Si es un profesional de la ciberseguridad, probablemente esté familiarizado con el mar de siglas con las que está obsesionada nuestra industria. Desde CNAP, CWPP, CIEM y todos los demás, parece que cada día nace una nueva sigla.
En este artículo, veremos otro acrónimo de moda, CTEM, que significa Gestión continua de la exposición a amenazas, y los desafíos a menudo sorprendentes que conlleva ver un programa CTEM hasta la madurez. Si bien el concepto de CTEM no es completamente nuevo, ya que hizo su debut impreso en julio de 2022, ahora estamos en el punto en el que muchas organizaciones están comenzando a tratar de poner en marcha los programas que han estado poniendo en marcha. los últimos meses. Y a medida que las organizaciones comienzan a ejecutar sus planes cuidadosamente diseñados, es posible que se enfrenten a algunos desafíos inesperados que pueden conducir a contratiempos.
¿Qué es la gestión de exposición continua a amenazas (CTEM)?
Pero primero, para retroceder, repasemos rápidamente qué es y qué no es CTEM.
La gestión continua de la exposición a amenazas no es una tecnología y no puede acudir a un proveedor con la esperanza de encontrar una solución CTEM (o, al menos, no con una sola herramienta). Lo que CTEM es, en cambio, es un programa o marco continuo de 5 etapas destinado a ayudar a las organizaciones a monitorear, evaluar y reducir su nivel de explotabilidad y validar que sus procesos de análisis y remediación sean óptimos. Según un informe de Gartner®, «El objetivo de CTEM es obtener un plan de mejora y remediación de la postura de seguridad que sea coherente y factible, que los ejecutivos comerciales puedan entender y que los equipos de arquitectura puedan implementar». (Gartner, 21 de julio de 2022, Implementar un programa de gestión continua de la exposición a amenazas (CTEM))
Descargue nuestro nuevo documento técnico, Establecimiento de un programa moderno de gestión de la exposicióny descubre:
- Por qué la vulnerabilidad crítica no es igual al riesgo
- Los diferentes tipos de exposiciones que afectan la postura de seguridad organizacional
- Los fundamentos clave de un programa moderno de gestión de exposiciones diseñado para un panorama de riesgos en evolución
- ¡Y más!
¿Cuáles son los objetivos de CTEM?
El informe de Gartner afirma además: «Las superficies de ataque centradas en la tecnología y los proyectos de autoevaluación de vulnerabilidades generan informes que rara vez se ejecutan y largas listas de soluciones genéricas. Los programas de gestión de vulnerabilidades rara vez se mantienen al día con el volumen agregado de su propia organización, lo que lleva a un ataque que se expande rápidamente. superficies». (Gartner, 21 de julio de 2022, Implementar un programa de gestión continua de la exposición a amenazas (CTEM)) Estos factores, junto con algunos otros impulsores clave, como la dificultad para mantener la postura de seguridad a lo largo del tiempo en medio de una superficie de ataque cada vez mayor, significa que los métodos tradicionales para garantizar la seguridad de manera holística son cada vez menos eficaces.
Según Gartner, «El objetivo de CTEM es obtener un plan de mejora y remediación de la postura de seguridad que sea coherente y factible, que los ejecutivos de negocios puedan comprender y que los equipos de arquitectura puedan implementar». (Gartner, 21 de julio de 2022, Implementar un programa de gestión continua de la exposición a amenazas (CTEM)). Cuando se implementa correctamente, CTEM puede ayudar a las organizaciones a mejorar continuamente su postura de seguridad identificando y remediando áreas potencialmente problemáticas antes de que los atacantes puedan aprovecharlas.
3 Desafíos en el Camino al Encuentro CTEM
Fabuloso. ¿Entonces, Qué esperas?
Sostener; establecer un programa CTEM es una gran iniciativa, pero existen algunos desafíos en la implementación que deben abordarse para que la ejecución sea exitosa. Contabilizarlos antes en las etapas de implementación podría ahorrar tiempo y frustración en el futuro.
Desafío 1: Poner la no seguridad y la seguridad en la misma página
Es un hecho bien conocido que los equipos de TI/infraestructura/DevOps/aplicaciones, etc. y los equipos de seguridad no siempre hablan el mismo idioma; esto es problemático de muchas maneras, pero cuando se implementan nuevos programas o compromisos, esta desconexión puede volverse aún más problemática. Al implementar CTEM, esto puede traducirse en una falta de comprensión de quién del equipo que no es de seguridad posee qué, y no estar alineado con las expectativas de SLA, entre otros problemas.
El problema aquí es que comunicar completamente la necesidad es difícil, especialmente cuando los equipos están atascados con un montón de «¡URGENTE!» proyectos – y, para ellos, CTEM es solo otro de esos proyectos. Esta falta de comprensión puede desincentivarlos de hacer realmente lo que se debe hacer.
Como arreglar – Desde las etapas más tempranas, involucre a las partes interesadas de los equipos que no son de seguridad en la conversación. No basta con proporcionarles una lista de tareas pendientes. En cambio, siéntese con ellos y explíqueles los objetivos que está tratando de lograr para que comprendan adecuadamente lo que se está haciendo. Solicite su opinión y descubra qué necesitarán de usted o de otros equipos de la organización para facilitarles la vida. Además, compartir noticias sobre ataques cibernéticos con ellos los hará más conscientes del impacto comercial que podrían tener y cómo se relaciona realmente con su parte del negocio.
Desafío 2 – Ver a vista de pájaro
Un programa completo de CTEM cubre muchas áreas diferentes, desde la nube hasta AD, vulnerabilidades de software, seguridad de red y básicamente todo lo demás. Cada uno de estos existe en su propio silo y tiene sus propios propietarios, sus propias herramientas y su propia lista de problemas para solucionar. El objetivo de CTEM es unirlos a todos en una visión holística con todas las áreas informando a las demás. En la práctica, eso significa agregar toda la información y usarla para comprender las prioridades y responsabilidades.
Pero obtener una base de comprensión es un desafío, ya que cada una de estas áreas requiere una experiencia diferente. Lo último que querría es tener un programa que se haya creado y ejecutado minuciosamente pero que no comprenda los riesgos que presenta cada área o, lo que es peor, se olvide de incluir cualquier área problemática en particular.
Como arreglar – Defina a alguien como la «persona clave», la única persona que puede tomar la vista de pájaro y convertirse en un maestro de alto nivel en la comprensión de cómo todas las áreas cubiertas convergen y se impactan entre sí. Esta persona no necesita comprender los detalles más pequeños de cómo funciona cada herramienta o lo que abarca cada categoría de problema de seguridad, pero debe poder comprender la totalidad del panorama general para poder garantizar de manera completa y precisa que todas las áreas se tienen en cuenta y están siendo abordados continuamente por profesionales que tienen una experiencia profunda y matizada.
Desafío 3: superar la sobrecarga de diagnóstico
Volviendo a ese punto sobre todas las diferentes áreas cubiertas en CTEM; Otro aspecto importante a tener en cuenta es que como todos tienen sus propias herramientas, todos arrojan alertas. Y así, mientras que un objetivo principal de CTEM es optimizar toda la información derivada de estas herramientas, un subproducto notable es solo una gran cantidad de ruido extraño.
Como arreglar – Acepte el hecho de que arreglar todo es casi imposible, lo que significa que debe priorizar y ser lo más eficiente posible. Para hacer esto, concéntrese en los alcances y exposiciones que un atacante podría aprovechar con mayor probabilidad y que podrían generar el mayor impacto comercial. Puede ser útil tomar el enfoque de «gatear, caminar, correr», es decir, comenzar con pequeños pasos que se concentran en un alcance pequeño y lo amplían a medida que su programa crece más maduro. (¿Quiere que reunirse con CTEM sea aún más fácil? Obtenga esta lista de verificación con consejos prácticos para optimizar CTEM aquí.)
Conclusión
Según Gartner, «para 2026, las organizaciones que prioricen sus inversiones en seguridad en función de un programa de gestión de exposición continua tendrán tres veces menos probabilidades de sufrir una infracción». (Gartner, 21 de julio de 2022, Implementar un programa de gestión continua de la exposición a amenazas (CTEM)) Y creemos que es enorme. Con suerte, al solucionar algunos de los problemas potenciales en el camino, su organización estará preparada para cumplir con CTEM sin problemas.
Nota: Este artículo está escrito y contribuido por Shay Siksik, vicepresidente de experiencia del cliente en XM Cyber.
