Explicación de Jargón de TI

Gestión de exposición

La gestión de exposición representa un enfoque más integral, práctico y proactivo para elevar la postura de ciberseguridad de su organización. Los enfoques tradicionales de la gestión de vulnerabilidades han alcanzado sus límites, por lo que las organizaciones están adoptando cada vez más un enfoque más nuevo para proteger sus infraestructuras digitales.

¿Qué es la gestión de exposición?

La gestión de exposición es la práctica de identificar, evaluar y mitigar de forma proactiva y selectiva las exposiciones en la superficie de ataque digital de una organización. Implica comprender los posibles puntos de acceso y vectores de ataque, priorizar los riesgos que presentan e implementar medidas para proteger contra las amenazas más críticas. El objetivo final es mantener las exposiciones reales a un nivel de riesgo aceptable.

¿En qué se diferencia la gestión de exposición de la gestión de vulnerabilidades?

La gestión de exposición es más holística, aprovechando la priorización basada en el riesgo de las exposiciones y la validación de las exposiciones identificadas y priorizadas para ofrecer una visión completa de toda la superficie de ataque digital de una organización. Proporciona visibilidad completa de activos como servidores, endpoints, dispositivos móviles, dispositivos y sitios web de Internet de las cosas (IoT) y las exposiciones que pueden crear. Estos incluyen exposiciones de software, parches ausentes, configuraciones erróneas, credenciales débiles o comprometidas y más.

También aborda el riesgo humano implicado a través de una formación periódica de concienciación sobre seguridad para educar a los empleados sobre posibles amenazas y mejores prácticas, estableciendo protocolos claros para que sigan en caso de un incidente de seguridad, preguntando al empleado sobre posibles vulnerabilidades y medidas de seguridad, y diseñando herramientas de seguridad fáciles de usar para reducir el error humano.

Beneficios de la

Gestión de exposición

Existen múltiples beneficios de la gestión de exposición, empezando por cómo defiende a las organizaciones identificando, evaluando y mitigando proactivamente las vulnerabilidades en su infraestructura digital. Al supervisar continuamente los riesgos potenciales, las empresas pueden priorizar los esfuerzos de corrección en función de la gravedad y el impacto de los problemas identificados, garantizando que las amenazas críticas se aborden rápidamente. Este enfoque proactivo reduce significativamente la probabilidad de ciberataques y violaciones de datos, salvaguardando la información confidencial y manteniendo la continuidad operativa.

Los beneficios de la gestión de exposición apenas se detienen allí, ya que también fortalece la postura general de ciberseguridad. Las evaluaciones periódicas y las actualizaciones de los protocolos de seguridad ayudan a las empresas a mantenerse por delante de las amenazas en evolución y adaptarse a los nuevos desafíos. Esto no solo mejora la resiliencia, sino que también aprovecha el ahorro de costes al evitar costosos incidentes de seguridad y minimizar el tiempo de inactividad. Y los beneficios de la gestión de exposición van más allá de la reducción de riesgos, ya que también puede fomentar una cultura de vigilancia y mejora continua en toda la organización.

¿Cuáles son algunos de los principios rectores de la gestión de exposición?

  • Obtener una visibilidad del 100 % de todos los activos y exposiciones para que una organización pueda ver toda su superficie de ataque.
  • Emplear la priorización basada en el riesgo para orientar los recursos contra las exposiciones más críticas. Las consideraciones incluyen gravedad/explotación, contexto de amenazas del mundo real y posible impacto empresarial.
  • Usar métricas basadas en resultados para medir la eficacia de los esfuerzos para reducir la postura general del riesgo.
  • Fomentar la colaboración entre unidades de negocio, equipos de seguridad, equipos de TI y liderazgo mediante un enfoque basado en datos de la inversión en seguridad que optimiza la postura de seguridad y la asignación de recursos.

Ese último principio es tan importante, veamos cómo funciona en la práctica.

En primer lugar, el liderazgo decide el nivel de tolerancia al riesgo general de la organización. Cada unidad de negocio informa entonces al equipo de seguridad sobre los activos y sistemas críticos para sus procesos. A continuación, Seguridad determina cómo dirigir sus esfuerzos de acuerdo con esa guía.

A continuación, los equipos de TI y desarrollo encargados de mitigar o corregir la exposición seguirán las prioridades del equipo de seguridad. La colaboración es fundamental en este punto porque TI y los programadores deben comprender los motivos por los que se les pide que actúen – de lo contrario, es posible que no actúen con la urgencia adecuada.

Más allá de la gestión de vulnerabilidades tradicional

La gestión de vulnerabilidades ha sido la base sobre la que se han construido muchos programas de ciberseguridad. Tradicionalmente, se centraba en identificar y priorizar exposiciones y debilidades en software basadas en sistemas de puntuación estandarizados como el Sistema de puntuación de vulnerabilidad común (CVSS).

Pero esto solo proporciona a los equipos de TI y ciberseguridad una perspectiva estrecha sobre el riesgo, por lo que pueden estar invirtiendo mucho esfuerzo pero logrando lejos de la protección nominal. Las limitaciones inherentes de la gestión de vulnerabilidades incluyen:

  • Ámbito limitado: se dirige principalmente a exposiciones en sistemas operativos y software de terceros mientras se descuidan otros tipos en otros tipos de activos. Esto da lugar a puntos ciegos que dejan a las organizaciones modernas expuestas a una gama más amplia de amenazas.
  • Centrarse en exposiciones incorrectas: depender de CVSS puede llevar a los equipos a centrarse en las exposiciones incorrectas, ya que mide la gravedad de la vulnerabilidad (con qué facilidad se podría aprovechar una vulnerabilidad) pero no el riesgo (el impacto potencial de una explotación). Esto significa que las organizaciones pueden priorizar la corrección de exposiciones con altos niveles de gravedad, incluso si representan un riesgo bajo o nulo, mientras ignoran a otras con bajos niveles de gravedad que representan un riesgo alto.
  • Demasiadas exposiciones: también, CVSS a menudo califica muchas exposiciones como críticas, a diferencia de los sistemas de puntuación basados en el riesgo, lo que lleva a los equipos a gastar mucho esfuerzo para obtener resultados mínimos. Muchas exposiciones podrían explotarse, pero nunca suceden en la práctica. CVSS también puntúa solo las vulnerabilidades y exposiciones comunes (CVE), mientras que las organizaciones también necesitan abordar otros tipos como configuraciones erróneas; la dependencia excesiva de CVSS puede significar que las pasen por alto. Con cientos de miles de CVE y docenas, a veces cientos, más publicados cada día en la Base de Datos Nacional de Vulnerabilidad, es fácil ver cómo la gestión de vulnerabilidades puede no ser capaz de hacer frente a muchos de ellos.
  • Métricas basadas en la actividad: la gestión de vulnerabilidades tradicional suele medir el éxito basándose en métricas como el tiempo medio de resolución (MTTR) y el cumplimiento del acuerdo de nivel de servicio (SLA). Estos muestran si una mitigación o corrección se llevó a cabo de manera oportuna, pero no si tuvo algún impacto en la postura de seguridad.

Problemas con enfoques obsoletos

Muchas violaciones costosas ocurren debido a las brechas en la gestión de vulnerabilidades que ya hemos abordado. Cuando los hackers entraron en la red de Target en 2013, se debió a credenciales de red robadas de un proveedor externo, lo que resultó en la exposición de 40 millones de cuentas de tarjetas de crédito y débito. Más recientemente, los hackers se centraron en los sistemas de tratamiento de aguas residuales y servicios públicos de los EE. UU. aprovechando una vulnerabilidad en controladores lógicos programables, un tipo de sistema tecnológico operativo.

Según Verizon, el uso de las exposiciones como punto inicial de entrada casi se triplicó entre 2023 y 2024, lo que representa el 14 % de todas las infracciones y está impulsado por más ataques dirigidos a exposiciones de día cero sin parches.

La misma investigación descubrió que el 95 % de los profesionales de TI y seguridad creen que la IA hará que las amenazas a la seguridad sean más peligrosas. Sin embargo, casi una de cada tres no tiene una estrategia para abordar los riesgos que presenta la IA generativa.

Aun así, muchos en la administración corporativa no son conscientes de lo vulnerables que son sus organizaciones. La investigación de Ivanti descubrió que el 55 % de los profesionales de TI y seguridad sienten que los líderes que no son de TI no comprenden la gestión de vulnerabilidades, y el 47 % de esos líderes coincidieron.

Y casi dos de cada tres organizaciones encuestadas aún no están invirtiendo en áreas críticas como la gestión de superficie de ataque externo (EASM). EASM es crucial para una gestión de exposición efectiva porque implica descubrir, evaluar y priorizar continuamente las exposiciones, proporcionando la visibilidad necesaria para proteger contra los ciberataques. Al identificar y evaluar los activos orientados a Internet, EASM ayuda a una organización a comprender su panorama de exposición. Para instancia, las herramientas EASM pueden descubrir aplicaciones de TI en la sombra y dispositivos que operan fuera de un perímetro de seguridad, creando posibles vectores de ataque, o revelar exposiciones entre proveedores externos.

Un enfoque más completo de la gestión de vulnerabilidades

En 2022, Gartner publicó un informe que destacaba la necesidad de implementar lo que llamaba programa de gestión de exposición continua a amenazas (CTEM). Ese informe estableció un enfoque integrado, iterativo y proactivo para priorizar y corregir exposiciones y mejorar continuamente la postura de seguridad.

Trabajó el concepto de que la ciberseguridad “lo suficientemente buena” es más pragmática y alcanzable que intentar lograr una ciberseguridad “perfecta”. Esto se logra identificando y priorizando constantemente las exposiciones que más probablemente supongan una amenaza para una organización.

CTEM es una estructura para la gestión del riesgo cibernético: piense en él como un marco como el Marco de ciberseguridad (CSF) 2.0 del Instituto Nacional de Estándares y Tecnología (NIST) o la versión 8.1 de los Controles del Centro para la Seguridad de Internet (CIS). Es un proceso definido para identificar, evaluar, validar y mitigar continuamente las exposiciones. La gestión de exposición es un término más amplio que se refiere a la práctica general de gestionar exposiciones en los activos de una organización.

Muchos proveedores están alineando sus herramientas de gestión de exposición con CTEM, ofreciendo módulos específicos para cada etapa del proceso.

Estos son los enfoques que aprovecha la gestión de exposición que la distinguen de la gestión de vulnerabilidades:

  • ámbito ampliado: la gestión de exposición lanza una red más amplia, que abarca una gama más amplia de exposiciones que solo exposiciones de software; también busca a otros como credenciales débiles o implementaciones de prevención de pérdida de datos ineficaces. También abarca activos que podrían estar en riesgo, incluidos activos mal configurados, entornos de nube inseguros y dispositivos IoT. Al supervisarlos y analizarlos todos, una organización obtiene una imagen más clara y realista de su postura general de riesgo.
  • Priorización basada en el riesgo: la gestión de exposición prioriza las exposiciones en función de su impacto potencial en la organización, evaluando factores como la criticidad del negocio, la explotabilidad y la probabilidad de un ataque. Esto garantiza que los recursos se asignen para que estén mitigando primero los riesgos más críticos.
  • Medición basada en resultados: la gestión de exposición cambia el enfoque de métricas basadas en actividades a métricas basadas en resultados. Mide la eficacia real de las medidas de ciberseguridad para mejorar la postura de riesgo de una organización, proporcionando información práctica para optimizar recursos y defensas.

Un kit de herramientas para una gestión de exposición efectiva

La

gestión de exposición requiere un enfoque de múltiples capas que ponga en funcionamiento una variedad de herramientas y técnicas. Los específicos que utiliza una organización dependerán de su tamaño, industria y tolerancia al riesgo.

Se agrupan en dos categorías principales: evaluación de la exposición y validación de la exposición.

Herramientas de evaluación de la exposición

  • Gestión de la superficie de ataque externa (EASM): se centran específicamente en la superficie de ataque externa:
    • Identificación de activo externos: identifican todos los activos orientados a Internet, incluidos sitios web, aplicaciones y recursos en la nube.
    • Detección de exposición: localizan una variedad de exposiciones en activos externos que podrían ser explotados.
    • Análisis de rutas de ataque: algunas soluciones avanzadas pueden simular rutas de ataque potenciales para iluminar cómo los atacantes pueden explotar las exposiciones.
    • Monitoreo de Deep Web: analizar la Deep Web y la Dark Web para identificar activos expuestos o credenciales filtradas que podrían utilizarse en ataques.
  • Gestión de la superficie de activo ataque de activos cibernéticos (CAASM): en el pasado, las herramientas CAASM han proporcionado una vista unificada de todo un ecosistema de TI, la “fuente única de la verdad” sobre todos los activos internos y externos, proporcionando una vista unificada de toda la superficie de ataque. Hoy en día, las capacidades CAASM son cada vez más parte de las soluciones EASM, eliminando la necesidad de herramientas CAASM separadas.
  • Gestión de vulnerabilidades basada en el riesgo (RBVM): las herramientas de RBVM van más allá de la gestión de vulnerabilidades tradicional priorizando las exposiciones en función de:
    • Explotabilidad: si ya se están explotando activamente.
    • Impacto empresarial: cuál sería el impacto en la organización si se explotara esta vulnerabilidad.

Plataformas de validación de la exposición

Estas son cruciales para garantizar la precisión de la priorización de la exposición:

  • simulación de infracción y ataque: simulan escenarios de ataque del mundo real para probar la eficacia de los Controles de seguridad y detectar posibles debilidades.
  • Equipos de red automatizados continuos: proporcionan ejercicios de equipo de red continuos que simulan el comportamiento del atacante para probar continuamente las defensas.
  • Pruebas de penetración como servicio (PTaaS): PTaaS permite a una organización contratar comprobadores de penetración externos para realizar evaluaciones en profundidad de su postura de seguridad.

Implementar la gestión de exposición

La transición de la gestión de vulnerabilidades a la gestión de exposición requiere una estrategia detallada. Estas son las medidas clave que se deben incluir:

  • Crear un marco de trabajo para la colaboración: la gestión de vulnerabilidades tradicional a menudo funciona en un silo, con equipos de seguridad responsables únicamente de la identificación, priorización y luego lanzar el problema sobre la valla a TI para la aplicación de parches. Pero la gestión de exposición prospera con la colaboración, por lo que es importante empezar construyendo eso en tres áreas:
    • colaboración interfuncional: su equipo de seguridad debe trabajar con diferentes unidades de negocio para conocer sus sistemas y datos críticos. Comprender las necesidades del comercio electrónico, por ejemplo, ayuda a priorizar las exposiciones que podrían afectarlo, haciendo que la evaluación de riesgos sea más precisa teniendo en cuenta el impacto en el negocio.
    • Comunicación mejorada: establezca una buena comunicación con el departamento de TI y los programadores que solucionarán las exposiciones mediante parches y cambios de código. Justificar la necesidad de una solución se hace más fácil cuando pueden ver el impacto en el negocio.
    • Compromiso a nivel de la junta: son necesarias métricas más allá de los niveles de actividad básicos (SLA y MTTR). Las métricas avanzadas que se visualizan en los tableros muestran una imagen clara de la postura de riesgo para que los miembros del consejo, incluso sin experiencia en seguridad, puedan ver la efectividad y el retorno de la inversión de los esfuerzos de seguridad.
  • Establecer la tolerancia al riesgo: una organización debe decidir primero su tolerancia al riesgo. Es una decisión empresarial que equilibra la inversión en Controles de seguridad con el nivel aceptable de riesgo residual. Debe incluir el coste de las exposiciones de parches, la revisión del código, la corrección de configuraciones erróneas, la implementación de otras medidas de seguridad y posibles interrupciones del negocio. Estos deben ponderarse contra los posibles daños financieros y de reputación causados por una infracción de seguridad. No hay calculadoras estandarizadas para determinar la tolerancia al riesgo. Es un trabajo dinámico pero necesario que implica tanto la seguridad, que proporcionará datos para informar la decisión, como la gestión.
  • Alcance: defina los activos y exposiciones que deben evaluarse. Esto puede implicar colaborar con diferentes unidades de negocio para comprender sus sistemas y datos críticos.
  • Herramientas de evaluación: aproveche los escáneres de vulnerabilidades existentes que ya tenga. Pero para obtener una vista más completa, considere incorporar herramientas adicionales como soluciones EASM que identifiquen activos orientados a Internet y exposiciones potenciales.
  • Priorización: Integre RBVM para priorizar las exposiciones en función de una combinación de gravedad de la vulnerabilidad, explotabilidad e impacto potencial en el negocio. Esto garantiza que primero esté abordando los riesgos más críticos.
  • Validación: debido a posibles sesgos, considere herramientas o prácticas de validación separadas para garantizar la precisión de la priorización de RBVM.
  • Mejora continua: la gestión de exposición está en curso, no es una solución única. Evalúe y perfeccione regularmente sus esfuerzos para mantenerse por delante de las amenazas en evolución.

El futuro de la gestión de exposición

Un cambio de estrategias reactivas a proactivas tipificará el futuro de la gestión de exposición. La IA y la Automatización serán herramientas cruciales para predecir vulnerabilidades, automatizar esfuerzos de corrección e integrarse sin problemas con plataformas de inteligencia de amenazas. Internamente, las organizaciones crearán colaboración e implementarán nuevas herramientas y procesos que les permitan tomar decisiones más inteligentes, más eficaces y eficientes.

Este enfoque holístico se extenderá a la seguridad de la cadena de suministro, que ya está demostrando ser esencial. Además, la gestión de exposición será aún más crucial para cumplir con los panoramas normativos en evolución.

Al integrar todos estos elementos en un programa de gestión de exposición cohesivo, las organizaciones mejorarán significativamente su postura de seguridad cuando más se necesite.