Connect with us

Ciberseguridad

Fundamentos de Gestión de Vulnerabilidades

mm
Published
Updated

La gestión de vulnerabilidades es una combinación de procesos y productos destinados a mantener un inventario de la infraestructura digital de una organización, sondearla en busca de vulnerabilidades y remediar las debilidades identificadas. Es una práctica cíclica y el antípoda del conocido adagio de TI que dice: “Si no está roto, no lo arregles”. Este principio simplemente no funciona en la seguridad empresarial en estos días. Si los activos digitales no se monitorean y fortalecen continuamente, se convierten en frutas fáciles de alcanzar.

Un escáner no es suficiente

A diferencia de los escáneres de vulnerabilidades, el objetivo principal de la gestión de vulnerabilidades es endurecer la seguridad de la infraestructura y proporcionar una respuesta de emergencia a algunas amenazas superpeligrosas. Encontrar una laguna en un sistema es solo la mitad de la batalla, pero debe ser reparada para que los actores de amenazas no la exploten como un punto de entrada. Los métodos de evaluación de vulnerabilidades y priorización de los problemas detectados en función de la infraestructura del cliente son igual de importantes. Los escáneres no lo hacen.

La gestión de vulnerabilidades es, esencialmente, una extensión del proceso de escaneo que evalúa, prioriza y remedia las vulnerabilidades detectadas. Las necesidades de los clientes están cambiando, mientras que el objetivo clave solía reducirse a descubrir una vulnerabilidad, ahora se trata más de las formas de abordar el problema.

En cuanto a los modelos de licencia utilizados por los sistemas de gestión de vulnerabilidades, suelen basarse en la cantidad de direcciones IP protegidas. No importa dónde se encuentren ni cuántas instalaciones requiera el cliente. El costo de un escáner de vulnerabilidades, por otro lado, depende de la cantidad de instalaciones y parámetros de escaneo, como la cantidad de hosts.

Además, existen diferentes tipos de instalaciones, y algunos proveedores ofrecen el uso ilimitado de sus sistemas. La etiqueta de precio también puede verse influenciada por el conjunto de características, algunas de las cuales están disponibles como extras pagos.

Criterios para elegir un sistema de gestión de vulnerabilidades

Las características más importantes incluyen el tamaño de la organización, la cantidad de sus sucursales ubicadas en diferentes zonas horarias, así como la localización del producto, que es la capacidad de detectar vulnerabilidades específicas de la región y la industria.

Un factor interesante se relaciona con cómo bien los departamentos de InfoSec y TI de la empresa pueden negociar las características necesarias de la solución. Los especialistas en InfoSec suelen priorizar la detección de vulnerabilidades, mientras que los equipos de TI se centran principalmente en la implementación de parches. Por lo tanto, la superposición de estas dos áreas definirá los parámetros del sistema.

También es worth looking at la completitud y frecuencia de las actualizaciones, así como a los sistemas operativos que el escáner admite. El sistema de gestión de vulnerabilidades ideal también debe adaptarse al contexto de la industria que representa la organización y las aplicaciones que está utilizando actualmente.

En la etapa de firma del contrato, el proveedor puede asegurar al cliente de su disposición a agregar nuevos productos y características en el futuro. Desafortunadamente, algunos proveedores no siempre cumplen con estos compromisos. Por lo tanto, es mejor centrarse en la funcionalidad disponible de la solución.

Una característica útil de cualquier sistema de gestión de vulnerabilidades es la capacidad de enriquecer su propia base de datos de vulnerabilidades con información de fuentes de terceros. También es excelente si la solución puede proporcionar un ejemplo de una explotación que se aprovecha de una vulnerabilidad específica.

La mayoría de los clientes se enfrentan a un dilema clásico: utilizar un escáner gratuito o comprar una solución comercial desde el principio. Mantener una base de datos de vulnerabilidades actualizada es un proceso tedioso y costoso. Por lo tanto, en el caso de un producto gratuito, el equipo de desarrollo puede tener que priorizar otras áreas de su actividad en busca de fuentes de ingresos alternativas, lo que explica por qué estos escáneres tienen algunas limitaciones.

Herramientas bajo el paraguas de la gestión de vulnerabilidades

El conjunto de soluciones necesarias para organizar el proceso de gestión de vulnerabilidades dentro de una empresa puede incluir:

  •       Diferentes instrumentos para recopilar información sobre vulnerabilidades, como escáneres, herramientas para procesar datos de fuentes de terceros y repositorios de información obtenida de forma independiente por los especialistas en InfoSec.
  •       Herramientas de priorización de vulnerabilidades que definen las puntuaciones CVSS y evalúan el valor del activo potencialmente afectado por el error.
  •       Herramientas para interactuar con bases de datos externas.
  •       Sistemas que manejan una vulnerabilidad en el contexto de la organización, su infraestructura y la superficie de ataque global.

Gestión de activos y parches automáticos

El proceso de gestión de activos debe tener un grado máximo de automatización, cubrir toda la infraestructura de la organización y llevarse a cabo de forma regular. No es posible priorizar las vulnerabilidades a menos que se cumplan estas condiciones. Además, no hay forma de controlar la infraestructura de TI de una organización sin saber exactamente de qué se compone. Por lo tanto, la gestión de activos es una parte muy importante de la gestión de vulnerabilidades.

El requisito principal para automatizar el proceso de gestión de parches es asignar un identificador específico a cada firma de vulnerabilidad y asegurarse de que la próxima actualización aborde el problema. Esto es un flujo de trabajo complejo con muchos obstáculos. Las consecuencias de saltarse una sola actualización pueden ser desastrosas, por lo que la implementación de parches debe estar tan bien orquestada como sea posible.

También es importante ajustar los parches automáticos a un área de aplicación específica. Para las estaciones de trabajo, es aceptable restringir las actualizaciones al sistema operativo y software básico, como navegadores y aplicaciones de oficina. En el caso de los servidores, las cosas son más complicadas porque hay mucho en juego, y una actualización defectuosa puede afectar la disponibilidad de los recursos de TI críticos para el negocio.

Cuando se trata de monitorear la infraestructura empresarial, la mayoría de las empresas prefieren el escaneo sobre la instalación de agentes en los puntos finales, ya que a menudo se convierten en puntos de entrada de malware. Sin embargo, si el host no se puede alcanzar de ninguna otra manera, es necesario utilizar aplicaciones de recopilación de datos.

Como se mencionó anteriormente, la interacción sin problemas entre los departamentos de InfoSec y TI hace una diferencia. Los dos equipos deben acordar políticas que especifiquen quién es responsable de instalar actualizaciones para ciertos recursos y con qué frecuencia ocurrirá. Esencialmente, el proceso de gestión de vulnerabilidades debe reducirse a monitorear el cumplimiento de estos acuerdos e instalar parches urgentes.

¿Qué depara el futuro para los sistemas de gestión de vulnerabilidades?

En este punto, hay una tendencia clara hacia la automatización creciente del monitoreo de activos y la implementación de parches. A medida que las infraestructuras empresariales continúan migrando a la nube, es posible que el proceso de escaneo de vulnerabilidades se reduzca a verificar la configuración de seguridad de la nube. Otra dirección evolutiva se centra en mejorar los sistemas de evaluación de vulnerabilidades. Las herramientas de priorización de vulnerabilidades incluirán más datos, especialmente con respecto a las vulnerabilidades más “explotables”.

También hay una buena posibilidad de que estos sistemas cambien a una lógica de todo en uno en los próximos años, donde una sola solución proporcionará un espectro completo de instrumentos de gestión de InfoSec. Es probable que surja una plataforma integral que incluya capacidades de gestión de vulnerabilidades, gestión de activos y gestión de riesgos, junto con otras características de protección. Quizás habrá una consola de gestión de vulnerabilidades de un solo lugar para todos los elementos de la infraestructura digital: desde un servidor o una impresora hasta un contenedor en un host dedicado.

Related Topics:
mm

//macsecurity.net/">MacSecurity.net y Privacy-PC.com, que presentan opiniones de expertos sobre temas contemporáneos de seguridad de la información, incluyendo ingeniería social, malware, pruebas de penetración, inteligencia de amenazas, privacidad en línea y hacking de sombrero blanco. David tiene una sólida experiencia en resolución de problemas de malware, con un enfoque reciente en contramedidas contra ransomware.