La gestión de la exposición es el futuro de la seguridad proactiva
Todos los lunes, la Exposure Management Academy de Tenable ofrece la orientación práctica y del mundo real que necesita para pasar de la gestión de vulnerabilidades a la gestión de exposición. En este artículo, Jorge Orchilles, Director Sénior de Preparación y Seguridad Proactiva de Verizon, comparte una visión general de las ideas que impulsaron su adopción de la gestión de exposición. Puede leer la serie completa de Exposure Management Academy aquí.
A medida que cambiamos nuestro enfoque de seguridad en Verizon hacia una gestión de exposición proactiva, consolidamos herramientas y equipos para enfocarnos en los riesgos explotables del mundo real. Al alinear las actividades de seguridad ofensiva bajo una estrategia unificada, priorizar las amenazas explotables y fomentar la colaboración, dejamos nuestro enfoque de corrección basada en el cumplimiento para enfocarnos en la corrección basada en el riesgo.
Ya conoce la historia: los que nos dedicamos a la ciberseguridad jugamos casi todos los días al arriesgado juego Whac-a-mole®. Nos pasamos la vida persiguiendo vulnerabilidades y emitiendo órdenes como "Colocar un parche en un plazo máximo de 30 días" o "Código rojo, ¡colocar un parche ya!" (o respondiendo a ellas).
Sin embargo, a medida que crecen las superficies de ataque y los agentes maliciosos se vuelven más sofisticados, este abordaje reactivo se vuelve inadecuado.
En Verizon, nos dimos cuenta de que, con un panorama tan heterogéneo que debe prestar servicio a las diversas necesidades de las empresas, los minoristas, los técnicos de campos móviles y demás, la mejor solución no era otra colección de tecnologías dispares. Necesitábamos una plataforma de gestión de exposición única y consolidada que pudiera abarcar todos los aspectos de nuestro negocio. El trayecto para llegar hasta aquí rompió silos y cambió nuestra mentalidad, que pasó de estar basada en el cumplimiento a enfocarse en el riesgo.
Y, lo que es más importante, antes de siquiera considerar adoptar una nueva tecnología, necesitábamos alinear a varios equipos, cada uno con sus propias herramientas y prioridades, en torno a una estrategia compartida.
Combinación de herramientas separadas
Los equipos de seguridad siempre han hecho malabarismos con un conjunto heterogéneo de herramientas: herramientas independientes para la gestión de superficie de ataque, la visibilidad de activos, el escaneo de vulnerabilidades, la exposición de identidades y la seguridad en la nube. En la mayoría de las empresas, diferentes equipos gestionan las soluciones y cada uno requiere su propio conjunto de conocimientos. El objetivo de la fragmentación es garantizar que haya personas con los conocimientos adecuados para corregir los problemas correctos.
El abordaje aislado en silos ralentiza los tiempos de respuesta y crea puntos ciegos que pueden dejar vulnerabilidades críticas sin abordar simplemente porque no pertenecen al área de especialización de un equipo. No se puede hacer un análisis de ruta de ataque aislado en silos.
No deseo dedicarme exclusivamente a marcar casilleros.
Necesitábamos crear un programa de seguridad que priorizara los riesgos del mundo real, en lugar de a todas las vulnerabilidades. Y, en ese empeño, está claro que el valor de un abordaje integrado supera los beneficios de las características de nicho.
Por ende, para hacer frente a estos desafíos, optamos por consolidarnos en una única plataforma: Tenable One.
La clave para gestionar el cambio: un poco de Dale Carnegie
Si bien la plataforma adecuada marca la diferencia, la implementación de la gestión de exposición no es puramente técnica, sino más bien organizativa. Poner en marcha un programa de gestión de exposición implica cambiar el control de las actividades de seguridad clave y aisladas en silos, lo que puede requerir que los equipos trabajen juntos de una manera completamente nueva para ellos.
Por ejemplo, en Verizon, un equipo independiente manejaba previamente la gestión de superficie de ataque. Ahora, esas personas forman parte de mi grupo. El equipo de Active Directory, que ejecuta herramientas de exposición de identidades como Bloodhound, sigue siendo independiente, pero colaboramos estrechamente para que vea que la información sobre seguridad es valiosa y no punitiva.
Los especialistas en seguridad de Internet of Things (IoT) y de la tecnología operativa (OT) que antes utilizaban un conjunto de herramientas diferente ahora trabajan todos dentro de la misma estructura.
Los equipos de seguridad acostumbrados a trabajar aislados en silos ahora deben compartir datos y tomar decisiones, lo que puede suponer un duro ajuste. He descubierto que la clave para superar esta situación es la transparencia y la colaboración.
De hecho, leer un poco sobre Dale Carnegie periódicamente puede ser tan importante como una dosis diaria de Brian Krebs.
Así que, para facilitar la transición, en lugar de imponer órdenes jerárquicas, nos enfocamos en alinear a los equipos mediante objetivos compartidos, una comunicación clara y la demostración de valor en una fase temprana del proceso. Al implicar a las partes interesadas desde el principio en áreas como la seguridad de identidades, las operaciones informáticas y la seguridad en la nube, nos aseguramos de que el cambio no sea algo que se les imponga, sino algo que forjan y apoyan activamente.
Quiero subrayar que nada de esto ocurrió de la noche a la mañana.
Se requirió un alto nivel de compromiso y una planificación minuciosa. A estos equipos no solo se les pedía que utilizaran una nueva herramienta, sino que también cambiaran su manera de trabajar. La única forma de lograr que esa transición tenga éxito es mostrar a los miembros del equipo la manera en este abordaje facilita su trabajo, no lo dificulta.
Deje de intentar repararlo todo
Uno de los mayores cambios de mentalidad en la gestión de exposición es reconocer que no es necesario colocar parches en todas las vulnerabilidades de inmediato. Por supuesto que puede ser algo difícil de comprender. Pero, cuando todo es crítico, nada en verdad lo es. Y ese abordaje solo produce agotamiento, ineficacia y más exposiciones.
En cambio, en Verizon, nos enfocamos en vulnerabilidades que son realmente explotables y forman parte de una ruta de ataque realista.
Entonces, si hay una vulnerabilidad crítica en una aplicación, pero no hay forma factible de que un atacante llegue a ella, ¿debería ser realmente la máxima prioridad? Por otra parte, si una vulnerabilidad proporciona una ruta directa a un activo sumamente valioso, tenemos que abordarla de inmediato.
La clave es la priorización con base en situaciones de ataque reales, no en puntuaciones de gravedad arbitrarias.
¿Cómo trabajar con los altos ejecutivos?
Otra ventaja fundamental de la gestión de exposición es cómo esta cambia las conversaciones sobre seguridad a nivel ejecutivo. En lugar de crear largas listas de vulnerabilidades que implican poco para los directivos sin conocimientos técnicos, podemos presentar una imagen clara con unos pocos puntos clave:
- ¿Qué está en riesgo?
- ¿Cómo podría entrar un atacante?
- ¿Cuáles son las prioridades más urgentes que debemos reparar?
Y, cuando se produce una vulnerabilidad importante, no tenemos que apresurarnos a averiguar si sufrimos un impacto. Tenemos los datos al alcance de la mano. Ese es el verdadero valor de la gestión de exposición: rapidez, claridad y capacidad para actuar antes que los atacantes.
El futuro de la ciberseguridad es la gestión de exposición proactiva
En esencia, la gestión de exposición consiste en pasar de una seguridad reactiva a una seguridad proactiva. Ya no se trata solo de reparar vulnerabilidades. Se trata de comprender el riesgo dentro del contexto de negocios.
A medida que más organizaciones avancen en esta dirección, la gestión de exposición seguirá evolucionando.
La consolidación de proveedores está en marcha, los equipos se están reestructurando y los directores de seguridad se están dando cuenta de que colocar parches a todo a la vez y en todas partes es una tarea imposible.
Por lo tanto, al igual que Verizon, el sector debe enfocarse en lo que realmente importa: prevenir los ataques que podrían ponernos realmente en riesgo.
Y, para los que estamos a la vanguardia de este cambio, es hora de dejar de ser reactivos y empezar a gestionar la exposición como el riesgo estratégico que es.
Jorge nos cuenta en qué debe enfocarse posteriormente
Más información
- Lea la guía para directores de la seguridad sobre la estrategia de gestión de exposición, un abordaje comprobado y pragmático para poner en marcha un programa de gestión de exposición, que además incluye asesoría para analizarlo, involucrar a las partes interesadas y obtener su aceptación.
Whac-a-Mole es una marca registrada de Mattel Inc.
Jorge Orchilles
Director Sénior de Preparación y Seguridad Proactiva de Verizon
Jorge Orchilles es experto en ciberseguridad y actualmente es Director Sénior de Verizon y dirige al equipo de Preparación y Seguridad Proactiva (gestión de exposición y vulnerabilidades, pruebas de penetración, equipo rojo y un equipo púrpura exclusivo). Es autor de Purple Team Exercise Framework (texto en inglés) y creador del proyecto Matriz C2. Antes de trabajar en Verizon, fue Director Técnico de SCYTHE durante tres años y dirigió al equipo de Seguridad Ofensiva de Citi durante más de 10 años.
Artículos relacionados
Frequently Asked Questions About Chinese State-Sponsored Actors Compromising Global Networks
An analysis of Tenable telemetry data shows that the vulnerabilities being exploited by Chinese state-sponsored actors remain unremediated on a considerable number of devices, posing major risk to the organizations that have yet to successfully address these flaws.
Your Map for the Cloud Security Maze: An Integrated Cloud Security Solution That’s Part of an Exposure Management Approach
Check out highlights from the IDC white paper “Bridging Cloud Security and Exposure Management for Unified Risk Reduction,” which explains how CNAPPs help security teams tame the complexity of multi-cloud environments by shifting from a reactive, alert-driven model to a proactive exposure…
Security Leaders are Rethinking Their Cyber Risk Strategies, New Research from Tenable and Enterprise Strategy Group Shows
Get a firsthand look at how 400 security and IT leaders are tackling today’s cyber risk challenges in this latest study from Tenable and Enterprise Strategy Group.
- Exposure Management
- Exposure Management Academy