A los equipos de seguridad actuales no les faltan herramientas ni datos. Están abrumados por ambos.
Pero en medio de terabytes de alertas, infracciones y configuraciones erróneas, los equipos de seguridad todavía luchan por comprender el contexto.
P: ¿Qué exposiciones, configuraciones erróneas y vulnerabilidades se encadenan para crear vectores de ataque viables para ataques valiosos?
Incluso el equipo de seguridad más maduro no tiene una respuesta fácil a esta pregunta.
El problema no son las herramientas. Es decir, las herramientas no se comunican entre sí.
Este es exactamente el problema para el que se diseñó el marco Cybersecurity Mesh Architecture (CSMA) de Gartner, haciendo que la seguridad de malla sea operativa en la primera plataforma CSMA especialmente diseñada del mundo.
Este artículo explica qué es CSMA y cómo funciona el CSMA en malla.
Descubra rutas de ataque a su obra maestra Priorice según las amenazas activas Elimine sistemáticamente rutas de ataque
¿Qué es CSMA y por qué es importante ahora?
Antes de sumergirnos en la plataforma, aclaremos qué es CSMA.
Definido por Gartner, CSMA es una capa de seguridad distribuida y configurable que conecta su pila existente e integra el contexto de la plataforma además de sus mejores herramientas. CSMA le permite comprender el riesgo de manera integral, en lugar de hacerlo de manera aislada.
Problema: las herramientas huérfanas pasan por alto las historias de ataques
Todos hemos visto los siguientes hallazgos mostrados en paneles separados:
Un desarrollador instaló un asistente de codificación de IA de apariencia legítima del mercado de VS Code. La extensión está marcada como potencialmente troyanizada, pero la alerta está dentro de una herramienta y no está conectada a la otra. La estación de trabajo del desarrollador tiene largos tiempos de espera de sesión y no se aplica ninguna política de aislamiento de dispositivos. Las credenciales del desarrollador tienen amplio acceso a una cuenta de producción de AWS. Esa cuenta de AWS es un entorno de producción que almacena la PII del cliente. Acceso directo ilimitado a las bases de datos de RDS.
Parece que cada señal se puede administrar por separado, aquí un indicador de política de mercado, aquí una configuración incorrecta del tiempo de espera de la sesión. Los equipos de seguridad los ven, los registran y les quitan prioridad. Ninguno de ellos parece P1 por sí solo.
Pero cuando los juntas, cuentan una historia completamente diferente. Es una ruta clara de ataque de múltiples saltos desde la estación de trabajo del desarrollador directamente a los datos más confidenciales del cliente. No se ha producido ninguna brecha, pero el camino está abierto, viable y a la espera.
La superposición de inteligencia sobre amenazas hace que sea aún más difícil ignorar los riesgos. Los atacantes apuntan activamente a los entornos de desarrollo y a los puntos de entrada de la cadena de suministro como su punto de apoyo preferido en la infraestructura de producción. ¿Marcó la herramienta individualmente? Corresponde casi exactamente a su libro de jugadas.
Exposición a amenazas en vivo en malla
Esta es la exposición de una amenaza real. No es una infracción, es una ruta explotable que existe actualmente en su entorno, pero es invisible porque ninguna herramienta puede verla toda a la vez.
Mesh CSMA fue creado para resolver precisamente eso. Al unificar el contexto en toda la pila, Mesh descubre estas rutas de ataque entre dominios antes de que puedan ser explotadas. Por lo tanto, el equipo puede romper la cadena antes de que el atacante pueda atravesarla.
Cómo funciona CSMA de malla
Mesh CSMA transforma señales fragmentadas en historias significativas de amenazas entre dominios. Para que su equipo de seguridad pueda concentrarse en lo que es importante.
Así es como funciona la malla:
Paso 1: Conéctese: sin agentes, sin quitar y reemplazar
Mesh comienza integrándose con su pila existente: todas sus herramientas, lagos de datos e infraestructura. (¿Con qué se integra Mesh? Vea más de 150 integraciones aquí.
Integración de malla
Paso 2: Referencia – Mesh Context Graph™
Luego, Mesh descubre automáticamente las joyas de la corona, como bases de datos de producción, repositorios de datos de clientes, sistemas financieros e infraestructura de firma de códigos, y ancla todo el modelo de riesgo en torno a ellos.
Este es el principio fundamental que hace que Mesh sea diferente. El riesgo se entiende en relación con lo que realmente importa para la empresa, no con la alerta más ruidosa.
A partir de ahí, Mesh crea un Mesh Context Graph™. Es un gráfico centrado en la identidad que se actualiza continuamente de todas las entidades de su entorno: usuarios, máquinas, cargas de trabajo, servicios, almacenes de datos y las relaciones entre ellos.
A diferencia de un inventario de activos que le muestra lo que existe, un Mesh Context Graph™ le muestra cómo está todo conectado. Asigne rutas de acceso, relaciones de confianza, cadenas de derechos y exposiciones de red en un único modelo unificado. Todo se remonta a las Joyas de la Corona.
gráfico de contexto de malla
Paso 3: Evaluar: descubrir rutas de ataque viables
Aquí es donde Mesh se diferencia de las herramientas tradicionales de gestión de exposición.
Las plataformas CTEM y los escáneres de vulnerabilidades descubren CVE y configuraciones erróneas. Pero una vulnerabilidad CVSS 9.8 en un activo aislado conectado a Internet sin ruta a algo sensible es un riesgo completamente diferente a una mala configuración de CVSS 5.5 en una cuenta de servicio con acceso directo a la base de datos de producción. Mesh entiende la diferencia.
La plataforma correlaciona los hallazgos en múltiples dominios, incluidas configuraciones incorrectas de la postura en la nube, privilegios de identidad excedidos, puntos ciegos de detección y vulnerabilidades sin parches, y los rastrea en un gráfico de contexto para determinar qué combinaciones crean una cadena de ataque multisalto viable hacia la joya de la corona. Luego, priorice según la inteligencia sobre amenazas en vivo.
El resultado es una lista clasificada y procesable de rutas completas de ataque entre dominios, cada una de las cuales aparece de la siguiente manera:
Punto de entrada: cómo obtiene el atacante el acceso inicial Cadena de pivote: cada salto intermedio en el entorno Objetivo: qué joyas de la corona son accesibles Razones de ejecución: configuraciones erróneas específicas, rutas de acceso o brechas de detección que lo permitan Contexto de amenaza: ¿Hay actores de amenazas activos conocidos que actualmente exploten esto?
Joya de la corona de malla expuesta
Con Mesh, puede hacer clic en cada exposición a amenazas en vivo para visualizar la ruta de ataque y convertir señales huérfanas en hojas de ruta significativas para la solución de riesgos.
Visualizando rutas de ataque de malla
Paso 4: Eliminación – Rompiendo la cadena
Incluso si se expone un vector de ataque, es sólo la mitad de la batalla. La malla los cierra.
Para cada ruta de ataque identificada, Mesh genera acciones de remediación priorizadas específicas que se asignan a las herramientas existentes en la pila. En lugar de una guía general como «parchear este CVE», Mesh le indica que revoque este enlace de rol específico, aplique MFA a esta cuenta de servicio, actualice esta política CSPM y aísle esta carga de trabajo.
Es importante destacar que Mesh coordina la reparación entre dominios. Una única ruta de ataque puede requerir modificaciones en la herramienta CSPM, cambios en la plataforma IGA o actualizaciones de políticas para la solución ZTNA. Mesh coordina estas acciones sin obligar a su equipo a cambiar manualmente el contexto entre consolas.
Paso 5: Defensa: verificación continua y cobertura de brechas de detección
La malla es más que una simple postura. También valida continuamente la capa de detección para identificar puntos ciegos donde las técnicas de ataque tienen éxito pero no generan alertas.
Esto cierra el círculo entre prevención y detección. Los equipos de seguridad pueden ver no sólo dónde pueden ir los atacantes, sino también dónde podrían pasar sin ser detectados si atacan. Las brechas de detección surgen junto con las brechas de postura dentro del mismo modelo de riesgo integrado, lo que permite que la priorización refleje el verdadero riesgo comercial.
Mesh reevalúa continuamente su entorno a medida que cambia la infraestructura, se introducen nuevas herramientas y se actualiza la inteligencia sobre amenazas. Los mapas de rutas de ataque son modelos en vivo, no instantáneas de un momento determinado.
Cronograma de investigación automática de malla
¿En qué se diferencia de SIEM, XDR o CTEM?
SIEM y XDR detectan amenazas después de que se genera la señal. Estos se basan en eventos que ya han ocurrido y requieren ajustes importantes para reducir los falsos positivos. No modelamos activamente rutas de ataque.
Las plataformas CTEM priorizan las vulnerabilidades en función de las puntuaciones de explotabilidad, pero la mayoría opera dentro de un solo dominio (nube, punto final, identidad) y luchan por modelar cómo se producen en cascada los riesgos de diferentes dominios.
Los grandes proveedores de plataformas brindan integración contextual, pero a costa de depender del proveedor y reemplazar forzosamente las herramientas propietarias.
Mesh adopta un enfoque diferente. Exactamente lo que Gartner imaginó para CSMA, Mesh unifica el contexto en todas las herramientas, lagos de datos e infraestructura existentes, lo que permite la eliminación continua de la exposición sin eliminar nada.
¿Para quién está hecho Mesh?
Mesh CSMA está diseñado para equipos de seguridad que ya han invertido en las mejores herramientas y están lidiando con el impacto de la seguridad fragmentada.
Docenas de paneles, contexto cero Datos de seguridad dispares, generando ruido en lugar de información Correlación manual, conectando los puntos entre herramientas
La plataforma completó recientemente una Serie A de $ 12 millones liderada por Lobby Capital con la participación de Bright Pixel Capital y S1 (SentinelOne) Ventures.
Siguiente paso: Obtenga más información sobre CSMA en malla.
Las herramientas de seguridad presentan riesgos aislados. La malla muestra rutas de ataque hacia la Joya de la Corona y las elimina.
¿Quiere ver la exposición a amenazas en su entorno? Prueba Mesh gratis durante 7 días.
O regístrese en nuestro seminario web en vivo: ¿Quién alcanzará su joya de la corona? El modelado de rutas de ataque con malla CSMA permite que la malla identifique la ruta de ataque real en vivo.
Source link
