No todo se trata de nuevas tecnologías o algoritmos sorprendentes.
Cambiar el enfoque mediante un marco integral robusto y a la vez flexible, resulta tan relevante, que modifica modelos de abordaje completos. Tal es el caso de Continuous Threat Exposure Management (CTEM, por sus siglas en inglés).
Esta fórmula para la gestión continua de la exposición a amenazas CTEM, es una manera proactiva para trabajar en las áreas de ciberseguridad.
Su diferenciador principal consiste en anticiparse a las amenazas cibernéticas, con evaluación constante de la infraestructura de seguridad y su adaptación a las nuevas vulnerabilidades.
Qué es CTEM
CTEM, gestión continua de la exposición a amenazas, es un proceso de ciberseguridad que aprovecha las simulaciones de ataques para identificar y mitigar las amenazas a las redes y sistemas de una organización.
Esto permite a las organizaciones probar su estado general de seguridad (también llamado postura de seguridad) e identificar vulnerabilidades antes de que sean aprovechadas por la ciberdelincuencia con ataques reales.
El CTEM es fundamental para garantizar la ciberseguridad de los datos de una organización. México es uno de los países con más ciberataques en AL y hemos entrado a una nueva era de cibercrimen avanzado con el uso de la AI.
En su informe de predicciones de amenazas para este 2024, Fortinet alerta sobre una nueva era de cibercrimen avanzado en el que la AI está cambiando el juego.
Orígenes de CTEM
Con enormes superficies de ataque en las organizaciones, es innegable la presencia de mayores volúmenes de vulnerabilidades e infraestructuras tecnológicas cada vez más grandes, por lo tanto, conceptos como la inteligencia sobre amenazas o la activación de capacidades de respuesta automatizadas van ganando terreno.
Siguiendo esa misma tendencia, la firma consultora Gartner introdujo en julio de 2022, el concepto de CTEM, a la manera de un marco de trabajo integral para la evaluación continua y coherente de los activos físicos y digitales en las organizaciones.
El enfoque de CTEM, gestión continua de la exposición a amenazas, es muy reciente. No obstante, ya forma parte de las estrategias y soluciones ofrecidas por una red de proveedores especializada en superar las limitaciones de los métodos tradicionales en la gestión de riesgos de seguridad de la información.
Adicionalmente, CTEM forma parte de las diez principales tendencias tecnológicas estratégicas que Gartner identifica para 2024.
Qué es el mapa de los riesgos en ciberseguridad
Un mapa de riesgos en ciberseguridad, es la herramienta que permite esquematizar, identificar y administrar las áreas de vulnerabilidad y amenazas en el terreno de la seguridad informática, para una organización o sistema.
El propósito del mapa de riesgos de ciberseguridad es mejorar el estado general de seguridad de la organización.
Ventajas de implantar un programa CTEM
Un programa CTEM al interior de cualquier organización representa una estrategia práctica para afrontar los riesgos de ciberseguridad.
Entre las variadas ventajas que aporta CTEM está el que esos riesgos de seguridad se abordan de manera proactiva, anticipándose a las amenazas en evolución.
El enfoque de gestión continua de la exposición a amenazas CTEM, proporciona una estrategia pragmática para abordar los riesgos más críticos, esto implica que rebasa el alcance de la gestión de vulnerabilidades tradicional y reactiva, con la que en ocasiones se le confunde.
Los beneficios o ventajas clave que se obtienen con la implantación de CTEM incluyen:
- Proactividad. Al identificar tempranamente las vulnerabilidades, se les mitiga.
- Reducción de riesgos. Entender el panorama completo de amenazas permite a las organizaciones planificar acciones y reducir riesgos.
- Cumplimiento mejorado. Respecto de las normativas de seguridad de datos.
Etapas de un programa CTEM
Las etapas o fases del programa CTEM tienen como propósito establecer estrategias bien definidas de seguridad y gestión de riesgos, alineadas con los objetivos de negocio.
Cada organización puede adaptar, de acuerdo con sus propias características y necesidades, el programa CTEM, ya que se trata de un marco flexible.
El proceso incluye cinco etapas: alcance, descubrimiento, priorización, validación y movilización, divididas en dos fases, diagnóstico (abarca las tres primeras) y acción (incluye las dos últimas).
Las cinco etapas de CTEM:
Alcance. Que se determina con base en las prioridades del negocio, la infraestructura tecnológica de que se dispone y el impacto potencial esperado del programa.
Descubrimiento. Es la fase en la que se identifica toda la superficie de ataque, en la que se incluyen los activos, vulnerabilidades, configuraciones equívocas y riesgos potenciales.
Priorización. Las amenazas y vulnerabilidades son clasificadas de acuerdo con criterios como la gravedad o el daño potencial que pueden provocar en el negocio.
Validación. Etapa dedicada a simular escenarios de ataque, gracias a los cuales se evalúa el impacto de dicho ataque y se valida la efectividad de la mitigación propuesta.
Movilización. Corresponde al desarrollo e implementación de planes de mitigación, involucrando a los miembros de las áreas técnicas, operativas y ejecutivas.
Cómo pueden las organizaciones medir el éxito de su programa CTEM
La medición del éxito alcanzado gracias a una estrategia de ciberseguridad, o de manera más concreta, medir la eficacia de un programa CTEM pasa por la comprensión de las vulnerabilidades y riesgos en la organización.
Para ello, la aplicación de métricas como las que se mencionan a continuación, aporta valiosos elementos que justifican las inversiones realizadas, o bien, alerta acerca de las actividades, elementos o zonas donde el reforzamiento es indispensable.
Cobertura y frecuencia del escaneo de activos
Qué porcentaje de activos son revisados (servidores, aplicaciones, dispositivos móviles, puntos de conexión, entre otros) y con qué frecuencia se monitorean de acuerdo con el programa CTEM.
A mayor cobertura y rapidez, mejor desempeño en la aplicación de parches e identificación de riesgos.
Índice de corrección de vulnerabilidades
Esto implica la eficiencia con las que se corrigen vulnerabilidades. Una tasa de corrección elevada indica mitigación oportuna de riesgos.
Tiempo medio de detección y de respuesta
Dos indicadores muy técnicos para valorar el nivel de eficiencia del programa CTEM. Cuanto menores sean las cifras, más eficiente y exitoso está resultando el programa.
El primero, MTTD (tiempo medio de detección), indica el tiempo promedio que se toma el sistema para identificar vulnerabilidades, amenazas o exposiciones a ciberamenazas.
Por su parte, el MTTR (tiempo medio de respuesta) es la medición del tiempo promedio que se tarda la respuesta y corrección del peligro identificado.
Tiempo promedio de atención a incidentes
La capacidad del programa CTEM para detectar ciberamenazas en tiempo real, se mide de acuerdo con el tiempo promedio que se lleva la atención y resolución del incidente. Un índice bajo representa un CTEM exitoso.
Retos de la consecución del CTEM
Un programa CTEM, como ya se ha comentado, es la aplicación de un enfoque integral, pero la consecución de sus objetivos depende en buena medida de que se cumplan varios procesos tecnológicos complejos.
Se requiere de la precisión, confiabilidad y oportunidad de datos provenientes de diversas fuentes dentro de la organización, que además deben ser integrados y correlacionados en tiempo real. La detección y respuesta eficaz ante ciberamenazas depende de ello.
Es imprescindible el desarrollo y mantenimiento de flujos de trabajo de automatización complejos, para recopilar, analizar y responder con rapidez a las amenazas y vulnerabilidades.
Conforme se incrementa el número de ciberamenazas, el programa CTEM debe ampliarse, sobre la base de infraestructura escalable, procesamiento de datos distribuidos y algoritmos eficientes.
Herramientas y tecnologías para la aplicación de CTEM
Partimos de que CTEM es un enfoque, una manera diferente de gestionar un entorno de riesgos y amenazas, por lo tanto, las herramientas y tecnologías que operan en la organización para efectos de ciberseguridad, forman parte de su ámbito de acción.
Hay tres rubros que ameritan particular atención. El primero corresponde a la identificación en tiempo real de vulnerabilidades, a través del monitoreo constante de redes y sistemas, con herramientas como Acunetix o Intruder.
En segundo lugar, están las plataformas de gestión de riesgos, que permiten evaluar las vulnerabilidades detectadas, a partir de su impacto potencial, utilizando software como nTrax, Timecamp o Integrum.
Por último, todas aquellas herramientas y tecnologías de ciberseguridad que se encargan de la automatización en la respuesta a incidentes y en las tareas rutinarias de seguridad, como son los casos de QRadar SOAR o robots defenders.
Roles clave de los profesionales en la implementación de CTEM
Tan diversas como son las organizaciones, lo son también los roles y tipos de profesionales que participan en la implementación de CTEM.
Entre los equipos de ciberseguridad, encargados de monitorear las alertas de seguridad, investigar incidentes y aplicar medidas correctivas, hay dos tipos diferentes:
- Los centros de operaciones de seguridad (SOC, por sus siglas en inglés) constituyen un centro de mando, de alcance amplio. Su responsabilidad es supervisar y proteger la tecnología, la red, los servidores, las aplicaciones y el hardware.
- Los CSIRT o equipos de respuesta a incidentes de seguridad informática, son grupos de profesionales especializados que atienden incidentes de manera coordinada; tienen a su cargo prevenir, detectar y anticipar incidentes de seguridad en infraestructuras tecnológicas.
Además de los anteriores, juegan un papel importante los equipos de IT, los desarrolladores y los analistas de riesgos. Entre sus tareas está la aplicación de parches, modificaciones al software para resolver vulnerabilidades, así como evaluar éstas en relación a los esfuerzos de mitigación.
Procesos fundamentales en un programa de CTEM
Un programa de CTEM para ser efectivo, lleva implícita una estrategia de gestión, al mismo tiempo que una ejecución de varios procesos, como:
- Un ciclo continuo para identificar y evaluar vulnerabilidades.
- Priorizar y mitigar riesgos.
- Implementación de controles.
- Concienciación de todas las personas involucradas en las áreas de IT, así como de todos los usuarios de equipamiento tecnológico.
Cómo implementar CTEM en una organización
El continuous threat exposure management o CTEM con su cambio de enfoque, utiliza prácticas para la gestión de riesgos y seguridad acordes con la creciente y sofisticada agresividad de la ciberdelincuencia.
Tal y como sucede con las metodologías de negocios, para la implementación de CTEM en una organización se observan varios aspectos:
Una evaluación continua de riesgos, a partir de herramientas y procesos que identifican vulnerabilidades.
Aprovechamiento e integración con herramientas existentes de seguridad. De manera tal que la visión por medio de CTEM asegure una cobertura completa.
Establecimiento de un proceso cíclico, repetitivo, que abarque la infraestructura tecnológica y garantice mejora continua.
Perspectiva
El enfoque CTEM, al igual que otras metodologías derivadas de las áreas de negocios, están aportando una nueva visión para el tratamiento de la ciberseguridad en las organizaciones.
Acciones como evaluar, monitorear y reducir sistemáticamente los riesgos de seguridad, van de la mano con la implementación de puntos de mejora y la corrección del estado general de seguridad.
En resumen, con CTEM se obtiene:
Alineación con los proyectos empresariales u organizaciones. Gracias a los ajustes en la seguridad de acuerdo con las amenazas críticas presentes o en gestación.
Enfoque integral. De las situaciones que tienen solución, así como de las que se neutralizan o posponen hasta encontrar una respuesta.
Perspectiva del atacante. La eficacia y efectividad de las medidas de seguridad se evalúa desde el punto de vista del atacante (por eso se dice que con CTEM se incorpora la visión del hacker).
Optimización continua. Los resultados tácticos y técnicos se transforman en mejoras de seguridad respaldadas por pruebas, permitiendo una movilización efectiva entre equipos.
