A pesar de una inversión coordinada en tiempo, esfuerzo, planificación y recursos, incluso los sistemas modernos de ciberseguridad continúan fallando. cada día. ¿por qué?
No es porque el equipo de seguridad no se vea lo suficientemente bien. Es exactamente lo contrario. Todas las herramientas de seguridad escupen miles de hallazgos de investigación. Lo repararé a esto. Bloquelo. Investigaremos esto. Es un tsunami de puntos rojos que incluso el equipo de Jack Most Cracker del planeta no pudo aclarar.
Y aquí hay otra verdad desagradable: la mayoría es insignificante.
Es imposible arreglar todo. Es un negocio de tontos. Los equipos inteligentes no están perdiendo un tiempo valioso corriendo a través de alertas sin sentido. Entienden que la clave oculta para proteger una organización es saber qué exposición realmente pone en riesgo el negocio.
Entonces, Gartner introdujo el concepto de gestión continua de exposición a amenazas, priorizando y verificándolo en el corazón de esto. No es un tablero o un gráfico más limpio. Se trata de reducir su enfoque, luchar contra un puñado de exposiciones importantes reales y demostrar que sus defensas realmente pueden soportar cuando realmente las necesita.
Problemas tradicionales de gestión de vulnerabilidades
La gestión de vulnerabilidad se basó en la simple premisa de encontrar todas las debilidades, clasificarlas y luego repararlas. En el papel suena lógico y sistemático. Y luego hubo un momento en que tenía mucho sentido. Pero hoy, enfrentando un aluvión constante de amenazas sin precedentes, es una cinta de correr que incluso un equipo de Fittesters no puede seguir el ritmo.
Más de 40,000 vulnerabilidades y exposiciones comunes (CVE) alcanzan el cable cada año. Los sistemas de puntuación como CVS y EPSS seleccionan fiel 61% como «crítico». No es priorización, es un pánico masivo. A estas etiquetas no les importa si el error está enterrado detrás de la autenticación de 3 capas. Está bloqueado por controles existentes o es prácticamente inexplicable en un entorno particular. Mientras sean preocupados, la amenaza es una amenaza.
Figura 1: Predicción de vulnerabilidad
Entonces el equipo persigue al fantasma y se aplasta. Queman un ciclo de vulnerabilidad que nunca se usa en los ataques, pero un puñado de ellos pasan desapercibidos. Este es un teatro de seguridad que pretende reducir el riesgo.
En realidad, los escenarios de riesgo reales se ven muy diferentes. Teniendo en cuenta los controles de seguridad existentes, solo alrededor del 10% de las vulnerabilidades reales son realmente importantes. En otras palabras, el 84% de las llamadas alertas «críticas» equivalen a falsas urgencia, y una vez más podrían gastar tiempo, presupuesto y centrarse en las amenazas reales.
Ingrese la gestión continua de exposición a amenazas (CTEM)
La gestión continua de exposición a amenazas (CTEM) se desarrolló para terminar con la cinta de correr interminable. En lugar de poseer el equipo teórico de descubrimiento «crítico», reemplace claramente el volumen a través de dos pasos importantes.
La priorización clasifica las exposiciones debido a los impactos comerciales reales en lugar de los puntajes de gravedad abstractos. Las pruebas de presión de validación priorizan las exposiciones prioritarias para un entorno en particular, revelando lo que los atacantes realmente pueden explotar.
El otro no fallará. La priorización por sí sola no es más que una especulación educada. Las pruebas solas en bicicleta a través de hipótesis y problemas incorrectos. Pero juntos, transforman los supuestos en acciones intensivas y realistas, con evidencia y listas infinitas.
Figura 2: CTEM en acción
Y el alcance está mucho más allá de CVE. Como predice Gartner, para 2028, más de la mitad de la exposición vendrá de debilidades no técnicas, como aplicaciones falsas de SaaS, calificaciones filtradas y error humano. Afortunadamente, CTEM se ocupa de este frente y aplica la misma cadena de acción de priorización y validación capacitada para todo tipo de exposiciones.
Entonces CTEM es más que un marco. Desde perseguir alertas a la evolución necesaria para demostrar el riesgo, hasta bloquear todo hasta bloquear lo más importante.
Automatizar la verificación con tecnología de verificación de exposición hostil (AEV)
CTEM requiere verificación, pero la verificación requiere delicadeza y contexto adversario, y se proporciona mediante tecnología de verificación de exposición hostil (AEV). Ayudan a reducir más de la lista de «prioridad» inflada y demuestran que realmente abren la puerta a los atacantes.
Dos tecnologías impulsan esta automatización:
La violación y la simulación de ataque (BAS) simula y emulan de forma continua y segura técnicas hostiles como las cargas útiles de ransomware, el movimiento lateral y la eliminación de datos, verificando si ciertos controles de seguridad realmente detienen lo que se espera. No es un ejercicio único, sino una práctica continua, mapeada para el marco de amenaza de Mitre Att & Ckⓡ para relevancia, consistencia y cobertura. Las pruebas de penetración automática van más lejos al verificar las vulnerabilidades y los conceptos erróneos como lo hacen los atacantes reales. Excelente para exponer y explotar caminos de ataque complejos, incluida la kerberoasting en Active Directory. En lugar de confiar en la prueba anual de pluma, las pruebas de pluma automatizadas permiten a los equipos ejecutar pruebas significativas a pedido con frecuencia y a menudo cuando sea necesario.
Figura 3: Casos de uso para BAS y pruebas de penetración automatizada
Juntos, BAS y Automated Pentting proporcionan a los equipos una perspectiva masiva de atacantes. Revelan no solo amenazas que parecen peligrosas, sino lo que en realidad es explotable, detectable y defendible en su entorno.
Este cambio es importante para una infraestructura dinámica donde los puntos finales giran hacia arriba y hacia abajo todos los días, con credenciales que se filtran a aplicaciones SaaS y los cambios de configuración de un sprint a otro. En el entorno cada vez más dinámico de hoy, las evaluaciones estáticas se ven obligadas a quedarse atrás. BAS y Pentting automatizado continúan validando y transformando la gestión de la exposición de la teoría a la prueba del mundo real.
Caso real: actividades de verificación de exposición hostil (AEV)
Tome log4j como ejemplo. Cuando surgió por primera vez, todos los escáneres estaban iluminados en rojo. La puntuación CVSS fue de 10.0 (crítica), dando una probabilidad de alta exploit marcada en el modelo EPSS, lo que indica que el inventario de activos está disperso en todo el entorno.
El método tradicional instruyó a los equipos de seguridad para que dejaran fotos planas y traten cualquier instancia igualmente urgente. ¿resultado? Los recursos se extienden rápidamente y pierden el tiempo persiguiendo duplicados del mismo problema.
La verificación de la exposición hostil cambia la narrativa. Al verificarlo en contexto, el equipo sabe rápidamente que todas las instancias log4J no están en crisis. Un sistema ya puede tener reglas WAF efectivas, controles de compensación o segmentación que reduce el puntaje de riesgo de 10.0 a 5.2. Ese renacimiento lo resulta de «Drop Now» a «Parche como parte del ciclo normal».
Por otro lado, la validación de exposiciones hostiles podría revelar el escenario opuesto. La idea errónea de prioridad aparentemente baja de las aplicaciones SaaS está directamente vinculado a la delaminación de datos confidencial, aumentando de «medio» a «urgente».
Figura 4: La vulnerabilidad de LOG4J valida la vulnerabilidad a los puntajes de riesgo verdaderos
La verificación de la exposición hostil aporta un valor real a su equipo de seguridad midiéndolo.
Efectividad de control: demuestra si un intento de exploit está bloqueado, registrado o ignorado. Detección y respuesta: indica si el equipo de SOC está observando la actividad o no, y el equipo IR lo incluye lo suficientemente rápido. Preparación operativa: publique enlaces débiles con flujos de trabajo, rutas de escalada y pasos de contención.
De hecho, la validación de exposiciones hostiles traduce log4j u otras vulnerabilidades desde «ubicaciones críticas» genéricas a mapas de riesgos precisos de cada pesadilla en cada mano en el mazo. El CISO y el equipo de seguridad transmiten no solo lo que hay, sino amenazas que son realmente importantes para el medio ambiente.
El futuro de la verificación: Picus BAS Summit 2025
La gestión continua de exposición a amenazas (CTEM) proporciona una claridad muy necesaria que proviene de los dos motores que dos motores trabajan juntos.
La tecnología de verificación de exposición hostil (AEV) puede ayudar a realizar esta visión. La combinación de violaciones y simulación de ataque (BA) con pruebas de penetración automatizada permite a los equipos de seguridad mostrar la perspectiva de un gran atacante, emergiendo no solo lo que sucederá, sino lo que sucederá si no se presentan las brechas existentes.
Para ver el comportamiento de la tecnología de verificación de exposición hostil (AEV), únase a PICUS Security, SANS, Hacker Valley y otros líderes de seguridad prominentes en Picus BAS Summit 2025. Redefinir simulaciones de ataque usando IA. Esta cumbre virtual introducirá ideas de analistas, profesionales e innovadores para avanzar en el campo y mostrar cómo BAS y AI están dando forma al futuro de la verificación de seguridad.
(Asegure su lugar hoy).
Source link
