Cargando

Sobre mi

Página web personal sobre mi experiencia y proyectos realizados como Ingeniero de Telecomunicación especializado en Ciberseguridad.El sitio también aloja un Blog sobre las últimas menazas y tendencias en el mundo de la ciberseguridad.

blog

La Gestión Continua de la Exposición a Amenazas (CTEM, por sus siglas en inglés) es un programa proactivo y holístico de ciberseguridad diseñado para identificar, evaluar y reducir continuamente la exposición de una organización a las amenazas. Se trata de un marco de cinco etapas que ayuda a las organizaciones a identificar vulnerabilidades y exposiciones, correlacionarlas con posibles rutas de ataque, priorizarlas en función de su riesgo para los activos críticos y supervisar el progreso a medida que implementan actividades de remediación.

Las cinco etapas del programa CTEM como un proceso continuo para gestionar la exposición a las amenazas. Estas etapas son:

 

  1. Alcance (Scoping):

Esta etapa inicial se centra en comprender las superficies de ataque de una organización y la importancia de cada activo para el negocio. Implica identificar las superficies de ataque clave y requiere la participación de varios responsables de la toma de decisiones, incluidos los líderes de los equipos de TI, legal, GRC, desarrollo, I+D, producto y operaciones comerciales.

También implica la colaboración entre las funciones de negocio y seguridad para definir qué es crítico o de alto valor para los activos digitales de la organización.

 

  1. Descubrimiento (Discovery):

En esta etapa, se evalúa cada activo en busca de posibles exposiciones y se analiza cómo estas exposiciones se correlacionan con riesgos particulares.

Esta etapa va más allá de las vulnerabilidades individuales, ya que incluye otros tipos de exposiciones, como Active Directory, identidad y riesgos de configuración, así como la forma en que las exposiciones pueden encadenarse para crear rutas de ataque hacia los activos. Implica mapear la infraestructura, la red, las aplicaciones y los activos de datos sensibles para encontrar errores de configuración, vulnerabilidades y otros defectos técnicos, lógicos o de procesos, y clasificar sus respectivos riesgos.

 

  1. Priorización (Prioritization):

Las exposiciones se analizan para sopesar el nivel de amenaza conocida que han supuesto “en el mundo real” y la importancia de los activos directamente afectados. Esta etapa es crucial porque las grandes organizaciones suelen encontrarse con que hay muchas más exposiciones de las que pueden solucionar.

CTEM ayuda a priorizar la remediación al dejar claro qué acciones son más beneficiosas para reducir la mayor cantidad de riesgo para los activos críticos. Se evalúa la probabilidad de explotación, con o sin tener en cuenta los controles de compensación, como base para calificar su importancia relativa.

 

  1. Validación (Validation):

En la validación se examina cómo pueden ocurrir los ataques y la probabilidad de que ocurran. Se pueden utilizar diversas herramientas para diferentes usos, incluyendo la validación para la priorización (como en la etapa 3), pruebas continuas de los controles de seguridad y automatización de las pruebas de penetración periódicas. Se lanzan ataques simulados o emulados en las exposiciones identificadas previamente para evaluar la eficacia de las defensas existentes y validar que la respuesta y la remediación inmediatas son adecuadas.

 

  1. Movilización (Mobilization):

Esta etapa se asegura de que toda la organización  comprenda su papel y responsabilidades dentro del programa. Se optimiza cuando tanto el equipo de seguridad como los equipos de TI involucrados en la remediación tienen claro el valor de la reducción del riesgo de cualquier esfuerzo de remediación, así como la presentación de informes para mostrar la tendencia general de las mejoras realizadas en la postura de seguridad a lo largo del tiempo.

 

Diferencias Clave entre CTEM y RBVM

Tanto CTEM como la gestión de vulnerabilidades basada en riesgos (RBVM) son estrategias de ciberseguridad diseñadas para ayudar a las organizaciones a gestionar el riesgo. Sin embargo, existen diferencias importantes entre los dos enfoques:

 

  1. Alcance de las exposiciones:
  • RBVM: Se centra principalmente en la gestión de vulnerabilidades (CVEs). Se basa en herramientas para evaluar las vulnerabilidades existentes y determinar la cantidad de riesgo que cada una representa para los activos críticos del negocio, basándose en la explotación conocida de las vulnerabilidades “en el mundo real”.
  • CTEM: Adopta un enfoque más amplio, abarcando no solo vulnerabilidades (CVEs), sino también problemas de identidad y errores de configuración. CTEM reconoce que los atacantes explotan regularmente estos otros tipos de exposiciones, y por lo tanto, es crucial gestionarlos también.

 

  1. Enfoque holístico vs. limitado:
  • RBVM: Se limita a priorizar las vulnerabilidades individuales, sin tener en cuenta cómo estas vulnerabilidades podrían estar conectadas entre sí o cómo un atacante podría encadenarlas para crear una ruta de ataque.
  • CTEM: Adopta una visión holística del entorno, analizando cómo las diferentes exposiciones pueden combinarse para crear rutas de ataque hacia activos críticos. Esta visión más amplia permite a las organizaciones priorizar mejor sus esfuerzos de remediación y centrarse en las áreas de mayor riesgo.

 

  1. Priorización de la remediación:
  • RBVM: Prioriza la remediación en función del riesgo que representa cada vulnerabilidad individual. Este enfoque puede ser útil, pero puede llevar a que las organizaciones pasen por alto las vulnerabilidades que, si bien individualmente pueden parecer de bajo riesgo, pueden ser explotadas en combinación con otras para crear una ruta de ataque de alto riesgo.
  • CTEM: Prioriza la remediación en función del impacto real en los activos críticos. Esto significa que CTEM considera no solo el riesgo de una sola vulnerabilidad, sino también cómo esa vulnerabilidad podría ser utilizada en el contexto de una ruta de ataque más amplia.

 

  1. Gestión continua vs. puntual:
  • RBVM: A menudo se implementa como un proceso puntual o periódico.
  • CTEM: Enfatiza la evaluación y mejora continua. Reconoce que los entornos de TI están en constante cambio, con nuevas exposiciones que surgen todo el tiempo.

 

Conclusión

CTEM se puede considerar como una evolución de RBVM, que aborda las limitaciones de este último al ampliar el alcance de las exposiciones consideradas, adoptando una visión holística del riesgo, priorizando la remediación en función del impacto real y enfatizando la evaluación y mejora continua.

Leave a comment

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Categorías

Entradas recientes

Comentarios

Etiquetas

bases de datos (1) cifrado (1) cloud (2) contraseñas (2) correo (1) CTEM (1) dark web (1) Data (1) Data Breach (2) Data Leak (2) datos (1) deepfake (1) DKIM (1) DMARC (1) DSPM (1) gestión riesgos (1) Google (1) HTTPS (1) IA (2) Lastpass (1) MFA (3) phishing (2) ransomware (1) redes sociales (1) RockYou (1) SaaS (1) SIM Swapping (1) SPF (1) SS7 (1) superficie ataque (1) TunnelCrack (1) typosquatting (1) voice cloning (1) VPN (1) vulnerabilidades (1)