05 de julio de 2024The Hacker NewsSeguridad en la nube / Superficie de ataque La superficie de ataque ya no es lo que era y se está convirtiendo en una pesadilla para proteger. Una superficie de ataque en constante expansión y evolución significa que el riesgo para la empresa se ha disparado y las medidas de seguridad actuales están luchando por mantenerla protegida. Si ha hecho clic en este artículo, es muy probable que esté buscando soluciones para gestionar este riesgo. En 2022, Gartner acuñó un nuevo marco para abordar estos desafíos: la Gestión continua de la exposición a amenazas (CTEM). Desde entonces, poner en práctica este marco se ha convertido en una prioridad en muchas organizaciones debido a la profunda mejora que se espera que logre para mantener un alto nivel de preparación y resiliencia en materia de seguridad. «Para 2026, las organizaciones que prioricen sus inversiones en seguridad en función de un programa de gestión continua de la exposición tendrán tres veces menos probabilidades de sufrir una vulneración». Gartner, «Cómo gestionar las amenazas de ciberseguridad, no los episodios», 21 de agosto de 2023 CTEM proporciona una visión continua y completa de la superficie de ataque y las exposiciones dentro de ella, probando si los controles de seguridad están bloqueando eficazmente la posible explotación de las exposiciones y luego agilizando la movilización hacia la remediación de las vulnerabilidades seleccionadas. La adopción de CTEM puede volverse abrumadora rápidamente, ya que implica la orquestación de muchas partes dispares y móviles. Reunir activos digitales, cargas de trabajo, redes, identidades y datos en toda la empresa. Por lo tanto, para simplificar esto, hemos dividido el marco en sus pilares, proporcionando pasos manejables que lo guían a través de este proceso para hacer que la gestión de la exposición sea manejable. Pilar n.º 1: Amplíe su visibilidad de la superficie de ataque Un desafío principal con la gestión de activos es su alcance limitado. Proporciona solo una vista seccionada de la superficie de ataque que generalmente se concentra únicamente en las vulnerabilidades locales, sin alcance para actuar sobre los datos de vulnerabilidad que genera. CTEM proporciona una mayor visibilidad de todos los tipos de exposiciones en la superficie de ataque (interna, externa y en la nube) para ayudar a las organizaciones a comprender mejor su perfil de riesgo de seguridad real. El proceso comienza con la delimitación del entorno en busca de activos digitales en etapas. Recomendamos un alcance inicial que incluya: La superficie de ataque externa, que tiende a tener un alcance menor y está respaldada por un creciente ecosistema de herramientas. Herramientas SaaS, que se prestan a una comunicación más sencilla sobre los riesgos, ya que las soluciones SaaS tienden a alojar cada vez más datos comerciales críticos. En una segunda etapa, considere ampliar el alcance para incluir la protección contra riesgos digitales, lo que agrega una mayor visibilidad en la superficie de ataque. Una vez que se determina el alcance, las organizaciones deben determinar sus perfiles de riesgo al descubrir exposiciones en activos de alta prioridad. También debe incorporar la configuración incorrecta de los activos, especialmente en lo que se relaciona con los controles de seguridad y otras debilidades, como activos falsificados o respuestas deficientes a las pruebas de phishing. Pilar n.° 2: Mejore su gestión de vulnerabilidades La gestión de vulnerabilidades (VM) ha sido durante mucho tiempo la piedra angular de las estrategias de ciberseguridad de muchas organizaciones, centrándose en identificar y aplicar parches contra CVE conocidos. Sin embargo, con la creciente complejidad del entorno de TI y las capacidades mejoradas de los actores de amenazas, la VM por sí sola ya no es suficiente para mantener la postura de ciberseguridad de la empresa. Esto es particularmente evidente cuando se tiene en cuenta el creciente número de CVE publicados cada año. Solo el año pasado, hubo 29.085 CVE y solo entre el 2 y el 7 % de ellos se explotaron en la naturaleza. Esto hace que convertirse en un objetivo irrealista para la aplicación de parches, especialmente porque esto no tiene en cuenta las vulnerabilidades que no se pueden parchear, como las configuraciones incorrectas, los problemas de Active Directory, el software de terceros no compatible, las credenciales robadas y filtradas, entre otras, que representarán más del 50 % de las exposiciones empresariales para 2026. CTEM cambia el enfoque para priorizar las exposiciones en función de su explotabilidad y su impacto de riesgo en los activos críticos en lugar de las puntuaciones CVSS, la cronología o la puntuación del proveedor. Esto garantiza que se aborden primero los activos digitales más sensibles para la continuidad y los objetivos de la organización. Por lo tanto, la priorización se basa en las brechas de seguridad que son fácilmente explotables y, al mismo tiempo, brindan acceso a activos digitales sensibles. La combinación de ambos hace que se prioricen estas exposiciones, que normalmente representan una fracción de todas las exposiciones descubiertas. Pilar n.° 3 Validación Convierte CTEM de teoría a estrategia probada El pilar final de la estrategia CTEM, la validación, es el mecanismo para evitar la explotación de las brechas de seguridad. Para garantizar la eficacia continua de los controles de seguridad, la validación debe ser de naturaleza ofensiva, emulando los métodos del atacante. Hay cuatro estrategias para probar su entorno como un atacante, cada una reflejando las técnicas empleadas por los adversarios: Pensar en gráficos: mientras que los defensores suelen pensar en listas, ya sean de activos o vulnerabilidades, los atacantes piensan en gráficos, trazando las relaciones y las rutas entre varios componentes de la red. Automatizar las pruebas: las pruebas de penetración manuales son un proceso costoso que implica pruebas de estrés de pentester de terceros de sus controles de seguridad. Las organizaciones están limitadas en el alcance que pueden probar. Por el contrario, los atacantes aprovechan la automatización para ejecutar ataques de forma rápida, eficiente y a escala. Validar las rutas de ataque reales: los atacantes no se centran en vulnerabilidades aisladas; consideran la ruta de ataque completa. Una validación eficaz significa probar toda la ruta, desde el acceso inicial hasta el impacto explotado. Pruebe de forma continua: las pruebas de penetración manuales suelen realizarse de forma periódica, una o dos veces al año; sin embargo, las pruebas en «sprints» o ciclos iterativos cortos permiten a los defensores adaptarse a la velocidad del cambio de TI, protegiendo toda la superficie de ataque al abordar las exposiciones a medida que surgen. CTEM: invierta ahora: coseche los resultados continuamente Con todos los diferentes elementos de personas, procesos y herramientas en una estrategia CTEM, es fácil sentirse abrumado. Sin embargo, tenga en cuenta algunas cosas: no está empezando desde cero. Ya tiene sus sistemas de gestión de activos y de gestión de vulnerabilidades en funcionamiento, el objetivo aquí es simplemente ampliar su alcance. Asegúrese de que sus herramientas cubran de forma integral toda la superficie de ataque de su entorno de TI y que se actualicen continuamente al ritmo del cambio. Considere esto como un proceso de refinamiento continuo. La implementación del marco CTEM se convierte en un ciclo ágil de descubrimiento, mitigación y validación. El trabajo nunca está realmente terminado. A medida que su empresa crece y madura, también lo hace su infraestructura de TI. Coloque la validación en el centro de su estrategia CTEM. Esto le da la confianza de saber que sus operaciones de seguridad resistirán cuando se las ponga a prueba. En cualquier momento, debe saber dónde se encuentra. Tal vez todo esté en orden, lo cual es genial. Alternativamente, se puede identificar una brecha, pero ahora puede llenarla con un enfoque prescriptivo, completamente consciente de cuál será el impacto posterior. Obtenga más información sobre cómo implementar una estrategia CTEM que priorice la validación con Pentera. ¿Le resultó interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.