La seguridad no falla en el momento de la infracción. Falla en el momento del impacto.
Esta frase marcó el tono de la Cumbre Picus Breach and Simulator (BAS) de este año. Allí, investigadores, profesionales y CISO se hicieron eco del mismo tema: la ciberdefensa ya no se trata de predicciones. Se trata de la evidencia.
Cuando se detecta un nuevo exploit, los escáneres buscan en Internet en cuestión de minutos. Una vez que el atacante logra afianzarse, el movimiento lateral suele seguir con la misma rapidez. Si tus controles no se prueban con la técnica exacta que estás jugando, no estás defendiendo y esperando que las cosas no salgan mal.
Esta es la razón por la que la presión aumenta mucho antes de que se redacte un informe de incidente. Al mismo tiempo que el exploit llegó a Twitter, las salas de juntas exigen respuestas. «No se puede decir a una junta directiva: ‘Tendremos una respuesta la próxima semana'», dijo un orador. Tenemos horas, no días. «
BAS ha ido más allá de sus raíces de cumplimiento para convertirse en la prueba de voltaje diaria de la ciberseguridad, una prueba que hace pasar una corriente eléctrica a través de la pila para ver qué contiene realmente.
Este artículo no es una sugerencia o explicación. Este es un resumen de lo que se cubrió en el escenario y esencialmente muestra cómo BAS ha evolucionado de una actividad anual de verificación a una forma simple, efectiva y cotidiana de demostrar que las defensas realmente funcionan.
La seguridad se trata de reacción, no de diseño
Durante décadas, la seguridad se ha tratado como una arquitectura: diseñar, construir, probar y certificar. Un enfoque de lista de verificación basado en la planificación y la documentación.
Sin embargo, los atacantes nunca estuvieron de acuerdo con ese plan. Tratan la defensa como física, aplicando presión continuamente hasta que algo se dobla o se rompe. No les importa lo que esté escrito en el plano. Les importa dónde se rompe la estructura.
Las pruebas de penetración siguen siendo importantes, pero son una instantánea en progreso.
BAS ha cambiado esa ecuación. No garantizamos el diseño. Pon a prueba tus reacciones. Realice operaciones adversas seguras y controladas en un entorno real para demostrar si sus defensas realmente responden como se esperaba.
Chris Dale, instructor principal de SANS, explica: La diferencia es mecánica. BAS mide la respuesta, no el potencial. No preguntes: «¿Dónde están las vulnerabilidades?» Pero, «¿Qué pasa si te golpeo?»
Porque, en última instancia, no se pierde cuando se produce una infracción, sino cuando se siente el impacto de esa infracción.
La verdadera defensa comienza con conocerse a uno mismo.
Antes de que puedas emular/simular a tu enemigo, necesitas entenderte a ti mismo. No puede proteger lo que no puede ver: activos olvidados, cuentas sin etiquetar y scripts heredados que aún se ejecutan con privilegios de administrador de dominio.
sıla-blog-video-1_1920x1080.mp4
A continuación, imagine una infracción y trabaje hacia atrás a partir del resultado que más teme.
Por ejemplo, Akira es una cadena de ransomware que elimina copias de seguridad, explota PowerShell y se propaga a través de unidades compartidas. Al reproducir de forma segura ese comportamiento en su entorno, podrá saber si sus defensas pueden superarlo en el camino, en lugar de adivinar.
Hay dos principios que distinguen a los programas maduros del resto.
Primero los resultados: comience con el impacto, no con el inventario. Púrpura por defecto: BAS no es un teatro rojo y azul. Así es como convergen Intel, Ingeniería y Operaciones: Simular → Observar → Ajustar → Resimular.
«Los equipos que hacen que las pruebas sean una cadencia semanal comenzarán a ver evidencia donde esperaban que estuviera», dijo John Sapp, CISO de Texas Mutual Insurance.
El verdadero trabajo de la IA es curar, no crear.
La IA ha estado en todas partes este año, pero los conocimientos más valiosos no tienen que ver con el poder, sino con la moderación. La velocidad es importante, pero la procedencia lo es aún más. Nadie quiere un modelo LLM que improvise cargas útiles o adivine el comportamiento de ataque.
Al menos por ahora, el tipo de IA más útil no es la que crea, sino la que organiza, tomando inteligencia sobre amenazas desordenada y no estructurada y convirtiéndola en algo que los defensores realmente puedan usar.
sıla-blog-video-2_1920x1080.mp4
La IA ahora funciona menos como un modelo único y más como un relevo de especialistas, cada uno con trabajos específicos y puntos de control intermedios.
Planificador: defina lo que necesita recopilar. Investigadores: validen y enriquezcan los datos sobre amenazas. Constructor: estructura la información en planes de emulación seguros. Validador: comprueba la fidelidad antes de hacer algo.
Cada agente se revisa al final para mantener una alta precisión y un riesgo bajo.
Un ejemplo lo resume perfectamente.
«Dame un enlace a la campaña Fin8 y te mostraré las técnicas MITRE que mapea en horas, no en días».
Ya no es un deseo, sino una realidad. Lo que antes requería una semana de referencias cruzadas, secuencias de comandos y validación manuales, ahora puede caber en un solo día laboral.
Título → Planificación de emulación → Ejecución segura. No es llamativo, sólo rápido. De nuevo, horas, no días.
Demuestre que BAS funciona en el campo
Una de las sesiones más esperadas del evento fue una exhibición en vivo de BAS en un entorno del mundo real. Era evidencia operativa, no teoría.
El equipo médico ejecutó una cadena de ransomware alineada con la inteligencia de amenazas del sector, midió el tiempo de detección y el tiempo de respuesta, y volvió a introducir información no detectada en las reglas SIEM y EDR hasta que la cadena se rompió temprano.
La compañía de seguros realizó una demostración piloto de BAS durante el fin de semana para verificar si realmente se activaron las cuarentenas de los terminales. Estas ejecuciones expusieron errores de configuración silenciosos mucho antes de que el atacante los descubriera.
El punto estaba claro.
BAS ya no es un experimento de laboratorio; ya forma parte de las operaciones de seguridad cotidianas. Cuando los líderes preguntan: «¿Estamos protegidos de esto?» la respuesta proviene de la evidencia, no de la opinión.
La validación cambia «Parchear todo» a «Parchear lo que importa»
Uno de los momentos más conmovedores de la cumbre se produjo cuando surgió la conocida pregunta de la junta directiva: «¿Necesitamos parchear todo?»
La respuesta fue absolutamente clara: «No».
sıla-blog-video-3_1920x1080.mp4
La validación dirigida por BAS ha demostrado que parchear todo no sólo es poco práctico. Es innecesario.
La clave es saber qué vulnerabilidades son realmente explotables en su entorno. La combinación de datos de vulnerabilidad con el rendimiento del control en vivo permite a los equipos de seguridad ver dónde se concentran los riesgos reales, no dónde les indican los sistemas de puntuación.
«No hay que parchear todo», afirma Volkan Ertürk, cofundador y director de tecnología de Picus. «Aproveche la validación del control para obtener una lista priorizada de exposiciones y centrarse en las que son realmente explotables».
Si bien CVSS 9.8 presenta poco riesgo cuando está protegido por prevención y detección validadas, las fallas de gravedad media en los sistemas expuestos pueden abrir vectores de ataque reales.
El paso de un mosaico de suposiciones a un mosaico de pruebas fue uno de los momentos decisivos del acontecimiento. BAS no te dice qué está mal y dónde. Esto es lo que puede perjudicarle: convertir la Gestión de exposición continua a amenazas (CTEM) de teoría a estrategia.
No necesitas un disparo a la luna para comenzar
Otra conclusión importante de la sesión con los líderes de arquitectura de seguridad de Picus, Gürsel Arıcı y Autumn Stambaugh, fue que BAS no requiere implementaciones a gran escala. Sólo necesitas empezar.
El equipo comenzó con mucha fanfarria y fanfarria, demostrando su valía en semanas en lugar de trimestres.
En la mayoría de los casos, seleccionó uno o dos ámbitos, puntos finales financieros o clústeres de producción y asignó los controles que los protegen. Luego elegimos un resultado realista, como el cifrado de datos, y construimos la cadena TTP más pequeña que pudiera lograrlo. Ejecute de forma segura, vea dónde falló la prevención o detección, solucione lo que importa y vuelva a ejecutar.
De hecho, el ciclo se aceleró rápidamente.
Para la tercera semana, el flujo de trabajo asistido por IA ya estaba actualizando la información sobre amenazas y regenerando acciones seguras. Para la cuarta semana, los datos de gestión verificados y los hallazgos de vulnerabilidad se combinaron en un cuadro de mando de exposición que los ejecutivos podían leer de un vistazo.
En el momento en que el equipo vio una parada simulada de la cadena de eliminación a mitad de la ejecución debido a una regla enviada el día anterior, todo encajó y BAS dejó de ser un proyecto y se convirtió en parte de la práctica de seguridad diaria.
BAS actúa como verbo dentro de CTEM
El modelo de Gestión Continua de la Exposición a Amenazas (CTEM) de Gartner: Evaluar, Validar, Movilizar solo funciona si la validación es continua, contextual y vinculada a la acción.
Aquí es donde vive BAS ahora.
Esta no es una herramienta independiente. Este es el motor que mantiene la honestidad de CTEM, proporciona puntuaciones de exposición, guía la ingeniería de control y mantiene la agilidad a medida que cambian tanto la pila de tecnología como la superficie de amenazas.
Los mejores equipos ejecutan la validación como un latido del corazón. Cada cambio, cada parche, cada nuevo CVE desencadena otro pulso. Eso es lo que realmente significa la validación continua.
El futuro está en la prueba
La seguridad solía operar sobre creencias. BAS reemplaza la creencia con evidencia y envía corriente a través del circuito de defensa para ver dónde falla el circuito.
La IA aporta velocidad. La automatización aporta escala. La verificación trae la verdad. BAS ya no es una forma de hablar de seguridad. Así lo demuestras.
Sea el primero en experimentar la inteligencia sobre amenazas impulsada por IA. ¡Obtén acceso temprano ahora!
Nota: Este artículo fue escrito y contribuido profesionalmente por Sila Ozeren Hacioglu, ingeniera de investigación de seguridad en Picus Security.
Source link
