La superficie de ataque ya no es lo que era y se está convirtiendo en una pesadilla para protegerla. Una superficie de ataque en constante expansión y evolución significa que el riesgo para la empresa se ha disparado y las medidas de seguridad actuales tienen dificultades para mantenerla protegida. Si ha hecho clic en este artículo, es muy probable que esté buscando soluciones para gestionar este riesgo.
En 2022, Gartner acuñó un nuevo marco para abordar estos desafíos: la gestión continua de la exposición a amenazas (CTEM). Desde entonces, poner en práctica este marco se ha convertido en una prioridad en muchas organizaciones debido a la profunda mejora que se espera que logre para mantener un alto nivel de preparación y resiliencia en materia de seguridad.
«Para 2026, las organizaciones que prioricen sus inversiones en seguridad basándose en un programa de gestión de exposición continua tendrán tres veces menos probabilidades de sufrir una vulneración». Gartner, «Cómo gestionar las amenazas de ciberseguridad, no los episodios», 21 de agosto de 2023
CTEM proporciona una visión continua y completa de la superficie de ataque y las exposiciones dentro de ella, probando si los controles de seguridad están bloqueando eficazmente la posible explotación de las exposiciones y luego agilizando la movilización hacia la remediación de las vulnerabilidades seleccionadas.
La adopción de CTEM puede volverse abrumadora rápidamente, ya que implica la orquestación de muchas partes dispares y móviles. Reunir activos digitales, cargas de trabajo, redes, identidades y datos en toda la empresa. Por lo tanto, para simplificar esto, hemos dividido el marco en sus pilares, brindando pasos manejables que lo guiarán a través de este proceso para hacer que la gestión de la exposición sea manejable.
Pilar n.° 1: ampliar la visibilidad de la superficie de ataque
Un desafío principal de la gestión de activos es su alcance limitado. Proporciona solo una vista seccionada de la superficie de ataque, que generalmente se concentra únicamente en las vulnerabilidades locales, sin margen para tomar medidas con los datos de vulnerabilidad que genera.
CTEM proporciona una mayor visibilidad de todos los tipos de exposiciones en la superficie de ataque (interna, externa y en la nube) para ayudar a las organizaciones a comprender mejor su perfil de riesgo de seguridad real.
El proceso comienza con la delimitación del entorno de activos digitales en etapas. Recomendamos una delimitación inicial que incluya lo siguiente:
- La superficie de ataque externa, que tiende a tener un alcance menor y está respaldada por un ecosistema creciente de herramientas.
- Herramientas SaaS, que facilitan la comunicación sobre los riesgos, ya que las soluciones SaaS tienden a alojar cada vez más datos comerciales críticos.
En una segunda etapa, considere ampliar el alcance para incluir protección contra riesgos digitales, lo que agrega mayor visibilidad a la superficie de ataque.
Una vez determinado el alcance, las organizaciones deben determinar sus perfiles de riesgo mediante el descubrimiento de exposiciones en activos de alta prioridad. También deben incorporar la configuración incorrecta de los activos, especialmente en lo que se refiere a los controles de seguridad, y otras debilidades, como activos falsificados o respuestas deficientes a las pruebas de phishing.
Pilar n.° 2: Mejore su gestión de vulnerabilidades
La gestión de vulnerabilidades (VM) ha sido durante mucho tiempo la piedra angular de las estrategias de ciberseguridad de muchas organizaciones, centrándose en la identificación y la aplicación de parches contra los CVE conocidos. Sin embargo, con la creciente complejidad del entorno de TI y las capacidades mejoradas de los actores de amenazas, la VM por sí sola ya no es suficiente para mantener la postura de ciberseguridad de la empresa.
Esto es particularmente evidente si tenemos en cuenta el número creciente de CVE publicados cada año. Solo el año pasado, hubo 29.085 CVE y solo 2-7% De estos, se han explotado en la práctica. Esto hace que la perfección de los parches sea un objetivo poco realista, especialmente porque no tiene en cuenta las vulnerabilidades que no se pueden reparar, como las configuraciones incorrectas, los problemas de Active Directory, el software de terceros sin soporte, las credenciales robadas y filtradas, etc., que explican Más del 50% de las exposiciones empresariales para 2026.
CTEM cambia el enfoque para priorizar las exposiciones en función de su explotabilidad y su impacto de riesgo en activos críticos, en lugar de las puntuaciones CVSS, la cronología o la puntuación de los proveedores. Esto garantiza que los activos digitales más sensibles para la continuidad y los objetivos de la organización se aborden primero.
Por lo tanto, la priorización se basa en las brechas de seguridad que son fácilmente explotables y, al mismo tiempo, brindan acceso a activos digitales sensibles. La combinación de ambos hace que se prioricen estas exposiciones, que generalmente representan una fracción de todas las exposiciones descubiertas.
Pilar n.° 3 Validación Convierte CTEM de teoría a estrategia probada
El último pilar de la estrategia CTEM, la validación, es el mecanismo para evitar la explotación de las brechas de seguridad. Para garantizar la eficacia continua de los controles de seguridad, la validación debe ser de naturaleza ofensiva, emulando los métodos de los atacantes.
Hay cuatro estrategias para probar su entorno como un atacante, cada una de las cuales refleja las técnicas empleadas por los adversarios:
- Piensa en gráficos – Mientras que los defensores a menudo piensan en listas, ya sean de activos o vulnerabilidades, los atacantes piensan en gráficos, trazando las relaciones y los caminos entre los distintos componentes de la red.
- Automatizar pruebas – Las pruebas de penetración manuales son un proceso costoso que implica que un pentester externo realice pruebas de estrés a sus controles de seguridad. Las organizaciones tienen un alcance limitado en lo que pueden hacer. Por el contrario, los atacantes aprovechan la automatización para ejecutar ataques de manera rápida, eficiente y a gran escala.
- Validar rutas de ataque reales – Los atacantes no se centran en vulnerabilidades aisladas, sino que tienen en cuenta toda la ruta de ataque. Una validación eficaz implica probar toda la ruta, desde el acceso inicial hasta el impacto de la explotación.
- Prueba continuamente – Las pruebas de penetración manuales generalmente se realizan periódicamente, ya sea una o dos veces al año, sin embargo, las pruebas en «sprints» o ciclos cortos e iterativos permiten a los defensores adaptarse a la velocidad del cambio de TI, protegiendo toda la superficie de ataque al abordar las exposiciones a medida que surgen.
CTEM: Invierta ahora y coseche los resultados continuamente
Con todos los diferentes elementos de personas, procesos y herramientas en una estrategia CTEM, es fácil sentirse abrumado. Sin embargo, tenga en cuenta algunas cosas:
- No está empezando desde cero. Ya tiene implementados sus sistemas de gestión de activos y de gestión de vulnerabilidades; el objetivo aquí es simplemente ampliar su alcance. Asegúrese de que sus herramientas cubran de manera integral toda la superficie de ataque de su entorno de TI y que se actualicen continuamente al ritmo de los cambios.
- Considere esto como un proceso de perfeccionamiento continuo. La implementación del marco CTEM se convierte en un ciclo ágil de descubrimiento, mitigación y validación. El trabajo nunca está realmente terminado. A medida que su empresa crece y madura, también lo hace su infraestructura de TI.
- Coloque la validación en el centro de su estrategia CTEM. Esto le dará la confianza de saber que sus operaciones de seguridad resistirán cuando se las ponga a prueba. En cualquier momento, debe saber dónde se encuentra. Tal vez todo esté en orden, lo cual es genial. Alternativamente, puede identificarse una brecha, pero ahora puede llenarla con un enfoque prescriptivo, completamente consciente de cuál será el impacto posterior.
Aprende más sobre cómo implementar una estrategia CTEM que priorice la validación con Pentera.