Los CISO, los líderes de seguridad y los equipos de SOC a menudo luchan con una visibilidad limitada de todas las conexiones realizadas a los activos y redes propiedad de su empresa. Se ven obstaculizados por la falta de inteligencia de código abierto y la tecnología poderosa necesaria para el descubrimiento y la protección proactivos, continuos y efectivos de sus sistemas, datos y activos.
A medida que los actores de amenazas avanzadas buscan constantemente vulnerabilidades fácilmente explotables durante todo el día, los CISO buscan métodos mejorados para reducir la exposición a amenazas y proteger sus activos, usuarios y datos de ataques cibernéticos implacables y las graves consecuencias de las infracciones.
En respuesta a esta necesidad, una solución emergente que aborda las prioridades más críticas en la etapa inicial de la cadena de ataque ha brindado a los líderes de seguridad una nueva herramienta para administrar sus exposiciones a amenazas más apremiantes en su origen. La firma de analistas líder Gartner Research describe la solución: «Para 2026, las organizaciones que prioricen sus inversiones en seguridad en función de un programa de gestión de exposición continua tendrán 3 veces menos probabilidades de sufrir una infracción». (Gartner, 2022).
Pero, ¿qué implica esto exactamente?
Los equipos de seguridad y TI se enfrentan constantemente a amenazas y deben abordar de forma proactiva las brechas de seguridad críticas en sus activos expuestos. Al implementar un Programa de gestión continua de la exposición a amenazas (CTEM), los equipos de seguridad pueden frustrar los objetivos de sus adversarios al minimizar los riesgos críticos asociados con los activos expuestos. Este enfoque integral combina estrategias de prevención y reparación para a) prevenir por completo una infracción o b) reducir significativamente el impacto si se produce una infracción.
Adversarios más rápidos, protección inadecuada e incidentes prevenibles
En 2023, a pesar de las inversiones significativas en infraestructura de seguridad y personal calificado, los enfoques existentes luchan por reducir los riesgos, administrar las exposiciones a amenazas y prevenir violaciones de seguridad de manera efectiva.
Las técnicas actuales de gestión preventiva de riesgos cibernéticos, aunque eficientes, requieren mucho tiempo, recursos y son susceptibles a errores humanos. Tareas como la detección continua de vulnerabilidades, la identificación y la gestión de parches exigen mucho tiempo y experiencia para ejecutarse con precisión. Los retrasos o el mal manejo de estas actividades cruciales pueden conducir a una mayor probabilidad de violaciones de seguridad que perjudiquen financieramente.
Simultáneamente, los ciberdelincuentes pueden adquirir sin esfuerzo puntos de acceso inicial a objetivos de alto valor a través de la dark web, gracias al ransomware como servicio y a los intermediarios de acceso inicial. Además, pueden obtener fácilmente credenciales de usuario comprometidas en línea, que están fácilmente disponibles para su uso en tácticas, técnicas y procedimientos (TTP) dirigidos.
Para agravar los riesgos, la brecha de habilidades en ciberseguridad y los factores económicos han dejado a muchos equipos de SecOps y DevOps sin suficiente personal, recursos y abrumados por las alertas.
Estos factores combinados han dado como resultado una visibilidad limitada para el SOC, lo que brinda una ventaja indebida a los actores de amenazas. Esta tendencia debe ser contrarrestada y revertida.
La creciente superficie de ataque y la creciente exposición a amenazas
En 2022, los atacantes externos fueron responsables del 75% de las brechas de seguridad reportadas (IBM, 2022). Estos ataques son rápidos, complejos y representan un desafío importante para los SOC contemporáneos. Para contrarrestar estas amenazas, las organizaciones deben adoptar una estrategia de defensa de múltiples capas, ya que sus redes, sistemas y usuarios están bajo constante ataque de actores de amenazas externas con intenciones maliciosas.
Las debilidades, las brechas de seguridad y los controles insuficientes contribuyen a una superficie de ataque en constante evolución donde los ciberdelincuentes pueden explotar las exposiciones de amenazas de fácil acceso. Tradicionalmente, estos problemas fueron abordados por las funciones de gestión de vulnerabilidades. Sin embargo, a medida que los ciberdelincuentes buscan continuamente superficies de ataque vulnerables, en busca de controles débiles, activos sin parches y sistemas susceptibles, sus TTP se han vuelto notablemente precisos, increíblemente rápidos y altamente efectivos.
Los equipos de seguridad requieren capacidades mejoradas que ofrezcan precisión, velocidad y flexibilidad para adelantarse a sus adversarios.
Reconociendo esto, es crucial priorizar la identificación y remediación de exposiciones críticas a amenazas de seguridad, ya que la mayoría se puede prevenir. Al detectar y abordar rápidamente estas exposiciones, los CISO pueden reducir efectivamente su superficie de ataque general y detener su expansión implacable. Por lo tanto, las organizaciones deben implementar un programa de gestión continua de la exposición a amenazas (CTEM) que funcione las 24 horas del día, los 7 días de la semana.
Construyendo un programa CTEM proactivo
Tanto las grandes empresas como las pequeñas y medianas empresas (PYMES) deben contemplar la adopción de un programa CTEM para optimizar los procesos de gestión de vulnerabilidades convencionales y minimizar su superficie de ataque. Al abordar de manera proactiva las vulnerabilidades y emplear estrategias eficientes de gestión de riesgos, las organizaciones pueden reforzar su postura de seguridad y disminuir las posibles consecuencias de las infracciones de seguridad. CTEM ofrece un enfoque holístico que va más allá de la mera gestión de vulnerabilidades, proporcionando inteligencia, contexto y datos para dar significado y validación a los descubrimientos.
Gartner Research define un programa CTEM como un método cohesivo y dinámico para priorizar la remediación y mitigación de los riesgos cibernéticos más apremiantes mientras mejora continuamente la postura de seguridad de una organización: «CTEM abarca una colección de procesos y capacidades que permiten a las empresas evaluar continua y consistentemente la accesibilidad, exposición y explotabilidad de los activos digitales y físicos de una empresa» (Gartner, 2022).
El enfoque de CTEM en DevSecOps
Un programa CTEM está estructurado en cinco etapas distintas pero interconectadas, que deben ejecutarse de manera cíclica: definición del alcance, descubrimiento de vulnerabilidades, clasificación de prioridades, verificación de hallazgos e inicio de acción.
Estas etapas facilitan una comprensión integral del panorama de amenazas cibernéticas de la organización y permiten que los equipos de seguridad tomen medidas decisivas y bien informadas. La fase de movilización del programa CTEM se centra en priorizar las vulnerabilidades y los riesgos en función de la criticidad de los activos, garantizar una reparación rápida e incorporar flujos de trabajo fluidos para los equipos de DevSecOps.
Cuando se implementa de manera efectiva, un programa CTEM puede prevenir incidentes y violaciones de seguridad, acelerar la reducción de riesgos y mejorar la madurez general de la seguridad. Las características y capacidades clave de un programa sólido de CTEM incluyen:
- Descubrimiento automatizado de activos y gestión de vulnerabilidades
- En curso evaluación de vulnerabilidad de exposiciones a amenazas dentro de la superficie de ataque
- Validación de seguridad para eliminar falsos positivos y garantizar la precisión
- Obtener visibilidad de la perspectiva del atacante y posibles vías de ataque
- Priorizar los esfuerzos de remediación e integrarlos con los flujos de trabajo de DevSecOps
Comience su programa CTEM hoy
Los ejecutivos de seguridad requieren soluciones continuas de gestión de exposición a amenazas que mejoren, respalden y amplíen las capacidades de su equipo interno para neutralizar las amenazas en su origen, evitando brechas de seguridad costosas y dañinas.
A través del desarrollo avanzado de CTEM, los CISO y los líderes de seguridad pueden adoptar un enfoque proactivo de varias capas para combatir los ataques cibernéticos, asegurando una estrategia prioritaria y efectiva. Este completo conjunto de capacidades equipa a los equipos con poderosas herramientas programáticas que pueden disminuir sustancialmente los riesgos cibernéticos en tiempo real mientras mejoran continuamente los resultados de seguridad a largo plazo.
Si está interesado en obtener más información sobre cómo crear un enfoque de clase mundial para cerrar las brechas de seguridad con un programa de gestión de exposición continua a amenazas, comuníquese con BreachLockel líder mundial en Servicios de pruebas de penetraciónpara una llamada de descubrimiento hoy.