Comprender la gestión de exposición continua a amenazas (CTEM): un marco para la seguridad proactiva

En 2022, en medio de un aumento de las infracciones dirigidas a vulnerabilidades conocidas, Gartner introdujo el concepto de gestión continua de exposición a amenazas (CTEM) (fuente: Gartner, Implemente un programa de gestión continua de exposición a amenazas (CTEM), octubre de 2023). Los cinco pasos de CTEM pueden ayudar a las organizaciones a adoptar un enfoque estructurado e iterativo para reducir sus exposiciones y mejorar su postura de seguridad. 

Desde entonces, líderes de seguridad de todo el mundo han iniciado proyectos para adoptar CTEM. Estas empresas están evolucionando activamente desde programas de gestión de vulnerabilidad a programas de gestión de exposición. Como resultado, el enfoque está cambiando desde la mera identificación de vulnerabilidades y exposiciones comunes (CVE) a una comprensión más amplia de los riesgos comerciales, enfatizando un enfoque más integral para la gestión de vulnerabilidades.

Junto con este blog, le invitamos a unirse a nuestro próximo evento de lanzamiento de CTEM y a descargar y compartir nuestro libro electrónico CTEM para ayudar a su organización a mejorar su postura frente al riesgo.

Por qué los programas de gestión de vulnerabilidades son insuficientes

Los programas tradicionales de gestión de vulnerabilidades no logran abordar adecuadamente el panorama de amenazas dinámico y complejo de la actualidad. La mayoría no incorpora requisitos comerciales específicos ni tiene en cuenta controles de mitigación. La priorización de riesgos también es errónea, ya que carece de cálculos de riesgo transparentes o personalizables

Varios factores contribuyen a que los enfoques tradicionales no sean adecuados, entre ellos:

1. Expansión tecnológica: las soluciones SaaS, los servicios de terceros y las diversas infraestructuras en la nube han ampliado la lista de soluciones recomendadas, lo que complica los esfuerzos de gestión de vulnerabilidades.

2. Definiciones restringidas: ampliar la definición de vulnerabilidades para incluir configuraciones incorrectas y fallos de código es esencial para un enfoque más integral.

3. Conjuntos de herramientas aislados: las empresas dependen de datos sobre activos, usuarios, comportamiento y diversos sistemas para comprender el riesgo, pero estos conjuntos de datos residen en herramientas dispares y desconectadas.

La base de CTEM

CTEM proporciona un enfoque para la evolución de los programas de VM. Según Gartner, “para 2026, las organizaciones que prioricen sus inversiones en seguridad basándose en un programa CTEM tendrán tres veces menos probabilidades de sufrir una vulneración”. (Gartner, Ibíd.)

El proceso CTEM

CTEM es un proceso cíclico que comprende cinco pasos: alcance, detección, priorización, validación y movilización. Este ciclo repetible se ajusta a los cambios en el entorno empresarial o el panorama de amenazas, lo que genera hallazgos prácticos que permiten a los equipos de seguridad e infraestructura mitigar los riesgos de manera eficaz.

1. El alcance implica tomar una decisión comercial sobre qué activos cubrirá el programa CTEM. En las empresas más grandes, la superficie de ataque suele ser mucho mayor que la que cubren los programas de gestión de vulnerabilidades tradicionales. Decidir qué incluir en el alcance requiere una consideración cuidadosa de los posibles impactos comerciales, incluidos los daños financieros, los esfuerzos de reparación, la pérdida de confianza de los consumidores y el daño a los socios comerciales.

2. La detección va más allá de los CVE e incluye configuraciones incorrectas de control de seguridad y activos y otras debilidades, como activos falsificados. El comportamiento de los usuarios es otro ejemplo: es fundamental comprender qué personas son propensas a ataques de phishing. Una determinación precisa del alcance basada en el riesgo empresarial y el impacto potencial es más valiosa que simplemente descubrir más activos y vulnerabilidades.

3. La priorización es el aspecto más crítico de un programa CTEM eficaz, y se centra en comprender qué vulnerabilidades presentan el mayor riesgo para la empresa. El sistema de puntuación de vulnerabilidades comunes (CVSS) fue un intento inicial de clasificar las vulnerabilidades según el riesgo, pero tiene limitaciones. Una priorización eficaz requiere sintetizar datos de diversas fuentes y considerar los factores de riesgo específicos de la organización y los controles de mitigación.

4. La validación implica simular o emular técnicas de ataque para comprender cómo los atacantes podrían explotar las vulnerabilidades expuestas. Este paso evalúa la probabilidad de éxito de un ataque en el mundo real, estima el daño potencial y evalúa la eficacia de los procesos actuales de respuesta y reparación.

5. La movilización comprende la respuesta a los hallazgos de los pasos anteriores, centrándose en la solución y la presentación de informes. La automatización puede aumentar la eficiencia, pero la intervención humana suele ser necesaria para garantizar una solución eficaz. Es esencial reducir la fricción en los procesos de mitigación de riesgos mediante una combinación de comunicación humana y herramientas.

Nuestro libro electrónico CTEM incluye más detalles sobre los desafíos y las dificultades en cada uno de estos cinco pasos. 

Cómo crear un programa CTEM eficaz con Zscaler

Es posible realizar una evaluación integral de su panorama de riesgos cuando se cuenta con la información de docenas de fuentes de datos correlacionadas, pero no hay suficientes hojas de cálculo en el mundo para facilitar el análisis humano a esa escala. 

Para abordar este desafío, Zscaler ha sido pionero en la aplicación de una estructura de datos que permite una CTEM eficaz. Zscaler Data Fabric for Security permite a las organizaciones agregar y correlacionar hallazgos en más de 150 herramientas de seguridad y sistemas comerciales para que puedan comprender y gestionar mejor los riesgos. Data Fabric armoniza, deduplica, correlaciona y enriquece millones de puntos de datos que abarcan información de seguridad y contexto comercial, y sirve a varias soluciones de Zscaler.

La solución Asset Exposure Management (gestión de exposición de activos), que se lanzará el próximo mes, y la solución Unified Vulnerability Management (Gestión unificada de vulnerabilidades) (UVM), evalúan y priorizan los riesgos de los activos y la exposición.

Con nuestra nueva solución de gestión de exposición de activos, puede:

• Crear un inventario de activos completo y preciso: habilite la resolución de activos en docenas de sistemas de origen para crear un inventario integral y detallado.
• Identifique y cierre las brechas de cobertura: correlacione los detalles de los activos para detectar configuraciones incorrectas y la ausencia de controles para garantizar el cumplimiento.
• Mitigar el riesgo: active políticas de mitigación de riesgos, asigne y realice un seguimiento de los flujos de trabajo y actualice automáticamente su CMDB. 

Con nuestra solución de gestión unificada de vulnerabilidades, usted puede

• Priorizar basándose en el riesgo: comprenda qué exposiciones son más arriesgadas para su empresa en el contexto de su propio entorno, incluidos los controles de mitigación implementados y la inteligencia de amenazas actual. 
• Crear informes dinámicos y personalizados: los paneles y los informes dinámicos capturan las situaciones de riesgo. Podrá crear rápidamente los suyos con un asistente intuitivo basado en widgets para ilustrar los datos. Los informes siempre son precisos porque los datos están siempre actualizados.
• Automatizar flujos de trabajo: agilice la resolución de problemas con la asignación y el seguimiento automatizados de tickets, que se pueden personalizar para adaptarse a la forma de trabajar de sus equipos. Agrupe los elementos de trabajo según una lógica de agrupamiento fácilmente ajustable, y cierre y vuelva a abrir tickets automáticamente según sea necesario para mantener una visión precisa del estado de la resolución de problemas.

 Mejorar la CTEM con Zero Trust Exchange

Para los clientes de Zscaler, las soluciones CTEM amplían las capacidades aprovechando la inteligencia de Zscaler Zero Trust Exchange, la mayor nube de seguridad en línea impulsada por IA del mundo. Esta integración mejora la priorización de riesgos e informa de las recomendaciones de políticas, creando un ciclo de retroalimentación inteligente que permite a las empresas reducir continuamente el riesgo.

Conclusión

CTEM representa un avance significativo en la gestión de vulnerabilidades, cambiando el enfoque de las vulnerabilidades aisladas a la gestión integral de riesgos. Al aprovechar las soluciones CTEM de Zscaler y Zero Trust Exchange, las organizaciones pueden crear un programa CTEM potente que se adapte a las amenazas cambiantes y los cambios comerciales, asegurando en última instancia el futuro de su empresa. 

Para obtener más información sobre nuestra próxima solución de gestión de exposición de activos, únase a nuestro evento de lanzamiento virtual. Puede ver nuestra solución UVM en acción en nuestro vídeo Lightboard o en una demostración personalizada. Para comprender mejor CTEM y cómo Zscaler puede ayudarle, consulte nuestro libro electrónico CTEM.