Tecnología

EDR NEWS te informa: The ROI Problem in Attack Surface Management

Publicado en por edradmin
EDR NEWS te informa: The ROI Problem in Attack Surface Management
02
Ene

Las herramientas de gestión de superficie de ataque (ASM) prometen un riesgo reducido. Lo que suelen entregar es más información.

Los equipos de seguridad implementan ASM, los inventarios de activos crecen, las alertas comienzan a fluir y los paneles se llenan. Hay actividad visible y resultados mensurables. Pero cuando el liderazgo hace una pregunta simple, «¿Esto está reduciendo los incidentes?«La respuesta muchas veces no está clara.

Esta brecha entre esfuerzo y resultado es el problema central del retorno de la inversión en la gestión de la superficie de ataque, especialmente cuando el retorno de la inversión se mide principalmente a través del recuento de activos en lugar de la reducción de riesgos.

La promesa versus la prueba

La mayoría de los programas de MAPE se basan en una idea razonable: no se puede proteger lo que no se sabe que existe. Como resultado, los equipos se centran en el descubrimiento: dominios y subdominios, IP y recursos de la nube, infraestructura de terceros y activos transitorios o de corta duración.

Con el tiempo, los recuentos aumentan. Los paneles de control tienen una tendencia al alza. La cobertura mejora.

Pero ninguna de esas métricas responde directamente si la organización es realmente más segura. En muchos casos, los equipos terminan más ocupados sin sentirse menos expuestos.

Por qué la MAPE se siente ocupada pero no efectiva

ASM tiende a optimizar la cobertura porque la cobertura es fácil de medir: más activos descubiertos, más cambios detectados y más alertas generadas. Cada uno de ellos se siente como un progreso.

Pero en su mayoría miden insumos, no resultados.

En la práctica, los equipos experimentan:

  • Fatiga de alerta
  • Grandes retrasos en activos «conocidos pero no resueltos»
  • Confusión repetida de propiedad
  • Exposición que dura meses

El trabajo es real. La reducción del riesgo es más difícil de ver.

La brecha de medición

Una razón para el retorno de la inversión en ASM Lo que es difícil de demostrar es que la mayoría de las métricas de la superficie de ataque se centran en lo que el sistema puede ver, no en lo que la organización realmente mejora.

Las métricas comunes de gestión de la superficie de ataque incluyen:

  • Número de activos
  • Número de cambios

Rara vez se rastrean métricas de superficie de ataque más significativas:

  • ¿Qué tan rápido se adquieren los activos riesgosos?
  • ¿Cuánto tiempo persiste la exposición peligrosa?
  • Si las rutas de ataque realmente se reducen con el tiempo

El inventario de activos sigue siendo fundamental para medir la superficie de ataque externo. Sin un descubrimiento amplio, es imposible entender la exposición en absoluto. La brecha aparece cuando las métricas de descubrimiento no se combinan con mediciones que muestran si realmente se está reduciendo el riesgo.

Sin mediciones orientadas a resultados, la MAPE se vuelve difícil de defender durante las revisiones presupuestarias, incluso cuando todos están de acuerdo en que la visibilidad de los activos es necesaria.

¿Cómo sería un retorno de la inversión significativo?

En lugar de preguntar: «¿Cuántos activos descubrimos?«Una pregunta más útil es: «¿Cuánto más rápido y seguro llegamos a manejar la exposición?»

Ese replanteamiento cambia el retorno de la inversión de la visibilidad a la calidad de la respuesta y la duración de la exposición. Cosas que se correlacionan mucho más estrechamente con el riesgo del mundo real.

Tres métricas de resultados que realmente importan

1. Tiempo medio para adquirir la propiedad de los activos

¿Cuánto tiempo lleva responder la pregunta básica: «¿A quién pertenece esto?»

Activos sin propiedad clara:

Reducir el tiempo de adquisición acorta el período en el que existe exposición sin responsabilidad. Es una de las señales más claras de que los hallazgos de la MAPE se están convirtiendo en acciones.

2. Reducción de puntos finales no autenticados que cambian de estado

    No todos los activos importan por igual.

    El seguimiento de cuántos puntos finales externos pueden cambiar de estado, cuántos requieren autenticación y cómo esos números cambian con el tiempo proporciona una señal mucho más fuerte de si la superficie de ataque se está reduciendo donde más importa.

    Un entorno con miles de activos estáticos pero pocos caminos no autenticados que cambien el estado es significativamente más seguro que uno con menos activos pero muchos puntos de entrada riesgosos.

    3. Tiempo para el desmantelamiento después de la pérdida de propiedad

      La exposición suele persistir después de:

      Medir la rapidez con la que se retiran los activos una vez que desaparece la propiedad es uno de los indicadores más sólidos de higiene a largo plazo y uno de los menos rastreados.

      Si los activos abandonados permanecen indefinidamente, el descubrimiento por sí solo no reduce el riesgo.

      Cómo se ve esto en la práctica

      Es fácil llegar a un acuerdo con las métricas abstractas y es difícil ponerlas en práctica. El objetivo no es un nuevo panel o un conjunto diferente de alertas, sino un cambio en lo que se hace visible: brechas de propiedad, duración de la exposición y riesgos no resueltos que de otro modo se mezclarían con los recuentos de activos.

      En lugar de enfatizar el recuento total de activos, surge esta visión:

      • ¿Qué activos son propiedad?
      • cuales estan sin resolver
      • ¿Cuánto tiempo no ha estado clara la propiedad?

      El objetivo no es más alertas sino una resolución más rápida.

      Convertir la MAPE en un control

      ASM no tiene problemas porque los equipos no estén trabajando lo suficiente. Tiene dificultades porque el esfuerzo no está consistentemente vinculado a los resultados que interesan al liderazgo.

      Replantear el ROI en torno a la velocidad, la propiedad y la duración de la exposición permite mostrar un progreso real. Incluso si el recuento bruto de activos nunca cambia. En muchos casos, las victorias más significativas provienen de hacer que la superficie de ataque vuelva a ser aburrida.

      Un punto de partida concreto

      Una forma de poner a prueba las métricas de ASM basadas en resultados es hacer que la visibilidad de los activos sea ampliamente accesible para todos los equipos, no encerrada detrás de silos de herramientas. Descubrimos que cuando los equipos de ingeniería, seguridad e infraestructura pueden ver las brechas de propiedad y la duración de la exposición, la resolución se acelera sin agregar más alertas.

      Ese pensamiento nos llevó a lanzar un edición comunitaria de nuestra plataforma ASM que expone el descubrimiento de activos y la visibilidad de la propiedad sin costos ni límites. El objetivo no es reemplazar las herramientas existentes, sino brindarles a los equipos una forma de medir si la exposición realmente se está reduciendo con el tiempo.

      Si desea probar el ROI de su programa ASM, intente esto: ignore cuántos activos tiene.

      En lugar de eso, pregunte:

      • ¿Cuánto tiempo permanecen sin propietario los activos de riesgo?
      • ¿Cuántos caminos no autenticados que cambian el estado existen hoy en comparación con el último trimestre?
      • ¿Con qué rapidez desaparecen los activos abandonados?

      Si esas respuestas no mejoran, más descubrimientos no cambiarán el resultado.

      Conclusión: medir lo que realmente cambia el riesgo

      La gestión de la superficie de ataque se vuelve defendible cuando se mide por lo que cambia, no sólo por lo que se acumula. El descubrimiento siempre importará. La visibilidad siempre será importante al medir la superficie de ataque. Pero ninguno de los dos garantiza que la exposición se esté reduciendo, sólo que se esté observando.

      El ROI de la gestión de la superficie de ataque aparece cuando se confirma más rápidamente la propiedad de los activos riesgosos, cuando las rutas peligrosas desaparecen antes y cuando la infraestructura abandonada no permanece indefinidamente. El inventario de activos proporciona la amplitud necesaria; Las métricas orientadas a resultados proporcionan la profundidad necesaria para comprender la reducción real del riesgo.

      En Sprocket Security, intentamos pensar en gestión de la superficie de ataque no sólo en términos de cuántos activos existen, sino también de cuánto tiempo persiste la exposición significativa y qué tan rápido se resuelve. Lo más importante es que las métricas de la superficie de ataque hagan visible el progreso, no sólo el crecimiento del inventario.

      Si un programa de gestión de superficies de ataque no puede responder si la exposición se está reduciendo con el tiempo, es difícil argumentar que está haciendo algo más que informar el problema.

      Nota: Este artículo fue escrito y contribuido de manera experta por Topher Lyons, ingeniero de soluciones de Sprocket Security.

      ¿Encontró interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en noticias de google, Gorjeo y LinkedIn para leer más contenido exclusivo que publicamos.



      Fuente

      Deja una respuesta

      Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *