Cada equipo de seguridad tiene una versión de la misma historia. El trimestre finaliza con cientos de vulnerabilidades cerradas. Los salpicaderos están llenos de verde. Entonces alguien en una reunión de liderazgo pregunta: «Entonces, ¿estamos realmente más seguros ahora?»
Grillos.
La sala se queda en silencio porque una respuesta honesta requiere contexto, algo que los recuentos de parches y las puntuaciones CVSS nunca fueron diseñados para proporcionar. La gestión de la exposición se creó para proporcionar este contexto: cerrar la brecha entre los esfuerzos de remediación y la reducción real del riesgo. El mercado ha respondido con una avalancha de plataformas que afirman ofrecerlo. Sin embargo, la pregunta que se hacen los líderes de seguridad es: ¿Qué plataforma de gestión de exposición realmente lo proporciona?
En este artículo, desglosaré los cuatro enfoques dominantes para la gestión de la exposición, explicaré lo que cada uno puede ofrecer y lo que no, y expondré cinco criterios de evaluación que le ayudarán a separar las plataformas creadas para reducir el riesgo de tu negocio único y el medio ambiente desde plataformas creadas para informar sobre los riesgos en la naturaleza.
Cuatro enfoques, cuatro arquitecturas
La mayoría de las plataformas de gestión de exposición se clasifican en una de cuatro categorías, cada una de las cuales está determinada por cómo el proveedor construyó (o armó) la plataforma y cómo procesa los datos.
- Plataformas de cartera cosidas son producto de adquisición(es). Un proveedor compra soluciones puntuales (seguridad en la nube, escaneo de vulnerabilidades, análisis de identidad, etc.) y las agrupa bajo su propia marca. En estas plataformas, cada producto conserva su propio modelo de datos y descubre su propio subconjunto de exposiciones. Luego, el proveedor puede unificar las exposiciones en una consola compartida, y eso puede parecer una integración. Pero en la práctica, cada módulo todavía opera con sus propios datos y produce sus propios hallazgos, con poca correlación o interconexión entre ellos.
- Plataformas de agregación de datos ingiera los resultados de sus escáneres existentes y herramientas de terceros. Luego normalizan los datos y los presentan en una interfaz unificada. Estas plataformas sólo pueden funcionar con lo que reciben. Eso significa que si los hallazgos ingeridos están desconectados, no hay forma de correlacionar cómo una exposición podría permitir la siguiente.
- Plataformas especializadas de dominio único Profundice en un área: configuraciones erróneas de la nube, vulnerabilidades de red, exposiciones de identidad y superficie de ataque externo. Ofrecen resultados sólidos, pero sólo en su ámbito específico de especialización. Se topan con desafíos cuando las exposiciones en un dominio se encadenan con exposiciones en otro dominio, y la plataforma no tiene forma de modelar esa relación.
- Plataformas integradas se crean desde cero para descubrir y correlacionar múltiples tipos de exposición (credenciales, configuraciones incorrectas, CVE, problemas de identidad, configuraciones de nube) en el mismo motor. La plataforma crea un gemelo digital del entorno y mapea cómo los atacantes pueden moverse lateralmente de una exposición a la siguiente, a través de límites locales, de nube e híbridos.
Cinco preguntas que revelan lo que realmente puede hacer una plataforma
La arquitectura detrás de cada uno de los cuatro enfoques tiene consecuencias reales sobre lo que su equipo puede ver, validar y actuar. ¿Cómo se nota la diferencia cuando se evalúa? Comience por hacer estas cinco preguntas:
1. ¿Cuántos tipos de exposición puede descubrir y con qué profundidad analiza cada uno de ellos?
Los CVE representan aproximadamente el 25% de las exposiciones que explotan los atacantes. Las configuraciones erróneas, las credenciales almacenadas en caché, los permisos excesivos y las debilidades de identidad constituyen el resto. Las carteras unidas se limitan a aquello para lo que se creó cada producto adquirido. Los agregadores sólo pueden normalizar lo que ofrecen sus feeds. Las plataformas de dominio único cubren sólo una porción del pastel. Una plataforma integrada debería cubrir tanto los existentes como (especialmente) emergente tipos de exposición, como cargas de trabajo de IA e identidades de máquinas, de forma nativa.
Y la cobertura por sí sola no le dice lo suficiente. Lo que realmente sabe la plataforma cada exposición importa tanto. Una plataforma que ingiere hallazgos de herramientas de terceros se limita a los metadatos que esas herramientas recopilan: sus condiciones de explotabilidad, su orientación de remediación, su investigación. Una plataforma que descubre exposiciones controla de forma nativa cada capa de información para cada hallazgo, desde la explotabilidad hasta la reparación. Si su plataforma no puede ver ciertos tipos de exposición, tiene puntos ciegos. Si los ve pero le falta profundidad, estás trabajando con ruido.
2. ¿Puede mapear rutas de ataque entre entornos?
Algunos productos cosidos muestran rutas de ataque. Esas rutas se derivan de la topología de la red y se basan únicamente en la conectividad. La plataforma nunca modela cómo un atacante se movería lateralmente de una exposición a la siguiente. Los agregadores no producen ninguna ruta, solo listas normalizadas de hallazgos desconectados.
La verdadera prueba es si la plataforma puede trazar caminos a través de los límites del entorno. Un atacante que captura las credenciales de la nube localmente puede eludir todas las defensas nativas de la nube, porque el camino comenzó fuera de la visibilidad de la plataforma de la nube. Una vulnerabilidad externa puede parecer de baja prioridad de forma aislada, pero si se asigna a una entidad interna con un camino hacia un activo crítico, es una emergencia. La mayoría de las plataformas no pueden establecer esas conexiones. Exploran cada entorno por sí solo y dejan inexplorados los espacios entre ellos.
3. ¿Valida la explotabilidad?
La mayoría de las plataformas verifican una o dos condiciones por exposición, limitadas por los metadatos que almacenan para cada hallazgo y la información que recopilan de cada entidad en su entorno. Pero la verdadera validación significa probar múltiples condiciones: ¿la biblioteca vulnerable está cargada por un proceso en ejecución? ¿El puerto está abierto y accesible? La plataforma debe ofrecer respuestas binarias (explotables o no, alcanzables o no, camino a activos críticos o no), todas ellas basadas en su entorno real, no en suposiciones generales.
4. ¿Tiene en cuenta los controles de seguridad?
Una vulnerabilidad CVSS 9.8 bloqueada por un firewall no se puede utilizar para movimiento lateral… porque está bloqueada. Una exposición de identidad 5.5 con una ruta directa a un controlador de dominio es una emergencia. Las plataformas que ignoran los firewalls, MFA, EDR y la segmentación pueden hacer que su equipo persiga hallazgos que no conllevan ningún riesgo real y pierda aquellos que realmente amenazan sus activos críticos. Si los controles de seguridad no forman parte del análisis de la ruta de ataque, su priorización le indicará la dirección equivocada y seguirá estando expuesto.
5. ¿Cómo prioriza?
La priorización debería responder a una pregunta: ¿Esta exposición pone en riesgo un activo crítico? La clasificación basada en puntuaciones ignora su entorno único. La clasificación basada en etiquetas de activos ignora los activos en el radio de explosión de una exposición. La clasificación de la ruta supuesta nunca valida la explotabilidad. Los tres pueden abrumar a los equipos de TI porque ninguno de ellos conecta los hallazgos con lo que la empresa realmente necesita proteger.
La priorización efectiva comienza con sus activos críticos y avanza hacia atrás. La plataforma debe demostrar que la exposición es explotable, que un atacante puede alcanzarla y que el camino conduce a algo que la empresa no puede permitirse perder. Cuando una plataforma mapea todo eso en un gráfico, surgen puntos de estrangulamiento: lugares donde una solución elimina múltiples rutas de ataque. En entornos de grandes empresas, eso reduce la lista de prioridades a aproximadamente el 2% de todas las exposiciones.
Lo que esto significa para su equipo
La elección de la arquitectura de la plataforma determina qué tan seguro será su entorno y cómo su equipo dedica su tiempo a llegar allí. Las plataformas unidas y agregadas pueden hacer que los equipos tengan que luchar para conciliar sus hallazgos entre herramientas, pelear con TI por soluciones que pueden no reducir el riesgo y perseguir exposiciones que conducen a callejones sin salida. Las plataformas de dominio único brindan profundidad en un área pero dejan puntos ciegos en el resto de la superficie de ataque.
Un enfoque integrado elimina esos gastos generales. Correlaciona las exposiciones con rutas de ataque validadas, tiene en cuenta los controles que tiene implementados e identifica las soluciones que eliminan el mayor riesgo con la menor cantidad de acciones. Cuando una remediación cierra un cuello de botella, las plataformas de gestión de exposición continua actualizan el gráfico en tiempo real. De esa manera, sabrá que las exposiciones que antes parecían urgentes ahora no conducen a ninguna parte y su cola de prioridades siempre refleja el riesgo actual.
Cuando su plataforma de gestión de exposición pueda validar la explotabilidad, modelar controles de seguridad y mapear cada ruta viable hacia sus activos críticos, podrá responder la pregunta que aparece al principio de este artículo (¿Estamos realmente más seguros?) con un honesto ¡Sí!.
Nota: Este artículo fue escrito cuidadosamente y contribuido para nuestra audiencia por Maya Malevich, directora de marketing de productos de XM Cyber.
