Contáctenos

Fundamentos de la gestión de vulnerabilidades

Ciberseguridad

Fundamentos de la gestión de vulnerabilidades

mm
Publicado

Gestión de vulnerabilidades es una combinación de procesos y productos destinados a mantener un inventario de la infraestructura digital de una organización, probarla en busca de vulnerabilidades y remediar las debilidades identificadas. Es una práctica cíclica y la antípoda del conocido adagio de TI que dice: "Si no está roto, no lo arregles". Este principio simplemente no funciona en la seguridad empresarial en estos días. Si los activos digitales no se monitorean y fortalecen continuamente, se convierten en frutos fáciles de alcanzar.

Un escáner no es suficiente

Diferente a los escáneres de vulnerabilidad, el objetivo principal de la gestión de vulnerabilidades es fortalecer la seguridad de la infraestructura y proporcionar una respuesta de emergencia a algunas amenazas súper peligrosas. Encontrar una laguna en un sistema es la mitad de la batalla, pero debe solucionarse para que los actores de amenazas no puedan explotarlo como un punto de entrada. Los métodos de evaluación de vulnerabilidades y priorización de problemas detectados basados ​​en la infraestructura del cliente son igualmente importantes. Los escáneres no hacen eso.

La gestión de vulnerabilidades es, esencialmente, un complemento del proceso de análisis que evalúa, prioriza y corrige las vulnerabilidades detectadas. Las necesidades de los clientes están cambiando, mientras que el objetivo clave solía reducirse a descubrir una vulnerabilidad, ahora se trata más de las formas de abordar el problema.

En cuanto a los modelos de licencia que utilizan los sistemas de gestión de vulnerabilidades, normalmente se basan en la cantidad de direcciones IP protegidas. No importa dónde se encuentren ni cuántas instalaciones requiera el cliente. El costo de un escáner de vulnerabilidades, por otro lado, depende del recuento de instalación y los parámetros de escaneo, como la cantidad de hosts.

Además, existen diferentes tipos de instalaciones, y algunos proveedores ofrecen un uso ilimitado de sus sistemas. La etiqueta de precio también puede verse influenciada por el conjunto de características, algunas de las cuales están disponibles como extras de pago.

Criterios para elegir un sistema de gestión de vulnerabilidades

Las características más importantes incluyen el tamaño de la organización, el número de sus sucursales ubicadas en diferentes zonas horarias, así como la localización del producto, que es la capacidad de detectar vulnerabilidades específicas de la región y de la industria.

Un factor interesante se relaciona con qué tan bien los departamentos de TI e InfoSec de la empresa pueden negociar las características necesarias de la solución. Los especialistas de InfoSec suelen priorizar la detección de vulnerabilidades, mientras que los equipos de TI se centran principalmente en la implementación de parches. Por tanto, la superposición de estas dos áreas definirá los parámetros del sistema.

También vale la pena observar la integridad y frecuencia de las actualizaciones, así como los sistemas operativos que admite el escáner. El sistema de gestión de vulnerabilidades ideal también debe ajustarse al contexto de la industria que representa la organización y las aplicaciones que está utilizando actualmente.

En la etapa de firma del contrato, el proveedor puede asegurar al cliente que está listo para agregar nuevos productos y características en el futuro. Desafortunadamente, algunos proveedores no siempre cumplen con estos compromisos. Por lo tanto, es mejor centrarse en la funcionalidad disponible de la solución.

Una característica útil de cualquier sistema de gestión de vulnerabilidades es la capacidad de enriquecer su propia base de datos de vulnerabilidades con información de fuentes de terceros. También es genial si la solución puede proporcionar un ejemplo de un exploit que se aprovecha de una vulnerabilidad específica.

La mayoría de los clientes se enfrentan a un dilema clásico: utilizar un escáner gratuito o comprar una solución comercial desde el principio. Mantener una base de datos de vulnerabilidades actualizada es un proceso tedioso y costoso. Por tanto, en el caso de un producto gratuito, el equipo de desarrollo puede tener que priorizar otras áreas de su actividad en busca de fuentes alternativas de ingresos, lo que explica por qué estos escáneres tienen algunas limitaciones.

Herramientas bajo el paraguas de la gestión de vulnerabilidades

El conjunto de soluciones necesarias para organizar el proceso de gestión de vulnerabilidades dentro de una empresa puede incluir:

  •       Diferentes instrumentos para recopilar información sobre vulnerabilidades, como escáneres, herramientas para procesar datos de fuentes de terceros y repositorios de información obtenida de forma independiente por especialistas de InfoSec.
  •       Herramientas de priorización de vulnerabilidades que definen las puntuaciones CVSS y miden el valor del activo potencialmente afectado por la falla.
  •       Herramientas para la interacción con bases de datos externas.
  •       Sistemas que manejan una vulnerabilidad en el contexto de la organización, su infraestructura y la superficie de ataque global.

Gestión de activos y parches automáticos

El proceso de gestión de activos debe tener un grado máximo de automatización, cubrir toda la infraestructura de la organización y tener lugar de forma regular. Es imposible priorizar las vulnerabilidades a menos que se cumplan estas condiciones. Además, no hay forma de controlar la infraestructura de TI de una organización sin saber exactamente en qué consiste. Por lo tanto, la gestión de activos es una parte muy importante de la gestión de vulnerabilidades.

El principal requisito previo para automatizar el manejo de parches El proceso consiste en asignar un identificador específico a cada firma de vulnerabilidad y asegurarse de que la próxima actualización la aborde. Este es un flujo de trabajo complejo con muchas dificultades. Las consecuencias de omitir una sola actualización pueden ser desastrosas, por lo que la implementación de parches debe estar lo mejor orquestada posible.

También es importante ajustar los parches automáticos a un área de aplicación específica. Para las estaciones de trabajo, es aceptable restringir las actualizaciones del sistema operativo y el software básico, como navegadores y aplicaciones de oficina. En el caso de los servidores, las cosas son más complicadas porque hay mucho en juego y una actualización defectuosa puede afectar la disponibilidad de los recursos de TI críticos para el negocio.

Cuando se trata de monitorear la infraestructura empresarial, la mayoría de las empresas prefieren escanear a instalar agentes en los endpoints, ya que a menudo se convierten puntos de entrada de malware. Sin embargo, si no se puede acceder al host de ninguna otra manera, debe utilizar aplicaciones de recopilación de datos.

Como se mencionó anteriormente, la interacción perfecta entre InfoSec y los departamentos de TI marca la diferencia. Los dos equipos deben acordar políticas que especifiquen quién es responsable de instalar actualizaciones para ciertos recursos y la frecuencia con la que esto ocurrirá. Esencialmente, el proceso de administración de vulnerabilidades debe reducirse a monitorear el cumplimiento de dichos acuerdos e instalar parches urgentes.

¿Qué depara el futuro para los sistemas de gestión de vulnerabilidades?

En este punto, existe una tendencia clara hacia una mayor automatización del monitoreo de activos y la implementación de parches. A medida que las infraestructuras empresariales continúan migrando al cloud, es posible que el proceso de escaneo de vulnerabilidades se reduzca a verificar la configuración de seguridad en la nube. Otro vector evolutivo se reduce a mejorar los sistemas de evaluación de la vulnerabilidad. Las herramientas de priorización de vulnerabilidades incluirán más datos, especialmente con respecto a las vulnerabilidades más "explotables".

También hay una buena posibilidad de que estos sistemas cambien a una lógica todo en uno en los próximos años, donde una sola solución proporcionará un espectro completo de instrumentos de gestión de InfoSec. Es bastante probable que surja una plataforma integral que incluya capacidades de gestión de vulnerabilidades, gestión de activos y gestión de riesgos junto con otras funciones de protección. Quizás, habrá una consola de administración de vulnerabilidades integral para todos los elementos de la infraestructura digital, desde un servidor o impresora hasta un contenedor en un host dedicado.

Temas relacionados:
mm

David Balaban es un investigador de seguridad informática con más de 17 años de experiencia en análisis de malware y evaluación de software antivirus. david corre MacSecurity.net y Privacidad-PC.com proyectos que presentan opiniones de expertos sobre asuntos contemporáneos de seguridad de la información, incluida la ingeniería social, el malware, las pruebas de penetración, la inteligencia de amenazas, la privacidad en línea y la piratería informática. David tiene una sólida experiencia en la resolución de problemas de malware, con un enfoque reciente en las contramedidas de ransomware.