Revista semanal del Centro Nacional de Seguridad Cibernética de Finlandia – 22/2024
Cómo las organizaciones pueden mapear la seguridad de la información de sus propios servicios utilizando fuentes públicas
Las organizaciones pueden tener numerosos sistemas de información diferentes y, sin automatización o supervisión organizada, puede resultar difícil mantenerlos todos actualizados y seguros. Es sumamente importante que las organizaciones mapeen sus propios servicios para poder identificar y comprender las posibles vulnerabilidades y riesgos asociados a ellos. El mapeo también facilita la planificación e implementación de medidas de gestión de riesgos, que reducen significativamente la probabilidad de incidentes de seguridad.
El primer paso recomendado en el proceso de mapeo es hacer una lista de todos los servicios de su organización y sus detalles hasta el número de versión. Con base en la lista, es fácil comenzar a verificar cómo se mantiene actualizado y administrado cada servicio e identificar los servicios que podrían necesitar una actualización. El mapeo también puede revelar nuevos sistemas y dispositivos, cuyo uso hasta ahora ha permanecido «oculto» dentro de la organización. Es importante también identificar las llamadas joyas de la corona de la organización, es decir, los servicios más importantes que siempre deben mantenerse actualizados. Estos son servicios que la organización también debe monitorear por medios técnicos y recopilar y conservar datos de registro durante un período de tiempo suficientemente largo.
Las fuentes públicas pueden ayudar a detectar riesgos
Hay varios servicios disponibles en Internet que las organizaciones pueden utilizar para realizar análisis de la superficie de ataque en sus direcciones IP públicas. Los servicios permiten a los usuarios descubrir y examinar una gran cantidad de información sobre recursos a los que se puede acceder públicamente desde Internet. Estos incluyen puertos abiertos, los servicios que se ejecutan en los puertos y sus versiones. La funcionalidad de búsqueda de los servicios también se puede utilizar para determinar si un servicio de una dirección IP particular se ve afectado por vulnerabilidades conocidas.
Este tipo de servicios incluyen:
- Shodan
- censys
- Cazador.como
- Propiedad intelectual criminal
Estas herramientas siempre deben usarse cumpliendo con las leyes, regulaciones y los permisos necesarios de los propietarios de las redes y/o sistemas.
Los servicios mencionados anteriormente pueden ser herramientas útiles para los departamentos de TI de las empresas, por ejemplo. Identificar los servicios en línea y asegurarse de que solo los puntos necesarios estén abiertos a Internet puede mejorar la seguridad de la información de una organización. Los servicios de mapeo también pueden ayudar a las organizaciones a ver cómo se ven desde el punto de vista de un externo o de un atacante potencial.
- El tráfico DNS puede proporcionar una gran cantidad de información
- El servicio Hyöky del NCSC-FI
Otra herramienta útil que las organizaciones pueden utilizar para mapear su infraestructura es el protocolo DNS. Hay una serie de servicios disponibles en línea que las organizaciones pueden utilizar para mapear su dominio. Estos servicios ofrecen informes sobre dominios basados en datos DNS, que incluyen información sobre sus subdominios, servicios de alojamiento y geolocalización, por ejemplo.
Este tipo de servicios incluyen:
- DNSlytics
- Contenedor de basura DNS
- whatsmydns
- Ver DNS
Un servicio nacional de análisis de superficies de ataque para mejorar la ciberseguridad en municipios y organizaciones del sector público. Leer más aquí (en finlandés) (Enlace externo).
El NCSC-FI recibe con agrado los informes de diversas observaciones y puede servir como parte de contacto si observa un servicio perteneciente a alguna otra organización que tenga margen de mejora en términos de seguridad de la información.
¿Conoce la superficie de ataque de su organización? Hyöky es un servicio que puede ayudar a su organización a mapear objetivos abiertos a Internet y las amenazas potenciales asociadas con ellos.