El panorama international de ciber-amenazas se encuentra en constante evolución lo cual resalta la necesidad emergente de que las organizaciones fortalezcan su capacidad para identificar, analizar y evaluar los riesgos tecnológicos antes de que evolucionen a incidentes de seguridad completamente. Cuando se trata de mitigar el riesgo, los términos “gestión de parches” y “gestión de vulnerabilidades” se usan como si fueran intercambiables. Cuando en realidad aplicar parches es una de las muchas formas de mitigar los riesgos en ciber-seguridad.
La decisión de desplegar, desinstalar o dejar pasar un parche específico cae dentro de un contexto más amplio de la gestión de vulnerabilidades. Definida como “una práctica de seguridad diseñada específicamente para mitigar o prevenir de manera proactiva la explotación de las vulnerabilidades de TI”, la gestión de vulnerabilidades no es únicamente escaneo y parchado. Es una función holística que tiene la visión proactiva de administrar la, en ocasiones desalentadora, tarea de abordar las vulnerabilidades identificadas en los dispositivos de {hardware} y software program implementados. En pocas palabras, la gestión de vulnerabilidades es un concepto más amplio que envuelve la gestión de parches.
La administración de vulnerabilidades es más que solo recibir alertas cuando su infraestructura necesita un parche aplicado. La gestión de vulnerabilidades consiste en tomar decisiones informadas y priorizar adecuadamente qué vulnerabilidades mitigar y cómo. Esto se logra al incorporar agentes internos para telemetría en todos los sistemas de interés, así como controles externos para inteligencia de amenazas de todas las fuentes.
La gestión de vulnerabilidades se respalda por una inteligencia de amenazas que proporciona una comprensión más profunda de cómo y por qué los atacantes están utilizando ciertas vulnerabilidades e ignorando otras. La inteligencia sobre la explotabilidad de la vulnerabilidad prepara a su organización para lograr el equilibrio correcto entre parchear sistemas vulnerables e interrumpir las operaciones comerciales. Un enfoque basado en el riesgo de las amenazas hace que sea mucho más fácil comunicar el peligro de una vulnerabilidad a sus equipos desde seguridad y operaciones hasta gerentes senior e incluso a el consejo. Este nivel de visibilidad en la lógica detrás de las decisiones tomadas en torno a las vulnerabilidades aumentará la confianza en el equipo de seguridad en toda su organización y ayudará a evitar que ocurran fugas de datos, como la que sufrió Equifax.
Etapas de maduración para un programa de gestión de vulnerabilidades
Hay cuatro etapas principales en cualquier programa eficaz de gestión de vulnerabilidades:
El proceso que determina la criticidad del activo, los propietarios de los activos y la frecuencia de escaneo, así como también establecer los plazos para la remediación.
El descubrimiento y el inventario de activos en la crimson.
El descubrimiento de vulnerabilidades en los activos descubiertos.
La notificación y reparación de vulnerabilidades descubiertas.
La primera etapa se enfoca en construir un proceso que sea medible y repetible. Las etapas dos a cuatro se centran en ejecutar el proceso con énfasis en la mejora continua.
Examinemos brevemente cada etapa y cómo Tripwire puede ayudarlo.
ETAPA 1: PROCESO DE ESCANEO DE VULNERABILIDAD
La primera etapa se puede dividir en cuatro pasos.
El primer paso es identificar la criticidad de los activos en la organización. No se puede crear un programa eficaz de gestión de riesgos si no se determina qué activos hay que proteger. Estos incluyen sistemas informáticos, dispositivos de almacenamiento, redes, tipo de datos y sistemas de terceros en la crimson de la organización. Los activos deben clasificarse y priorizarse en función de su riesgo actual e inherente para la organización. Se deben considerar muchos aspectos al desarrollar el riesgo inherente de un activo, como la conexión física o lógica a activos clasificados más altos, el acceso de usuarios y la disponibilidad del sistema. Los activos con mayor criticidad tendrán mayor prioridad que los activos con menor criticidad. Sin embargo, la remediación de activos con menor criticidad no debe ignorarse ni posponerse indefinidamente. Todos los activos contribuyen al riesgo organizacional normal, y el esfuerzo de remediación siempre debe basarse en minimizar el riesgo normal.
El segundo paso es identificar a los propietarios de cada sistema. Los propietarios del sistema son responsables del activo, su riesgo asociado y la responsabilidad si ese activo se ve comprometido. La rendición de cuentas es un issue determinante para el éxito ultimate del programa de gestión de vulnerabilidades. Los activos y vulnerabilidades sin propietario quedarán olvidados y se convertirán en un riesgo no identificado para la organización.
El tercer paso es establecer la frecuencia de escaneo. El Centro para la Seguridad de Web en su CIS Management 3 “Gestión continua de vulnerabilidades” recomienda que una organización “utilice una herramienta actualizada de escaneo de vulnerabilidades para escanear automáticamente todos los sistemas en la crimson semanalmente o con mayor frecuencia para identificar todas las vulnerabilidades potenciales en los sistemas de la organización “. El escaneo frecuente permite a los propietarios de los activos rastrear el progreso de la remediación, identificar nuevos riesgos y volver a priorizar la remediación de vulnerabilidades basadas en inteligencia actualizada. Como límite externo, el escaneo de vulnerabilidades debe ocurrir al menos mensualmente.
El cuarto paso es establecer y documentar plazos y umbrales para la remediación. Los plazos de remediación deben tener en cuenta la gravedad del impacto de una vulnerabilidad al ser explotada y darse a conocer a toda la organización. Las vulnerabilidades con el mayor impacto deben remediarse de inmediato. El programa también debe atender las excepciones en caso de que una vulnerabilidad no se pueda remediar dentro del plazo aprobado, documentando el riesgo aceptado junto con un plan de acción para remediar la vulnerabilidad en una fecha determinada.
ETAPA 2: DESCUBRIMIENTO DE ACTIVOS E INVENTARIO
El descubrimiento de activos y el inventario son los controles uno y dos de CIS. Estas son las bases de cualquier programa de seguridad. No puedes proteger lo que no conoces. El propósito de CIS Management 1 es “Administrar (inventariar, rastrear y corregir) activamente todos los dispositivos de {hardware} en la crimson para que solo los dispositivos autorizados tengan acceso, y se encuentren dispositivos no autorizados y no administrados y se les impida acceder”. Además, el Management 2 de CIS resalta la necesidad de “Administrar activamente (inventariar, rastrear y corregir) todo el software program en la crimson para que solo el software program autorizado esté instalado y pueda ejecutarse, y que el software program no autorizado y no administrado se encuentre y se evite su instalación o ejecución. ”
Estos dos controles van de la mano, ya que los atacantes siempre intentan identificar sistemas que sean fácilmente explotables para ingresar a la crimson de una organización, como Shadow IT. Sin el descubrimiento apropiado de activos y el management de acceso a la crimson, este tipo de dispositivos pueden proporcionar una sencilla puerta de enlace para un atacante a la crimson corporativa. Una vez que ingresan, pueden aprovechar el management que han obtenido para atacar otros sistemas e infiltrarse aún más en la crimson. Estar al tanto de lo que hay en la crimson le permite al equipo de seguridad de la información proteger mejor los sistemas y proporcionar orientación a los propietarios de sistemas para reducir el riesgo que representan sus activos.
ETAPA 3: DETECCIÓN DE VULNERABILIDAD
Una vez que se identifican todos los activos en la crimson, el siguiente paso es identificar el riesgo por vulnerabilidad de cada dispositivo. El método recomendado para el escaneo de vulnerabilidades es a través de credenciales. Esto permite una mayor precisión para determinar el riesgo existente de la organización. Luego, de acuerdo a lo encontrado por la etapa de descubrimiento, se pueden correr firmas de vulnerabilidades específicas por sistema operativo encontrado.
 ETAPA 4: INFORMES Y REMEDIACIÓN
Una vez que se completa el escaneo de vulnerabilidades, se asigna un puntaje a cada vulnerabilidad utilizando un algoritmo exponencial basado en las habilidades requeridas para explotar la vulnerabilidad, los privilegios obtenidos tras una explotación exitosa y la edad de la vulnerabilidad. Cuanto más fácil sea explotar la vulnerabilidad y cuanto mayor sea el privilegio obtenido, mayor será el puntaje de riesgo. Además de esto, a medida que aumenta la edad de la vulnerabilidad, también aumenta la puntuación de la vulnerabilidad.
La primera métrica que debe obtenerse es la puntuación de riesgo promedio normal como referencia para la organización. Con base en esta métrica, las organizaciones deberían comenzar a apuntar a una tasa de reducción de riesgo del 20-25% anual. La siguiente métrica es el puntaje de riesgo promedio por propietario. De manera related al objetivo para la organización en normal, cada propietario debe enfocarse en reducir su puntaje de riesgo promedio en un 10% a 25% año tras año hasta que estén por debajo del umbral aceptado para la organización. Para la implementación exitosa del programa el equipo ejecutivo podría premiar a los propietarios de activos con los puntajes más bajos.
Los datos de vulnerabilidad empíricos para delinear qué vulnerabilidades deben corregirse junto con instrucciones de cómo llevar a cabo la corrección permiten a los propietarios del sistema priorizar sus esfuerzos con un enfoque en las vulnerabilidades que reducirán al máximo el riesgo organizacional normal. A medida que se ejecutan nuevos escaneos de vulnerabilidad, las métricas, como las que ofrece CIS, se pueden usar para mostrar un análisis de las tendencias del riesgo y el progreso de la corrección.
La clave es mostrar el progreso mes a mes, trimestre a trimestre y año a año. Los puntajes de riesgo de vulnerabilidad y el tiempo de reparación deberían disminuir a medida que los equipos se familiaricen más con el proceso y se eduquen más sobre los riesgos que plantean los atacantes.
Cómo ayuda Tripwire
La gestión de vulnerabilidades y riesgos es un proceso continuo, y debe adaptarse continuamente al panorama cambiante de amenazas de ciberseguridad. Por lo tanto, el proceso debe revisarse periódicamente y el private debe mantenerse actualizado con las últimas amenazas y tendencias. Desarrollo continuo para el private, los procesos y la tecnología asegurarán el éxito del programa de gestión de riesgos y vulnerabilidad empresarial.
Si desea tener un programa de gestión de vulnerabilidades, Tripwire IP360 es la solución que estaba buscando. Tripwire IP360 descubre todos los activos dentro de su organización y las aplicaciones siendo ejecutadas en ellos antes de realizar un análisis de vulnerabilidad. Los análisis de vulnerabilidad con credenciales proporcionan un análisis detallado y también identifican vulnerabilidades que un atacante vería en un análisis de vulnerabilidades externo no autenticado. Finalmente, Tripwire IP360 proporciona una puntuación de riesgo significativa y clasifica las vulnerabilidades numéricamente en función del impacto, la facilidad de explotación y la antigüedad.
Puede obtener más información sobre cómo crear un programa maduro de gestión de vulnerabilidades leyendo este documento técnico.
Este weblog se publicó originalmente en inglés aquí: https://www.tripwire.com/state-of-security/vulnerability-management/build-mature-vulnerability-management-program/