Los equipos de ciberseguridad quieren cada vez más ir más allá de analizar las amenazas y vulnerabilidades de forma aislada. No se comercio sólo de qué podría salir mal (vulnerabilidades) o quién podría atacar (amenazas), sino de dónde se cruzan en su entorno actual para crear una exposición actual y explotable.
¿Qué exposiciones efectivamente importan? ¿Pueden los atacantes explotarlos? ¿Son efectivas nuestras defensas?
Trámite continua de la exposición a amenazas (CTEM) puede proporcionar un enfoque útil a los equipos de ciberseguridad en su delirio alrededor de una dirección unificada de amenazas/vulnerabilidades o exposición.
Lo que efectivamente significa CTEM
CTEM, tal como lo define Gartner, enfatiza un ciclo “continuo” de identificación, priorización y remediación de exposiciones explotables en toda su superficie de ataque, lo que alivio su postura normal de seguridad como resultado. No es un examen único y un resultado entregado a través de una aparejo; es un maniquí activo construido en cinco pasos:
- Trascendencia – evalúe sus amenazas y vulnerabilidades e identifique qué es lo más importante: activos, procesos y adversarios.
- Descubrimiento – Mapee las exposiciones y las rutas de ataque en su entorno para anticipar las acciones de un adversario.
- Priorización – Concéntrese en lo que los atacantes pueden explotar de modo realista y en lo que necesita solucionar.
- Nervio – Probar supuestos con simulaciones de ataques controlados y seguros.
- Movilización – Impulsar la remediación y mejoras de procesos basadas en evidencia.
¿Cuál es el beneficio actual de CTEM?
CTEM cambia el enfoque alrededor de la dirección de exposición basada en riesgos, integrando muchos subprocesos y herramientas como evaluación de vulnerabilidades, dirección de vulnerabilidades, dirección de superficies de ataque, pruebas y simulación. CTEM unifica la evaluación de la exposición y la subsistencia de la exposición, con el objetivo final de que los equipos de seguridad puedan registrar e informar el impacto potencial en la reducción del aventura cibernético. La tecnología o las herramientas nunca han sido un problema; de hecho, tenemos un problema de opulencia en el ámbito de la ciberseguridad. Al mismo tiempo, con más herramientas, hemos creado más silos, y esto es exactamente lo que CTEM se propone desafiar: ¿podemos despersonalizar nuestra visión sobre las amenazas/vulnerabilidades/superficies de ataque y tomar medidas contra la exposición verdaderamente explotable para compendiar el aventura cibernético normal?
Papel de la inteligencia sobre amenazas en CTEM
Cada año se informan miles de vulnerabilidades (la número fue de más de 40.000 en 2024), pero en sinceridad menos del 10% se explotan. Threat Intelligence puede ayudarlo significativamente a concentrarse en las que son importantes para su estructura al conectar las vulnerabilidades con tácticas, técnicas y procedimientos (TTP) del adversario observados en campañas activas. La inteligencia sobre amenazas ya no es poco bueno, sino poco necesario. Puede ayudarle a especificar los requisitos de inteligencia prioritarios (PIR): el contexto, el panorama de amenazas que más importa en su entorno. Esta inteligencia de amenazas priorizada le indica qué fallas se están utilizando como armas, contra qué objetivos y bajo qué condiciones, para que pueda centrarse en lo que es explotable. en tu entornono lo que es teóricamente posible.
La pregunta que debe hacerle a su equipo de inteligencia de amenazas es: ¿Está optimizando el valencia de los datos de amenazas que está recopilando hoy? Esta es su primera dominio de alivio/cambio.
Reducción de riesgos impulsada por la subsistencia
La inteligencia de amenazas priorizada debe ir seguida de pruebas y validaciones para ver cómo se mantienen sus controles de seguridad frente a los explotables y rutas de ataque más probables, y cómo podría afectar a su estructura. Un autor importante aquí es que su software de subsistencia de seguridad debe ir más allá de la tecnología; asimismo debe incluir procesos y personas. Un EDR, SIEM o WAF perfectamente razonable ofrece protección limitada si los flujos de trabajo de sus incidentes no están claros, los manuales están desactualizados o las rutas de ascensión se interrumpen bajo presión. Aquí es donde esperamos ver una convergencia de la simulación de ataques e infracciones, ejercicios de mesa, pruebas de penetración automatizadas, etc., alrededor de la Nervio de exposición adversaria (AEV).
Evite las palabras de moda
CTEM no es un producto; es un enfoque clave que utiliza métricas basadas en resultados para la dirección de la exposición. Su implementación siquiera recae en un solo equipo/función de seguridad. Debe impulsarse desde en lo alto, rompiendo silos y mejorando los flujos de trabajo de seguridad en todos los equipos. Comience con la etapa de ‘Trascendencia’ para lanzarse qué incluir en su software de dirección de exposición y dónde centrarse primero:
- ¿Cuáles son nuestros principales riesgos comerciales en los que la ciberseguridad puede influir directamente?
- ¿Qué entorno (específico, abundancia, TI/OT, filiales…) y tipos de activos (joyas de la corona, terminales, sistemas de identidad, almacenes de datos…) están en el interior del radio?
- ¿Tiene una visión precisa de este inventario?
- ¿Qué actores de amenazas y métodos de ataque son más relevantes para nuestra industria y tecnología?
- ¿Cómo incorporaremos la información sobre amenazas y los datos de incidentes existentes para perfeccionar el radio?
- ¿Cómo definiremos la “exposición crítica” (basada en la explotabilidad, el impacto comercial, la sensibilidad de los datos, el radiodifusión de la crisis, etc.)?
- ¿Somos capaces de validar herramientas, personas, procesos y herramientas hoy?
- ¿Cuál es nuestra capacidad original para solucionar problemas en el interior de este radio (personas, herramientas, SLA)?
Esta no es una cinta exhaustiva, pero estas preguntas ayudan a constreñir un radio CTEM realista y encuadrado con los riesgos que pueda ejecutarse y medirse, en ocasión de un esfuerzo demasiado amplio pero inmanejable.
En pocas palabras:
CTEM funciona cuando alega a las preguntas importantes, con evidencia:
¿Qué puede hacernos daño? ¿Cómo sucedería? ¿Podemos detenerlo?
Para obtener más fortuna sobre dirección de exposición, inteligencia sobre amenazas y prácticas de subsistencia, visite Filigran.
