Skip to main content

Toda persona ocupada, que prioriza tareas, reconoce que los asuntos menos relevantes se dejan de lado en forma indefinida. Esto puede ser una estrategia de vida efectiva, pero es una forma peligrosa de gestionar vulnerabilidades de redes informáticas.

El reciente reporte de Verizon sobre violaciones de seguridad descubrió que las diez principales vulnerabilidades representaron el 85% del tráfico de «exploit» exitoso.

El 15% restante fue atribuido a más de 900 vulnerabilidades y exposiciones comunes (CVE).

Si usted sigue una mera estrategia de prioridades manteniéndose enfocado solo en las 10 principales sin detectar y gestionar efectivamente los riesgos CVE de su red, puede dejarla expuesta de manera crítica.

La ironía es que la gran mayoría de estos CVE pueden ser resueltos con facilidad con sólo un parche o a través de las mejores prácticas de código básico, asumiendo que ya ha identificado el riesgo, por supuesto.

Para lograr esto, es clave que las organizaciones reconozcan la importancia de la automatización para resolver vulnerabilidades, a través del aprovisionamiento de los parches adecuados, en el momento correcto.

El punto débil en este sentido es que muchos no están preparados porque sus equipos de operaciones de tecnologías de la información (TI) y de seguridad no son capaces de trabajar de manera conjunta para identificar y remediar los riesgos de manera efectiva.

Las prioridades en competencia, las herramientas que no se unen y la falta de automatización hacen que sea realmente difícil detectar la amenaza de los «hackers».

Los líderes de TI comienzan a reconocer la gravedad de este problema y están luchando por encontrar nuevas soluciones para ayudar a resolverlo.

No obstante, de a poco la industria en general está comenzando a reconocer las amenazas más habituales y a tomar recaudos para protegerse, aunque no tan rápido como deberían.

En una investigación reciente de Forbes y en la encuesta de seguridad de BMC, el 60% de los 300 encuestados dijo que el descubrimiento y solución de las vulnerabilidades expandidas fue la iniciativa principal en 2016, mientras que solo el 30% puso más recursos en defenderse contra ataques de «día cero» como una iniciativa primaria.

Para romper el hábito de prioridad alta, aquí están las cuatro principales mejores prácticas para asegurar un programa de gestión completa de vulnerabilidades, que le ayudará a navegar con éxito en el cada vez más denso, diverso y peligroso mundo de amenazas de ciberseguridad:

Realice un escaneo temprano y con frecuencia

Si sus datos del escaneo de vulnerabilidad, ya sea de un escaneo autentificado o no autentificado, no es completo y actualizado, cualquier intento de proteger la red está destinado al fracaso.

No podrá identificar con exactitud las amenazas reales en su red o priorizar su solución.

Para aplicaciones que su organización esté desarrollando, asegúrese de escanear tan pronto como sea posible en el ciclo de vida del desarrollo de software para incrementar la seguridad general.

Asegúrese de que los datos son consumibles

Teniendo una simple lista de vulnerabilidades en una hoja de cálculo y luego enviarla a muchas partes interesadas es casi garantía de que la gestión de vulnerabilidades va a fallar.

Incluso asumiendo que cada nuevo reporte de escaneo sea abierto, es casi imposible usar ese documento para evaluar con exactitud los riesgos y coordinar con el equipo de operaciones la solución de las vulnerabilidades de alto riesgo.

En esencia, esto es como tener cientos de correos “urgentes” para responder antes del final del día, nos quedamos con el asunto de determinar qué es realmente crucial contra lo que puede esperar.

¿Cómo pueden las empresas decidir qué vulnerabilidades tienen prioridad cuando todo lo que plantea es un riesgo para la organización?

Para mitigar esto, los resultados del escaneo de vulnerabilidad necesitan estar en una forma más sencilla para ser utilizados por los equipos de operaciones y seguridad.

Deben incluir detalles como el nivel de severidad y la edad de vulnerabilidad, y la información también necesita ser fácil de entender.

Esto requiere crear un proceso rápido y automatizado (y por lo tanto repetible) que conecte una vulnerabilidad de alto riesgo con su remedio.

Desarrolle contexto

El contexto es clave cuando se trata de entender la naturaleza de un problema y tomar la decisión de respuesta más efectiva.

Si alguien grita «¡Fuego!», usted necesita más información antes de determinar si debe correr hacia el fuego para ayudar o alejarse para protegerse, o si debe llamar al departamento de bomberos o tomar un extinguidor.

¿Dónde está el fuego? ¿Qué tan grande es? ¿Qué tan rápido se está esparciendo? ¿Alguien está en peligro o herido?

Lo mismo aplica para las vulnerabilidades: una vez que sabemos el número de vulnerabilidades, su nivel de gravedad y la edad de la vulnerabilidad, responder efectivamente todavía requiere respuestas a preguntas adicionales:

¿Qué activos pueden ser afectados? ¿Dónde están en mi red? ¿Hay un parche disponible? Y si lo hay, ¿cuándo puede ser desplegado? Si no, ¿puede mitigarse el riesgo a través de protección en tiempo real ofrecida por un «firewall» o un sistema de prevención de intrusiones?

Sólo conociendo el contexto se puede asegurar que se tomará la decisión de respuesta correcta.

Incremente su «inteligencia de vulnerabilidad»

Conforme mejora su habilidad para desarrollar contexto y responder a vulnerabilidades basadas en datos «accionables», su nivel general de «inteligencia de vulnerabilidad» aumenta, permitiéndole tomar cada vez mejores decisiones de seguridad.

También le permite adaptar continuamente su estrategia de gestión de vulnerabilidades, de acuerdo a la evolución de las amenazas para acelerar el tiempo entre descubrimiento y solución, así como la reducción del riesgo total.

Con las vulnerabilidades incrementándose, y mientras los atacantes continúan su estrategia prolongada de encontrar recompensas fáciles a través de CVE incluso mientras evolucionan sus métodos, es crítico tener una estrategia sólida de gestión de vulnerabilidades basada en información completa y actual de escaneo y ver fácilmente el contexto.

Esta es la única manera de evitar la «trampa de prioridad» y estar seguros de que se están tomando las decisiones correctas para mitigar tanto las amenazas más comunes como los CVE que pueden llevar a un incidente significativo de seguridad.

Sergio Vekselman

Director de BMC para las regiones del sur y el norte de América latina.

César Dergarabedian

Soy periodista. Trabajo en medios de comunicación en Buenos Aires, Argentina, desde 1986. Especializado en tecnologías de la información y la comunicación. Analista en medios de comunicación social graduado en la Universidad del Salvador. Ganador de los premios Sadosky a la Inteligencia Argentina en las categorías de Investigación periodística y de Innovación Periodística, y del premio al Mejor Trabajo Periodístico en Seguridad Informática otorgado por la empresa ESET Latinoamérica. Coautor del libro "Historias de San Luis Digital" junto a Andrea Catalano. Elegido por Social Geek como uno de los "15 editores de tecnología más influyentes en América latina".

Deja un comentario

A %d blogueros les gusta esto: