Gestión de exposición: nuestra visión para proteger la superficie de ataque moderna

La seguridad de los entornos de TI complejos y dinámicos de hoy requiere combinar la gestión de vulnerabilidades, la seguridad de las aplicaciones web, la seguridad en la nube, la seguridad de las identidades, el análisis de ruta de ataque y la gestión de superficie de ataque externo para ayudarle a comprender el alcance total y la profundidad de sus exposiciones.

Mi función como director de Tecnología de Tenable me permite ver de cerca las dificultades reales a las que se enfrentan los profesionales de la ciberseguridad de todo el mundo en su lucha por reducir el riesgo cibernético y mejorar su postura de ciberseguridad. Las observaciones de nuestros clientes son la base de todas las decisiones tecnológicas que tomamos en Tenable. Estas perspectivas nos inspiran a concebir un futuro en el que la gestión de vulnerabilidades y otras herramientas de ciberseguridad preventiva se combinen en un nuevo paradigma que denominamos gestión de exposición.

La seguridad de la superficie de ataque moderna depende del conocimiento de todas las condiciones que actualmente afectan a los entornos complejos y dinámicos. Un programa de gestión de exposición reúne tecnologías tales como la gestión de vulnerabilidades, la seguridad de aplicaciones web, la seguridad en la nube, la seguridad de identidades, el análisis de ruta de ataque y la gestión de superficie de ataque externo. El objetivo es ayudar a su organización a comprender toda la amplitud y la profundidad de sus exposiciones. Y tomar las medidas necesarias para reducirlas por medio de flujos de trabajo de corrección y respuesta ante incidentes.

¿Por qué es tan importante la gestión de exposición? Porque, cuando un agente malicioso mira su superficie de ataque, no piensa en función de los silos de la organización. Busca la combinación adecuada de vulnerabilidades, errores de configuración e identidades que le den el acceso que precisa para cumplir sus objetivos.

La pregunta que hay que hacerse es la siguiente: Si su superficie de ataque no es un conjunto de silos, ¿por qué su programa de seguridad está configurado de esa manera? En parte, se debe a que el sector de la seguridad en general se ha enfocado en crear soluciones puntuales adaptadas para hacer frente a aspectos muy específicos de la ciberseguridad. ¿El resultado? Se trata de una mezcolanza de tecnologías que cumplen una función particular, pero que no permiten a las organizaciones ver el alcance total de su riesgo cibernético.

Un programa de gestión de exposición eficaz supone el desmantelamiento de los silos. La Plataforma de gestión de exposición Tenable One, que se lanzó a principios de este mes, está diseñada para ofrecerle una visión integral de su superficie de ataque, para que pueda ver lo que ve un atacante. En este blog, hablaremos de las capacidades existentes de Tenable One y de la visión de cómo creemos que un abordaje basado en una plataforma para la gestión de exposición puede transformar la forma en que las organizaciones practican la ciberseguridad preventiva.

Tenable One: gestión de exposición para la superficie de ataque moderna

Históricamente, se crearon productos para tratar de unir toda la tecnología dispar que se utiliza en su entorno de ciberseguridad. La detección y la respuesta ampliadas (XDR) son un ejemplo: toman datos de productos puntuales con el fin de identificar los ataques en el momento en que se producen. Si bien este abordaje es ideal para la seguridad en función de la actividad, no es adecuado para la práctica de la ciberseguridad preventiva. Centrarse únicamente en los datos de actividad tampoco dará a las organizaciones un panorama completo de su postura de seguridad.

Actualmente, veo que muchas organizaciones intentan cuantificar el riesgo midiendo el modo en que sus equipos del centro de operaciones de seguridad (SOC) responden solo a los datos relacionados con la actividad. Necesita una forma de evaluar la eficacia de los programas preventivos para tener una visión global de la exposición, que es esencialmente la inversa de la XDR.

No hay duda de que los datos que generan las herramientas de seguridad preventiva son, por lejos, los mejores para intentar medir la exposición. El problema siempre fue que las herramientas de seguridad preventiva aportan toneladas de información que destacan todo lo que está mal dentro del silo que evalúan. La información es excesiva para que la organización pueda abordarla. Debido a la gran cantidad de datos que generan estas distintas herramientas, normalmente no queda más alternativa que volcar los datos en hojas de cálculo. Eso valida el viejo dicho de que Excel es la herramienta de seguridad que más se utiliza en el mundo.

Durante los últimos años, surgieron herramientas que agrupan datos para intentar priorizar el trabajo en el que hay que centrarse para lograr una mayor seguridad. ¿Alguna de estas herramientas logra ayudar a las organizaciones a reducir el riesgo de forma activa? No. El motivo, de nuevo, es que estas herramientas solo ofrecen un alcance limitado del problema. Por ejemplo, solamente pueden agrupar los datos de vulnerabilidad de software de una serie de herramientas diferentes sin ningún otro contexto y elaborar una fórmula para indicar a las personas en qué software colocar primero los parches. Si bien la identificación de las vulnerabilidades de software y la colocación de parches en estas son esenciales para lograr una buena higiene cibernética, no pueden ser la única forma de medir y corregir el riesgo.

No se puede medir la postura de seguridad de manera eficaz sin contexto. Sería poco sincero si nosotros, o cualquier proveedor, sugiriera que un programa de gestión de exposición puede desarrollarse a partir de un conjunto limitado de datos. Requiere la recopilación de datos, que se obtienen de una serie de herramientas, para poder aplicar la profundidad necesaria de los análisis a la totalidad del entorno de una organización.

La verdad es que: si se examinan únicamente las vulnerabilidades de software, no se obtiene un panorama completo del riesgo cibernético. Así como no se puede observar la superficie de ataque sin contexto, tampoco se pueden observar las vulnerabilidades, los errores de configuración, etc., sin contexto. El contexto es determinante. Es necesario que vea toda su superficie de ataque de forma integral. Debe ver todas las vulnerabilidades de su software, los errores de configuración, quién está utilizando qué sistemas y qué nivel de acceso tienen todos correlacionados, independientemente de si ocurre en una computadora portátil, un contenedor, una aplicación o un controlador lógico programable (PLC).

Por ejemplo, digamos que su organización tiene dos computadoras portátiles que tienen la peor vulnerabilidad posible del mundo. Si las ve a través de herramientas aisladas en silos, supondría con toda razón que ambas están igualmente afectadas, que ponen a su organización en riesgo y que debe repararlas lo antes posible.

En este ejemplo, ¿cómo podría saber si la organización está realmente en riesgo y qué computadora portátil debe reparar primero? ¿Y si pudiera ver que la administradora de Salesforce de la empresa utiliza una de esas computadoras portátiles, pero no utiliza la autenticación multifactor (MFA)? Y el muchacho que trabaja en la recepción, revisa las identificaciones y no tiene acceso a nada más es quien usa la otra computadora portátil. Ahora, con más contexto, puede tomar decisiones fundamentadas sobre lo que debe priorizarse.

Este es un ejemplo muy básico de la diferencia entre gestión de exposición y gestión de vulnerabilidades. Pero sirve para demostrar lo que se consigue cuando la organización puede empezar a reunir, correlacionar, medir y priorizar los datos que proceden de las herramientas de seguridad preventiva.

La gestión de exposición representa un cambio de paradigma en la forma de abordar la seguridad

Cuando considera su propia superficie de ataque masiva y compleja, y los miles de problemas y alertas que le llegan cada día y que lo obligan a tomar decisiones constantes sobre la priorización, queda claro que lo que necesita para alcanzar el máximo rendimiento es un resultado conciso, significativo e impactante. Necesita datos que le muestren la amplitud total de su superficie de ataque y la profundidad total de los análisis.

La comprensión de toda la amplitud de la superficie de ataque requiere visibilidad y conocimiento de lo siguiente:

• Activos tradicionales que van más allá de la infraestructura de TI, incluyendo la tecnología operativa (OT). 
• La forma en que se configuran y protegen los recursos en la nube.
• Lo que ocurre con los sistemas y sitios web accesibles desde Internet. 

La comprensión de la profundidad total de la superficie de ataque requiere visibilidad y conocimientos de lo siguiente:

• Los usuarios y sus privilegios de acceso.
• Las posibles rutas de ataque a lo largo de toda la organización.

Todo lo anterior se tuvo en cuenta en el razonamiento sobre las adquisiciones que Tenable hizo hasta la fecha. Según creemos, es el tipo de razonamiento que, en última instancia, transformará la forma en que las organizaciones de todos los tamaños abordan la ciberseguridad. Sin embargo, la superficie de ataque es mucho más amplia y, para llevar a cabo la gestión de exposición de forma eficaz, es necesario poder hacer la ingestión de los datos de otras soluciones de seguridad. En Tenable, estamos conscientes de ello y agradecemos la oportunidad de trabajar con otros proveedores para concretar esta visión.

La plataforma de gestión de exposición Tenable One representa la evolución natural de la visión de Tenable. Se trata de un abordaje estratégico y duradero de la ciberseguridad que está preparado para transformar la forma en que las organizaciones en todo el mundo gestionan el riesgo.

Más información

• Descargue el documento técnico Tres desafíos del mundo real a los que se enfrentan las organizaciones de ciberseguridad: Cómo puede ayudar una plataforma de gestión de exposición.
• Lea el blog: Gestión de exposición: Reducir el riesgo en la superficie de ataque moderna.
• Vea el seminario web Mesa redonda del analista: Cómo la gestión de exposición le ayuda a obtener visibilidad, prevenir ataques y comunicar riesgos para una mejor toma de decisiones.