Cómo empezar con CTEM cuando no sabes por dónde empezar


La Gestión Continua de la Exposición a Amenazas (CTEM) es un marco estratégico que ayuda a las organizaciones a evaluar y gestionar continuamente el riesgo cibernético. Desglosa la compleja tarea de gestionar las amenazas a la seguridad en cinco etapas distintas: alcance, descubrimiento, priorización, validación y movilización. Cada una de estas etapas desempeña un papel crucial a la hora de identificar, abordar y mitigar las vulnerabilidades, antes de que los atacantes puedan aprovecharlas.

En papel, CTEM suena genial. Pero cuando el asunto llega a su fin, especialmente para los neófitos de CTEM, la implementación de CTEM puede parecer abrumadora. El proceso de poner en práctica los principios CTEM puede parecer prohibitivamente complejo al principio. Sin embargo, con las herramientas adecuadas y una comprensión clara de cada etapa, CTEM puede ser un método eficaz para fortalecer la postura de seguridad de su organización.

Por eso he elaborado una guía paso a paso sobre qué herramientas utilizar en cada etapa. ¿Quieres aprender más? Sigue leyendo…

Etapa 1: alcance

Cuando define activos críticos durante la determinación del alcance, está dando el primer paso esencial para comprender los procesos y recursos más valiosos de su organización. Su objetivo aquí es identificar los activos que son vitales para sus operaciones, y esto a menudo implica aportes de una variedad de partes interesadas, no solo de su equipo de operaciones de seguridad (SecOps). El alcance no es sólo una tarea técnica, es una gente tarea: se trata de comprender verdaderamente el contexto y los procesos de su negocio.

Una forma útil de abordar esto es a través de talleres sobre activos críticos para el negocio. Estas sesiones reúnen a los tomadores de decisiones, incluidos los altos directivos, para alinear sus procesos comerciales con la tecnología que los respalda. Luego, para respaldar sus esfuerzos de determinación del alcance, puede utilizar herramientas como las tradicionales hojas de cálculo, sistemas más avanzados como bases de datos de gestión de configuración (CMDB) o soluciones especializadas como gestión de activos de software (SAM) y gestión de activos de hardware (HAM). Además, las herramientas de gestión de la postura de seguridad de los datos (DSPM) brindan información valiosa al analizar los activos y priorizar aquellos que necesitan mayor protección. (Lea más sobre Alcance aquí.)

Etapa 2: Descubrimiento

Discovery se centra en identificar activos y vulnerabilidades en todo el ecosistema de su organización, utilizando diversas herramientas y métodos para compilar una visión integral de su panorama tecnológico y permitir que sus equipos de seguridad evalúen los riesgos potenciales.

Las herramientas de escaneo de vulnerabilidades se utilizan comúnmente para descubrir activos e identificar posibles debilidades. Estas herramientas buscan vulnerabilidades conocidas (CVE) dentro de sus sistemas y redes y luego entregan informes detallados sobre qué áreas necesitan atención. Además, Active Directory (AD) desempeña un papel crucial en el descubrimiento, especialmente en entornos donde prevalecen los problemas de identidad.

Para entornos de nube, las herramientas de gestión de la postura de seguridad en la nube (CSPM) se utilizan para identificar configuraciones erróneas y vulnerabilidades en plataformas como AWS, Azure y GCP. Estas herramientas también manejan problemas de gestión de identidades específicos de los entornos de nube. (Leer más sobre Descubrimiento aquí.)

Etapa 3: Priorización

La priorización efectiva es crucial porque garantiza que sus equipos de seguridad se concentren en las amenazas más impactantes y, en última instancia, reducen el riesgo general para su organización.

Es posible que ya esté utilizando soluciones tradicionales de gestión de vulnerabilidades que priorizan según las puntuaciones CVSS (Common Vulnerability Scoring System). Sin embargo, tenga en cuenta que estas puntuaciones a menudo no incorporan el contexto empresarial, lo que dificulta que las partes interesadas, tanto técnicas como no técnicas, comprendan la urgencia de amenazas específicas. Por el contrario, priorizar dentro del contexto de los activos críticos de su negocio hace que el proceso sea más comprensible para los líderes empresariales. Esta alineación permite a sus equipos de seguridad comunicar el impacto potencial de las vulnerabilidades de manera más efectiva en toda la organización.

El mapeo de rutas de ataque y la gestión de rutas de ataque se reconocen cada vez más como componentes esenciales de la priorización. Estas herramientas analizan cómo los atacantes pueden moverse lateralmente dentro de su red, ayudándole a identificar puntos críticos donde un ataque podría infligir el mayor daño. Las soluciones que incorporan el mapeo de rutas de ataque le brindan una imagen más completa de los riesgos de exposición, lo que permite un enfoque más estratégico para la priorización.

Finalmente, las plataformas externas de inteligencia sobre amenazas son clave en esta etapa. Estas herramientas le brindan datos en tiempo real sobre vulnerabilidades explotadas activamente, agregando un contexto crítico más allá de las puntuaciones CVSS. Además, las tecnologías basadas en IA pueden escalar la detección de amenazas y agilizar la priorización, pero es importante implementarlas con cuidado para evitar introducir errores en su proceso. (Leer más sobre Priorización aquí.)

Etapa 4: Validación

La etapa de validación de CTEM verifica que las vulnerabilidades identificadas puedan efectivamente explotarse, evaluando su impacto potencial en el mundo real. Esta etapa garantiza que no solo se afronten los riesgos teóricos, sino que se prioricen las amenazas genuinas que podrían provocar infracciones importantes si no se abordan.

Uno de los métodos de validación más eficaces son las pruebas de penetración. Los probadores de penetración simulan ataques del mundo real, intentando explotar vulnerabilidades y probando hasta dónde pueden llegar a través de su red. Esto valida directamente si los controles de seguridad que tiene implementados son efectivos o si ciertas vulnerabilidades pueden usarse como armas. Ofrece una perspectiva práctica, más allá de las puntuaciones de riesgo teóricas.

Además de las pruebas de penetración manuales, las herramientas de validación del control de seguridad como la simulación de ataques y violaciones (BAS) desempeñan un papel crucial. Estas herramientas simulan ataques dentro de un entorno controlado, lo que le permite verificar si vulnerabilidades específicas podrían eludir sus defensas existentes. Las herramientas que utilizan un modelo de gemelo digital le permiten validar rutas de ataque sin afectar los sistemas de producción, una gran ventaja sobre los métodos de prueba tradicionales que pueden interrumpir las operaciones. (Leer más sobre Validación aquí.)

Etapa 5: Movilización

La etapa de movilización aprovecha varias herramientas y procesos que mejoran la colaboración entre sus equipos de seguridad y operaciones de TI. Permitir que SecOps comunique vulnerabilidades y exposiciones específicas que requieren atención cierra la brecha de conocimiento, ayudando a las operaciones de TI a comprender exactamente qué se debe solucionar y cómo hacerlo.

Además, la integración de sistemas de emisión de tickets como Jira o Freshworks puede agilizar el proceso de remediación. Estas herramientas le permiten rastrear vulnerabilidades y asignar tareas, asegurando que los problemas se prioricen en función de su impacto potencial en los activos críticos.

Las notificaciones por correo electrónico también pueden ser valiosas para comunicar problemas urgentes y actualizaciones a las partes interesadas, mientras que las soluciones de gestión de eventos e información de seguridad (SIEM) pueden centralizar datos de diversas fuentes, ayudando a sus equipos a identificar y responder rápidamente a las amenazas.

Por último, es importante crear guías claras que describan los pasos para remediar las vulnerabilidades comunes. (Leer más sobre Movilización aquí.)

Guía del comprador de CTEM

Hacer que CTEM sea posible con XM Cyber

Ahora que ha leído la larga lista de herramientas que necesitará para hacer de CTEM una realidad, ¿se siente más preparado para empezar?

A pesar de lo transformador que es CTEM, muchos equipos ven la lista anterior y, comprensiblemente, retroceden, sintiendo que es una tarea demasiado compleja y llena de matices. Desde el inicio de CTEM, algunos equipos han optado por renunciar a los beneficios, porque incluso con una hoja de ruta, les parece un esfuerzo demasiado engorroso.

La forma más productiva de hacer de CTEM una realidad muy alcanzable es con un enfoque unificado de CTEM que simplifique la implementación al integrar todas las múltiples etapas de CTEM en una plataforma cohesiva. Esto minimiza la complejidad que a menudo se asocia con la implementación de herramientas y procesos dispares. Con XM Cyber, puedes:

  • Asigne procesos comerciales críticos a los activos de TI subyacentes para priorizar las exposiciones en función del riesgo para el negocio.
  • Descubra todos los CVE y no CVE (configuraciones erróneas, riesgos de identidad, permisos excesivos) en entornos locales y en la nube y en superficies de ataque internas y externas.
  • Obtenga una priorización más rápida y precisa basada en Attack Graph Analysis™ patentado que aprovecha la inteligencia de amenazas, la complejidad de la ruta de ataque, la cantidad de activos críticos que están comprometidos y si se trata de puntos de estrangulamiento para múltiples rutas de ataque.
  • Valide si los problemas son explotables en un entorno específico y si los controles de seguridad están configurados para bloquearlos.
  • Mejorar la remediación, debido a un enfoque en evidencia basada en el contexto, orientación de remediación y alternativas. También se integra con herramientas de emisión de tickets, SIEM y SOAR para realizar un seguimiento del progreso de la remediación.

CTEM – Este es el Camino

El enfoque unificado de XM Cyber ​​para CTEM simplifica la implementación al integrar múltiples etapas en una plataforma cohesiva. Esto minimiza la complejidad asociada con la implementación de herramientas y procesos dispares. Con XM Cyber, obtiene visibilidad en tiempo real de sus exposiciones, lo que le permite priorizar los esfuerzos de remediación basados ​​en el riesgo real en lugar de evaluaciones teóricas.

La plataforma facilita una comunicación fluida entre SecOps y IT Ops, lo que garantiza que todos estén en sintonía con respecto a las vulnerabilidades y la remediación. Esta colaboración fomenta una postura de seguridad más eficiente y receptiva, lo que permite a su organización abordar amenazas potenciales de manera rápida y efectiva. (Para obtener más información sobre por qué XM Cyber ​​es la respuesta más completa a CTEM, obtenga una copia de nuestro Guía del comprador de CTEM aquí.)

Guía del comprador de CTEM

En última instancia, XM Cyber ​​no solo mejora la capacidad de su equipo para gestionar las exposiciones, sino que también le permite adaptarse continuamente a un panorama de amenazas en evolución.

Nota: Este artículo fue escrito y contribuido de manera experta por Karsten Chearis, líder del equipo de ingeniería de ventas de seguridad de EE. UU. en XM Cyber.

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57