Skip to content
Operar

Gestión continua de la exposición en Active Directory: rutas de ataque validadas cada día, no solo el día del pentest.

La plataforma Enterprise de ADscan programa y vuelve a ejecutar la validación completa de rutas de ataque AD según tu calendario, rastrea la exposición a lo largo del tiempo y alerta a tu equipo cuando aparecen nuevas rutas a Domain Admin. Un pentest anual cubre un día del año. ADscan cubre los otros 364.

Pedir una evaluaciónVer un informe de muestra
Qué es

La Gestión Continua de Exposición a Amenazas (CTEM) es la práctica de descubrir, validar y priorizar la exposición explotable en tu entorno de forma continua, en lugar de en evaluaciones puntuales. ADscan implementa CTEM para Active Directory: valida cada ruta soportada a Domain Admin según una cadencia programada, registra hallazgos probados frente a teóricos, rastrea la deriva entre ejecuciones y produce la evidencia de cumplimiento que tu auditor espera ver actualizada con regularidad.

El problema

1 día

Active Directory cambia constantemente. Se crean cuentas y se delegan privilegios. Se añaden directores de servicio. Se modifica la directiva de grupo. Se actualizan las plantillas de certificado. Cada cambio es una posible nueva ruta a Domain Admin que tu último pentest no puede ver. Una evaluación puntual es una imagen precisa de un día; no te dice si apareció una nueva cuenta Kerberoasteable tres semanas después, o si un desarrollador añadió un SPN a una cuenta de servicio esta mañana. La validación continua cierra esta ventana.

Un pentest anual cubre 1 de los 365 días del año. ADscan cubre los otros 364 en la plataforma Enterprise.

Cómo funciona
  1. 01

    Programar la cadencia de validación

    En la plataforma Enterprise, configura la frecuencia: diaria, semanal o tras eventos específicos de cambio en AD. La plataforma ejecuta el motor completo de recolección y validación de ADscan según el programa, sin intervención manual.

  2. 02

    Ejecutar la validación completa en cada ejecución

    Cada ejecución programada recolecta el estado actual de la superficie de ataque de identidad, ejecuta cada ruta soportada a Domain Admin y registra un instantánea fechada de los hallazgos probados y teóricos.

  3. 03

    Detectar la deriva entre ejecuciones

    La plataforma compara cada ejecución con la anterior y destaca los nuevos hallazgos, los hallazgos cerrados y los cambios de severidad. Una nueva cuenta Kerberoasteable que apareció desde la última ejecución se marca de inmediato.

  4. 04

    Alertar sobre nueva exposición

    Las alertas configurables notifican al equipo de seguridad cuando aparece una nueva ruta probada a Domain Admin, cuando un hallazgo previamente remediado vuelve a abrirse, o cuando la puntuación de exposición supera un umbral configurado.

  5. 05

    Seguir la puntuación de exposición a lo largo del tiempo

    El panel muestra la tendencia de la puntuación de exposición a lo largo de las ejecuciones, desglosada por familia de hallazgos (credenciales, ADCS, delegación, vulnerabilidades). Una tendencia descendente confirma que la remediación está funcionando; una tendencia ascendente señala nuevo riesgo.

  6. 06

    Generar evidencia de cumplimiento actualizada

    Cada ejecución produce un informe actualizado mapeado a cumplimiento. La pista de auditoría demuestra a los reguladores que la validación es continua en lugar de anual, satisfaciendo los requisitos de DORA, NIS2 y ENS de pruebas continuas.

Capacidades

Revalidación programada en la plataforma Enterprise

La plataforma Enterprise de ADscan ejecuta el motor completo de validación de rutas de ataque según un programa configurable, sin necesidad de que una persona active cada ejecución. Este es el nivel continuo; la CLI proporciona la misma validación bajo demanda.

Detección de deriva de exposición

Entre ejecuciones, la plataforma identifica nuevos hallazgos (nueva exposición), hallazgos cerrados (remediados) y hallazgos cuya severidad ha cambiado. La deriva es la señal que importa: qué ha cambiado desde la última vez que miramos.

Puntuación y tendencia de exposición

Una puntuación de exposición por entorno agrega el recuento de rutas probadas, la severidad y la cobertura de remediación a lo largo de las ejecuciones. El gráfico de tendencia es la evidencia de que tu postura de seguridad está mejorando, no una instantánea estática.

Respuesta basada en alertas

La plataforma activa alertas cuando se detecta una nueva ruta probada a Domain Admin, cuando la exposición supera un umbral o cuando un hallazgo remediado vuelve a abrirse. Las alertas pueden entregarse vía webhook para integrarse con SIEM o sistemas de ticketing.

Evidencia de cumplimiento continua

Cada ejecución produce un informe fechado mapeado a cumplimiento. El historial de informes es la pista de auditoría que demuestra las pruebas continuas para el Artículo 24 de DORA, el Artículo 21 de NIS2 y ENS Alto, reemplazando la declaración "hicimos un pentest el año pasado" con un registro fechado.

CLI bajo demanda para reejecuciones ad hoc

La CLI open source proporciona el mismo motor de validación para reejecuciones bajo demanda tras cambios específicos: una nueva cuenta de servicio, una modificación de GPO, un cambio de plantilla de certificado. No es continua por sí misma, pero usa el mismo motor interno.

Cumplimiento

Mapeado al control por el que pregunta tu supervisor.

Hallazgo probadoControl mapeado

El Artículo 24 de DORA exige a las entidades financieras probar las herramientas y sistemas TIC, y las NTR del Artículo 24 especifican que las pruebas de penetración guiadas por amenazas deben cubrir el entorno TIC completo de forma recurrente. El Artículo 21 de NIS2 impone una obligación proporcional y continua para las medidas de gestión de riesgos. ENS Alto exige la validación continua. Una sola prueba anual no satisface ninguno de estos requisitos interpretados estrictamente. La validación continua de ADscan Enterprise produce un historial de ejecuciones fechado con hallazgos mapeados a cumplimiento que demuestra pruebas continuas, no una instantánea puntual. Cada ejecución es un nuevo documento de evidencia del Artículo 9.4 de DORA.

LITE vs PRO
LITE

La CLI open source ejecuta el motor de validación completo bajo demanda, en cualquier programación que configures tú mismo. Produce los mismos hallazgos y salida de cumplimiento por ejecución. No hay programación, panel ni seguimiento de deriva: eso requiere la plataforma Enterprise.

PRO

Añade el PDF ejecutivo y el mapeo de cumplimiento por ejecución. Gratis en beta para consultoras y MSSPs que quieran ofrecer la validación continua de AD como servicio gestionado. La plataforma Enterprise (nivel continuo) añade ejecuciones programadas, el panel web, la detección de deriva, las alertas y la pista de auditoría completa necesaria para las pruebas continuas de DORA.

Relacionado

Explora el resto de la plataforma.

Validación de rutas de ataque

Explota cada ruta soportada de un usuario sin privilegios a Domain Admin.

Abrir

Mapeo de cumplimiento

Cada hallazgo atado a DORA, NIS2 y ENS, con citas legales.

Abrir

Postura de seguridad del dominio

Gestión continua de la postura de seguridad de identidad de tu dominio.

Abrir
Prueba

En los compromisos de prueba de valor, cada reejecución tras un ciclo de remediación ha confirmado que la ruta remediada se cerró y ha detectado al menos un nuevo hallazgo introducido por un cambio en AD durante la ventana de remediación.

Recursos

Míralo antes de preguntar.

Informe de muestra

El informe completo de exposición AD, mapeado a cumplimiento

AbrirGuía

Rutas de ataque en Active Directory y BloodHound

AbrirGuía

DORA y Active Directory para entidades financieras

Abrir
FAQ

Preguntas, respondidas.

¿Qué es CTEM (Gestión Continua de Exposición a Amenazas)?

La Gestión Continua de Exposición a Amenazas (CTEM) es un marco para descubrir, validar, priorizar y remediar continuamente la exposición explotable en tu entorno. En lugar de basarse en evaluaciones periódicas, CTEM ejecuta la validación con una cadencia continua para que los nuevos riesgos introducidos por los cambios de infraestructura se detecten rápidamente. El requisito fundamental es que la validación debe estar basada en la explotabilidad, no en la comprobación de configuraciones: necesitas saber qué exposición puede usar realmente un atacante, no qué configuración está mal configurada en teoría.

¿Cómo implementa ADscan CTEM para Active Directory?

ADscan implementa las tres etapas de CTEM para la capa de identidad AD: descubrir (recolectar la superficie de ataque de identidad completa), validar (ejecutar cada ruta soportada a Domain Admin, marcando probada frente a teórica) y priorizar (ordenar por severidad explotada y plazo de cumplimiento). En la plataforma Enterprise, este ciclo se ejecuta según un programa, se detecta la deriva entre ejecuciones y se activan alertas cuando aparecen nuevas rutas probadas. La CLI proporciona las mismas etapas de descubrimiento y validación bajo demanda.

¿En qué se diferencia CTEM del escaneo de vulnerabilidades?

El escaneo de vulnerabilidades comprueba la presencia de CVEs o configuraciones incorrectas conocidas comparando el estado de la configuración con una lista de elementos conocidos como malos. No puede decirte si la vulnerabilidad es explotable en tu entorno específico, si lleva a Domain Admin, o si una cadena de configuraciones incorrectas de menor severidad se combina en una ruta crítica. CTEM requiere validación: ejecutar realmente la ruta, no solo identificar la condición. ADscan ejecuta cada ruta soportada de principio a fin, por lo que la exposición que informa es probada, no inferida.

¿Está disponible la función de monitorización continua en la CLI gratuita?

No. La CLI se basa en ejecuciones: la ejecutas cuando decides hacerlo, y valida la superficie de ataque AD completa en esa ejecución. Continuo significa que la plataforma Enterprise programa y ejecuta la validación automáticamente, detecta la deriva entre ejecuciones y mantiene la pista de auditoría. La CLI te da la misma calidad de validación bajo demanda; la plataforma Enterprise añade la programación, el panel, la detección de deriva y las alertas que la hacen continua.

¿Qué exige el marco CTEM para la seguridad de identidad?

El marco CTEM requiere que la gestión de la exposición esté validada por explotabilidad en lugar de basada en comprobaciones de configuración, que cubra el alcance completo incluida la infraestructura de identidad, y que esté priorizada por impacto de negocio en lugar de por puntuación CVSS. Para Active Directory, esto significa probar qué rutas a Domain Admin son reales, no solo listar cuentas Kerberoasteables. ADscan valida la explotabilidad de principio a fin para la capa de identidad AD.

¿Con qué frecuencia debe ejecutar una organización la validación de exposición AD?

El Artículo 24 de DORA exige pruebas recurrentes; la frecuencia es proporcional al perfil de riesgo de la entidad y al ritmo de cambio en su entorno TIC. Para la mayoría de las entidades reguladas, la validación mensual es el mínimo práctico dado con qué frecuencia cambia Active Directory en un entorno financiero activo. Tras cualquier cambio significativo (nuevas cuentas de servicio, parcheo de controladores de dominio, modificación de GPO, cambios de plantillas ADCS), se justifica una reejecución inmediata. La plataforma Enterprise permite configurar la cadencia y ejecutar escaneos ad hoc tras eventos de cambio.

Ve tu exposición real

Descubre qué ruta a Domain Admin tienes hoy.

Pide una evaluación y ejecutaremos ADscan contra tu Active Directory, y luego entregamos el informe mapeado a cumplimiento.

Pedir una evaluaciónConseguir acceso PRO
Gestión continua de exposición a amenazas para AD | ADscan