Comprender la gestión de exposición continua a amenazas (CTEM): un marco para la seguridad proactiva

En 2022, en medio de un aumento de las violaciones dirigidas contra vulnerabilidades conocidas, Gartner® introdujo el concepto de gestión continua de la exposición a amenazas (CTEM) (fuente: Gartner®, Implement a Continuous Threat Exposure Management (CTEM) Program, octubre de 2023). Los cinco pasos de la CTEM pueden ayudar a las organizaciones a adoptar un enfoque estructurado e iterativo para reducir sus exposiciones y mejorar su postura de seguridad. 

Desde entonces, los responsables de seguridad de todo el mundo han iniciado proyectos para adoptar la CTEM. Estas empresas están evolucionando activamente desde programas de gestión de vulnerabilidades a programas de gestión de exposición. Como resultado, el enfoque está pasando de la simple identificación de Vulnerabilidades y Exposiciones Comunes (CVE) a una comprensión más amplia de los riesgos empresariales, destacando un enfoque más integral de la gestión de vulnerabilidades.

Junto con este blog, le animamos a unirse a nuestro próximo evento de lanzamiento de CTEM y a descargar y compartir nuestro libro electrónico de CTEM para ayudar a su organización a mejorar su postura ante los riesgos.

Por qué los programas de gestión de vulnerabilidades son insuficientes

Los programas tradicionales de gestión de vulnerabilidades no consiguen abordar adecuadamente el dinámico y complejo panorama de amenazas actual. La mayoría no incorpora requisitos empresariales específicos ni tiene en cuenta los controles de mitigación. La priorización de riesgos también falla, ya que carece de cálculos de riesgo transparentes o personalizables.

Varios factores contribuyen a que los enfoques tradicionales no sean adecuados, entre ellos:

1. Expansión tecnológica: Las soluciones SaaS, los servicios de terceros y las diversas infraestructuras en la nube han ampliado la lista de soluciones recomendadas, lo que complica los esfuerzos de gestión de vulnerabilidades.

2. Definiciones limitadas: Ampliar la definición de vulnerabilidades para incluir configuraciones erróneas y fallas de código es esencial para un enfoque más integral.

3. Conjuntos de herramientas aislados: Las empresas dependen de datos sobre activos, usuarios, comportamiento y diversos sistemas para comprender el riesgo, pero estos conjuntos de datos se encuentran en herramientas dispares y desconectadas.

Los cimientos de CTEM

El CTEM proporciona un enfoque para la evolución de los programas de VM. Según Gartner®, "para 2026, las organizaciones que prioricen sus inversiones en seguridad basándose en un programa CTEM tendrán tres veces menos probabilidades de sufrir una violación". (Gartner®, Ibid)

El proceso CTEM

CTEM es un proceso cíclico que comprende cinco pasos: alcance, detección, priorización, validación y movilización. Este ciclo repetible se ajusta a los cambios en el entorno empresarial o el panorama de amenazas, lo que genera hallazgos prácticos que permiten a los equipos de seguridad e infraestructura mitigar los riesgos de manera eficaz.

1. El alcance implica tomar una decisión empresarial sobre qué activos cubrirá el programa CTEM. En las grandes empresas, la superficie de ataque suele ser mucho mayor de lo que abarcan los programas tradicionales de gestión de vulnerabilidades. Decidir qué incluir en el alcance requiere una cuidadosa consideración de los posibles impactos empresariales, incluidos los daños financieros, el esfuerzo de reparación, la pérdida de confianza de los consumidores y el daño a los socios comerciales.

2. La detección va más allá de los CVE e incluye las configuraciones erróneas de activos y controles de seguridad y otras debilidades, como los activos falsificados. El comportamiento de los usuarios es otro ejemplo: comprender qué individuos son propensos a los ataques de phishing es crucial. Una determinación precisa del alcance basada en el riesgo empresarial y el impacto potencial es más valiosa que simplemente detectar más activos y vulnerabilidades.

3. La priorización es el aspecto más crítico de un programa CTEM eficaz, y se centra en comprender qué vulnerabilidades presentan el mayor riesgo para la empresa. El sistema de puntuación de vulnerabilidades comunes (CVSS) fue un intento inicial de clasificar las vulnerabilidades según el riesgo, pero tiene limitaciones. Una priorización eficaz requiere sintetizar datos de diversas fuentes y considerar los factores de riesgo específicos de la organización y los controles de mitigación.

4. La validación implica simular o emular técnicas de ataque para comprender cómo podrían explotar los atacantes las vulnerabilidades expuestas. Este paso evalúa la probabilidad de éxito de un ataque en el mundo real, calcula los daños potenciales y evalúa la eficacia de los procesos actuales de respuesta y reparación.

5. La movilización comprende la respuesta a los hallazgos de los pasos anteriores, centrándose en la solución y la presentación de informes. La automatización puede aumentar la eficiencia, pero la intervención humana suele ser necesaria para garantizar una solución eficaz. Es esencial reducir la fricción en los procesos de mitigación de riesgos mediante una combinación de comunicación humana y herramientas.

Nuestro libro electrónico de CTEM incluye más detalles sobre los desafíos y dificultades en cada uno de estos cinco pasos. 

Cómo crear un programa CTEM eficaz con Zscaler

Es posible realizar una evaluación integral de su panorama de riesgos cuando se cuenta con la información de docenas de fuentes de datos correlacionadas, pero no hay suficientes hojas de cálculo en el mundo para facilitar el análisis humano a esa escala. 

Para abordar este desafío, Zscaler ha sido pionero en la aplicación de una estructura de datos que permite una CTEM eficaz. Zscaler Data Fabric for Security permite a las organizaciones agregar y correlacionar los hallazgos a través de más de 150 herramientas de seguridad y sistemas de negocio para que puedan comprender y gestionar mejor los riesgos. Data Fabric armoniza, deduplica, correlaciona y enriquece millones de puntos de datos que abarcan hallazgos de seguridad y contexto comercial y sirve a varias soluciones de Zscaler.

La solución Asset Exposure Management, que se lanzará el próximo mes, y la solución Unified Vulnerability Management (UVM) evalúan y priorizan los riesgos de los activos y la exposición.

Con nuestra nueva solución de gestión de exposición de activos, puede:

• Crear un inventario de activos completo y preciso: Habilite la resolución de activos en docenas de sistemas de origen para crear un inventario integral y detallado.
• Identifique y cierre las brechas de cobertura: correlacione los detalles de los activos para detectar configuraciones incorrectas y la ausencia de controles para garantizar el cumplimiento.
• Mitigar el riesgo: Active políticas de mitigación de riesgos, asigne y realice un seguimiento de los flujos de trabajo y actualice automáticamente su CMDB. 

Con nuestra solución de Gestión Unificada de Vulnerabilidades, usted puede:

• Priorizar la exposición: Comprenda qué exposiciones son más riesgosas para su empresa en el contexto de su propio entorno único, incluidos los controles de mitigación implementados y la inteligencia de amenazas actual. 
• Crear informes dinámicos y personalizados: Los paneles de control e informes dinámicos capturan la postura de riesgo, y usted puede construir rápidamente los suyos propios con un asistente intuitivo basado en widgets para ilustrar cualquier punto de datos. Los informes son siempre precisos porque los datos están siempre actualizados.
• Automatizar flujos de trabajo: Agilice la resolución de problemas con la asignación y el seguimiento automatizados de tickets, que se pueden personalizar para adaptarse a la manera de trabajar de sus equipos. Agrupe los elementos de trabajo según una lógica de agrupamiento fácilmente ajustable, y cierre y vuelva a abrir tickets automáticamente según sea necesario para mantener una visión precisa del estado de la resolución de problemas.

 Mejorar la CTEM con Zero Trust Exchange

Para los clientes de Zscaler, las soluciones CTEM amplían las capacidades aprovechando la inteligencia de Zscaler Zero Trust Exchange, la nube de seguridad en línea impulsada por la IA más grande del mundo. Esta integración mejora la priorización de los riesgos e informa las recomendaciones políticas, creando un bucle de retroalimentación inteligente que capacita a las empresas para reducir continuamente los riesgos.

Conclusión

El CTEM representa un avance significativo en la gestión de vulnerabilidades, ya que cambia el enfoque de las vulnerabilidades aisladas a la gestión integral de riesgos. Al aprovechar las soluciones CTEM de Zscaler y Zero Trust Exchange, las organizaciones pueden crear un programa CTEM sólido que se adapte a las amenazas cambiantes y los cambios comerciales, asegurando en última instancia el futuro de empresa.

Para obtener más información sobre nuestra próxima solución de gestión de exposición de activos, únase a nuestro evento de lanzamiento virtual. Puede ver nuestra solución UVM en acción en nuestro video Lightboard o en una demostración personalizada. Para comprender mejor CTEM y cómo Zscaler puede ayudarle, consulte nuestro libro electrónico CTEM.