Introducción: Seguridad con puntos de chips
Se construyeron centros de operaciones de seguridad (SOC) para diferentes épocas. Uno se definió por el pensamiento basado en los límites, las amenazas conocidas y los volúmenes de alerta manejables. Sin embargo, los paisajes de amenazas de hoy no juegan bajo estas reglas. La gran cantidad de telemetría, herramientas superpuestas y alertas automáticas han llevado a los SOC tradicionales al borde. Los equipos de seguridad están abrumados y a menudo siguen métricas que no están conectadas en ninguna parte, pero el riesgo real no es consciente del ruido.
No aborda los problemas de visibilidad. Se trata de problemas de relevancia.
Ahí es donde aparece la gestión continua de exposición a la amenaza (CTEM). A diferencia de las operaciones del centro de detección que responden a las cosas que ya han sucedido, CTEM cambia el enfoque a «¿Por qué es importante?» Esta es una transición de la respuesta a las alertas a la gestión de riesgos a través de acciones específicas basadas en evidencia.
Problemas de seguridad centrados en alerta
En esencia, SOC es el motor de monitoreo. Divesta la entrada de firewalls, puntos finales, registros, sistemas de nubes y más, y genera alertas basadas en reglas y detecciones. Sin embargo, este modelo está desactualizado y defectuoso en un entorno moderno.
Los atacantes permanecen bajo el radar combinando pequeñas vulnerabilidades que a menudo se pasan por alto y, en última instancia, obtienen acceso no autorizado. La superposición de la herramienta crea señales que son inconsistentes con la fatiga alerta. Los analistas de SOC se queman tratando de clasificar y evaluar posibles incidentes que carecen de contexto comercial.
Este modelo trata todas las alertas como posibles situaciones de emergencia. Sin embargo, no todas las alertas merecen la misma atención, y muchas personas no merecen atención en absoluto. El resultado es que los SOC se dibujan en demasiadas direcciones, desentrañando volúmenes en lugar de valor, sin priorizar.
CTEM: de la vigilancia al significado
CTEM repensa las operaciones de seguridad como un enfoque continuo impulsado por la exposición. En lugar de comenzar con una alerta y trabajar en la dirección inversa, CTEM comienza preguntando:
¿Cuáles son los activos más importantes en nuestro entorno? ¿Cuáles son los caminos reales que puede usar un atacante para alcanzarlos? ¿Qué exposiciones están actualmente disponibles para el abuso? ¿Qué tan efectiva es nuestra defensa contra el camino?
CTEM no es una herramienta. Este es un marco y una disciplina que mapea continuamente las posibles caminos de ataque, valida la efectividad de los controles de seguridad y prioriza las acciones basadas en el impacto real en lugar de los modelos de amenazas teóricas.
Esto no está abandonando al SoC. Es evolucionar el papel de la vigilancia pasada para predecir y prevenir lo siguiente.
Por qué este cambio es importante
La rápida escalada de CTEM muestra un cambio más profundo en la forma en que las empresas abordan las estrategias de seguridad. CTEM cambia el enfoque de la reactividad al manejo de la exposición dinámica, reduciendo el riesgo no solo al monitorear los signos de compromiso, sino también eliminar las condiciones que permiten el compromiso en primer lugar.
Los siguientes puntos muestran por qué CTEM representa no solo un mejor modelo de seguridad, sino un modelo más inteligente y más sostenible.
1. Exposición y fatiga
CTEM no intenta monitorear todo. Identifica lo que realmente se está expuestos y si la exposición puede provocar daños. Esto reduce significativamente el ruido mientras mejora la precisión de la alerta.
2. Contexto comercial sobre interrupción técnica
Los SOC a menudo trabajan con silos tecnológicos separados de lo que es importante para su negocio. CTEM inyecta el contexto de riesgo basado en datos en decisiones de seguridad, y las vulnerabilidades están ocultas en rutas de ataque real que conducen a datos, sistemas o fuentes de ingresos confidenciales.
3. Prevención de respuestas
El modelo CTEM reduce la exposición antes de explotarlo. En lugar de competir para responder alertas después del hecho, los equipos de seguridad se centran en el cierre de los pases de ataque y verificando la efectividad de la gestión de la seguridad.
Juntos, estos principios reflejan por qué CTEM se ha convertido en un cambio fundamental en el pensamiento. Al centrarse en lo que está realmente expuesto, correlacione directamente el riesgo con los resultados comerciales y priorizando la prevención, CTEM permite a los equipos de seguridad impulsar los impactos medibles con mayor claridad, precisión y propósito.
¿Cómo se ve realmente CTEM?
Las empresas que emplean CTEM no pueden reducir la cantidad de herramientas de seguridad que usan, pero las usan de manera diferente. Por ejemplo:
Exposición Insights Guide Prioridades del parche en lugar de puntajes CVSS. El mapeo y la validación de la ruta de ataque notifican los efectos de control en lugar de las actualizaciones de políticas generales. Los ejercicios de validación, como las pruebas de lápiz automatizada y el equipo rojo autónomo, verificarán si el atacante real está «en los controles», así como si pueden alcanzar datos o sistemas valiosos.
Este cambio estratégico central permitirá a los equipos de seguridad avanzar hacia la reducción de riesgos dirigida y basada en datos, donde todas las actividades de seguridad están conectadas a posibles impactos comerciales.
El futuro de CTEM y SOC
En muchas empresas, CTEM se sienta junto al SOC, ofreciendo información de alta calidad y se centra en los analistas sobre lo que realmente importa. Sin embargo, de antemano equipos, CTEM se convertirá en un nuevo SOC operativa y filosóficamente. Una función que ya no está construida alrededor del monitoreo, pero está confundida. En otras palabras,
La detección de amenazas es una predicción de amenazas. Una cola de alerta se convierte en un riesgo priorizado basado en el contexto. El éxito ya no es «capturamos una violación en el tiempo», pero «la violación no pudo encontrar una manera desde el principio».
Conclusión: de volumen a valor
El equipo de seguridad no necesita más alertas. Necesitan mejores preguntas. Necesitan saber qué es más importante, qué está realmente en riesgo y qué solucionar primero. CTEM responde a estas preguntas. Y al hacerlo, redefine el propósito mismo de las operaciones de seguridad modernas, no responde más rápido, sino que elimina por completo las oportunidades de los atacantes.
Es hora de pasar de toda vigilancia a medir cosas importantes. CTEM es más que una mejora para SOC. Eso es lo que le sucede al SOC.
Source link
