Estimados amigos de Inseguros !!!
Seguimos con los controles CIS y hoy toca el 1.3.
Y ojo, porque aquí ya empezamos a ponernos serios con el inventario.
Primero era tener un inventario, lo básico. Luego era gestionarlo “a mano”, revisarlo, descubrir cosas nuevas cada cierto tiempo. Y ahora pasamos al siguiente nivel: descubrir de forma activa.
Que esto no va de aprobar o suspender. Va de sumar capas. Y cada capa que sumas te quita sustos.
Si quieres ver esta explicación en vídeo: https://youtu.be/by5BXIHjJtw
Qué significa “descubrimiento activo”
Significa que dejas de depender de “me acuerdo de lo que hay”. Y montas mecanismos para que, cuando aparezca un activo nuevo, lo veas.
No dentro de 3 meses. En el momento. Porque el equipo nuevo, el acceso point nuevo, el SaaS nuevo, el contenedor nuevo… no avisa.
Herramientas típicas para barrer red. Aquí lo clásico funciona muy bien.
nmap, con sus scripts, para barrer TCP/UDP, fingerprinting, servicios, versiones.
masscan cuando quieres ir rápido. netdiscover para ARP discovery y cosas rápidas en LAN.
Pero la clave no es “pasar el nmap” y ya. La clave es que esto sea repetible, automatizable, y que acabe en algún sitio. Lo ideal es que lo scriptees. Que lo vuelques en una base de datos, inventario, CMDB, lo que uses.
Y que cuando salga un activo nuevo, haya reacción. Y aquí es donde se pone bonita la cosa. Automatización y “que el inventario haga cosas”
Si tú llevas estos descubrimientos a logs, a un SIEM tipo Sentinel, puedes montar un playbook.
Ejemplo realista:
descubro un equipo nuevo → creo ticket → alguien valida → se etiqueta → se mete en CMDB → se aplican políticas.
O incluso:
descubro un equipo nuevo y no cumple X → lo bloqueo por NAC / VLAN / lo que toque.
No es magia. Es proceso.
Inventario no es “un Excel con IPs”
El Excel vale para empezar, sí. Pero un inventario maduro no es “nombre e IP”. Como mínimo, en equipos: IP, MAC, hostname, SO, propietario, ubicación, criticidad, fecha de alta, estado, quién lo gestiona.
En cloud, los activos no tienen “MAC y ya”. Tienen IDs, resource groups, subscriptions, etiquetas, service principal asociado, etc. Cada tipo de activo tiene sus campos. Y cuanto más claro lo tengas, menos improvisas cuando hay incidente.
Descubrimiento por categorías de activos.
Endpoints y servidores. Si tienes EDR, ya tienes medio inventario hecho.
Defender for Endpoint te descubre equipos gestionados. CrowdStrike tiene Falcon Discovery.
SentinelOne tiene Ranger.
Si ya pagas por eso, aprovéchalo. Y monta alertas de “apareció algo nuevo”.
IoT y cosas raras
Aquí Defender for IoT encaja bastante bien si estás en ese mundo. Porque lo IoT no se gestiona como un portátil. Y si lo intentas tratar igual, te engañas.
Vulnerabilidad como “inventario indirecto”
Los escáneres de vulnerabilidades también te sirven como radar.
Nessus/Tenable, Qualys, Rapid7, OpenVAS… si escanean de forma recurrente, también detectan “oye, aquí hay algo nuevo”. Y puedes convertir eso en alertas y tickets.
DHCP y logs
Sí, lo simple también sirve. Los logs de DHCP son una fuente buenísima para ver equipos nuevos o raros. Si se conecta y pide IP, existe. Y si existe y no está inventariado, hay trabajo.
WiFi y rogue AP
Kismet a mí siempre me ha parecido un “IDS de WiFi”. Si de repente alguien planta un access point por ahí con tu SSID, o aparece un bicho raro, lo quieres saber.
Los fabricantes (Cisco, Aruba, etc.) también tienen sus mecanismos, pero el concepto es el mismo:
no des por hecho que tu WiFi es “lo que tú crees”.
Cloud y SaaS
En Azure tienes Resource Graph Explorer, y con eso puedes sacar inventario de recursos a lo bestia.
Y si lo conectas con automatización, puedes detectar “nuevo recurso creado” y disparar proceso.
Y ojo con SaaS.
Hoy en día la gente usa HubSpot, Canva, ChatGPT, lo que sea. Eso también es inventario de activos.
Porque luego hay que gobernarlo: quién lo usa, con qué cuentas, con qué datos, con qué condiciones.
Aquí entran CASB y similares. En Microsoft, Defender for Cloud Apps (y compañía). La idea: interceptas uso (DNS/HTTP, logs, integraciones) y sacas el mapa real de SaaS.
Activos en Internet
Y este es el gran olvidado.
Dominios, subdominios, VPS, servicios expuestos, cosas de marketing “por ahí”. Todo eso es tuyo.
Aunque lo lleve “marketing”.
Aunque esté en “un hosting raro”.
Aunque nadie se acuerde.
Si está asociado a tu organización, te lo comes tú cuando haya lío.
Por eso existen herramientas de ASM (Attack Surface Management):
le das un dominio y te ayuda a descubrir qué está expuesto, qué subdominios hay, qué servicios responden, etc.
Y eso debería formar parte del inventario maduro.
Kubernetes, bases de datos y el resto del zoo
Si tienes Kubernetes, la API te canta nodos, pods, cambios.
Si tienes SQL Server, puedes monitorizar creación de bases de datos, cambios, altas. Si tienes vCenter, lo mismo.
Cada infraestructura tiene su manera de descubrir.Y tu trabajo es conectar esas maneras con tu inventario y con tu proceso.
Y sí: hasta los monitores son activos
Aquí siempre me gusta meter el ejemplo que duele.
Un monitor no le haces un nmap.
Pero es un activo.
Y alguien lo compra, lo instala, se mueve, se cambia, se retira.
Eso es inventario también.
A veces será automático. A veces será manual con etiqueta, QR, pistola lectora. Pero tiene que existir.
Control 1.3 no es “pasa un escáner y ya”.
Es montar el hábito de descubrir activos de forma activa, por tipo de activo, y convertirlo en proceso.
El primer día no lo vas a tener perfecto.
Lo suyo es empezar, y mejorarlo cada cierto tiempo.
Y así, capa a capa, el inventario deja de ser un Excel muerto y se convierte en una defensa real.
Y si quieres seguir aprendiendo ciberseguridad de la que se usa en empresas, pásate por www.seguridadsi.com y échale un ojo a los cursos de la academia.
