Los equipos de ciberseguridad quieren cada vez más ir más allá de analizar las amenazas y vulnerabilidades de forma aislada. No se trata sólo de qué podría salir mal (vulnerabilidades) o quién podría atacar (amenazas), sino de dónde se cruzan en su entorno real para crear una exposición real y explotable.
¿Qué exposiciones realmente importan? ¿Pueden los atacantes explotarlos? ¿Son efectivas nuestras defensas?
Gestión continua de la exposición a amenazas (CTEM) puede proporcionar un enfoque útil a los equipos de ciberseguridad en su viaje hacia una gestión unificada de amenazas/vulnerabilidades o exposición.
Lo que realmente significa CTEM
CTEM, tal como lo define Gartner, enfatiza un ciclo «continuo» de identificación, priorización y remediación de exposiciones explotables en toda su superficie de ataque, lo que mejora su postura general de seguridad como resultado. No es un análisis único y un resultado entregado a través de una herramienta; es un modelo operativo construido en cinco pasos:
- Alcance – evalúe sus amenazas y vulnerabilidades e identifique qué es lo más importante: activos, procesos y adversarios.
- Descubrimiento – Mapee las exposiciones y las rutas de ataque en su entorno para anticipar las acciones de un adversario.
- Priorización – Concéntrese en lo que los atacantes pueden explotar de manera realista y en lo que necesita solucionar.
- Validación – Probar supuestos con simulaciones de ataques controlados y seguros.
- Movilización – Impulsar la remediación y mejoras de procesos basadas en evidencia.
¿Cuál es el beneficio real de CTEM?
CTEM cambia el enfoque hacia la gestión de exposición basada en riesgos, integrando muchos subprocesos y herramientas como evaluación de vulnerabilidades, gestión de vulnerabilidades, gestión de superficies de ataque, pruebas y simulación. CTEM unifica la evaluación de la exposición y la validación de la exposición, con el objetivo final de que los equipos de seguridad puedan registrar e informar el impacto potencial en la reducción del riesgo cibernético. La tecnología o las herramientas nunca han sido un problema; de hecho, tenemos un problema de abundancia en el ámbito de la ciberseguridad. Al mismo tiempo, con más herramientas, hemos creado más silos, y esto es exactamente lo que CTEM se propone desafiar: ¿podemos unificar nuestra visión sobre las amenazas/vulnerabilidades/superficies de ataque y tomar medidas contra la exposición verdaderamente explotable para reducir el riesgo cibernético general?
Papel de la inteligencia sobre amenazas en CTEM
Cada año se informan miles de vulnerabilidades (la cifra fue de más de 40.000 en 2024), pero en realidad menos del 10% se explotan. Threat Intelligence puede ayudarlo significativamente a concentrarse en las que son importantes para su organización al conectar las vulnerabilidades con tácticas, técnicas y procedimientos (TTP) del adversario observados en campañas activas. La inteligencia sobre amenazas ya no es algo bueno, sino algo necesario. Puede ayudarle a especificar los requisitos de inteligencia prioritarios (PIR): el contexto, el panorama de amenazas que más importa en su entorno. Esta inteligencia de amenazas priorizada le indica qué fallas se están utilizando como armas, contra qué objetivos y bajo qué condiciones, para que pueda centrarse en lo que es explotable. en tu entornono lo que es teóricamente posible.
La pregunta que debe hacerle a su equipo de inteligencia de amenazas es: ¿Está optimizando el valor de los datos de amenazas que está recopilando hoy? Esta es su primera área de mejora/cambio.
Reducción de riesgos impulsada por la validación
La inteligencia de amenazas priorizada debe ir seguida de pruebas y validaciones para ver cómo se mantienen sus controles de seguridad frente a los explotables y rutas de ataque más probables, y cómo podría afectar a su organización. Un factor importante aquí es que su programa de validación de seguridad debe ir más allá de la tecnología; también debe incluir procesos y personas. Un EDR, SIEM o WAF perfectamente ajustado ofrece protección limitada si los flujos de trabajo de sus incidentes no están claros, los manuales están desactualizados o las rutas de escalada se interrumpen bajo presión. Aquí es donde esperamos ver una convergencia de la simulación de ataques e infracciones, ejercicios de mesa, pruebas de penetración automatizadas, etc., hacia la Validación de exposición adversaria (AEV).
Evite las palabras de moda
CTEM no es un producto; es un enfoque estratégico que utiliza métricas basadas en resultados para la gestión de la exposición. Su implementación tampoco recae en un solo equipo/función de seguridad. Debe impulsarse desde arriba, rompiendo silos y mejorando los flujos de trabajo de seguridad en todos los equipos. Comience con la etapa de 'Alcance' para decidir qué incluir en su programa de gestión de exposición y dónde centrarse primero:
- ¿Cuáles son nuestros principales riesgos comerciales en los que la ciberseguridad puede influir directamente?
- ¿Qué entorno (local, nube, TI/OT, filiales…) y tipos de activos (joyas de la corona, terminales, sistemas de identidad, almacenes de datos…) están dentro del alcance?
- ¿Tiene una visión precisa de este inventario?
- ¿Qué actores de amenazas y métodos de ataque son más relevantes para nuestra industria y tecnología?
- ¿Cómo incorporaremos la información sobre amenazas y los datos de incidentes existentes para perfeccionar el alcance?
- ¿Cómo definiremos la «exposición crítica» (basada en la explotabilidad, el impacto comercial, la sensibilidad de los datos, el radio de la explosión, etc.)?
- ¿Somos capaces de validar herramientas, personas, procesos y herramientas hoy?
- ¿Cuál es nuestra capacidad inicial para solucionar problemas dentro de este alcance (personas, herramientas, SLA)?
Esta no es una lista exhaustiva, pero estas preguntas ayudan a definir un alcance CTEM realista y alineado con los riesgos que pueda ejecutarse y medirse, en lugar de un esfuerzo demasiado amplio pero inmanejable.
En pocas palabras:
CTEM funciona cuando responde a las preguntas importantes, con evidencia:
¿Qué puede hacernos daño? ¿Cómo sucedería? ¿Podemos detenerlo?
Para obtener más recursos sobre gestión de exposición, inteligencia sobre amenazas y prácticas de validación, visite filigrana.