ELSA (Exposición Local e Superficie de Ataque) é a solución de análise de exposición desenvolvida polo CCN-CERT que permite a monitorización a nivel nacional de todos os activos conectados a Internet para detectar posibles vectores de ataque e vulnerabilidades de todo organismo ou entidade da administración pública, co obxectivo de mellorar a capacidade de resposta #ante incidentes gobernamental.
A misión de ELSA é axudar ás entidades públicas a coñecer a súa superficie de exposición e ataque nas contornas dinámicas, distribuídos e compartidos de hoxe en día.
Que fai ELSA exactamente?
ELSA combina nunha única solución de xestión de superficie de ataque (Attack Surface Management, ASM) a visibilidade estendida e capacidades de monitorización, corrección e supervisión continua, integrada coa última intelixencia de ameazas, das vulnerabilidades e potenciais vectores de ataque que compoñen a superficie de ataque dunha organización.
A diferenza doutras solucións, baséase na perspectiva dun atacante, en lugar da dun defensor, identificando obxectivos e avaliando riscos en función das oportunidades que se presenten para un atacante, e grazas aos seus algoritmos de aprendizaxe, é capaz de funcionar sen un inventario inicial por parte da organización.
Ofrece un inventario completo, preciso e actualizado de todos os activos conectados a Internet, permitindo detectar, avaliar e mitigar os riscos da superficie de ataque, incluíndo o risco asociado aos provedores a seguridade de terceiros, proporcionando:
- Fonte de información fidedigna: ter unha visión completa permitirá detectar activos e exposicións descoñecidos, axudando a reducir a superficie de ataque.
- Inventario autónomo alimentado por IA, mediante técnicas de ML: a maioría das organizacións descoñece a súa superficie exposta. ELSA é capaz de solucionar este problema xa que non necesita ser alimentada por un inventario inicial que podería xerar unha falta de visibilidade de partes críticas. Grazas aos seus algoritmos de aprendizaxe e grafos de asociación é capaz, de forma autónoma e sen interacción algunha, de obter todos os activos expostos dun organismo.
- Descubrimento e supervisión continua: as superficies de ataque cambian constantemente. ELSA analiza todo o espazo IPv4 ata varias veces ao día para descubrir todos os seus activos conectados a Internet e realizar un seguimento dos cambios que poderían supoñer un risco.
- Clasificación, análise e priorización: mitigar as ameazas require saber quen é responsable dun activo vulnerable. Con ELSA, incluso os activos previamente descoñecidos pódense rastrexar para axudar a unha rápida corrección.
- Seguridade en tempo real: unha organización normal atopa, de media, dous problemas de seguridade por día, mentres que os atacantes atopan un cada hora. ELSA mantén actualizado o seu inventario de activos para que poida manterse á vangarda.
Identificación dos escaneos
Os escaneos sempre serán identificables, xa que proceden dun pool de máquinas que resolven a unha serie de subdominios dependentes do CCN-CERT (por exemplo, scanner1.elsa.ccn-cert.net identificará o servidor ‘1’, e así sucesivamente).
Ademais, os escaneos realizaranse desde o porto de orixe 42104, con relación ao Real Decreto 421/2004 que levou á creación primeiro organismo español con competencias en materia de ciberseguridade, o Centro Criptológico Nacional do Centro Nacional de Intelixencia.
A listaxe completa, actualizado a data de hoxe, das direccións IP/DNS das máquinas utilizadas para escaneos pódese atopar na seguinte ligazón:
Preguntas frecuentes
Estes escaneos non representan un problema de seguridade para unha organización, xa que só identifican servizos accesibles desde Internet, realizando un recoñecemento, categorización e identificación deles.
