A pesar de una inversión coordinada de tiempo, esfuerzo, planificación y bienes, incluso los sistemas de ciberseguridad más actualizados continúan fallando. Cada día. ¿Por qué?
No es porque los equipos de seguridad no puedan ver lo suficiente. Todo lo contrario. Cada utensilio de seguridad escupe miles de hallazgos. Parche esto. Rodear eso. Investigue esto. Es un tsunami de puntos rojos que ni siquiera el equipo de crackerjack de la Tierra podría aclararse.
Y aquí está la otra verdad incómoda: La viejo parte no mater.
Arreglar todo es inverosímil. Intentar es el mensaje de un tonto. Los equipos inteligentes no pierden tiempo precioso corriendo alertas sin sentido. Entienden que la secreto oculta para proteger su ordenamiento es asimilar qué exposiciones positivamente están poniendo en aventura el negocio.
Es por eso que Gartner introdujo el concepto de Encargo continua de la exposición a la amenaza y poner priorización y potencia en el corazón de eso. No se proxenetismo de más paneles o gráficos más bonitos. Se proxenetismo de ceñir el enfoque y admitir la lucha al puñado de exposiciones que positivamente importan y demostrar que sus defensas positivamente resistirán cuándo y dónde positivamente necesitan.
El problema con la mandato tradicional de vulnerabilidades
La mandato de vulnerabilidad se basó en una premisa simple: encontrar todas las afición, clasificarla y luego parcharla. En el papel, suena inductivo y sistemático. Y hubo un momento en que tenía mucho sentido. Hoy, sin retención, enfrenta un afluencia de amenazas sin precedentes y constante, es una cinta de valer que ni siquiera el equipo más apto puede seguir.
Cada año, más 40,000 vulnerabilidades y exposiciones comunes (CVE) Golpea el cable. Sistemas de puntuación como CVSS y EPSS sellar obedientemente 61% de ellos como “críticos”. Eso no es priorización, es pánico a escalera. A estas etiquetas no les importa si el error está enterrado detrás de tres capas de autenticación, bloqueadas por controles existentes o prácticamente inexplorable en su entorno específico. En lo que respecta, una amenaza es una amenaza.
 |
| Figura 1: Cuerpo de vulnerabilidad proyectados |
Entonces los equipos se mueven a sí mismos persiguiendo fantasmas. Queman ciclos en vulnerabilidades que nunca se utilizarán en un ataque, mientras que un puñado de los que sí importan pasan, desapercibidos. Es un teatro de seguridad disfrazado de reducción de riesgos.
En existencia, el escena de aventura existente se ve muy diferente. Una vez que tenga en cuenta los controles de seguridad existentes, solo Rodeando del 10% de las vulnerabilidades del mundo existente son positivamente críticos. Lo que significa que El 84% de las llamadas alertas “críticas” equivalen a falsa emergencianuevamente drenando el tiempo, el presupuesto y el enfoque que podría, y debería, deberse en amenazas reales.
Ingrese la mandato continua de exposición a amenazas (CTEM)
La mandato continua de exposición a amenazas (CTEM) se desarrolló para terminar con la cinta de valer interminable. En división de sofocar equipos en hallazgos “críticos” teóricos, reemplaza el tamaño con claridad a través de dos pasos esenciales.
- Priorización Rangos de exposición por impacto comercial existente, no puntajes de pesadez abstracta.
- Empuje Las pruebas de presión esas exposiciones priorizadas contra su entorno específico, descubriendo cuáles pueden positivamente explotar los atacantes.
Uno sin el otro error. La priorización por sí sola son solo conjeturas educadas. La potencia por sí sola desata los ciclos de hipotéticos y los problemas equivocados. Pero juntos convierten supuestos en evidencia y listas interminables en una actividad enfocada y realista.
 |
| Figura 2: CTEM en actividad |
Y el efecto va mucho más allá de CVE. Como predice Gartner, para 2028, Más de la centro de las exposiciones provendrán de debilidades no técnicas Como aplicaciones SaaS mal configuradas, credenciales filtradas y error humano. Por fortuna, CTEM aborda este frente, aplicando la misma esclavitud de actividad disciplinada priorizar a validar en todo tipo de exposición.
Es por eso que CTEM no es solo un situación. Es una desarrollo necesaria desde perseguir alertas hasta probar el aventuray Desde arreglar todo hasta arreglar lo que más importa.
Automatizar la potencia con tecnologías de potencia de exposición adversaria (AEV)
CTEM exige potencia, pero la potencia requiere delicadeza y contexto adversario, que Empuje de exposición adversaria (AEV) Las tecnologías entregan. Ayudan a ceñir aún más las listas de “prioridad” infladas y demuestran en la destreza qué exposiciones positivamente abrirán la puerta a los atacantes.
Dos tecnologías impulsan esta automatización:
- Simulación de violación y ataque (BAS) de forma continua y segura Simula y emula técnicas adversas como las cargas efectos de ransomware, el movimiento contiguo y la exfiltración de datos para repasar si sus controles de seguridad específicos positivamente detendrán lo que se supone que deben hacerlo. No es un prueba único sino una destreza continua, con escenarios mapeados para el Mitre Att & CKⓇ Situación de amenazas para relevancia, consistencia y cobertura.
- Pruebas de penetración automatizada Va más allá al encadenar vulnerabilidades y configuraciones erróneas como lo hacen los verdaderos atacantes. Se destaca para exponer y explotar caminos de ataque complejos que incluyen querberoasting en el directorio activo o la ascenso de privilegios a través de sistemas de identidad mal administrados. En división de tener fe en un Pentesting anual Pentest, Pentesting, los equipos le permite a los equipos realizar pruebas significativas a pedido, con la viejo frecuencia que sea necesario.
 |
| Figura 3: Casos de uso de pruebas de penetración de BAS y automatizados |
Juntos, Bas y Pentesting automatizado proporcionan a sus equipos el Perspectiva del atacante a escalera. Revelan no solo las amenazas que parecen peligrosas, sino lo que positivamente es explotable, detectable y defendible en su entorno.
Este cambio es crítico para las infraestructuras dinámicas donde los puntos finales giran con destino a en lo alto y con destino a debajo a diario, las credenciales pueden filtrarse a través de aplicaciones SaaS y las configuraciones cambian con cada sprint. En los entornos cada vez más dinámicos de hoy, las evaluaciones estáticas no pueden evitar quedarse a espaldas. BAS y Pentesting automatizado mantienen la potencia continua, convirtiendo la mandato de la exposición de teórico a la prueba del mundo existente.
Un caso de la vida existente: potencia de exposición adversaria (AEV) en actividad
Resistir Log4j como ejemplo. Cuando apareció por primera vez, cada escáner se iluminó rojo. Los puntajes de CVSS le dieron un 10.0 (crítico), Los modelos EPSS marcaron una probabilidad de incorporación exploit, y los inventarios de activos mostraron que estaba disperso en los entornos.
Los métodos tradicionales dejaron equipos de seguridad con una imagen plana, instruyéndoles que traten cada instancia como igualmente urgente. El resultado? Los bienes se extienden rápidamente, perdiendo el tiempo persiguiendo duplicados del mismo problema.
La potencia de la exposición adversaria cambia la novelística. Al validar en contexto, los equipos ven rápidamente que no todas las instancias de LOG4J son una crisis. Un sistema podría ya tener reglas WAF efectivas, controles de compensación o segmentación que elimina su puntaje de aventura de un 10.0 a un 5.2. Esa priorización lo desplaza de “Drop TODO ahora” con Klaxons a esfumarse, a “Parche como parte de los ciclos normales”.
Mientras tanto, la potencia de exposición adversaria incluso puede revelar el escena opuesto: una configuración errónea aparentemente de herido prioridad en una aplicación SaaS podría encadenar directamente a la exfiltración de datos confidencial, elevándolo de “medio” a “urgente”.
 |
| Figura 4: Empuje de la vulnerabilidad log4j a su efectivo puntaje de aventura |
La potencia de exposición adversaria ofrece un valía existente a sus equipos de seguridad mediante la medición:
- Efectividad de control: Demostrando si un intento de exploit se bloquea, registra o ignora.
- Detección y respuesta: Mostrar si los equipos de SOC están viendo la actividad y los equipos IR la contienen lo suficientemente rápido.
- Preparación operativa: Exponer enlaces débiles en flujos de trabajo, rutas de ascenso y procedimientos de contención.
En la destreza, Empuje de exposición adversaria Transforma log4j, o cualquier otra vulnerabilidad, de un “crítico” genérico en todas partes “en todas las manos en la pesadilla de la plataforma en un carta de riesgos preciso. Le dice a CISOS y equipos de seguridad no solo lo que hay, sino qué amenazas que existen positivamente importan para su entorno hoy.
El futuro de la potencia: La cumbre de los Picus Bas 2025
La mandato continua de exposición a amenazas (CTEM) proporciona una claridad muy necesaria que proviene de dos motores que trabajan juntos: Priorización para ajustar el esfuerzo y la potencia para probar lo que importa.
Tecnologías de potencia de exposición adversaria (AEV) Ayuda a dar vida a esta visión. Al combinar Simulación de violación y ataque (BAS) y Prueba de penetración automatizada, Son capaces de mostrar a los equipos de seguridad la perspectiva del atacante a escalera, surgiendo no solo lo que podría suceder, pero que voluntad Sucede si los espacios existentes no se abordan.
Para ver tecnologías de potencia de exposición adversaria (AEV) en actividad, une Picus Security, Sans, Hacker Valley y otros líderes de seguridad prominentes En la Cumbre Picus BAS 2025: Redefinir la simulación de ataque a través de AI. Esta cumbre aparente mostrará cómo BAS y AI están dando forma al futuro de la potencia de seguridad, con ideas de analistas, profesionales e innovadores que impulsan el campo.
(Asegure su división hoy)
