Puntos Clave
- La gestión de la exposición es una práctica de ciberseguridad en evolución que se centra en la visibilidad integral de la superficie de ataque, la priorización del riesgo y el apetito de riesgo para maximizar la seguridad de la organización.
- La gestión de vulnerabilidades es un enfoque tradicional orientado a remediar el mayor número posible de vulnerabilidades (sin tener en cuenta el riesgo real, los recursos, etc.).
- Aunque la gestión de vulnerabilidades basada en el riesgo sí tiene en cuenta las amenazas reales, no alcanza el enfoque holístico de la gestión de la exposición porque no se fundamenta en el apetito de riesgo.
- La gestión de la exposición cubre una mayor parte de su superficie de ataque al proteger tipos de activos más recientes (por ejemplo, dispositivos IoT e infraestructuras en la nube) y al ir más allá de las CVE y el CVSS.
La gestión de vulnerabilidades lleva años prestando servicio a las organizaciones y al sector de la ciberseguridad. Es una práctica eficaz que ha ayudado a las empresas a defender su superficie de ataque y a impedir que los actores de amenazas exploten vulnerabilidades.
Pero la tecnología y la infraestructura de TI han evolucionado. La gestión de vulnerabilidades ya no puede responder a los desafíos que plantea esta evolución. Ahora, la gestión de la exposición ofrece un enfoque aún más holístico de la seguridad de endpoints que cubre las áreas en las que la gestión de vulnerabilidades se queda corta.
Analicemos las diferencias para que pueda decidir cómo proteger su organización.
¿Qué es la gestión de vulnerabilidades?
La gestión de vulnerabilidades es una práctica de ciberseguridad que incluye la identificación, evaluación, priorización y remediación continuas y proactivas de las vulnerabilidades que los hackers pueden utilizar para infiltrarse en su organización.
No obstante, es importante señalar que existen dos tipos diferentes de gestión de vulnerabilidades:
Gestión de vulnerabilidades tradicional | Gestión de vulnerabilidades basada en el riesgo |
Consiste en intentar remediar el mayor número posible de vulnerabilidades. Esto suele traducirse en un esfuerzo considerable y en expectativas de éxito poco realistas, al tiempo que genera una falsa sensación de seguridad. | Una práctica evolucionada de gestión de vulnerabilidades que tiene en cuenta el riesgo al priorizar las vulnerabilidades. Esto permite a las organizaciones aplicar parches a las vulnerabilidades críticas que suponen una amenaza real, protegiendo su organización frente a los actores de amenazas y, al mismo tiempo, garantizando una postura de seguridad sólida y una gestión eficaz de los recursos. |
Un enfoque de gestión de vulnerabilidades basada en el riesgo va más allá de la gestión de vulnerabilidades tradicional y aporta a su organización las siguientes ventajas:
- Supervisa continuamente las vulnerabilidades para ofrecer una seguridad proactiva.
- Identifica exposiciones explotadas activamente.
- Permite realizar esfuerzos de remediación eficaces.
- Reduce el riesgo.
- Ayuda a las organizaciones a alcanzar el cumplimiento normativo.
Aunque la gestión de vulnerabilidades basada en el riesgo cubre muchos aspectos, sigue sin ofrecer el enfoque holístico de ciberseguridad que las organizaciones necesitan para mantenerse protegidas y seguras. Ahí es donde entra en juego la gestión de la exposición.
¿Qué es la gestión de la exposición?
La gestión de la exposición es una práctica de ciberseguridad en evolución que proporciona visibilidad integral de toda la superficie de ataque. Permite a los equipos de TI y seguridad identificar exactamente dónde puede estar expuesta su organización, e incluye priorización basada en el riesgo, remediación y mucho más. La gestión de la exposición se centra en mantener el apetito de riesgo que la propia organización ha definido. Por tanto, abarca cuatro fases:
Al igual que la gestión de vulnerabilidades basada en el riesgo, la gestión de la exposición ayuda a priorizar qué vulnerabilidades y exposiciones deben abordarse primero en función del riesgo real, pero va más allá al tener en cuenta lo que resulta más relevante para su empresa concreta. Este enfoque de ciberseguridad garantiza que las exposiciones de mayor riesgo se remedien de forma proactiva, antes de que los atacantes puedan explotarlas.
Gestión de la exposición frente a gestión de vulnerabilidades: ¿cuál es la diferencia?
La gestión de la exposición representa la siguiente evolución más allá de la gestión de vulnerabilidades tradicional. Mientras que la gestión de vulnerabilidades se centra principalmente en identificar y abordar debilidades en servidores y endpoints, la gestión de la exposición amplía este alcance al ofrecer visibilidad completa de toda la superficie de ataque.
Entre las principales diferencias se incluyen las siguientes:
- La gestión de la exposición está diseñada para tipos de activos más recientes: Los entornos de TI modernos son cada vez más complejos e incluyen ahora activos como aplicaciones de software como servicio (SaaS), dispositivos IoT, infraestructura en la nube y mucho más. La gestión de la exposición está diseñada para tener en cuenta estos tipos de activos más recientes, lo que garantiza que los equipos de TI y seguridad puedan identificar los riesgos allí donde existan dentro de la organización. Al hacerlo, la gestión de la exposición proporciona una comprensión completa de todos los posibles puntos de entrada. Esto permite a las organizaciones gestionar y reducir el riesgo con más eficacia que nunca.
- La gestión de la exposición entiende la realidad y promueve un enfoque basado en el apetito de riesgo: Como hemos visto, la gestión de vulnerabilidades se centra en aplicar parches a las vulnerabilidades. Aunque la gestión de vulnerabilidades basada en el riesgo ofrece priorización del riesgo y orquestación de la remediación, esta práctica no reconoce que no es realista que una organización aplique parches a todas las vulnerabilidades. El término apetito de riesgo hace referencia a la medida, definida por la propia organización, de cuánto riesgo está dispuesta a aceptar. Se trata de un enfoque mucho más realista que alinea a toda la organización en torno a KPI compartidos para medir el éxito de forma coherente entre equipos.
- La gestión de la exposición va más allá de las CVE y el CVSS: La gestión de vulnerabilidades se centra principalmente en las vulnerabilidades y exposiciones comunes (CVE). Aunque las CVE son un objetivo importante para la mayoría de las organizaciones, no son los únicos catalizadores que los actores de amenazas pueden utilizar para causar daños a su organización. Los hackers también pueden aprovechar las siguientes exposiciones (que la gestión de vulnerabilidades no cubre) para infiltrarse en su organización:
- Configuraciones incorrectas.
- seguridad de las aplicacionesProblemas de
- Políticas de sistemas de TI.
- Controles de acceso privilegiado.
Volviendo al enfoque holístico, la gestión de la exposición cubre todos estos activos modernos. Además, la gestión de vulnerabilidades depende en gran medida del Common Vulnerability Scoring System (CVSS) para priorizar la remediación. Aunque el CVSS es una medida sólida de la gravedad, proporciona una perspectiva eficaz ajustada al riesgo.
El riesgo es un factor importante que debe tenerse en cuenta, ya que incluye si una vulnerabilidad se ha explotado, si está vinculada a ransomware/malware o si está generando tendencia en ese momento. No tener en cuenta el riesgo crea una falsa sensación de urgencia con el CVSS, lo que lleva a los equipos de TI y seguridad a perder tiempo y recursos en vulnerabilidades que no son realmente urgentes.
Cómo proteger su organización
Ahora que hemos repasado las diferencias entre la gestión de la exposición y la gestión de vulnerabilidades, es el momento de aprovechar las ventajas que ofrece la gestión de la exposición. Descubra cómo el portfolio de gestión de la exposición de Ivanti puede impulsar a sus equipos de TI y seguridad.
Preguntas frecuentes
¿Qué es la gestión de vulnerabilidades?
La gestión de vulnerabilidades es una práctica de ciberseguridad centrada en identificar, evaluar, priorizar y remediar vulnerabilidades que los atacantes podrían explotar. Tradicionalmente, su objetivo es aplicar parches al mayor número posible de vulnerabilidades, pero este enfoque suele generar expectativas poco realistas y desperdiciar recursos.
¿Qué es la gestión de la exposición?
La gestión de la exposición es una práctica avanzada de ciberseguridad que proporciona visibilidad completa de toda la superficie de ataque. Prioriza la remediación en función del riesgo y del apetito de riesgo de una organización: el nivel de riesgo que la empresa está dispuesta a aceptar. Incluye cuatro fases: visibilidad, agregación y priorización, movilización y remediación.
¿En qué se diferencia la gestión de la exposición de la gestión de vulnerabilidades?
- Alcance: La gestión de la exposición cubre activos modernos como dispositivos IoT, aplicaciones SaaS e infraestructura en la nube.
- Enfoque del riesgo: La gestión de la exposición incorpora el apetito de riesgo y reconoce que aplicar parches a todas las vulnerabilidades no es realista.
- Más allá de las CVE: La gestión de la exposición aborda configuraciones incorrectas, brechas en las políticas y problemas de acceso privilegiado, no solo las CVE y las puntuaciones CVSS.
¿Por qué es importante el apetito de riesgo en la gestión de la exposición?
El apetito de riesgo define cuánto riesgo está dispuesta a aceptar una organización. Al alinear los esfuerzos de seguridad con este umbral, la gestión de la exposición garantiza que los recursos se centren en las exposiciones de mayor impacto.
