Skip to content
Teknomers Noticias

Teknomers Noticias

Deporte-Comida-Finanzas-Revista-Cultura-Entretenimiento-Tecnologia

Primary Menu
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Light/Dark Button
  • Home
  • Tecnología
  • Sus puntajes de riesgo están mentir: la validación de exposición adversa expone amenazas reales
  • Tecnología

Sus puntajes de riesgo están mentir: la validación de exposición adversa expone amenazas reales

teknomers 11 de Mart de 2025 (Last updated: 11 de Mart de 2025) 9 minutes read
Sus puntajes de riesgo están mentir: la validación de exposición


11 de marzo de 2025Las noticias del hackerPrueba de simulación de violación / penetración

En ciberseguridad, la confianza es una espada de doble filo. Las organizaciones a menudo operan bajo un False sensación de seguridadcreyendo que las vulnerabilidades parcheadas, las herramientas actualizadas, los paneles pulidos y los puntajes de riesgo brillantes garantizan la seguridad. La realidad es una historia un poco diferente. En el mundo real, verificar las cajas correctas no es igual a ser seguro. Como advirtió Sun Tzu, “La estrategia sin tácticas es la ruta más lenta hacia la victoria. Las tácticas sin estrategia son el ruido antes de la derrota”. Dos milenios y medio más tarde, el concepto aún se mantiene: las defensas de ciberseguridad de su organización deben ser estratégicamente validado en condiciones del mundo real Para garantizar la supervivencia de su negocio. Hoy, más que nunca, necesitas Validación de exposición adversaria (AEV)la estrategia esencial que aún falta en la mayoría de los marcos de seguridad.

El peligro de falsa confianza

La sabiduría convencional sugiere que si ha parcheado errores conocidos, implementó una pila de herramientas de seguridad bien consideradas y ha pasado las auditorías de cumplimiento necesarias, está “seguro”. Pero ser cumplido no es lo mismo que estar realmente seguro. De hecho, estos supuestos a menudo crean puntos ciegos y un sentido peligroso de falsa seguridad. La verdad incómoda es que Las puntuaciones de CVE, las probabilidades de EPSS y las listas de verificación de cumplimiento solo de los cuestiones teóricas del catálogo, en realidad no confirman la resiliencia real. A los atacantes no les importa si cumple con orgullo; Les importa dónde están las grietas de su organización, especialmente esas grietas que a menudo pasan desapercibidas en las operaciones diarias.

En muchos sentidos, confiar únicamente en los controles estándar o una prueba de una vez al año es como pararse en un muelle resistente sin saber si puede resistir ese huracán cuando toca tierra. . Y sabes que la tormenta está llegando, simplemente no sabes cuándo, o si tus defensas son lo suficientemente fuertes. La validación de exposición adversaria coloca estos supuestos bajo el microscopio. No contento con solo enumerar sus posibles puntos débiles, AEV Implacamente empuja contra esos puntos débiles Hasta que veas cuáles importan y cuáles no. En Picus, sabemos que La verdadera seguridad exige validación sobre la fe.

El problema con las evaluaciones de exposición tradicionales

¿Por qué no están las medidas tradicionales a la tarea de evaluar la exposición cibernética real? Aquí hay tres razones principales.

  1. Los puntajes de vulnerabilidad solo cuentan la mitad de la historia. Una vulnerabilidad crítica de CVSS 9.8 puede parecer aterradora en papel, pero si en realidad no se puede explotar En su entorno, ¿debería solucionarlo realmente su máxima prioridad? El reciente análisis de Gartner destaca una realidad sorprendente: “En 2023, solo el 9.7% de todas las vulnerabilidades divulgadas se sabían explotadas, aproximadamente 8-9% cada año durante la última década”. Por el contrario, una falla de gravedad “moderada” podría encadenar fácilmente con otra exploit, por lo que es tan peligrosa como ese 9.8 en la práctica. La verdad contradictoria es que no todas las vulnerabilidades de alta puntuación se traducen en riesgo real, y algunas de la puntuación más baja pueden ser excepcionalmente dañinas.
  2. Abrumado sin claridad. Los equipos de seguridad continúan ahogándose en un mar de CVE, puntajes de riesgo y caminos de ataque hipotéticos. Cuando todo es marcado como crítico, ¿cómo puede su gente separar la señal del ruido? Una vez más, es importante recordar que no todas las exposiciones tienen el mismo peso, y tratar cada alerta igualmente termina siendo tan mala como ignorarlas por completo. Demasiado a menudo el real Las amenazas se pierden en el diluvio de datos irrelevantes. Sin embargo, saber qué debilidades realmente puede explotar lo cambia todo; Te permite centrarse en, y de manera inteligente, los riesgos reales se esconden en la oscuridad.
  3. La brecha entre la teoría y la práctica. Los escaneos tradicionales y las pruebas de penetración de una vez al trimestre proporcionan literalmente una instantánea en el tiempo. Pero las instantáneas envejecen rápidamente y mal en ciberseguridad. Un informe del último trimestre no refleja lo que está sucediendo ahora mismo. Esta brecha entre la evaluación y la realidad significa que las organizaciones a menudo descubren que su organización no es realmente segura solo después de una violación.

Validación de la exposición adversaria: la prueba de estrés de ciberseguridad final

La validación de exposición adversaria (AEV) es la evolución lógica para los equipos de seguridad listos para ir más allá de los supuestos y las ilusiones. AEV funciona como un continuo “Prueba de estrés de ciberseguridad” para su organización y sus defensas. El ciclo de bombeo 2024 de Gartner para operaciones de seguridad BAS consolidada y un equipo automático de pentesting/rojo en la categoría única de validación de exposición adversaria, lo que subraya que estas herramientas previamente aisladas son más poderosas juntas. Echemos un vistazo más de cerca:

  • Simulación de violación y ataque (BAS): Puede pensar en BAS como una pareja automatizada y continua de combate que emula con seguridad las amenazas cibernéticas y los comportamientos de los atacantes en su entorno. BAS prueba continuamente qué tan bien están detectando sus controles y evitando acciones maliciosas, proporcionando evidencia continua de qué ataques se atrapan y cuáles se deslizan.
  • Pruebas de penetración automatizada: Una sonda metódica que no solo escanea las vulnerabilidades, sino que intenta activamente la explotación, paso a paso, tal como lo haría un atacante real. Estos pentests automatizados (a veces llamados pentestes continuos o autónomos) lanzan ataques dirigidos para encontrar debilidades reales, encadenando las hazañas y sondeando las reacciones de sus sistemas.

Crucialmente, AEV no se trata solo de tecnología, también es un cambio de mentalidad. Las CISO líderes ahora abogan por un enfoque de “asumir violación”: asumiendo el enemigo voluntad Penetre sus defensas iniciales, puede concentrarse en validar su preparación para esa eventualidad. En la práctica, esto significa emular constantemente las tácticas adversas en todo su cadena de asesinato, desde el acceso inicial, hasta el movimiento lateral, hasta la exfiltración de datos, y garantizar que sus personas y herramientas estén detectando, e idealmente se detienen, cada paso. Este es el objetivo: defensa verdaderamente proactiva.

Gartner predice que para 2028, Validación de exposición continua Será aceptado como una alternativa a los requisitos tradicionales de Pentest en los marcos regulatorios. Los líderes de seguridad con visión de futuro ya se están moviendo de esta manera, ¿por qué fortalecer ese muelle solo una vez al año y esperar lo mejor, cuando puede probar y reforzarlo continuamente para que se adapte a una marea creciente de amenazas en constante evolución?

Desde el ruido hasta la precisión: concéntrese en lo que importa

Uno de los mayores desafíos entre las industrias para los equipos de seguridad es la incapacidad de reducir el ruido. Por eso La validación de la exposición adversaria es muy importante: reenfoca a sus equipos sobre lo que realmente le importa a su organización:

  • Eliminando las conjeturas mostrándote cual Las vulnerabilidades pueden ser explotadas y cómo. En lugar de sudar a más de docenas de CVSS de más de 9+ vulns que atacantes podría Explotación, sabrás cuáles poder Explotar en su entorno y en qué secuencia. Esto le permite priorizar las defensas basadas en riesgo real, no severidad hipotética.
  • Racionalización de la remediación. En lugar de una acumulación interminable de hallazgos “críticos” que nunca parece reducirse, AEV ofrece una visión clara y estructurada de la cual las exposiciones son realmente explotables en su entorno, a menudo en combinaciones peligrosas que no serían obvias de los resultados de escaneo aislado. Esto significa que los equipos finalmente pueden salir de reaccionar y arreglar proactivamente lo que en realidad necesita arreglar, reducir drásticamente el riesgo y ahorrar tiempo y esfuerzo.
  • Inculcando confianza (el buen tipo). Cuando las pruebas de AEV no incumplen un control particular, cuando un ataque no puede superar su protección de punto final o se detiene el movimiento lateral, obtienes la confianza de que esa defensa está sosteniendo la línea. Luego puedes centrar tu atención en otro lugar. En resumen, usted y sus equipos obtendrán crédito por hacer las cosas bien, no culpadas por arreglar las cosas incorrectas.

Este cambio a la defensa centrada en la validación tiene una recompensa tangible: Gartner proyecta que para 2026, organizaciones que priorizan las inversiones basadas en Gestión continua de la exposición a la amenaza (incluido AEV) sufrirá dos tercios menos violaciones. Esa es una reducción masiva en el riesgo, lograda al concentrarse en el bien problemas.

Seguridad Picus: una fuerza líder en la validación de exposición adversaria (AEV)

En PICU, hemos estado a la vanguardia de la validación de seguridad desde 2013, pionero en la simulación de incumplimiento y ataque y ahora integrándolo con pruebas de penetración automatizadas para ayudar a las organizaciones realmente a comprender la efectividad de sus defensas. Con el Plataforma de validación de seguridad PICUSlos equipos de seguridad obtienen la claridad que necesitan para actuar decisivamente. No más puntos ciegos, no más suposiciones, solo pruebas del mundo real que asegura que sus controles estén listos para los de hoy y las amenazas de mañana.

¿Listo para pasar de la ilusión de ciberseguridad a la realidad? Obtenga más información sobre cómo AEV puede transformar su programa de seguridad descargando nuestro gratis Libro electrónico “Introducción a la validación de la exposición”.

Nota: Este artículo ha sido escrito por expertos y contribuido por Dr. Suleyman Ozarslancofundador de Picus y vicepresidente de Picus Labs, donde creemos que se obtiene la verdadera seguridad, no se supone.

¿Encontró este artículo interesante? Este artículo es una pieza contribuida de uno de nuestros valiosos socios. Séguenos Gorjeo  y LinkedIn Para leer más contenido exclusivo que publicamos.





ttn-es-57

About the Author

teknomers

Administrator

Visit Website View All Posts

Post navigation

Previous: ‘No hay consecuencias aquí después de la colisión en la costa británica; Su propio bote de talling marino es imprescindible “, dice Gouverneur Decaluwé
Next: Desde la crisis hasta la renovación: cómo recuperar la industria textil turca para 2026

Related Stories

IA empresarial: OpenAI se equipa con un ejército de ingenieros
  • Tecnología

IA empresarial: OpenAI se equipa con un ejército de ingenieros para imponer GPT-5.6

teknomers 8 de Temmuz de 2026
El Francés Mistral AI enseña a los robots a navegar
  • Tecnología

El Francés Mistral AI enseña a los robots a navegar con una sola cámara

teknomers 8 de Temmuz de 2026
Steam supera los 200 millones de jugadores, muy por delante
  • Tecnología

Steam supera los 200 millones de jugadores, muy por delante de PlayStation

teknomers 8 de Temmuz de 2026

You May Have Missed

La sucesión de olas de calor trae al menos una
  • Entretenimiento

La sucesión de olas de calor trae al menos una buena noticia frente a los climatoscépticos.

teknomers 8 de Temmuz de 2026
  • General

Consejos de vida para superar obstáculos: Los mejores consejos para la vida de la primera canciller mujer de Alemania, Angela Merkel: ‘Cualquier cosa que parezca estar establecida o inalterable puede, de hecho, cambiar…’ – Por qué todo gran cambio comienza en tu mente.

teknomers 8 de Temmuz de 2026
  • Deporte

Copa Mundial 2026: ¿Francia fuera? Predicciones de puntaje de Chris Sutton para los partidos de cuartos de final

teknomers 8 de Temmuz de 2026
  • General

Lecciones de vida sobre cómo abrazar el cambio por JFK: El mejor consejo para la vida de John F. Kennedy: ‘El cambio es la ley de la vida. Y aquellos que solo miran hacia el pasado o el presente son…’ – inspiradora cita del primer presidente católico romano de Estados Unidos que explica por qué el futuro pertenece a quienes aceptan el cambio.

teknomers 8 de Temmuz de 2026
  • Blog
  • Política de Privacidad
  • Publicación de artículos promocionales y backlinks
Copyright © 2026 All rights reserved. | ReviewNews by AF themes.