En un contexto donde los entornos híbridos, la nube, los dispositivos IoT o los sistemas industriales conviven de forma habitual, las organizaciones ya no pueden proteger solo lo que creen que ven. Repetimos, “proteger solo lo que creen que ven”.
Visibilidad fragmentada
No exageramos si decimos que, en los entornos tecnológicos, las grandes compañías operan con cientos (si no miles) de activos de forma habitual: dispositivos IT, OT, IoT, entornos en cloud, aplicaciones software, etc. En este contexto, el reto al que se enfrentan no es solo protegerlos, sino, lo que es más importante, saber que existen y entender su criticidad.
Históricamente, muchas organizaciones han llevado un control clásico de su seguridad basado en herramientas aisladas que generan una visión fragmentada de su infraestructura. De hecho, es habitual que las empresas articulen su operativa basadas en la integración de múltiples soluciones, a menudo, independientes y heterogéneas.
En este maremágnum de entornos tecnológicos hay una pregunta básica que en ocasiones muchos responsables de ciberseguridad no son capaces de responder: ¿Estoy seguro de que tengo identificados todos mis activos tecnológicos?
La pregunta parece sencilla, pero no lo es. Si la respuesta afirmativa es clara, nada impide que sea incorrecta. Si la respuesta es incompleta se convierte en un riesgo para la organización. En definitiva, si una compañía no es capaz de responder con garantías a esta pregunta la gestión de su seguridad se convierte en una acción reactiva en lugar de proactiva: nadie es capaz de saber qué riesgos tiene, si son realmente críticos y, por tanto, cuáles deben remediarse primero.
Visibilidad y gestión del riesgo en tiempo real
Las plataformas de gestión de la exposición a amenazas se han posicionado como soluciones diseñadas para para ofrecer esa visibilidad completa y, por tanto, el control sobre toda la superficie de ataque. Normalmente para ello recurren a tareas como:
- Descubrimiento continuo de activos, identificando automáticamente todos los dispositivos (IT, OT, IoT…) presentes en la infraestructura sin necesidad de intervención humana.
- Evaluación y priorización de riesgos, a través de la gestión y consolidación de vulnerabilidades para posteriormente priorizarlas en función de su impacto real en el negocio.
- Monitorización en tiempo real, supervisando el comportamiento de usuarios y equipos frente a anomalías o amenazas emergentes.
Este enfoque aporta un valor diferencial claro a la seguridad en el que se unifica la gestión del riesgo sobre toda la superficie de ataque.
CTEM: el marco que da sentido a la tecnología
Aquí entra en juego un concepto realmente clave: CTEM —Continuous Threat Exposure Management —. Se trata de un enfoque estratégico que propone gestionar la exposición al riesgo de forma continua y cíclica.
CTEM se basa en cinco pilares básicos que incluyen: (1) descubrir la superficie de ataque, (2) priorizar riesgos en función del impacto; (3) validar la exposición real (no solo teórica); (4) remediar de forma continua; y (5) medir la mejora del nivel de seguridad.
Las soluciones para cada uno de esos pilares son múltiples y variadas.
Una de las herramientas utilizadas en CTEM es Armis Centrix. La plataforma ha sido recientemente adquirida por ServiceNow y permite mantener un ciclo continuo de visibilidad, análisis y remediación.
Armis Centrix, inventario en vivo
Insistimos en esta solución porque es ciertamente interesante. Armis Centrix es una plataforma de gestión de la exposición a amenazas que proporciona visibilidad continua, y sin agentes, de todos los activos conectados —desde entornos IT, servicios en la nube, dispositivos IoT o sistemas industriales— mediante el análisis del tráfico y la correlación de múltiples fuentes de datos. Es decir, incluyendo aquellos dispositivos que inicialmente no se ven.
A partir de este inventario vivo, Armis identifica vulnerabilidades, evalúa el riesgo en función del contexto de negocio y prioriza las acciones de remediación más críticas.
Asimismo, integra capacidades de monitorización en tiempo real y automatización de respuestas, permitiendo pasar de una seguridad reactiva a un modelo proactivo y continuo, alineado con el enfoque CTEM.
All4Sec, y su apuesta por CTEM
Lo relevante en este contexto de aplicación es que existen herramientas que encajan en el modelo CTEM y que lo hacen operacional.
Sin embargo, no podemos dejarnos llevar por una simplificación que conduzca a un excesivo optimismo. La tecnología por sí sola no resuelve todos los problemas.
En All4Sec somos conscientes de ello. Por eso nos hemos especializado, a través de la certificación, en aportar valor a la integración, la operación y el alineamiento de soluciones de seguridad, como Armis, con el negocio.
Y es que All4Sec puede “aterrizar” el modelo CTEM dentro de una organización, adaptándolo a su contexto, sector y nivel de madurez. El despliegue de Armis Centrix es una de las tareas en las que estamos especializados, pero obviamente no es la única.
La combinación de diferentes soluciones para alcanzar los cinco pilares mencionados es también fundamental y ahí entran en escena otras propuestas tecnológicas que iremos desglosando más adelante en otras entradas del blog. Porque nuestro objetivo persigue reducir la superficie de ataque y mejorar la resiliencia operativa del cliente.
En definitiva, debemos empezar a pensar que el futuro de la ciberseguridad pasa por abandonar modelos reactivos y adoptar enfoques continuos, basados en riesgos reales y en la visibilidad total, donde el descubrimiento de activos es el primer paso. Y eso significa que debemos “proteger no solo lo que creemos ver, sino también lo que no se ve”.
