Blog B-SECURE

¿Qué tan grande es su superficie de ataque? – ¿Y qué pasa con los terceros?

La superficie de ataque de su organización puede ser algo difícil de monitorear. En un mundo conectado, parece que siempre se está expandiendo. Lo que es probablemente cierto. La expansión de la superficie de ataque se ha disparado, impulsada por la adopción de la nube, el uso de herramientas SaaS (software como servicio) y el hecho de que tantas organizaciones han llegado a depender de terceros.

A pesar de esta expansión, las organizaciones a menudo carecen de visibilidad en esta superficie ampliada. Según un informe reciente, los equipos a menudo no pueden mantenerse al día con la expansión de la superficie de ataque: la organización promedio tarda más de 80 horas en actualizar su inventario de superficie de ataque. Lo que es más preocupante, 7 de cada 10 organizaciones se han visto comprometidas gracias a un activo de Internet desconocido, no administrado o mal administrado en el último año.

Entonces, ¿cómo puede controlar su superficie de ataque? ¿Y qué tienen que ver los
terceros con eso?

1KRa20qageeBB7eI_S9IJTg-DzTechs.png

El problema con los terceros

Si su organización es como la mayoría de las empresas, sus terceros son una gran parte de su negocio. Son sus proveedores, contratistas y socios. Le brindan servicios de misión crítica, como servicios en la nube, almacenamiento de datos y procesamiento de pagos. Son parte de su empresa extendida y hacen que sea más fácil y menos costoso para usted hacer negocios.

Desafortunadamente, cuando contrata a un tercero, su riesgo se transfiere a usted. Los terceros necesitan acceso a sus sistemas y datos para ser efectivos, pero usted no tiene el control sobre ellos como lo tiene sobre sus empleados. No puede exigir a los empleados de otra empresa que se adhieran a sus propios estándares, pero si los datos de sus clientes están expuestos a causa de un tercero, la infracción sigue siendo su responsabilidad. Desafortunadamente, los ciberdelincuentes a menudo se dirigen a terceros para robar los datos y las redes de sus clientes, como en la violación de SolarWinds a fines de 2020. Y si bien es posible que sepa que los terceros pueden ser una fuente de riesgo, puede ser difícil ganar visibilidad de lo arriesgadas que pueden ser esas relaciones.

Tome el método tradicional de monitorear a terceros: cuestionarios de seguridad. En el peor de los casos, los cuestionarios son un ejercicio administrativo que requiere mucho tiempo y que tanto usted como sus terceros encuentran agotador. En el mejor de los casos, son un método estático de monitoreo, una instantánea única de su tercero en un momento específico; tal vez todo su software esté parcheado hoy, pero ¿qué pasa la próxima semana?

Este método de monitoreo deja puntos ciegos significativos en su superficie de ataque y lo abre a atacantes que están cada vez más interesados en atacar a terceros.

El costo del incumplimiento de un tercero

La participación de terceros en las violaciones de datos ha incrementado el costo de un ataque. Según el informe de Ponemon Cost of a Data Breach en 2021, las infracciones causadas por vulnerabilidades de software de terceros aumentan el costo de un ataque en más de $90,000.

Desafortunadamente, las infracciones de terceros son cada vez más frecuentes. Según la revista InfoSecurity, se descubrió que el 44% de las organizaciones experimentaron una brecha de seguridad en el último año. De esas empresas, el 74% dijo que la violación se produjo porque se había dado demasiado acceso privilegiado a terceros.

Entonces, ¿cómo puede monitorear de manera efectiva su superficie de ataque y limitar el riesgo de terceros?

Supervise continuamente la superficie de ataque de sus terceros

Según los reportes, el 67% de las organizaciones han visto expandirse su superficie de ataque en los últimos dos años. Eso incluye a sus terceros, así como a su propia organización.

En lugar de depender enteramente en cuestionarios para monitorear a sus terceros, es importante participar en el monitoreo en tiempo real de sus superficies de ataque. Mediante el uso de herramientas automatizadas de inteligencia que le permiten monitorear continuamente la postura de seguridad de sus terceros, puede evitar tener que confiar en la palabra de un tercero sobre la precisión de su cuestionario. En su lugar, recibirá una notificación cada vez que un tercero este fuera de cumplimiento y podrá identificar aspectos que el proveedor quizás no conoce, como activos no seguros, credenciales comprometidas u otra información sensible.

A medida que las superficies de ataque crecen y cambian, es fundamental que tenga una
idea de la suya, y eso significa conocer también la superficie de ataque de sus terceros.


Traducido de https://securityscorecard.com/blog/how-big-is-your-attack-surface-third-party-vendors/

Topics: Ciberseguridad Consultoria