ELSA (Exposición Local y Superficie de Ataque) es la solución de análisis de exposición desarrollada por el CCN-CERT que permite la monitorización a nivel nacional de todos los activos conectados a Internet para detectar posibles vectores de ataque y vulnerabilidades de todo organismo o entidad de la administración pública, con el objetivo de mejorar la capacidad de respuesta ante incidentes gubernamental.
La misión de ELSA es ayudar a las entidades públicas a conocer su superficie de exposición y ataque en los entornos dinámicos, distribuidos y compartidos de hoy en día.
¿Qué hace ELSA exactamente?
ELSA combina en una única solución de gestión de superficie de ataque (Attack Surface Managemente, ASM) la visibilidad extendida y capacidades de monitorización, corrección y supervisión continua, integrada con la última inteligencia de amenazas, de las vulnerabilidades y potenciales vectores de ataque que componen la superficie de ataque de una organización.
A diferencia de otras soluciones, se basa en la perspectiva de un atacante, en lugar de la de un defensor, identificando objetivos y evaluando riesgos en función de las oportunidades que se presenten para un atacante, y gracias a sus algoritmos de aprendizaje, es capaz de funcionar sin un inventario inicial por parte de la organización.
Ofrece un inventario completo, preciso y actualizado de todos los activos conectados a Internet, permitiendo detectar, evaluar y mitigar los riesgos de la superficie de ataque, incluyendo el riesgo asociado a los proveedores la seguridad de terceros, proporcionando:
- Fuente de información fidedigna: tener una visión completa permitirá detectar activos y exposiciones desconocidos, ayudando a reducir la superficie de ataque.
- Inventario autónomo alimentado por IA, mediante técnicas de ML: la mayoría de las organizaciones desconoce su superficie expuesta. ELSA es capaz de solucionar este problema ya que no necesita ser alimentada por un inventario inicial que podría generar una falta de visibilidad de partes críticas. Gracias a sus algoritmos de aprendizaje y grafos de asociación es capaz, de forma autónoma y sin interacción alguna, de obtener todos los activos expuestos de un organismo.
- Descubrimiento y supervisión continua: las superficies de ataque cambian constantemente. ELSA analiza todo el espacio IPv4 hasta varias veces al día para descubrir todos sus activos conectados a Internet y realizar un seguimiento de los cambios que podrían suponer un riesgo.
- Clasificación, análisis y priorización: mitigar las amenazas requiere saber quién es responsable de un activo vulnerable. Con ELSA, incluso los activos previamente desconocidos se pueden rastrear para ayudar a una rápida corrección.
- Seguridad en tiempo real: una organización normal encuentra, de media, dos problemas de seguridad por día, mientras que los atacantes encuentran uno cada hora. ELSA mantiene actualizado su inventario de activos para que pueda mantenerse a la vanguardia.
Identificación de los escaneos
Los escaneos siempre serán identificables, ya que proceden de un pool de máquinas que resuelven a una serie de subdominios dependientes del CCN-CERT (por ejemplo, scanner1.elsa.ccn-cert.net identificará al servidor ‘1’, y así sucesivamente).
Además, los escaneos se realizarán desde el puerto de origen 42104, con relación al Real Decreto 421/2004 que llevó a la creación primer organismo español con competencias en materia de ciberseguridad, el Centro Criptológico Nacional del Centro Nacional de Inteligencia.
Preguntas frecuentes
Estos escaneos no representan un problema de seguridad para una organización, ya que sólo identifican servicios accesibles desde Internet, realizando un reconocimiento, categorización e identificación de ellos.
