Preguntas frecuentes de Gestión de Superficie de ataque externo (EASM)

Ivanti Neurons for External Attack Surface Management (EASM) cuenta con alianzas tecnológicas que permiten el descubrimiento de activos y la detección de exposición, cumpliendo con estándares industriales reconocidos como el marco MITRE ATTCK, NIST y OWASP.

1. Protocolos utilizados para la detección de activos.
   
   Las herramientas Ivanti Neurons for EASM utilizan protocolos de capa 4 y capa 7 para detectar puertos abiertos y exposiciones en los activos. La capa 4 incluye UDP, TCP e ICMP. Mientras que la capa 7 abarca un conjunto más amplio de protocolos de uso común y pautas establecidas.

2. ¿Cómo se detectan los correos electrónicos comprometidos?
   
   Las herramientas Ivanti Neurons for EASM descubren los correos electrónicos analizando fuentes de acceso público, como registros DNS, repositorios de datos violados y feeds OSINT.

3. ¿Cómo detectar fugas de datos?
   
   Ivanti Neurons for EASM integra inteligencia de una variedad de fuentes de seguridad confiables para identificar posibles exposiciones relacionadas con violaciones vinculadas a una organización. Esto incluye la detección de credenciales filtradas, direcciones de correo electrónico expuestas y otros datos confidenciales que los adversarios podrían explotar. Al proporcionar visibilidad temprana de dichos riesgos, Ivanti ayuda a las organizaciones a proteger de forma proactiva su superficie de ataque antes de que las amenazas se materialicen. Recopilamos información de múltiples fuentes verificadas, incluidas bases de datos de infracciones y fuentes de investigación de seguridad, garantizando precisión y relevancia y manteniendo al mismo tiempo una estricta confidencialidad en torno a los métodos de recopilación.

4. ¿Cómo detectar activos, especialmente dominios laterales?
   
   La palabra lateral proviene de una de las tácticas utilizadas en el marco MITRE ATTCK "Movimiento lateral". Ivanti utiliza una combinación de datos disponibles públicamente y técnicas de inteligencia de seguridad para mapear el ecosistema de dominio extendido de una organización. Esto garantiza que los equipos de seguridad tengan visibilidad completa de su superficie de ataque externa sin depender únicamente de los inventarios de activos internos.

5. ¿Cómo se determina que un activo es vulnerable?
   
   Las herramientas Ivanti Neurons for EASM evalúan las vulnerabilidades basándose en múltiples señales, incluidas debilidades de seguridad divulgadas públicamente, configuraciones incorrectas y versiones de software obsoletas. Este enfoque garantiza una detección precisa y minimiza los falsos positivos, proporcionando a los equipos de seguridad información práctica para reducir el riesgo de manera eficiente.

6. ¿Todos los activos notificados en EASM se pueden detectar públicamente? Los activos se clasifican como privados o públicos. ¿Qué significa “privado” en este contexto?
   
   Sí, todos los activos se detectan públicamente, pero a veces, debido a una mala configuración de DNS, puede suceder que el activo del host (subdominio) se resuelva en cualquiera de los rangos de IP internos. Siempre que la dirección IP de cualquier activo se resuelve en cualquiera de los rangos de IP internos (Clase A, Clase B y Clase C), ese activo se etiqueta como privado.

7. Si una API, ASN o netblock se configura como semilla, ¿el escaneo busca exclusivamente API publicadas externamente similares o esos tipos de activos específicos, o también identifica otros tipos de activos, como servidores dentro del mismo dominio y otros?
   
   Cuando una API se configura como semilla, el análisis identifica el servidor que aloja la API, realiza un escaneo de puertos y detecta vulnerabilidades en ese servidor. No obstante, no busca API publicadas externamente similares más allá de la semilla especificada. Para un ASN (Número de sistema autónomo), el análisis identifica cualquier bloque de red asociado (CIDR), enumera las direcciones IP individuales dentro de esos bloques de red, escanea en busca de puertos abiertos y detecta vulnerabilidades. En ambos casos, el análisis se centra en la infraestructura vinculada a la semilla, en lugar de buscar ampliamente otros tipos de activos, como dominios o servidores no relacionados, a menos que estén conectados explícitamente al alcance de la semilla.

8. ¿Existe alguna variación en los resultados del análisis cuando se usa una API, ASN o netblock como semilla en comparación con el uso de un dominio o URL?
   
   Sí, los resultados del análisis varían según el tipo de activo semilla, ya que cada uno influye en el alcance de la detección y la detección de vulnerabilidades de diferentes maneras. Por ejemplo, cuando se utiliza un dominio como semilla, el análisis puede detectar fugas de credenciales expuestas en Internet y realizar una enumeración de subdominios, capacidades que no están disponibles con semillas API, ASN o netblock, ya que carecen del contexto de dominio requerido para tales hallazgos. Por el contrario, las semillas de API y netblock se centran más en información a nivel de servidor (por ejemplo, puertos y vulnerabilidades), mientras que las ASN proporcionan una visión más amplia a nivel de red, lo que produce resultados distintos según el punto de partida.

9. ¿Existen escenarios o casos de uso particulares en los que configurar una API o ASN como semilla sea especialmente eficaz para la detección de activos o la detección de exposición?
   
   Una semilla de API funciona de manera similar a una semilla de URL y produce resultados comparables, como detalles del servidor, puertos abiertos y vulnerabilidades vinculadas a ese endpoint. Esto es particularmente útil para identificar exposiciones en servicios específicos. Las ASN, por otro lado, son especialmente valiosas para las empresas que gestionan centros de datos o grandes infraestructuras de red. Estas organizaciones a menudo priorizan la identificación de puertos abiertos y los servicios que se ejecutan detrás de ellos en sus servidores. En este contexto, una semilla ASN se destaca al brindar una vista integral de la red, lo que permite el descubrimiento efectivo de activos y la detección de exposición en sus propios rangos de IP.