Attack Surface Management

Vea su superficie de ataque antes que los atacantes

ASM externo continuo e iASM nativo de la nube: descubrimiento de subdominios, visualización de rutas de ataque de IAM y mapeo MITRE ATT&CK. Sepa qué tiene, qué está expuesto y cómo un atacante lo encadenaría todo.

Plataformas en la nube
3
Técnicas MITRE mapeadas
200+
Intervalo de análisis
Continuo
Grafo de rutas de ataque
En vivo

Superficie de ataque externa e interna: ambas cubiertas

La mayoría de las herramientas ASM solo ven lo que un atacante observa desde Internet. CATAAM añade visibilidad de la nube interna, porque la mayoría de las brechas se propagan a través de recursos en la nube mal configurados, no de fallos del perímetro.

Gestión de la superficie de ataque externa

CATAAM supervisa continuamente su infraestructura expuesta: todo lo que un atacante ve antes de tocar su perímetro. Los nuevos subdominios, los registros DNS mal configurados y los servicios expuestos se detectan y clasifican automáticamente.

  • Descubrimiento de subdominios mediante registros de transparencia de certificados (crt.sh)
  • Comprobaciones de salud de DNS: validación de registros SPF, DMARC, DNSSEC, MX
  • Detección de puertos abiertos e identificación de servicios
  • Interfaces de administración expuestas y endpoints sin autenticación
  • Supervisión de la robustez del cifrado TLS y de la caducidad de los certificados
  • Mapeo de técnicas MITRE ATT&CK para cada hallazgo

Internal Attack Surface Management (iASM)

iASM se conecta a sus proveedores en la nube y mapea cada recurso interno, límite de permisos y ruta de movimiento lateral. El grafo de ataque hace que las relaciones complejas de la nube sean inmediatamente comprensibles tanto para los equipos de seguridad como para los directivos.

  • Descubrimiento automático de activos en la nube: AWS EC2, RDS, S3, Lambda, VPC
  • Inventario de recursos de Azure y GCP y postura de seguridad
  • Análisis de políticas de IAM: roles con permisos excesivos y rutas de escalada de privilegios
  • Visualización de rutas de ataque como grafo interactivo dirigido por fuerzas
  • Auditoría de seguridad automatizada según los CIS Benchmarks
  • Detección de activos sin etiquetar y activos ocultos

De la conexión al grafo de ataque en minutos

CATAAM empieza a mapear su superficie de ataque en cuanto conecta sus cuentas en la nube: sin agentes, sin una incorporación compleja.

01

Conecte sus cuentas en la nube en minutos

Integraciones de AWS, Azure y GCP basadas en OAuth. CATAAM utiliza roles de IAM de solo lectura; no se almacenan credenciales. El descubrimiento de activos comienza de inmediato.

02

Descubra toda su superficie de ataque

El descubrimiento externo se ejecuta mediante registros de transparencia de certificados y sondas de DNS. El descubrimiento interno enumera cada recurso en la nube en todas las cuentas conectadas.

03

Visualice las rutas de ataque

El grafo de ataque interactivo muestra cómo un atacante podría moverse desde un punto de entrada externo a través de su entorno en la nube. Filtre por táctica, tipo de activo o puntuación de riesgo.

04

Priorice y remedie

Los hallazgos se clasifican según el impacto para el atacante, no solo según la puntuación CVSS. Cada hallazgo incluye el ID de técnica MITRE ATT&CK, la referencia CVE y un paso de remediación específico.

Cada hallazgo asociado a MITRE ATT&CK

CATAAM etiqueta automáticamente cada hallazgo de ASM con la técnica MITRE ATT&CK pertinente, ofreciendo a su equipo una priorización desde la perspectiva del atacante, no solo puntuaciones CVSS.

TácticaID de técnicaTécnicaHallazgo de ejemplo
Acceso inicialT1190Explotación de una aplicación expuesta públicamentePanel de administración expuesto en el puerto 8080
ReconocimientoT1596Búsqueda en bases de datos técnicas abiertasSubdominio enumerado mediante crt.sh
Acceso a credencialesT1078Cuentas válidasUsuario de IAM con acceso a la consola, sin MFA
Escalada de privilegiosT1548Abuso de un mecanismo de control de elevaciónLa política de IAM permite iam:PassRole a lambda
ExfiltraciónT1530Datos del almacenamiento en la nubeBucket de S3 con acceso público de listado
Evasión de defensasT1562Debilitamiento de las defensasRegistro de CloudTrail deshabilitado en la región

Attack Surface Management: preguntas frecuentes

¿Qué es el Attack Surface Management (ASM) y por qué es importante?
El Attack Surface Management (ASM) es el descubrimiento, el inventario y la evaluación de seguridad continuos de todos los activos accesibles para posibles atacantes. A diferencia de los análisis de vulnerabilidades puntuales, el ASM funciona de forma continua, porque su superficie de ataque cambia cada vez que implementa un nuevo servicio, añade un registro DNS u otorga un nuevo permiso de IAM. El ASM de CATAAM abarca tanto su perímetro externo (lo que los atacantes ven desde Internet) como su entorno de nube interno (lo que los atacantes pueden alcanzar una vez dentro).
¿Qué es el Internal Attack Surface Management (iASM) y en qué se diferencia del CSPM?
El Cloud Security Posture Management (CSPM) comprueba si sus recursos en la nube cumplen con los estándares de seguridad: configuraciones incorrectas, violaciones de políticas, brechas respecto a los CIS Benchmarks. El Internal Attack Surface Management (iASM) va más allá: mapea las rutas de ataque entre recursos para mostrar cómo un atacante podría encadenar configuraciones incorrectas individuales hasta lograr un compromiso total. Donde el CSPM dice «este rol de IAM tiene permisos excesivos», el iASM dice «este rol de IAM con permisos excesivos puede ser asumido por esta función Lambda, que se activa mediante este bucket de S3 público: este es el radio de impacto completo».
¿Cómo descubre CATAAM los subdominios y los activos externos?
CATAAM utiliza la supervisión de registros de transparencia de certificados mediante crt.sh —la misma técnica que emplean los profesionales de las pruebas de penetración— para descubrir de forma continua todos los certificados TLS emitidos para su dominio. Cada nuevo subdominio activa automáticamente comprobaciones de salud de DNS (SPF, DMARC, DNSSEC), análisis de puertos, identificación de servicios y análisis del cifrado TLS. Los resultados se comparan con su inventario de activos conocidos para sacar a la luz el shadow IT y los activos olvidados.
¿Cómo asocia CATAAM los hallazgos de ASM a MITRE ATT&CK?
Cada hallazgo en CATAAM se etiqueta automáticamente con el ID de técnica MITRE ATT&CK pertinente. Por ejemplo, una interfaz de administración expuesta corresponde a T1190 (Explotación de una aplicación expuesta públicamente), mientras que un rol de IAM con iam:PassRole corresponde a T1548 (Abuso de un mecanismo de control de elevación). También se muestra la categoría de táctica (Acceso inicial, Escalada de privilegios, Exfiltración, etc.). Esto permite a los equipos de seguridad priorizar las correcciones según el impacto para el atacante, en lugar de solo según la puntuación CVSS, y ofrece a los auditores pruebas de que los controles abordan vectores de amenaza específicos.
¿Cómo alimenta el iASM las pruebas de cumplimiento de GRC?
Los módulos de iASM y GRC de CATAAM están totalmente integrados. El inventario de activos del iASM completa automáticamente su registro de activos para ISO 27001 A.8, SOC 2 CC6.1 y el Requisito 2 de PCI-DSS. Los hallazgos de rutas de ataque alimentan las evaluaciones de riesgos para la cláusula 6.1 de ISO 27001 y la HIPAA §164.308(a)(1). Cuando remedia un hallazgo de iASM, la prueba de la remediación se vincula automáticamente al control de cumplimiento correspondiente, eliminando el trabajo duplicado.
¿Qué plataformas en la nube admite el iASM?
El iASM de CATAAM admite actualmente AWS (EC2, RDS, S3, Lambda, IAM, CloudTrail, VPC, Security Groups), Microsoft Azure (VM, almacenamiento, IAM, redes) y Google Cloud Platform (GCE, GCS, IAM). El descubrimiento multicuenta y multirregión es compatible con los tres proveedores. El grafo de ataque visualiza las rutas de ataque entre nubes cuando las organizaciones ejecutan cargas de trabajo en varios proveedores.

¿Listo para mapear toda su superficie de ataque?

100 créditos de iASM gratuitos al registrarse. No se requiere tarjeta de crédito.

WATCH

See your attack surface — full platform demo

A complete walkthrough, including external ASM and internal iASM.