CTEM 101: Vaya más allá de la gestión de vulnerabilidades con una gestión continua de exposición a amenazas

teknomers


12 de marzo de 2024Las noticias de los piratas informáticosCTEM / Gestión de Vulnerabilidades

En un mundo de jerga en constante expansión, agregar otro FLA (acrónimo de cuatro letras) a su glosario puede parecer lo último que querría hacer. Pero si está buscando formas de reducir continuamente el riesgo en su entorno y al mismo tiempo realizar mejoras significativas y consistentes en la postura de seguridad, en nuestra opinión, probablemente desee considerar establecer un Gestión continua de la exposición a amenazas (CTEM) programa.

CTEM es un enfoque para la gestión de riesgos cibernéticos que combina simulación de ataques, priorización de riesgos y orientación de remediación en un proceso coordinado. El término Gestión continua de la exposición a amenazas apareció por primera vez en el informe de Gartner®, Implementar un programa de gestión continua de la exposición a amenazas (CTEM) (Gartner, 21 de julio de 2022). Desde entonces, hemos visto que organizaciones de todo el mundo están viendo los beneficios de este enfoque integrado y continuo.

Plataforma de gestión de exposición

Seminario web: Por qué y cómo adoptar el marco CTEM

XM Cyber ​​está organizando un seminario web con el vicepresidente y analista de Gartner, Pete Shoard, sobre la adopción del marco CTEM el 27 de marzo e incluso si no puede unirse, compartiremos un enlace bajo demanda, ¡no se lo pierda!

Centrarse en las áreas con mayor riesgo

Pero, ¿por qué es popular CTEM y, lo que es más importante, cómo mejora el ya saturado mundo de la gestión de vulnerabilidades?

Un elemento central de CTEM es el descubrimiento de riesgos reales y procesables para los activos críticos. Cualquiera puede identificar mejoras de seguridad en el entorno de una organización. El problema no es encontrar exposiciones, sino verse abrumado por ellas y poder saber cuáles plantean el mayor riesgo para los activos críticos.

En nuestra opinión, un programa CTEM te ayuda a:

  1. Identifique sus activos más expuestos, junto con cómo un atacante podría aprovecharlos
  2. Comprender el impacto y la probabilidad de posibles infracciones
  3. Priorizar los riesgos y vulnerabilidades más urgentes
  4. Obtenga recomendaciones prácticas sobre cómo solucionarlos
  5. Supervise su postura de seguridad continuamente y realice un seguimiento de su progreso

Con un programa CTEM, puede obtener la «vista del atacante», cruzando las fallas en su entorno con su probabilidad de ser utilizadas por un atacante.. El resultado es una lista priorizada de exposiciones a abordar, incluidas aquellas que pueden abordarse de manera segura más adelante.

Las cinco etapas de un programa CTEM

Gestión de vulnerabilidades

Más que un producto o servicio en particular, CTEM es un programa que reduce la exposición a la seguridad cibernética a través de cinco etapas:

  1. Alcance – Según Gartner, «para definir y luego refinar el alcance de la iniciativa CTEM, los equipos de seguridad primero deben comprender qué es importante para sus contrapartes comerciales y qué impactos (como la interrupción requerida de un sistema de producción) es probable que se produzcan». lo suficientemente grave como para justificar un esfuerzo colaborativo de reparación».
  2. Descubrimiento – Gartner dice: «Una vez que se completa el alcance, es importante comenzar un proceso de descubrimiento de activos y sus perfiles de riesgo. Se debe dar prioridad al descubrimiento en áreas del negocio que han sido identificadas por el proceso de alcance, aunque esto no es «Siempre es el conductor. El descubrimiento de exposición va más allá de las vulnerabilidades: puede incluir una mala configuración de los activos y los controles de seguridad, pero también otras debilidades como activos falsificados o malas respuestas a una prueba de phishing».
  3. Priorización – En esta etapa, dice Gartner, «el objetivo de la gestión de la exposición no es tratar de remediar cada problema identificado ni la mayoría de las amenazas de día cero, por ejemplo, sino más bien identificar y abordar las amenazas con mayor probabilidad de ser explotadas contra la organización». «. Gartner señala además que «las organizaciones no pueden manejar las formas tradicionales de priorizar las exposiciones a través de puntuaciones de gravedad base predefinidas, porque necesitan tener en cuenta la prevalencia de exploits, los controles disponibles, las opciones de mitigación y la criticidad del negocio para reflejar el impacto potencial en la organización.
  4. Validación – Esta etapa, según Gartner, «es la parte del proceso mediante el cual una organización puede validar cómo los atacantes potenciales pueden realmente explotar una exposición identificada y cómo podrían reaccionar los sistemas de monitoreo y control». Gartner también señala que los objetivos del paso de Validación incluyen «evaluar el probable» éxito del ataque «al confirmar que los atacantes realmente podrían explotar las exposiciones previamente descubiertas y priorizadas».
  5. Movilización – Dice Gartner: «Para garantizar el éxito, los líderes de seguridad deben reconocer y comunicar a todas las partes interesadas que la remediación no se puede automatizar completamente». El informe señala además que «el objetivo del esfuerzo de «movilización» es garantizar que los equipos pongan en práctica los hallazgos de CTEM reduciendo la fricción en la aprobación, los procesos de implementación y los despliegues de mitigación. Requiere que las organizaciones definan estándares de comunicación (requisitos de información) y documentos cruzados documentados. -Flujos de trabajo de aprobación del equipo.»

CTEM versus enfoques alternativos

Existen varios enfoques alternativos para comprender y mejorar la postura de seguridad, algunos de los cuales se han utilizado durante décadas.

  • Gestión de vulnerabilidades/RBVM se centra en la reducción de riesgos mediante el escaneo para identificar vulnerabilidades, luego priorizarlas y solucionarlas basándose en un análisis estático. La automatización es esencial, dada la cantidad de activos que deben analizarse y la cantidad cada vez mayor de vulnerabilidades identificadas. Pero RBVM se limita a identificar CVE y no aborda problemas de identidad ni configuraciones erróneas. Además, no cuenta con la información necesaria para priorizar adecuadamente la remediación, lo que generalmente genera retrasos generalizados.
  • Ejercicios del equipo rojo son pruebas manuales, costosas y puntuales de las defensas de seguridad cibernética. Buscan identificar si existe o no una ruta de ataque exitosa en un momento particular, pero no pueden identificar toda la gama de riesgos.
  • Similarmente, Pruebas de penetración utiliza una metodología de prueba como evaluación del riesgo y proporciona un resultado en un momento dado. Dado que implica una interacción activa con la red y los sistemas, normalmente está limitado con respecto a los activos críticos, debido al riesgo de una interrupción.
  • Gestión de la postura de seguridad en la nube (CSPM) se centra en problemas de configuración incorrecta y riesgos de cumplimiento únicamente en entornos de nube. Si bien es importante, no considera a los empleados remotos, los activos locales ni las interacciones entre múltiples proveedores de nube. Estas soluciones desconocen la ruta completa de los riesgos de ataque que cruzan entre diferentes entornos, un riesgo común en el mundo real.

En nuestra opinión, un enfoque basado en un programa CTEM ofrece las ventajas de:

  • Cubriendo todos los activos (en la nube, locales y remotos) y sabiendo cuáles son los más críticos.
  • Descubrir continuamente todo tipo de exposiciones: CVE tradicionales, identidades y configuraciones erróneas.
  • Presentar información del mundo real sobre la visión del atacante
  • Priorizar los esfuerzos de remediación para eliminar aquellas rutas con la menor cantidad de correcciones
  • Brindar asesoramiento de remediación para mejoras confiables y repetidas.

El valor de CTEM

Creemos que el enfoque CTEM tiene ventajas sustanciales sobre otras alternativas, algunas de las cuales se han utilizado durante décadas. Fundamentalmente, las organizaciones han pasado años identificando exposiciones, agregándolas a interminables listas de «cosas por hacer», gastando incontables tiempo trabajando en esas listas y aún así sin obtener un beneficio claro. Con CTEM, un enfoque más reflexivo para el descubrimiento y la priorización agrega valor al:

  • Reducir rápidamente el riesgo general
  • Aumentar el valor de cada remediación y potencialmente liberar recursos.
  • Mejorar la alineación entre los equipos de seguridad y TI
  • Proporcionar una visión común de todo el proceso, fomentando un circuito de retroalimentación positiva que impulse la mejora continua.

Comenzando con CTEM

Dado que CTEM es un proceso más que un servicio específico o una solución de software, comenzar es un esfuerzo holístico. La aceptación organizacional es un primer paso crítico. Otras consideraciones incluyen:

  • Apoyar los procesos y la recopilación de datos con los componentes de software adecuados
  • Definición de activos críticos y actualización de flujos de trabajo de remediación
  • Ejecutar las integraciones de sistemas correctas
  • Determinar los informes ejecutivos adecuados y un enfoque para mejorar la postura de seguridad.

En nuestra opinión, con un programa CTEM, las organizaciones pueden fomentar un lenguaje común de riesgo para la seguridad y la TI; y garantizar que el nivel de riesgo de cada exposición quede claro. Esto permite abordar de manera significativa y mensurable el puñado de exposiciones que realmente plantean riesgos, entre los muchos miles que existen.

Para obtener más información sobre cómo comenzar con su programa CTEM, consulte el documento técnico de XM Cyber, XM Cyber ​​sobre la puesta en funcionamiento del marco de gestión continua de exposición a amenazas (CTEM) de Gartner®.

Gestión de vulnerabilidades

¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Siga con nosotros Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.





ttn-es-57