Esto es particularmente evidente cuando se tiene en cuenta el creciente número de CVE publicados cada año. Solo el año pasado, hubo 29.085 CVE y solo el 2-7 % de estos fueron explotados en la naturaleza. Esto hace que convertirse en un parche perfecto sea un objetivo poco realista, especialmente porque esto no tiene en cuenta las vulnerabilidades no parcheables, como configuraciones erróneas, problemas de Active Directory, software de terceros no compatible, credenciales robadas y filtradas y más, que representarán más del 50 % de las exposiciones de la empresa para 2026.
CTEM cambia el enfoque a priorizar las exposiciones en función de su explotabilidad y su impacto de riesgo en los activos críticos, en lugar de las puntuaciones de CVSS, la cronología o la puntuación de los proveedores. Esto garantiza que los activos digitales más sensibles a la continuidad y los objetivos de la organización se aborden primero.
Por lo tanto, la priorización se basa en brechas de seguridad que son fácilmente explotables y al mismo tiempo proporcionan acceso a activos digitales confidenciales. La combinación de ambos hace que se priorice estas exposiciones, que normalmente representan una fracción de todas las exposiciones descubiertas.
La validación del pilar #3 convierte el CTEM de la teoría a la estrategia probada#
El pilar final de la estrategia del CTEM, la validación, es el mecanismo para prevenir la explotación de las brechas de seguridad. Para garantizar la eficacia continua de los controles de seguridad, la validación debe ser de naturaleza ofensiva, emulando los métodos de los atacantes.
Hay cuatro estrategias para probar tu entorno como un atacante, cada una de las cuales refleja las técnicas empleadas por los adversarios:
Piensa en gráficos - Mientras que los defensores a menudo piensan en listas, ya sean de activos o vulnerabilidades, los atacantes piensan en gráficos, mapeando las relaciones y las vías entre varios componentes de la red.
Automatizar las pruebas: las pruebas de penetración manual son un proceso costoso que implica pruebas de estrés de pentester de terceros en sus controles de seguridad. Las organizaciones están limitadas en el alcance que pueden probar. Por el contrario, los atacantes aprovechan la automatización para ejecutar ataques de forma rápida, eficiente y a escala.
Validar rutas de ataque reales: los atacantes no se centran en vulnerabilidades aisladas; consideran toda la ruta de ataque. La validación efectiva significa probar todo el camino, desde el acceso inicial hasta el impacto explotado.
Prueba continuamente - La penteting manual generalmente se realiza periódicamente, ya sea una o dos veces al año, sin embargo, las pruebas en "sprints" o ciclos cortos e iterativos, permiten a los defensores adaptarse con la velocidad del cambio de TI, protegiendo toda la superficie de ataque al abordar las exposiciones a medida que surgen.
CTEM: Invierte ahora - Cosecha continuamente los resultados#
Con todos los diferentes elementos de personas, procesos y herramientas en una estrategia CTEM, es fácil sentirse abrumado. Sin embargo, tenga en cuenta algunas cosas: