Los equipos de ciberseguridad buscan cada vez más ir más allá de analizar amenazas y vulnerabilidades de forma aislada. No se trata solo de lo que podría salir mal (vulnerabilidades) o de quién podría atacar (amenazas), sino de dónde se cruzan en el entorno real para crear una exposición real y explotable. ¿Qué exposiciones importan realmente? ¿Pueden los atacantes explotarlas? ¿Son efectivas nuestras defensas? Continuous Threat Exposure Management (CTEM) ofrece un enfoque útil para los equipos de seguridad en su camino hacia una gestión unificada de amenazas, vulnerabilidades o exposiciones.
Qué significa realmente CTEM
CTEM, según la definición de Gartner, enfatiza un ciclo 'continuo' de identificación, priorización y remediación de exposiciones explotables en toda la superficie de ataque, lo que mejora la postura de seguridad general como resultado. No es un escaneo único y un resultado entregado por una herramienta; es un modelo operativo basado en cinco pasos:
- Alcance (Scoping): evalúa tus amenazas y vulnerabilidades e identifica lo más importante: activos, procesos y adversarios.
- Descubrimiento (Discovery): mapea exposiciones y rutas de ataque en tu entorno para anticipar las acciones de un adversario.
- Priorización (Prioritization): concéntrate en lo que los atacantes pueden explotar de manera realista y en lo que necesitas corregir.
- Validación (Validation): prueba suposiciones con simulaciones de ataque seguras y controladas.
- Movilización (Mobilization): impulsa la remediación y mejoras de procesos basadas en evidencia.
Cuál es el beneficio real de CTEM
CTEM cambia el enfoque hacia la gestión de exposiciones basada en riesgos, integrando numerosos subprocesos y herramientas como evaluación de vulnerabilidades, gestión de vulnerabilidades, gestión de la superficie de ataque, pruebas y simulación. CTEM unifica la evaluación de exposiciones y la validación de exposiciones, con el objetivo final de que los equipos de seguridad puedan registrar e informar el impacto potencial en la reducción del riesgo cibernético. La tecnología o las herramientas nunca han sido un problema; de hecho, tenemos un problema de abundancia en el ámbito de la ciberseguridad. Al mismo tiempo, con más herramientas, hemos creado más silos, y esto es exactamente lo que CTEM se propone desafiar: ¿podemos unificar nuestra visión de amenazas/vulnerabilidades/superficies de ataque y actuar contra exposiciones realmente explotables para reducir el riesgo cibernético general?
Rol de la inteligencia de amenazas en CTEM
Cada año se reportan miles de vulnerabilidades (más de 40,000 en 2024), pero menos del 10% se explotan realmente. La inteligencia de amenazas puede ayudarte significativamente a centrarte en las que importan para tu organización, conectando las vulnerabilidades con las tácticas, técnicas y procedimientos (TTP) de los adversarios observados en campañas activas. La inteligencia de amenazas ya no es algo bueno de tener, sino una necesidad. Te ayuda a especificar Requisitos Prioritarios de Inteligencia (PIR): el contexto, el panorama de amenazas que más importa en tu entorno. Esta inteligencia de amenazas priorizada te dice qué fallas están siendo armadas, contra qué objetivos y bajo qué condiciones, para que puedas enfocar la remediación en lo que es explotable en tu entorno, no en lo que es teóricamente posible. La pregunta que deberías hacer a tu equipo de inteligencia de amenazas es: ¿estás optimizando el valor de los datos de amenazas que recopilas hoy? Esta es tu primera área de mejora/cambio.
Reducción de riesgos impulsada por validación
La inteligencia de amenazas priorizada debe ir seguida de pruebas y validación para ver cómo tus controles de seguridad resisten frente a las rutas de ataque y explotables más probables, y cómo podría impactar a tu organización. Un factor importante aquí es que tu programa de validación de seguridad debe ir más allá de la tecnología; también debe incluir procesos y personas. Un EDR, SIEM o WAF perfectamente configurado ofrece protección limitada si tus flujos de trabajo de incidentes no son claros, los manuales están desactualizados o las rutas de escalado se rompen bajo presión. Aquí es donde esperamos ver una convergencia de simulación de brechas y ataques, ejercicios de mesa, pruebas de penetración automatizadas, etc., hacia la Validación de Exposición Adversarial (AEV).
Evita las palabras de moda
CTEM no es un producto; es un enfoque estratégico que utiliza métricas basadas en resultados para la gestión de exposiciones. Su implementación no recae en un solo equipo/función de seguridad. Debe ser impulsado desde la dirección, rompiendo silos y mejorando los flujos de trabajo de seguridad entre equipos. Comienza con la etapa de 'Alcance' para decidir qué incluir en tu programa de gestión de exposiciones y dónde enfocarte primero:
- ¿Cuáles son nuestros principales riesgos de negocio que la ciberseguridad puede influir directamente?
- ¿Qué entorno (on-prem, nube, TI/OT, filiales…) y tipos de activos (joyas de la corona, endpoints, sistemas de identidad, almacenes de datos…) están en alcance?
- ¿Tienes una visión precisa de este inventario?
- ¿Qué actores de amenaza y métodos de ataque son más relevantes para nuestra industria y pila tecnológica?
- ¿Cómo incorporaremos la inteligencia de amenazas existente y los datos de incidentes para refinar el alcance?
- ¿Cómo definiremos 'exposición crítica' (basada en explotabilidad, impacto empresarial, sensibilidad de datos, radio de explosión, etc.)?
- ¿Podemos validar herramientas, personas y procesos hoy?
- ¿Cuál es nuestra capacidad inicial para remediar problemas dentro de este alcance (personas, herramientas, SLA)?
Esta no es una lista exhaustiva, pero estas preguntas ayudan a definir un alcance CTEM realista y alineado con el riesgo que pueda ejecutarse y medirse, en lugar de un esfuerzo demasiado amplio pero inmanejable. En resumen: CTEM funciona cuando responde las preguntas que importan, con evidencia: ¿Qué puede dañarnos? ¿Cómo sucedería? ¿Podemos detenerlo? Para más recursos sobre gestión de exposiciones, inteligencia de amenazas y prácticas de validación, visita Filigran.
