Gestionar las vulnerabilidades y las amenazas nunca ha sido tan difícil. Hoy en día, con la descentralización generalizada del puesto de trabajo, el acceso a la información y a los recursos corporativos realizado desde cualquier dispositivo y desde cualquier lugar, hace que ya no sea suficiente limitarse a escanear y parchear las múltiples vulnerabilidades que continuamente van surgiendo en este entorno. Resulta imposible seguir ese ritmo tan frenético.
Para minimizar eficazmente su propia superficie de ataque, predecir con antelación las posibles situaciones de amenaza y gestionar sus parches y vulnerabilidades, las empresas tendrán que recurrir a procedimientos de análisis basados en el riesgo.
Pero ni la gestión de vulnerabilidades orientada al cumplimiento ni la gestión de parches, son capaces de seguir el ritmo y agresividad de los ataques. Lamentablemente, sigue siendo una práctica habitual que los equipos de TI cierren las vulnerabilidades únicamente en función del nivel de gravedad definido por el proveedor de software. Esto por sí solo no es suficiente, y en muchos casos no refleja el riesgo real que representa una vulnerabilidad para nuestra empresa.
Actualmente, sucede que cuando una vulnerabilidad potencialmente clasificada como de riesgo se hace pública, ya está siendo activamente explotada, por lo que resulta imprescindible tener en cuenta otros parámetros de riesgo para subsanarlas.
Por tanto, una priorización de las vulnerabilidades que incorpore factores basados en el riesgo ofrece un nivel de protección significativamente mayor, pero también requiere de un modelo totalmente nuevo.
El modelo para gestionar las vulnerabilidades ‘basado en el riesgo’, cierra las brechas de seguridad
El enfoque correcto pasa por identificar, priorizar y mitigar todas las vulnerabilidades relacionadas con la criticidad de los sistemas de la empresa. Esta priorización basada en el riesgo focaliza la seguridad informática en una amplia gama de parámetros, en lugar de centrarse en la gravedad de un proveedor como único criterio. Esto incluye principalmente los centros de datos donde se clasifican los mayores riesgos para un entorno, como las vulnerabilidades que están siendo explotadas para los ataques.
Por otra parte, la observación y el análisis de las tendencias entre los actores de las amenazas ayudan a establecer las prioridades para su detección. Así, para garantizar la rápida eliminación de las amenazas más peligrosas, es importante familiarizarse con los patrones de ataque actuales y pasados. Por ejemplo, en los últimos años, en el 95% de las ocasiones los ciberdelincuentes han utilizado la ejecución remota de código y la escalada de privilegios para inyectar un código malicioso o extraer datos. También forma parte de este enfoque de seguridad el análisis preciso del contexto de un ataque; en este sentido, las discusiones en foros o en la web oscura ofrecen interesantes pistas.
Una priorización experta que incorpore este tipo de factores basados en el riesgo ofrece un nivel de protección significativamente mayor, pero también requiere un enfoque radicalmente nuevo: se trata de un proceso eficaz de recogida e integración de la información sobre las amenazas relevantes, que abarca un ecosistema de diferentes fuentes de información que se agregan de forma inteligente . Esto incluye también los resultados de las pruebas de penetración o los escaneos regulares de vulnerabilidad y, como siguiente paso, se decide qué vulnerabilidades deben analizarse en primer lugar. Este enfoque tiende a aumentar la carga de trabajo para la seguridad informática, a pesar de que las herramientas especializadas proporcionan este tipo de datos, pues a menudo se encuentran ya integrados en las rutinas de parcheo automatizadas
Analizar los datos de las amenazas de forma estructurada
Hasta ahora, apenas era posible comparar la información sobre vulnerabilidades entre infraestructuras y aplicaciones, ya que éstas suelen utilizar como base de dados las Vulnerabilidades y Exposiciones Comunes (CVE) o las Enumeraciones de Debilidades Comunes (CWE). Los proveedores de servicios, como Ivanti RiskSense, resuelven este problema desarrollando puntuaciones de índice avanzadas, que son notablemente más significativas que la simple puntuación CVSS v3. Para determinar dicha puntuación de ciberseguridad, se normalizan los diversos datos y se fusiona el impacto de una vulnerabilidad con el contexto de la amenaza y los exploits actuales, para estimar así la probabilidad de ser explotada. Se utiliza un algoritmo que filtra y destaca de forma inteligente las vulnerabilidades con más riesgo. Para ello, tiene en cuenta los datos sobre vulnerabilidades y amenazas, así como la validación humana de los exploits por parte de los equipos de pruebas de penetración. Los riesgos de ciberseguridad se descifran así desde la perspectiva más amplia posible. De este modo, la criticidad se evalúa en el momento en el que se encuentra una vulnerabilidad, y en todo momento se sabe cómo se explota.
Construyendo un puente hacia la gestión de parches
Pero no basta con conocer los puntos conflictivos. El siguiente paso consiste en incorporar las conclusiones del análisis de riesgos de las vulnerabilidades a la gestión de parches. Esto permite a los equipos de TI tener una visión general de los parches que deben ser inmediatamente aplicados. La regla a seguir es la siguiente: las vulnerabilidades de los sistemas altamente críticos deben remediarse de forma prioritaria, lo que supone que las brechas de seguridad actualmente no explotadas y con un potencial de riesgo menor, pueden permanecer abiertas.
Más allá del pensamiento de “silo”
Un modelo de seguridad basado en el riesgo exige más que nunca que la seguridad y las operaciones informáticas se comuniquen entre sí. Sin embargo, en muchas organizaciones, un equipo es responsable de la exploración de vulnerabilidades y de las pruebas de penetración, otro equipo se encarga de establecer las prioridades y el equipo de TI de la corrección. Como resultado, a veces hay graves lagunas o demasiado retraso temporal entre los hallazgos de seguridad y la corrección de las TI. Además, el departamento de TI rara vez tiene visibilidad de los resultados de sus esfuerzos. Cuando las TI y la seguridad comparten la responsabilidad y trabajan en equipo para hacer frente a los ciber riesgos, se acierta mucho más en la remediación y con una eficacia cada vez mayor.
Conclusión
En el pasado, la gestión de los ciberriesgos se centraba principalmente en el número de parches aplicados, un modelo que ha dejado de ser útil. La medición precisa de la exposición al riesgo requiere una evaluación cualitativa y adaptada a los sistemas de cada organización. Para ello, una solución de TVM*1 eficaz debe tener la capacidad de mostrar resultados comprensibles tanto para los equipos de TI y de seguridad como para el nivel ejecutivo de la empresa, sin necesidad de interpretación.
Por otra parte, establecer una puntuación de prioridades en ciberseguridad para la gestión de la vulnerabilidad en una organización, permite medir la eficacia del enfoque basado en el riesgo. De este modo, se simplifica la planificación y se elimina la necesidad de utilizar métricas basadas exclusivamente en la actividad para abordar las vulnerabilidades.
Así mismo, permite a los equipos de seguridad ejecutar escenarios hipotéticos que den una idea de las acciones que tendrán un impacto positivo y cómo se pueden alinear con los recursos disponibles y las sensibilidades del negocio. La cuestión es que la cobertura de la gestión de amenazas y vulnerabilidades debe seguir el ritmo de la dinámica de la empresa. Por lo tanto, resulta fundamental evolucionar desde las evaluaciones puntuales basadas en el cumplimiento a las que son más sensibles al tiempo y requieren un sentido de urgencia, debido al alto riesgo potencial que representan para una organización.
Herramientas de apoyo
La gestión de una vulnerabilidad requiere de una ingente cantidad de datos, algo que puede fluctuar dependiendo del tipo de escáner y del tipo de proveedor. Para dotar de sentido a tal nivel de complejidad, hay que establecer en última instancia a una priorización común basada en las amenazas, que contemple todos los activos. La selección de las herramientas adecuadas pueden contribuir a ello, principalmente porque permiten predecir los ataques. Deben incluir las siguientes funciones:
Evaluación de referencia CVS´s
Fuentes de datos de amenazas estándar del sector, como el National Vulnerability. Base de datos de vulnerabilidad (NVD), vulnerabilidades y exposiciones comunes (CVE). Enumeración de debilidades comunes (CWE) y el Top 10 de OWASP. Fuentes de amenazas seleccionadas, que proporcionan una amplia cobertura y actualizaciones sobre los exploits más activos
Aportaciones directas de los equipos de pruebas de penetración líderes del sector sobre los nuevos exploits validados
Daniel González. Senior Key Account Manager. Ivanti