Realizar Escaneos Automatizados de Vulnerabilidades de Activos Empresariales Expuestos Externamente
Descripción
Realizar escaneos automatizados de vulnerabilidades de activos empresariales expuestos externamente usando una herramienta de escaneo de vulnerabilidades compatible con SCAP. Realizar escaneos de forma mensual o más frecuente.
Lista de Verificación de Implementación
Herramientas Recomendadas
Evaluación continua de vulnerabilidades y gestión de exposición en activos de IT, nube, contenedores y OT
Tenable · Suscripción por activo
Gestión de vulnerabilidades basada en la nube, detección y respuesta con gestión de parches integrada e inventario de activos
Qualys · Suscripción por activo
Plataforma de gestión de vulnerabilidades con paneles en vivo, priorización de riesgos y flujos de trabajo de remediación
Rapid7 · Suscripción por activo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Explotación de Vulnerabilidades en Internet por Escáneres Automatizados
ConfidencialidadLos actores de amenazas escanean continuamente activos expuestos a Internet usando herramientas como Shodan y Censys para identificar vulnerabilidades explotables en servidores web, puertas de enlace VPN y sistemas de correo electrónico que la organización no ha detectado a través de su propio escaneo externo.
Compromiso de Servicios Perimetrales mediante Configuraciones Incorrectas No Detectadas
IntegridadLos servicios expuestos externamente con configuraciones incorrectas como paneles de administración abiertos, endpoints de API expuestos o configuraciones TLS débiles son descubiertos y explotados por atacantes antes de que la organización los identifique a través del escaneo externo de vulnerabilidades.
Explotación de Activos en Internet en la Sombra
ConfidencialidadLos activos expuestos externamente que fueron provisionados fuera de la gestión normal de cambios, como servidores de desarrollo o entornos de prueba, contienen vulnerabilidades críticas que nunca se escanean porque no existe un programa automatizado de escaneo externo.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Programa Automatizado de Escaneo Externo de Vulnerabilidades
La organización no realiza escaneos regulares automatizados de vulnerabilidades de su superficie de ataque externa, dejando activos expuestos a Internet sin evaluar mientras los atacantes los sondean continuamente en busca de debilidades.
Alcance Incompleto de Activos Externos para Escaneo
Los escaneos externos de vulnerabilidades cubren solo rangos de IP y dominios conocidos, omitiendo activos alojados en la nube, endpoints CDN, servicios alojados por terceros y TI en la sombra expuesta a Internet.
Frecuencia de Escaneo por Debajo de la Cadencia Mensual
Los escaneos externos se realizan trimestralmente o con menor frecuencia en lugar de mensualmente, creando ventanas de exposición donde las vulnerabilidades recién publicadas en sistemas perimetrales pasan desapercibidas durante períodos prolongados.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Documento | Documentación del inventario o catálogo actual | Mantenido continuamente, revisado trimestralmente |
| Documento | Documentación de procesos/procedimientos para actividades de identificación | Revisado anualmente |
| Técnico | Informes de escaneo de vulnerabilidades que muestren el alcance y los hallazgos | Por ciclo de escaneo |
| Registro | Seguimiento de remediación de vulnerabilidades con métricas de cumplimiento de SLA | Mensual |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |