Los equipos de ciberseguridad a menudo se ven abrumados por un interminable backlog de vulnerabilidades, pero no todas son de alto riesgo. La gestión tradicional de la exposición enfatiza la identificación y priorización de riesgos, pero sin validación, los equipos a menudo pasan tiempo remediando problemas que ni siquiera ponen en riesgo los activos críticos.

En esta Q&A, Dr. Süleyman Özarslan, cofundador de Picus Security y VP de Picus Labs, explica por qué la validación de la exposición representa la pieza faltante en la gestión de riesgos. También habla sobre cómo las organizaciones pueden ir más allá de las evaluaciones de riesgo teóricas para crear un enfoque más resiliente hacia la ciberseguridad.

CTEM es importante para industrias que manejan datos sensibles, como finanzas, salud, TI y comercio electrónico. Para negocios en industrias reguladas, CTEM es también un componente esencial de los requisitos de seguridad y cumplimiento mejorados. Note que el cumplimiento es una base; la gestión de exposición validada asegura que estás realmente protegido.

¿Cómo gestionan típicamente las organizaciones las exposiciones de ciberseguridad?

La exposición en ciberseguridad significa cualquier vulnerabilidad, mala configuración o brecha de seguridad en el entorno de TI de una organización que un cibercriminal podría explotar. Estas van desde activos IoT, software envejecido y sistemas sin parches hasta encriptación débil o controles de seguridad mal configurados. Los atacantes pueden colarse por estas grietas en las defensas de una organización para acceder a sistemas críticos. Las organizaciones que abordan proactivamente estas exposiciones reducen las posibilidades de sufrir una brecha.

Para abordar estos problemas, los equipos de seguridad generalmente realizan evaluaciones de exposición, que incluyen escaneo de vulnerabilidades, puntuación (por ejemplo, vía CVSS), y luego intentan priorizar la remediación. Sin embargo, como a menudo señalo, marcar las casillas correctas (por ejemplo, parchear bugs conocidos, desplegar herramientas de seguridad reputadas y mantener paneles de cumplimiento) no necesariamente significa que estás realmente seguro. Una puntuación de riesgo o un certificado de cumplimiento solo captura el riesgo teórico en un momento dado. A los atacantes no les importa si tus controles parecen impresionantes en papel; les importa si pueden romperlos en la realidad. Este es el punto ciego que las organizaciones pierden cuando confían únicamente en evaluaciones de exposición convencionales.

¿Por qué una evaluación de exposición por sí sola no es suficiente para asegurar la red de una organización?

Las evaluaciones de exposición solo cuentan parte de la historia. Las organizaciones necesitan hacer más que encontrar vulnerabilidades. Ahí es donde entra la validación de la exposición. Sin ella, la evaluación de la exposición es como diagnosticar una enfermedad pero no verificar el tratamiento. Necesitas ambos. Una vulnerabilidad crítica podría registrar un aterrador CVSS 9.8, pero si no es realmente explotable en tu entorno, podría no ser tu mayor preocupación. Mientras tanto, podrías tener una cadena de bugs de severidad moderada que, combinados, crean un camino genuino para los actores de amenazas.

La validación de la exposición es cuando las organizaciones continúan probando las vulnerabilidades y otras exposiciones que descubrieron para ver si los atacantes pueden explotarlas. Se hace a través de técnicas como pruebas de penetración automatizadas y simulación de brechas y ataques (BAS), que prueban continuamente los controles de seguridad simulando ataques del mundo real para encontrar malas configuraciones y asegurar que las defensas de una compañía están haciendo lo que se supone que deben hacer.

La firma analista Gartner llama a esto "validación de exposición adversaria". Al validar exposiciones, los equipos de seguridad pueden enfocarse en vulnerabilidades explotables en lugar de perseguir problemas que no representan un riesgo real. Esto transforma la seguridad de conjeturas basadas en "qué pasaría si" en planes de acción confiados impulsados por qué tan bien tus controles resisten contra amenazas reales.

¿Puedes dar un ejemplo de cómo la validación de exposición adversaria marca la diferencia?

Digamos que una compañía de servicios financieros realiza una evaluación de exposición y encuentra más de 1,000 vulnerabilidades. Priorizarlas solo por severidad podría sugerir que la mayoría son "críticas", y el equipo podría pasar meses parcheando todo frenéticamente. Al simular ciberataques a través de validación de exposición adversaria, la compañía aprende que sus firewalls de próxima generación, sistemas de prevención de intrusiones y firewalls de aplicaciones web protegen contra el 90% de ellas. En lugar de pasar meses remediando vulnerabilidades que eran de bajo riesgo, la compañía puede enfocarse en abordar las 100 vulnerabilidades realmente explotables restantes. Esta precisión no solo ahorra tiempo y recursos, sino que también coloca los esfuerzos de remediación donde realmente importan.

¿Qué es una estrategia de Gestión Continua de Amenazas y Exposición (CTEM), y cómo encaja la validación de exposición adversaria en eso?

CTEM es un enfoque estructurado y continuo diseñado para descubrir, verificar y mitigar amenazas proactivamente para minimizar la exposición de ciberseguridad de una organización. Se trata de establecer qué vulnerabilidades son explotables y clasificarlas basándose en amenazas del mundo real.

Como una parte importante de CTEM, la validación de exposición adversaria es el pivote esencial de meramente "puntuar el riesgo" a realmente "probar el riesgo". Al ejecutar simulaciones de ataques continuas del mundo real, verificas qué amenazas importan para que puedas abordarlas primero. Como resultado, CTEM se convierte no solo en marcar casillas sino en endurecer tu entorno enfocándote en las amenazas más críticas.

¿Se puede usar CTEM en diferentes industrias y tamaños de negocio?

CTEM funciona muy bien para negocios de cualquier tamaño o industria. Las ideas principales — monitorear proactivamente amenazas, enfocarse en las amenazas de mayor riesgo para tu compañía e iterar para mejorar — aplican a casi cualquier organización.

Sea cual sea tu negocio — una startup estableciendo su presencia digital o una gran organización con un ecosistema de TI avanzado — CTEM puede escalar y adaptarse a tus requisitos.

CTEM es importante para industrias que manejan datos sensibles, como finanzas, salud, TI y comercio electrónico. Para negocios en industrias reguladas, CTEM es también un componente esencial de los requisitos de seguridad y cumplimiento mejorados. Note que el cumplimiento es una base; la gestión de exposición validada asegura que estás realmente protegido.

La industria de la ciberseguridad ha visto muchos vendedores afirmando ofrecer soluciones CTEM. ¿Cuál es el riesgo en esta tendencia?

El mercado está saturado con vendedores que promocionan herramientas existentes como ofertas CTEM. Algunos llegan tan lejos como llamar a sus productos "CTEM impulsado por IA", lo cual es engañoso. El riesgo es creer que puedes "comprar" CTEM como un pedazo de software. CTEM no es un producto; es un programa con procesos, personas y tecnologías trabajando en conjunto. El peligro es que las organizaciones crean que pueden simplemente comprar CTEM para resolver sus desafíos de gestión de exposición y no necesitan construir un programa a medida que sirva a sus necesidades únicas. La razón por la que Gartner está creando una guía de cómo hacer para CTEM es que la mayoría de las compañías carecen de los recursos y no están preparadas para implementar un programa CTEM.

¿Cómo puede una compañía comenzar con un programa de Gestión Continua de Amenazas y Exposición (CTEM)?

Un programa CTEM sigue un proceso claro y estructurado que consiste en cinco fases clave. En la fase de alcance, los equipos de seguridad necesitan evaluar la infraestructura crítica y evaluar la resiliencia cibernética a través de superficies de ataque internas, externas y en la nube. Esto establece el escenario para priorizar activos críticos y definir el enfoque del programa.

Luego, durante el descubrimiento, los equipos de seguridad deben catalogar activos y evaluar perfiles de riesgo, descubriendo vulnerabilidades, malas configuraciones y debilidades ocultas que podrían impactar las operaciones del negocio.

En la fase de priorización, los equipos deben identificar brechas de seguridad, como ataques no detectados o reglas de detección rotas, para ayudarles a enfocar sus esfuerzos de remediación donde serán más efectivos.

La fase de validación implica que los equipos prueben las defensas de seguridad en escenarios del mundo real a través de simulaciones de ataques controlados o emulación de adversarios. Herramientas automatizadas como BAS y pruebas de penetración automatizadas proporcionan una imagen completa de la postura de seguridad. Esta es la esencia de deshacerse de la falsa confianza de las puntuaciones de riesgo teóricas y construir verdadera confianza en tu postura de seguridad. Al combinar la automatización de BAS y pruebas de penetración con la lente estratégica de CTEM, las organizaciones pasan de simplemente afirmar que están seguras a probarlo cada día.

Finalmente, en la fase de movilización, los líderes de seguridad necesitan enfatizar que mientras la automatización maneja tareas básicas, las vulnerabilidades complejas requieren intervención humana. Esto involucra un enfoque más matizado y práctico para gestionar el riesgo de ciberseguridad.

Para aprender más sobre Picus Security, visita https://www.picussecurity.com/.

El post Q&A con Dr. Süleyman Özarslan, Cofundador de Picus Security: Por qué la Validación de Exposición es Esencial para la Resiliencia en Ciberseguridad apareció primero en citybiz.

Descargo de responsabilidad: Esta traducción ha sido generada automáticamente por NewsRamp™ para citybiz (colectivamente referidos como "LAS EMPRESAS") utilizando plataformas de inteligencia artificial generativas de acceso público. LAS EMPRESAS no garantizan la exactitud ni la integridad de esta traducción y no serán responsables por ningún error, omisión o inexactitud. La confianza en esta traducción es bajo su propio riesgo. LAS EMPRESAS no son responsables por ningún daño o pérdida resultante de tal confianza. La versión oficial y autoritativa de este comunicado de prensa es la versión en inglés.