La superficie de ataque ya no es la que solía ser y protegerla se está convirtiendo en una pesadilla. Una superficie de ataque en constante expansión y evolución significa que los riesgos para el negocio se han disparado y las medidas de seguridad actuales están luchando por protegerlo. Si hizo clic en este artículo, es probable que esté buscando soluciones para gestionar este riesgo.
En 2022, Gartner desarrolló un nuevo marco para abordar estos desafíos: la Gestión Continua de la Exposición a Amenazas (CTEM). Desde entonces, la implementación de este marco se ha convertido en una prioridad para muchas organizaciones debido a la mejora significativa que se espera que proporcione para mantener un alto nivel de preparación y resiliencia en materia de seguridad.
“Para 2026, las empresas que prioricen sus inversiones en seguridad a través de un programa continuo de gestión de riesgos tendrán tres veces menos probabilidades de sufrir una vulneración. » Gartner, “Cómo gestionar las amenazas a la ciberseguridad, no los episodios”, 21 de agosto de 2023
CTEM proporciona una visión continua e integral de la superficie de ataque y las exposiciones que contiene, probando si los controles de seguridad bloquean efectivamente la posible explotación de las exposiciones y luego agilizando la movilización hacia la remediación de vulnerabilidades seleccionadas.
La adopción de CTEM puede resultar rápidamente abrumadora porque implica orquestar muchos elementos dispares y en movimiento. Reúna activos digitales, cargas de trabajo, redes, identidades y datos en toda la empresa. Por lo tanto, para simplificar esto, hemos dividido el marco en sus pilares, brindando pasos manejables que lo guiarán a través de este proceso de gestión de exposición.
Pilar n.º 1: ampliar su visibilidad en la superficie de ataque
Uno de los principales desafíos de la gestión de activos es su alcance limitado. Solo proporciona una vista sectorial de la superficie de ataque y, por lo general, se centra únicamente en las vulnerabilidades locales, sin capacidad para aprovechar los datos de vulnerabilidad que genera.
CTEM proporciona una mayor visibilidad de todo tipo de exposiciones de superficies de ataque (internas, externas y en la nube) para ayudar a las organizaciones a comprender mejor su verdadero perfil de riesgo de seguridad.
El proceso comienza con la evaluación del entorno de activos digitales en etapas. Recomendamos una evaluación inicial que incluya:
- La superficie de ataque externa, que tiende a tener un alcance más limitado y está respaldada por un ecosistema creciente de herramientas.
- Herramientas SaaS, que facilitan la comunicación de riesgos, ya que las soluciones SaaS tienden a albergar cada vez más datos comerciales críticos.
Como segundo paso, considere ampliar el alcance para incluir la protección contra riesgos digitales, lo que agrega mayor visibilidad a la superficie de ataque.
Una vez que se determina el alcance, las organizaciones deben determinar sus perfiles de riesgo descubriendo exposiciones a activos de alta prioridad. También es necesario tener en cuenta la mala configuración de los activos, particularmente en torno a los controles de seguridad, y otras debilidades, como activos falsificados o respuestas deficientes a las pruebas de phishing.
Pilar #2: Mejore su gestión de vulnerabilidades
La gestión de vulnerabilidades (VM) ha sido durante mucho tiempo la piedra angular de las estrategias de ciberseguridad de muchas organizaciones, centrándose en identificar y remediar CVE conocidos. Sin embargo, con la creciente complejidad del entorno de TI y las capacidades mejoradas de los actores de amenazas, las VM por sí solas ya no son suficientes para mantener la postura de ciberseguridad de una empresa.
Esto es especialmente evidente si se considera el creciente número de CVE que se publican cada año. Sólo el año pasado hubo 29.085 CVE y sólo 2-7% Algunas de estas vulnerabilidades nunca han sido explotadas en la naturaleza. Esto hace que el objetivo de lograr un parche perfecto sea poco realista, especialmente porque no tiene en cuenta las vulnerabilidades no parcheadas, como configuraciones erróneas, problemas de Active Directory, software de terceros no compatible, credenciales robadas y filtradas, etc., que serán la causa de más del 50% de las exposiciones corporativas para 2026.
CTEM se centra en priorizar las exposiciones en función de su explotabilidad y su impacto en los activos críticos, en lugar de las puntuaciones CVSS, los cronogramas o las calificaciones de los proveedores. Esto garantiza que los activos digitales más sensibles a la continuidad y los objetivos de la organización se aborden primero.
Por lo tanto, la priorización se basa en vulnerabilidades de seguridad que son fácilmente explotables y que simultáneamente brindan acceso a activos digitales sensibles. La combinación de estos dos factores conduce a la priorización de estas exposiciones, que generalmente representan una fracción de todas las exposiciones descubiertas.
La validación del Pilar #3 transforma CTEM de teoría a estrategia probada
El último pilar de la estrategia CTEM, la validación, es el mecanismo para evitar que se exploten las vulnerabilidades de seguridad. Para garantizar la eficacia continua de los controles de seguridad, la validación debe ser de naturaleza ofensiva e imitar los métodos de los atacantes.
Hay cuatro estrategias para probar su entorno como un atacante, cada una de las cuales refleja las técnicas empleadas por los adversarios:
- Piensa en gráficos – Mientras que los defensores suelen pensar en términos de listas, ya sea de activos o vulnerabilidades, los atacantes piensan en términos de gráficos, mapeando las relaciones y rutas entre los diferentes componentes de la red.
- Automatizar pruebas – Las pruebas de penetración manuales son un proceso costoso que involucra a pentesters externos que prueban sus controles de seguridad. Las organizaciones están limitadas en el alcance de sus pruebas. Por el contrario, los atacantes aprovechan la automatización para ejecutar ataques de forma rápida, eficiente y a escala.
- Validar rutas de ataque reales – Los atacantes no se centran en vulnerabilidades aisladas; tienen en cuenta toda la ruta de ataque. La validación efectiva implica probar todo el camino, desde el acceso inicial hasta el impacto aprovechado.
- prueba continuamente – Las pruebas de penetración manuales se suelen realizar periódicamente, una o dos veces al año. Sin embargo, las pruebas en “sprints”, o ciclos cortos e iterativos, permiten a los defensores adaptarse a la velocidad de los cambios de TI, protegiendo toda la superficie de ataque al abordar las exposiciones a medida que surgen.
CTEM: Invierta ahora y obtenga resultados continuamente
Con todos los diferentes elementos de personas, procesos y herramientas en una estrategia CTEM, es fácil sentirse abrumado. Sin embargo, tenga en cuenta algunas cosas:
- No estás empezando desde cero. Ya tiene implementados sus sistemas de gestión de activos y de vulnerabilidades. El objetivo aquí es simplemente ampliar su alcance. Asegúrese de que sus herramientas cubran de manera integral toda la superficie de ataque de su entorno de TI y se actualicen continuamente a medida que se produzcan cambios.
- Piense en ello como un proceso de mejora continua. La implementación del marco CTEM se convierte en un ciclo ágil de descubrimiento, mitigación y validación. El trabajo nunca está realmente terminado. A medida que su negocio crece y madura, también lo hace su infraestructura de TI.
- Coloque la validación en el centro de su estrategia CTEM. Esto le da confianza de que sus operaciones de seguridad resistirán la prueba. En todo momento es necesario saber dónde se encuentra. Quizás todo esté en orden, lo cual es bueno. Es posible que también se haya identificado una brecha, pero ahora se puede llenar con un enfoque prescriptivo, siendo plenamente consciente del impacto posterior.
Aprende más sobre cómo implementar una estrategia CTEM centrada en la validación con Pentera.