¿Qué es la gestión continua de la exposición a amenazas?

La gestión continua de la exposición a amenazas (CTEM) es un marco para gestionar y mitigar proactivamente la exposición a amenazas mediante un enfoque iterativo que hace hincapié en el desarrollo de procesos organizativos estructurados además de en el uso de herramientas de seguridad. 

En este artículo, analizaremos la CTEM, cuáles son sus componentes clave y una estrategia de implementación en cinco pasos para reducir la exposición al riesgo, mejorar la priorización y conseguir una gestión de la exposición y la vulnerabilidad más sólida.

Claves para entender la gestión continua de la exposición a amenazas

Con la gestión de vulnerabilidades tradicional, los equipos de seguridad realizan sus funciones en compartimentos relativamente aislados y prestan menor atención al porqué y al cómo de los resultados de la evaluación de vulnerabilidades. En cambio, la CTEM es un enfoque proactivo que ayuda a las organizaciones a lo siguiente:

• Definir los tipos de recursos que más preocupan a la organización
• Identificar los recursos que se encuentran en el ámbito de acción y los distintos tipos de exposiciones de estos recursos 
• Validar la explotabilidad real de las exposiciones identificadas y la efectividad de las respuestas predefinidas de la organización
• Movilizar a la organización para ofrecer una respuesta adecuada 
• Monitorizar e iterar para perfeccionar el programa 

La CTEM sigue un enfoque iterativo que perfecciona continuamente la posición de seguridad de la organización. De este modo, las organizaciones pueden formular un plan de seguridad práctico que la gerencia entiende, las unidades de negocio respaldan y los equipos técnicos pueden usar como guía.

Los cinco pasos del ciclo de la CTEM

How to Manage Cybersecurity Threats, Not Episodes de Gartner propone una estrategia de cinco pasos para implementar la CTEM.

Paso 1: identificar el alcance inicial

La mayoría de las organizaciones no alcanzan la velocidad digital del crecimiento de la superficie de recursos. En este paso, la organización debe decidir qué tipos de recursos son los que más le preocupan. Al iniciar un programa de CTEM, las organizaciones deberían considerar el siguiente alcance inicial:

• Superficie de ataque externa: incluye los recursos de una organización orientados a Internet que un ciberdelincuente puede atacar para acceder a ellos. 
• Posición de seguridad de software como servicio (SaaS): debido al aumento del trabajo remoto, muchas organizaciones reciben y envían datos empresariales a API y aplicaciones de terceros alojadas externamente.

Paso 2: detectar recursos y evaluar riesgos

La detección consiste en identificar recursos individuales en la categoría que se determinó en el paso de definición anterior y evaluar sus exposiciones. Las exposiciones incluidas deben ir más allá de las vulnerabilidades y exposiciones comunes (CVE) e incluir errores de configuración y otras debilidades. 

Por supuesto, identificar recursos en función de un alcance preciso del riesgo empresarial resulta mucho más valioso que una detección amplia que identifique numerosos recursos y vulnerabilidades.

Paso 3: priorizar las amenazas importantes

La priorización supone evaluar la importancia de los problemas identificados. Esta etapa es crucial para atajar el ruido de las interminables vulnerabilidades de seguridad y centrarse en los riesgos más importantes.  Las organizaciones deben ir más allá de las CVE y considerar la prevalencia de exploits, así como de factores propios de la organización, como los controles disponibles, las opciones de mitigación, la criticidad empresarial y el riesgo que está dispuesta a aceptar.

Un proceso de priorización maduro clasifica las exposiciones según la urgencia, la explotabilidad, el impacto empresarial y las amenazas activas, lo que garantiza que los equipos de seguridad se centren en riesgos reales en lugar de en riesgos teóricos. El análisis de rutas de ataque ayuda a identificar puntos críticos, en los que una sola solución puede neutralizar múltiples amenazas, mientras que la puntuación de riesgos impulsada por IA ajusta los esfuerzos de seguridad a escenarios de ataque reales.

Paso 4: validar la explotabilidad y la respuesta de seguridad

El paso de validación utiliza herramientas como simulaciones de rutas de ataque, simulaciones de brechas y ataques, u otras simulaciones controladas para validar la explotabilidad de las exposiciones priorizadas y su impacto en sistemas críticos. Confirma si las vulnerabilidades pueden ser explotadas y si con el plan de defensa actual se conseguirá mitigarlas. Este proceso incluye ejecutar ataques simulados y verificar que los planes de respuesta se activan correctamente.

El paso de validación también implica definir los desencadenantes y las señales que pondrán en marcha el plan de respuesta. Dado que un plan de respuesta puede suponer medidas drásticas —como eliminar el acceso a recursos clave o bloquear la red—, es importante evaluar cuándo sería necesaria dicha respuesta. 

Paso 5: movilizar equipos de corrección

El objetivo de la labor de "movilización" es ayudar a los equipos a actuar a partir de las conclusiones de la CTEM simplificando las aprobaciones, los procesos de implementación y los despliegues de mitigación. La responsabilidad y las consecuencias de la corrección suelen recaer en otros equipos aparte del equipo de seguridad, ya que suele haber muchas formas de solucionar los problemas, y cada solución puede tener un impacto empresarial diferente. Es importante basarse en la automatización inicial de herramientas para crear un proceso de corrección estructurado y coordinado. Este paso de movilización reduce los retrasos en los flujos de trabajo operativos y los procesos de implementación, lo que asegura tiempos de respuesta rápidos. 

Ventajas de la implementación de la CTEM

Las organizaciones que adoptan un enfoque de CTEM disfrutan de diferentes beneficios. Entre ellos se incluyen los siguientes:

• Reducción de la exposición al riesgo: utilizar la monitorización continua para identificar amenazas antes de que puedan afectar a las operaciones empresariales ayuda a reducir la exposición al riesgo. 
• Priorización mejorada: la CTEM ayuda a las organizaciones a entender la gravedad de cada amenaza para que puedan determinar cuáles requieren atención y recursos urgentes.
• Posición de seguridad proactiva: el enfoque proactivo de la CTEM se observa especialmente en los pasos de identificación de alcance y detección, que se ocupan de forma continua de abordar amenazas emergentes.
• Respuesta a incidentes más sólida: los ataques simulados y los pasos automatizados de corrección definidos durante la fase de validación verifican la eficacia de los planes de respuesta y sus desencadenantes, lo que permite a los equipos responder con mayor rapidez ante los incidentes.

Seguridad proactiva con CrowdStrike

CrowdStrike® Falcon Exposure Management ayuda a los equipos de seguridad a poner en práctica y optimizar programas de CTEM a lo largo de todo su ciclo de vida, desde el alcance, la detección y la priorización hasta la validación y movilización.

• Determina el alcance con las capacidades nativas de gestión de la superficie de ataque externa (External Attack Surface Management, EASM) de Falcon Exposure Management y la seguridad SaaS de CrowdStrike Falcon® Shield.
• Detecta con la visibilidad inigualable de recursos de Falcon Exposure Management y realiza evaluaciones completas de exposición para detectar vulnerabilidades, errores de configuración, extensiones de navegador en riesgo y mucho más.
• Prioriza el uso de la puntuación predictiva ExPRT.AI propiedad de CrowdStrike, que se basa en la inteligencia de exploits y la criticidad automatizada de recursos.
• Valida mediante el análisis de rutas de ataque, que mapea el terreno desconocido y demuestra la explotabilidad real de las exposiciones en tu entorno particular.
• Moviliza con un contexto de seguridad profundo; integración nativa de orquestación, automatización y respuesta de seguridad (SOAR); y acciones rápidas de corrección.

Falcon Exposure Management es una potente solución de gestión de vulnerabilidades y riesgos que ofrece un mecanismo de detección y comprensión de recursos sin precedentes, una amplia evaluación de la exposición, análisis de rutas de ataque y una visibilidad consolidada de toda la superficie de ataque. Utiliza el agente unificado y ligero CrowdStrike Falcon®, que permite una evaluación de vulnerabilidades en tiempo real y sin mantenimiento. Además, el modelo predictivo de priorización ExPRT.AI de CrowdStrike permite a los equipos asignar estratégicamente sus recursos limitados y centrarse en las exposiciones al riesgo con más probabilidades de ser explotadas por los adversarios.