Microsoft Defender EASM – para el seguimiento de vulnerabilidades. Los departamentos de TI gestionan hoy en día una enorme cantidad de servicios digitales diferentes, alojados en servicios en la nube de distintos proveedores. Sin mencionar los sistemas locales propios que deben ponerse a disposición de la organización, cumpliendo con los requisitos del trabajo híbrido actual.
Muchas organizaciones realizan un desarrollo y seguimiento sistemático continuo en el ámbito de los servicios en la nube de Microsoft, así como de su red interna y sus servicios. Especialmente en las organizaciones pequeñas y medianas, la investigación de vulnerabilidades y riesgos de seguridad en servicios accesibles desde la red externa ha quedado algo relegada. Los costes de los servicios de escaneo de vulnerabilidades de la red externa han contribuido en parte a la falta de investigaciones. Pero, ¿podría haber una solución ligera que no resulte abrumadora en cuanto a precio?
Solución Microsoft Defender EASM
Microsoft introdujo hace un par de años el producto Microsoft Defender External Attack Surface Management, diseñado para la detección y gestión de vulnerabilidades externas. Abreviado como EASM. El producto se basa en RiskIQ, que Microsoft adquirió mediante una compra empresarial.
Con EASM, las organizaciones pueden monitorizar y detectar el estado de su superficie de ataque externa. La herramienta identifica posibles vulnerabilidades desde la perspectiva de la red externa, genera alertas y una evaluación de riesgos en el portal de gestión de EASM. El servicio identifica, entre otros, puertos abiertos, vulnerabilidades de aplicaciones, estado de certificados e información sobre posibles datos personales expuestos (PII).
¿Cómo empezar con el servicio?
El servicio EASM se activa desde el servicio en la nube Azure, por lo que se requiere una suscripción a Azure como prerrequisito. El precio se basa en el número de tipos de activos (assets) incorporados durante la función de descubrimiento (discovery). El precio por tipo de activo es de 0,010€/día. Los tipos de activos son direcciones IP o dominios que la organización ha aprobado en su inventario. Se puede afirmar que el precio es bastante moderado. El servicio también ofrece un período de prueba gratuito de 30 días, después del cual se factura automáticamente mensualmente a través de la suscripción de Azure.
El seguimiento real de la superficie de ataque externa comienza activando la función de descubrimiento, donde se seleccionan las semillas (seeds), es decir, qué tipos de activos se incluirán en el escaneo. Por ejemplo, en la función de descubrimiento se añaden inicialmente los dominios y direcciones IP públicas utilizados por la organización.
Las semillas pueden incluir, además de dominios y direcciones IP:
• Nombres de host
• Direcciones de correo electrónico
• Número ASN
• Certificados
• Organización Whois
Una vez que se han seleccionado los objetivos en la función de descubrimiento y se pone en marcha, tarda de uno a dos días antes de que los resultados empiecen a aparecer en el portal.
Paneles de control (dashboards)
Para revisar los resultados, el servicio EASM tiene varios paneles de control predefinidos, que Microsoft ha ido añadiendo a medida que el servicio evoluciona.
El panel Attack Surface Summary presenta los hallazgos más importantes del entorno. Proporciona una visión general de la superficie de ataque de la organización y los tipos de activos que la componen, y destaca las posibles vulnerabilidades según su gravedad (alta, media, baja). El panel también proporciona información esencial sobre la infraestructura que forma la superficie de ataque de la organización.
El panel Security Posture ayuda a las organizaciones a comprender la madurez de su seguridad basándose en los metadatos derivados de los tipos de activos. Consiste en prácticas técnicas y no técnicas, procesos y medidas de control. El panel proporciona, entre otras cosas, información sobre vulnerabilidades CVE, puertos de comunicación abiertos y configuraciones de certificados SSL.
El panel GDPR Compliance destaca los principales riesgos de cumplimiento basados en los requisitos del RGPD. El panel proporciona visibilidad del estado de los sitios web de la organización, posibles problemas con certificados SSL, datos personales expuestos (PII), protocolos de inicio de sesión en uso y cumplimiento de cookies.
El panel OWASP Top 10 destaca los tipos de activos que son vulnerables según la lista de OWASP de los riesgos de seguridad más críticos en aplicaciones web. En el panel, las organizaciones pueden identificar rápidamente los tipos de activos que tienen control de acceso inadecuado, errores de cifrado, inyecciones, configuraciones de seguridad incorrectas y otros riesgos críticos definidos por OWASP.
El panel CWE Top 25 Software Weaknesses se basa en la lista Top 25 Common Weakness Enumeration (CWE) publicada anualmente por MITRE. Los CWE representan las debilidades de software más comunes e impactantes que son fácilmente detectables y explotables.
El panel CISA Known Exploits muestra todos los tipos de activos que pueden verse afectados por vulnerabilidades que han llevado a una explotación conocida según las definiciones de CISA.
Imagen de ejemplo del panel Attack Surface Summary
Palabras finales
Microsoft Defender EASM es fácil de implementar y, según nuestra experiencia, ha proporcionado información muy útil sobre las organizaciones objetivo donde hemos podido utilizarlo. Sin embargo, hay que tener en cuenta que no es una herramienta integral que también se encargue, por ejemplo, de las pruebas de penetración.
Hoy en día, la seguridad debe implementarse de manera holística y EASM, como parte de ella, es un producto muy bueno. Le recomendamos que lo pruebe, seguramente obtendrá información útil sobre el estado de la superficie de ataque externa de su organización.
Above IT es el socio y recurso de los departamentos de TI. Como cliente nuestro, recibirá experiencia genuina en el desarrollo de la seguridad y la protección de datos, ¡así como apoyo y seguridad para los desafíos mundiales! Si desea dar un paso más allá en TI con nosotros, ¡contáctenos haciendo clic en el enlace del calendario a continuación!