ELSA (Exposició Local i Superfície d'Atac) és la solució d'anàlisi d'exposició desenvolupada pel CCN-CERT que permet el monitoratge a nivell nacional de tots els actius connectats a Internet per a detectar possibles vectors d'atac i vulnerabilitats de tot organisme o entitat de l'administració pública, amb l'objectiu de millorar la capacitat de resposta davant incidents governamental.
La missió d'ELSA és ajudar les entitats públiques a conèixer la seva superfície d'exposició i atac en els entorns dinàmics, distribuïts i compartits d'avui dia.
Què fa ELSA exactament?
ELSA combina en una única solució de gestió de superfície d'atac (Attack Surface Management, ASM) ) la visibilitat estesa i capacitats de monitoratge, correcció i supervisió contínua, integrada amb l'última intel·ligència d'amenaces, de les vulnerabilitats i potencials vectors d'atac que componen la superfície d'atac d'una organització.
A diferència d'altres solucions, es basa en la perspectiva d'un atacant, en lloc de la d'un defensor, identificant objectius i avaluant riscos en funció de les oportunitats que es presentin per a un atacant, i gràcies als seus algorismes d'aprenentatge, és capaç de funcionar sense un inventari inicial per part de l'organització.
Ofereix un inventari complet, precís i actualitzat de tots els actius connectats a Internet, permetent detectar, avaluar i mitigar els riscos de la superfície d'atac, incloent-hi el risc associat als proveïdors la seguretat de tercers, proporcionant:
- Font d'informació fidedigna: tenir una visió completa permetrà detectar actius i exposicions desconeguts, ajudant a reduir la superfície d'atac.
- Inventari autònom alimentat per IA, mitjançant tècniques de ML: la majoria de les organitzacions desconeix la seva superfície exposada. ELSA és capaç de solucionar aquest problema ja que no necessita ser alimentada per un inventari inicial que podria generar una falta de visibilitat de parts crítiques. Gràcies als seus algorismes d'aprenentatge i grafs d'associació és capaç, de manera autònoma i sense cap interacció, d'obtenir tots els actius exposats d'un organisme.
- Descobriment i supervisió contínua: les superfícies d'atac canvien constantment. ELSA analitza tot l'espai IPv4 fins a diverses vegades al dia per a descobrir tots els seus actius connectats a Internet i realitzar un seguiment dels canvis que podrien suposar un risc.
- Classificació, anàlisi i priorització: mitigar les amenaces requereix saber qui és responsable d'un actiu vulnerable. Amb ELSA, fins i tot els actius prèviament desconeguts es poden rastrejar per a ajudar a una ràpida correcció.
- Seguretat en temps real: una organització normal troba, de mitjana, dos problemes de seguretat per dia, mentre que els atacants troben un cada hora. ELSA manté actualitzat el seu inventari d'actius perquè pugui mantenir-se a l'avantguarda.
Identificació dels escanejos
Els escanejos sempre seran identificables, ja que procedeixen d'un pool de màquines que resolen a una sèrie de subdominis dependents del CCN-CERT (per exemple, scanner1.elsa.ccn-cert.net identificarà al servidor ‘1’, i així successivament).
A més, els escanejos es realitzaran des del port d'origen 42104, en relació amb el Reial decret 421/2004 que va portar a la creació primer organisme espanyol amb competències en matèria de ciberseguretat, el Centre Criptològic Nacional del Centre Nacional d'Intel·ligència.
El llistat complet, actualitzat en data d'avui, de les adreces IP/DNS de les màquines utilitzades per a escanejos es pot trobar en el següent enllaç:
Preguntes freqüents
Aquests escanejos no representen un problema de seguretat per a una organització, ja que només identifiquen serveis accessibles des d'Internet, realitzant un reconeixement, categorització i identificació d'ells.
