Los equipos de seguridad de hoy en día no carecen de herramientas o datos. Ambos factores los abruman.

Sin embargo, con los terabytes de alertas, exposiciones y errores de configuración, los equipos de seguridad aún tienen dificultades para entender el contexto:

P: ¿Qué exposiciones, errores de configuración y vulnerabilidades se encadenan para crear rutas de ataque viables hacia las joyas de la corona?

Incluso los equipos de seguridad más maduros no pueden responder tan fácilmente.

El problema no son las herramientas. Es que las herramientas no se comunican entre sí.

Este es precisamente el problema para el que se diseñó el marco Cybersecurity Mesh Architecture (CSMA) de Gartner, y es lo que Seguridad de malla se ha puesto en funcionamiento con la primera plataforma CSMA del mundo diseñada específicamente.

En este artículo, veremos qué es CSMA y cómo Mesh CSMA:

  • Descubre rutas de ataque a las joyas de la corona
  • Prioriza en función de las amenazas activas
  • Elimina las rutas de ataque de forma sistemática

¿Qué es la CSMA y por qué es importante ahora?

Antes de sumergirnos en la plataforma, aclaremos qué es CSMA.

CSMA , tal como la define Gartner, es una capa de seguridad distribuida y componible que conecta su conjunto existente y le brinda la unificación del contexto de una plataforma con las mejores herramientas de su clase. Con la CSMA, el riesgo se puede entender de forma holística y no de forma aislada.

El problema: las herramientas aisladas no entienden la historia del ataque

Todos hemos visto hallazgos como estos en paneles separados:

  • Un desarrollador ha instalado un asistente de codificación de IA de aspecto legítimo de VS Code Marketplace
  • Esa extensión se ha marcado como potencialmente troyanizada, pero la alerta se encuentra en una herramienta, sin conexión con ninguna otra.
  • La estación de trabajo del desarrollador tiene tiempos de espera de sesión prolongados y no se aplica ninguna política de aislamiento de dispositivos
  • Las credenciales del desarrollador ofrecen un amplio acceso a una cuenta de producción de AWS
  • Esa cuenta de AWS tiene acceso directo y sin restricciones a una base de datos de RDS de producción que almacena la PII del cliente

De forma aislada, cada señal parece manejable: un indicador de política de mercado aquí, un error de configuración del tiempo de espera de la sesión allí. Los equipos de seguridad las ven, las registran y dejan de priorizarlas. Ninguno de ellos se parece a los P1 por sí solo.

Sin embargo, juntas, cuentan una historia muy diferente: una ruta de ataque clara y de varios saltos desde la estación de trabajo de un desarrollador directamente a los datos más confidenciales de sus clientes. No se ha producido ninguna infracción, pero el camino está abierto, es viable y está a la espera.

Si se agrega inteligencia sobre amenazas, el riesgo se vuelve aún más difícil de ignorar: los actores de amenazas se centran activamente en los entornos de los desarrolladores y los puntos de entrada a la cadena de suministro como su punto de apoyo preferido en la infraestructura de producción. ¿Ha encadenado sus herramientas para marcarlas por separado? Se corresponde casi exactamente con su manual de estrategias.

Exposición a amenazas en Mesh Live

Se trata de una exposición a una amenaza real. No se trata de una brecha, sino de una ruta explotable que existe en su entorno ahora mismo, invisible porque ninguna herramienta puede detectarla toda a la vez.

Eso es exactamente para lo que se creó Mesh CSMA. Al unificar el contexto de todo el conjunto, Mesh descubre estas rutas de ataque entre dominios antes de que se aprovechen de ellas, para que tu equipo pueda romper la cadena antes de que un atacante la atraviese.

Cómo funciona Mesh CSMA

Mesh CSMA convierte las señales fragmentadas en historias de amenazas significativas y multidominio. De este modo, los equipos de seguridad pueden centrarse en lo que importa.

Así es como funciona Mesh.

Paso 1: Conexión: sin agentes, sin necesidad de arrancar y reemplazar

Mesh comienza por integrarse con su pila existente: todas las herramientas, lagos de datos e infraestructura. (¿Con qué se integra Mesh? Consulte Más de 150 integraciones aquí .

Integraciones de malla

Paso 2: Consulte: The Mesh Context Graph™

A continuación, Mesh descubre automáticamente tu Joyas de la corona: bases de datos de producción, repositorios de datos de clientes, sistemas financieros, infraestructura de firma de código, y sustenta todo el modelo de riesgo en torno a ellos.

Este es el principio fundamental que hace que Mesh sea diferente: el riesgo se entiende en relación con lo que realmente importa para la empresa, no en relación con las alertas más ruidosas.

A partir de ahí, Mesh construye el Gráfico de contexto de malla™ — un gráfico centrado en la identidad que se actualiza continuamente de cada entidad de su entorno: usuarios, máquinas, cargas de trabajo, servicios, almacenes de datos y las relaciones entre ellos.

A diferencia de los inventarios de activos, que le indican lo que existe, el Mesh Context Graph™ le indica cómo se conecta todo . Mapea las rutas de acceso, las relaciones de confianza, las cadenas de derechos y la exposición de la red en un único modelo unificado, todo ello desde sus joyas de la corona.

Gráfico de contexto de malla

Paso 3: Evaluar: descubrimiento de rutas de ataque viables

Aquí es donde Mesh se diferencia de las herramientas tradicionales de gestión de la exposición.

Las plataformas CTEM y los escáneres de vulnerabilidades detectan CVE y errores de configuración. Sin embargo, una vulnerabilidad del CVSS 9.8 en un activo aislado con acceso a Internet y sin acceso a nada confidencial es un riesgo muy diferente al de una mala configuración del CVSS 5.5 en una cuenta de servicio que tiene acceso directo a la base de datos de producción. Mesh entiende la diferencia.

La plataforma correlaciona los hallazgos entre los dominios (errores de configuración de la postura en la nube, exceso de alcance de los derechos de identidad, puntos ciegos de detección, vulnerabilidades sin parches) y los compara con el gráfico de contexto para determinar qué combinaciones crean cadenas de ataque viables y de varios saltos para Crown Jewels. A continuación, establece las prioridades en función de la información sobre amenazas en tiempo real.

El resultado: una lista ordenada y procesable de rutas completas de ataque entre dominios, cada una de las cuales muestra:

  • Punto de entrada : cómo obtendría un atacante el acceso inicial
  • Cadena pivotante : cada salto intermedio a través del entorno
  • Objetivo : a qué Crown Jewel se puede acceder
  • Por qué es viable : las configuraciones erróneas específicas, las rutas de acceso o las brechas de detección que lo habilitan
  • Contexto de amenazas : si los actores de amenazas activos conocidos están explotando esto actualmente
Exposiciones a Mesh Crown Jewel

Con Mesh, puede hacer clic en cada exposición a amenazas en vivo y visualizar la ruta del ataque, convirtiendo las señales aisladas en una hoja de ruta significativa para la remediación de riesgos.

Visualización de rutas de ataque en malla

Paso 4: Eliminar: romper la cadena

Poner a la superficie las rutas de ataque es solo la mitad del valor. Mesh las cierra.

Para cada ruta de ataque identificada, Mesh genera acciones de remediación específicas y priorizadas asignadas a las herramientas existentes que ya están en su pila. En lugar de una guía genérica como «parchea este CVE», Mesh te recomienda: revoca este enlace de rol específico, aplica la MFA en esta cuenta de servicio, actualiza esta política de CSPM y aísla esta carga de trabajo.

Fundamentalmente, Mesh organiza la corrección en todos los dominios: una única ruta de ataque puede requerir una corrección en su herramienta CSPM, un cambio en su plataforma IGA y una actualización de políticas en su solución ZTNA. Mesh coordina esas acciones sin obligar a tu equipo a cambiar manualmente el contexto de una consola a otra.

Paso 5: Defensa: cobertura continua de brechas de validación y detección

La malla no se detiene en la postura. También valida continuamente la capa de detección, identificando los puntos ciegos en los que las técnicas de ataque serían eficaces pero no generarían alertas.

Esto cierra el círculo entre la prevención y la detección. Los equipos de seguridad no solo pueden ver adonde pueden ir los atacantes pero donde pasarían desapercibidos si lo intentaran . Las brechas de detección surgen junto con las brechas de postura dentro del mismo modelo de riesgo unificado, lo que permite una priorización que refleje el verdadero riesgo empresarial.

Mesh reevalúa continuamente el entorno a medida que cambia la infraestructura, se incorporan nuevas herramientas y se actualiza la inteligencia de amenazas. El mapa de rutas de ataque nunca es una instantánea puntual, sino un modelo en vivo.

Cronología de la investigación de Mesh Auto

¿Qué lo diferencia de SIEM, XDR o CTEM?

SIEM y XDR detectar amenazas después de que se generen las señales. Se basan en eventos que ya han ocurrido y requieren ajustes importantes para reducir los falsos positivos. No modelan las rutas de ataque de forma proactiva.

Plataformas CTEM priorizan las vulnerabilidades en función de las puntuaciones de explotabilidad, pero la mayoría operan dentro de un solo dominio (nube, punto final, identidad) y se esfuerzan por modelar cómo se encadenan los riesgos de diferentes dominios.

Grandes proveedores de plataformas lograr la unificación del contexto, pero a costa de la dependencia de los proveedores y la sustitución forzosa de herramientas especializadas.

Mesh adopta un enfoque diferente. Al alinearse con precisión con lo que Gartner concibió para CSMA, Mesh unifica el contexto de todas las herramientas, lagos de datos e infraestructuras existentes, lo que permite eliminar la exposición continua sin necesidad de extraer nada.

¿Para quién está diseñada Mesh?

Mesh CSMA está diseñado para los equipos de seguridad que ya han invertido en las mejores herramientas de su clase y ahora se enfrentan a las consecuencias de una seguridad fragmentada:

  • Decenas de paneles, sin contexto
  • Datos de seguridad inconexos, que generan ruido en lugar de información
  • Correlación manual, conectando los puntos entre las herramientas

La plataforma cerró recientemente una Serie A de 12 millones de dólares liderada por Lobby Capital con la participación de Bright Pixel Capital y S1 (SentinelOne) Ventures.

Su próximo paso: obtenga más información sobre Mesh CSMA—

Las herramientas de seguridad muestran riesgos aislados. Mesh muestra las rutas de ataque a las Joyas de la Corona y las elimina.

¿Quiere ver las exposiciones a amenazas en tiempo real en su entorno? Prueba Mesh gratis durante 7 días.

O regístrese para el seminario web en vivo: ¿Quién puede ponerse en contacto con sus joyas de la corona? Modelado de rutas de ataque con Mesh CSMA para ver a Mesh identificar las rutas de ataque reales en vivo.

¿Te ha parecido interesante este artículo? Este artículo es una contribución de uno de nuestros valiosos socios. Síguenos en Noticias de Google , Twitter y LinkedIn para leer más contenido exclusivo que publicamos.