Cada equipo de seguridad tiene una versión de la misma historia. El trimestre finaliza con cientos de vulnerabilidades resueltas. El tablero está lleno de verde. Entonces alguien en el consejo de liderazgo pregunta: «Entonces, ¿estamos realmente más seguros ahora?»
Grillos.
La sala queda en silencio porque las respuestas honestas requieren contexto. Los recuentos de parches y las puntuaciones CVSS no están diseñados para proporcionar contexto. La gestión de la exposición se creó para proporcionar este contexto: cerrar la brecha entre los esfuerzos de remediación y la mitigación real del riesgo. El mercado respondió con una avalancha de plataformas que afirmaban ofrecer precisamente eso. Pero la pregunta que se hacen los líderes de seguridad es ¿qué plataformas de gestión de exposición realmente ofrecen eso?
En este artículo, clasificamos los cuatro enfoques principales para la gestión de la exposición, explicamos lo que cada uno puede y no puede ofrecer y proporcionamos cinco métricas para ayudarle a diferenciar entre plataformas creadas para reducir el riesgo para su propio negocio o entorno de aquellas diseñadas para informar riesgos reales.
Cuatro enfoques, cuatro arquitecturas
La mayoría de las plataformas de gestión de exposición se clasifican en una de cuatro categorías, y cada categoría está formada por cómo el proveedor construye (o combina) la plataforma y cómo procesa los datos.
La plataforma de cartera consolidada es producto de una adquisición. Los proveedores compran soluciones puntuales, como seguridad en la nube, escaneo de vulnerabilidades y análisis de identidad, y las combinan con su propia marca. En estas plataformas, cada producto mantiene su propio modelo de datos y descubre su propio subconjunto de exposiciones. Luego, los proveedores pueden consolidar exposiciones en una consola compartida, lo que puede parecer una consolidación. Pero en realidad, cada módulo todavía procesa sus propios datos y produce sus propios resultados, pero hay poca correlación o interconexión entre los módulos. Las plataformas de agregación de datos incorporan los hallazgos de escáneres existentes y herramientas de terceros. A continuación, normalice los datos y muéstrelos en una interfaz unificada. Estas plataformas sólo funcionan con lo que reciben. Es decir, si los hallazgos capturados están desconectados, no hay forma de correlacionar cómo una exposición permite la siguiente. Una plataforma especializada de un solo dominio profundiza en un área: configuraciones erróneas de la nube, vulnerabilidades de la red, compromiso de identidad y superficies de ataque externas. Ofrecen resultados potentes, pero sólo en determinadas áreas de especialización. Cuando las exposiciones en un dominio se combinan en cascada con exposiciones en otro dominio, la plataforma enfrenta el desafío de no tener una manera de modelar esa relación. La plataforma unificada está construida desde cero para detectar y correlacionar múltiples tipos de riesgos, como credenciales, configuraciones incorrectas, CVE, problemas de identidad y configuraciones de nube dentro del mismo motor. La plataforma crea un gemelo digital de su entorno y mapea cómo los atacantes se mueven lateralmente de una exposición a la siguiente a través de límites locales, de nube e híbridos.
5 preguntas que revelan lo que la plataforma realmente puede hacer por ti
La arquitectura detrás de cada uno de los cuatro enfoques tiene un impacto real en lo que los equipos pueden ver, verificar y actuar. ¿Cómo se nota la diferencia al evaluar? Comience por hacer estas cinco preguntas:
1. ¿Cuántos tipos de exposición se pueden detectar y con qué profundidad se puede analizar cada uno?
Los CVE representan aproximadamente el 25 % de las exposiciones explotadas por los atacantes. El resto se compone de configuraciones erróneas, credenciales almacenadas en caché, permisos excesivos y vulnerabilidades de identidad. La cartera combinada se limita a aquello para lo que se creó cada producto adquirido. Los agregadores solo pueden normalizar lo que proporciona el feed. Una plataforma de dominio único cubre solo una porción del pastel. La plataforma de integración debería cubrir de forma nativa los tipos de exposición existentes y (especialmente) los nuevos, como las cargas de trabajo de IA y la identidad de las máquinas.
Y la presentación de informes por sí sola no es suficiente. Lo que la plataforma sabe realmente sobre cada exposición es igualmente importante. Las plataformas que incorporan resultados de herramientas de terceros se limitan a los metadatos (estado de explotabilidad, orientación sobre remediación e investigaciones) que recopilan esas herramientas. Las plataformas de descubrimiento de exposición controlan de forma nativa cada capa de información para cada descubrimiento, desde la explotabilidad hasta la remediación. Existe un punto ciego cuando una plataforma no puede reconocer ciertos tipos de exposición. Si los ves pero te falta profundidad, estás trabajando con ruido.
2. ¿Puedes mapear rutas de ataque en tu entorno?
Algunos productos cosidos también tienen marcadas rutas de ataque. Estas rutas se derivan de la topología de la red y se basan únicamente en la conectividad. La plataforma no modela cómo los atacantes realmente se mueven lateralmente de una exposición a la siguiente. El agregador no genera ninguna ruta, solo una lista normalizada de resultados desconectados.
La verdadera prueba es si la plataforma puede trazar caminos a través de los límites del entorno. Una vez que un atacante obtiene las credenciales de la nube localmente, puede eludir todas las defensas nativas de la nube. Esto se debe a que el camino comienza fuera de la visibilidad de la plataforma en la nube. Una vulnerabilidad externa puede parecer de baja prioridad por sí sola, pero cuando se asigna a una entidad interna con un camino hacia un activo crítico, es una emergencia. La mayoría de las plataformas no le permiten establecer estas conexiones. Escanean cada entorno de forma independiente, dejando desconocidos los espacios entre ellos.
3. ¿Verificar la explotabilidad?
La mayoría de las plataformas verifican una o dos condiciones por exposición, pero esto está limitado por los metadatos que almacenan para cada resultado y la información que recopilan de cada entidad en el entorno. Pero la verdadera validación significa probar múltiples condiciones. ¿La biblioteca vulnerable está cargada por un proceso en ejecución? ¿El puerto está abierto y accesible? Las plataformas deben proporcionar respuestas binarias basadas en el entorno real, no en suposiciones generales, como explotables o no, accesibles o no, camino a activos críticos o no.
4. ¿Se consideran controles de seguridad?
Las vulnerabilidades en CVSS 9.8 bloqueadas por firewalls no se pueden utilizar para movimiento lateral porque están bloqueadas. 5.5 El compromiso de la identidad a través de una ruta directa a un controlador de dominio es una emergencia. Las plataformas que ignoran los firewalls, MFA, EDR y la segmentación pueden hacer que los equipos busquen hallazgos que no representan un riesgo real y pasen por alto hallazgos que en realidad amenazan activos críticos. Si sus controles de seguridad no están incluidos en su análisis de la ruta de ataque, su priorización está equivocada y usted todavía está en riesgo.
5. ¿Cómo se establecen las prioridades?
Priorizar requiere responder una pregunta: «¿Esta exposición pondrá en riesgo mis activos críticos?» Las clasificaciones basadas en puntuaciones ignoran sus circunstancias únicas. La clasificación basada en etiquetas de activos ignora los activos dentro del rango de exposición. Las clasificaciones de rutas asumidas no se prueban para determinar su explotabilidad. Los tres pueden abrumar a los equipos de TI porque no pueden conectar los hallazgos con lo que la empresa realmente necesita proteger.
La priorización efectiva comienza con los activos críticos y avanza hacia atrás. Las plataformas deben demostrar que la exposición es explotable, que los atacantes pueden llegar allí y que el camino conduce a algo que la empresa no puede permitirse perder. Cuando una plataforma mapea todo esto en un solo gráfico, aparecen los puntos débiles, donde una única solución elimina múltiples vectores de ataque. En entornos de grandes empresas, la lista de prioridades se reduce a aproximadamente el 2% de todas las exposiciones.
Qué significa esto para tu equipo
Las elecciones de arquitectura de su plataforma determinarán qué tan seguro será su entorno y cómo su equipo dedicará su tiempo a llegar allí. Las plataformas conectadas y agregadas hacen que los equipos tengan que luchar para conciliar los hallazgos entre herramientas, pelear con TI por soluciones que pueden no mitigar los riesgos y rastrear peligros que conducen a callejones sin salida. Las plataformas de dominio único brindan profundidad en un área pero dejan puntos ciegos en el resto de la superficie de ataque.
Un enfoque integrado elimina esos gastos generales. Correlacione las exposiciones con rutas de ataque validadas, considere los elementos de los controles implementados e identifique la solución que elimine el mayor riesgo con la menor cantidad de acción. A medida que la remediación resuelve los puntos críticos, la plataforma de gestión de exposición continua actualiza los gráficos en tiempo real. De esta manera, sabrá que los riesgos que antes parecían urgentes ahora no conducen a ninguna parte y su cola de prioridades siempre reflejará los riesgos actuales.
Si una plataforma de gestión de exposición puede validar la explotabilidad, modelar controles de seguridad y mapear todos los caminos viables hacia los activos críticos, entonces la pregunta al comienzo de este artículo (¿Es realmente segura?) se puede responder con un honesto «¡sí!».
Nota: Este artículo fue cuidadosamente escrito y contribuido por Maya Malevich, directora de marketing de productos de XM Cyber.
Source link
