Compartir vía


¿Qué es Discovery?

Información general

Microsoft Defender External Attack Surface Management (Defender EASM) se basa en nuestra tecnología de detección propia para definir continuamente la superficie de ataque única expuesta a Internet de su organización. Discovery examina los recursos conocidos que pertenecen a su organización para detectar propiedades desconocidas y no supervisadas anteriormente. Los recursos detectados se indexan en el inventario de un cliente, lo que proporciona un sistema dinámico de registro de aplicaciones web, dependencias de terceros e infraestructura web bajo la administración de la organización a través de un único panel.

Captura de pantalla de la pantalla de configuración de Discovery

A través de este proceso, Microsoft permite a las organizaciones supervisar de forma proactiva su superficie de ataque digital que cambia constantemente e identificar los riesgos emergentes y las infracciones de directivas a medida que estos se producen. Muchos programas de vulnerabilidades carecen de visibilidad fuera de su firewall, lo que les deja sin información de los riesgos externos y las amenazas: el origen principal de infracciones de datos. Al mismo tiempo, el crecimiento digital sigue superando la capacidad que tiene un equipo de seguridad empresarial para protegerlo. Las iniciativas digitales y la "shadow IT" suelen provocar una superficie expuesta a ataques en expansión fuera del firewall. A este ritmo, es casi imposible validar controles, protecciones y requisitos de cumplimiento. Sin Defender EASM, es casi imposible identificar y eliminar vulnerabilidades y los exámenes no pueden llegar más allá del firewall para evaluar toda la superficie expuesta a ataques.

Funcionamiento

Para crear una asignación completa de la superficie expuesta a ataques de su organización, el sistema toma primero los recursos conocidos (conocidos como "inicializaciones") que se examinan recursivamente para detectar más entidades a través de sus conexiones en un valor de inicialización. Una inicialización puede ser cualquiera de los siguientes tipos de infraestructura web indexada por Microsoft:

  • Dominios
  • Bloqueos de IP
  • Hosts
  • Contactos de correo electrónico
  • ASN
  • Organizaciones WHOIS

A partir de un valor de inicialización, el sistema detecta asociaciones a otra infraestructura en línea para detectar otros activos que pertenecen a su organización; en última instancia, este proceso crea el inventario de superficie expuesta a ataques. El proceso de detección utiliza las inicializaciones como nodos centrales y se expande hacia fuera hacia la periferia de la superficie expuesta a ataques mediante la identificación de toda la infraestructura conectada directamente a la inicialización y, a continuación, identifica todos los elementos relacionados con cada uno de los elementos del primer conjunto de conexiones, etc. Este proceso continúa hasta que lleguemos a todo el perímetro de administración de su organización.

Por ejemplo, para detectar la infraestructura de Contoso, puede usar el dominio contoso.com como inicialización principal. A partir de esta inicialización, podríamos consultar los siguientes orígenes y derivar las siguientes relaciones:

Origen de datos Ejemplo
Registros WHOIS El resto de nombres de dominio registrados en el mismo correo electrónico de contacto u organización usada para registrar contoso.com probablemente también pertenezcan a Contoso.
Registros WHOIS Todos los nombres de dominio registrados en cualquier dirección de correo electrónico de @contoso.com probablemente también pertenezcan a Contoso
Registros Whois El resto de dominios asociados con el mismo servidor de nombres que contoso.com también pueden pertenecer a Contoso.
Registros DNS Podemos suponer que Contoso también posee todos los hosts observados en los dominios que posee y los sitios web asociados a esos hosts.
Registros DNS Los dominios con otros hosts que se resuelven en los mismos bloques de direcciones IP también pueden pertenecer a Contoso si la organización posee el bloque de direcciones IP.
Registros DNS Los servidores de correo asociados a los nombres de dominio propiedad de Contoso también pertenecen a Contoso.
Certificados SSL Contoso probablemente también posee todos los certificados SSL conectados a cada uno de esos hosts y a otros hosts que usen los mismos certificados SSL.
Registros ASN El resto de bloques de direcciones IP asociados con el mismo ASN que los bloques IP a los que se conectan los hosts de los nombres de dominio de Contoso también pueden pertenecer a Contoso, como lo harían todos los hosts y dominios que se resuelven en ellos.

Con este conjunto de conexiones de primer nivel, podemos derivar rápidamente un conjunto completamente nuevo de recursos que se pueden investigar. Antes de realizar más recursiones, Microsoft determina si una conexión es lo suficientemente segura para que una entidad detectada se agregue automáticamente al inventario confirmado. Para cada uno de estos recursos, el sistema de detección ejecuta búsquedas automatizadas y recursivas basadas en todos los atributos disponibles para buscar conexiones de segundo y tercer nivel. Este proceso repetitivo proporciona más información sobre la infraestructura en línea de una organización y, por tanto, detecta activos dispares que pueden no haberse detectado y supervisado posteriormente.

Superficies de ataque automatizadas frente a personalizadas

La primera vez que se usa Defender EASM, puede acceder a un inventario pregenerado para que su organización inicie rápidamente los flujos de trabajo. En la página "Introducción", los usuarios pueden buscar su organización para rellenar rápidamente su inventario en función de las conexiones de recursos ya identificadas por Microsoft. Se recomienda que todos los usuarios busquen la superficie expuesta a ataques pregenerada de su organización antes de crear un inventario personalizado.

Para crear un inventario personalizado, los usuarios crean grupos de detección para organizar y administrar las inicializaciones que usan al ejecutar detecciones. Los grupos de detección independientes permiten a los usuarios automatizar el proceso de detección, configurando la lista de inicialización y la programación de ejecución recurrente.

Captura de pantalla de la página de selección de la superficie expuesta a ataques automatizada

Inventario confirmado frente a recursos candidatos

Si el motor de detección detecta una conexión segura entre un recurso potencial y la inicialización inicial, el sistema incluirá automáticamente ese recurso en el "Inventario confirmado" de una organización. A medida que las conexiones con esta inicialización se examinen de forma iterativa y se detecten conexiones de tercer o cuarto nivel, la confianza del sistema en la propiedad de los recursos recién detectados será menor. Del mismo modo, el sistema puede detectar recursos que son relevantes para su organización, pero que no son propiedad directa de ellos.

Por estos motivos, los recursos recién detectados se etiquetan con uno de los siguientes estados:

Nombre del estado Descripción
Inventario aprobado Una parte de la superficie expuesta a ataques de su propiedad; un elemento del que usted es directamente responsable.
Dependencia Infraestructura que es propiedad de un tercero, pero que forma parte de la superficie expuesta a ataques porque permite directamente el funcionamiento de los recursos de su propiedad. Por ejemplo, puede depender de un proveedor de TI para hospedar el contenido web. Aunque el dominio, el nombre de host y las páginas formarían parte del "Inventario aprobado", es posible que desee tratar la dirección IP que ejecuta el host como "Dependencia".
Solo supervisar Un recurso que es relevante para la superficie expuesta a ataques, pero que no está controlado directamente ni es una dependencia técnica. Por ejemplo, las franquicias independientes o los activos que pertenecen a empresas relacionadas pueden etiquetarse como "Solo supervisar" en lugar de "Inventario aprobado" para separar los grupos y poder ejecutar informes correctamente.
Candidato Un recurso que tiene alguna relación con los recursos de inicialización conocidos de su organización, pero no tiene una conexión lo suficientemente fuerte como para etiquetarlo inmediatamente como "Inventario aprobado". Estos recursos candidatos se deben revisar manualmente para determinar su propiedad.
Requiere investigación Un estado similar a los estados "Candidato", pero este valor se aplica a los recursos que requieren una investigación manual para su validación. Esto se determina en función de nuestras puntuaciones de confianza generadas internamente que evalúan la intensidad de las conexiones detectadas entre los recursos. No indica la relación exacta de la infraestructura con la organización, más bien indica que este recurso se ha marcado como que requiere revisión adicional para determinar cómo se debe clasificar.

Al revisar los recursos, se recomienda empezar con los recursos etiquetados con "Requiere investigación". Los detalles del recurso se actualizan continuamente con el tiempo para mantener un mapa preciso de los estados y las relaciones de los recursos, así como para descubrir los recursos recién creados a medida que surgen. El proceso de detección se administra colocando inicializaciones en grupos de detección que se pueden programar para volver a ejecutarse periódicamente. Una vez rellenado un inventario, el sistema Defender EASM examina continuamente los recursos con la tecnología de usuario virtual de Microsoft para detectar datos actualizados y detallados sobre cada uno de ellos. Este proceso examina el contenido y el comportamiento de cada página dentro de los sitios aplicables para proporcionar información fundamentada que se puede usar para identificar vulnerabilidades, problemas de cumplimiento y otros riesgos potenciales para su organización.

Pasos siguientes