, aquí tiene unos cuantos recursos que le ayudarán a dar los primeros pasos:

• Más contenido sobre Xpanse y ASM