En la era tecnológica actual, la seguridad es una prioridad absoluta para las empresas de todos los sectores. Debido al panorama siempre cambiante de la infraestructura digital, es natural que las empresas inviertan mucho en la protección de sus activos informáticos, sobre todo porque se vislumbran amenazas nuevas y problemas más sofisticados.
¿Qué es el Análisis de Vulnerabilidades?
El análisis de vulnerabilidades, también llamado “evaluación de vulnerabilidades”, es el proceso de evaluación de redes o activos de TI en busca de vulnerabilidades, fallas o debilidades de seguridad que los actores de amenazas externos o internos pueden explotar. La explotación de vulnerabilidades es uno de los vectores de ciberataques más comunes, según el X-Force Threat Intelligence Index de IBM. Este análisis ayuda a las organizaciones a detectar y cerrar las deficiencias de seguridad antes de que los delincuentes cibernéticos puedan convertirlas en armas.
Definición de Vulnerabilidad de Seguridad
Una vulnerabilidad de seguridad es cualquier debilidad en la estructura, función o implementación de un activo o red de TI. Los hackers u otros actores de amenazas pueden explotar esta debilidad para obtener acceso no autorizado y causar daño a la red, a los usuarios o al negocio. Cada mes se descubren miles de nuevas vulnerabilidades. Dos agencias gubernamentales de Estados Unidos, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU., mantienen catálogos de búsqueda de vulnerabilidades de seguridad conocidas.
Programas de Gestión de Vulnerabilidades
Para adoptar una postura de seguridad más proactiva ante las amenazas cibernéticas, los equipos de TI implementan programas de gestión de vulnerabilidades. Estos programas siguen un proceso continuo para identificar y resolver los riesgos de seguridad antes de que los hackers puedan explotarlos.
Propósito de los Programas de Gestión de Vulnerabilidades
- Validar las medidas y los controles de seguridad: Después de implementar nuevos controles, los equipos a menudo realizan otro análisis para confirmar si las vulnerabilidades identificadas se solucionaron.
- Mantener el cumplimiento normativo: Algunas normativas exigen explícitamente los análisis de vulnerabilidades.
La Superficie de Ataque y los Activos
La gestión de vulnerabilidades es un programa sostenido que utiliza tecnologías y herramientas para buscar riesgos cibernéticos a lo largo de toda su superficie de ataque. Un activo es cualquier hardware o software de su superficie de ataque. Aquí se puede incluir a los activos informáticos tradicionales, como servidores, redes y computadoras de escritorio, pero también teléfonos inteligentes, tabletas, computadoras portátiles, máquinas virtuales, software como servicio (SaaS), tecnologías y servicios basados en la nube, aplicaciones web, dispositivos de IoT, contenedores y más. Una superficie de ataque consta de múltiples puntos de exposición (sus activos) que podrían ser explotados por los atacantes. Históricamente, una superficie de ataque consistía en activos informáticos tradicionales como servidores y redes, pero la superficie de ataque moderna actual es enorme y está en constante crecimiento.
¿Cómo Funcionan los Escáneres de Vulnerabilidades?
Entre las aplicaciones en la nube y locales, los dispositivos móviles e IoT, las computadoras portátiles y otros endpoints tradicionales, las redes empresariales modernas incluyen demasiados activos para realizar análisis manuales de vulnerabilidades.
Proceso de Escaneo
Para encontrar posibles vulnerabilidades, los escáneres primero recopilan información sobre los activos de TI. Algunos escáneres utilizan agentes instalados en los endpoints para recopilar datos sobre los dispositivos y el software que se ejecuta en ellos. Otros escáneres examinan sistemas desde el exterior, probando puertos abiertos para revelar detalles sobre las configuraciones de dispositivos y servicios activos. Luego de analizar los activos, la herramienta de análisis los compara con una base de datos de vulnerabilidades. Esta base de datos registra vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) para varias versiones de hardware y software. La herramienta de análisis verifica si cada activo muestra algún signo de las fallas asociadas a este. Por ejemplo, busca problemas como un error de protocolo de escritorio remoto en un sistema operativo, que podría permitir a los hackers tomar el control del dispositivo.
Informes de Vulnerabilidades Generados por Escáneres
A continuación, el escáner compila un informe sobre las vulnerabilidades identificadas para que el equipo de seguridad lo revise. Los informes más básicos simplemente enumeran todos los problemas de seguridad que deben abordarse. Las herramientas de análisis más avanzadas también priorizan las vulnerabilidades en función de su criticidad. Las herramientas de análisis pueden usar inteligencia de amenazas de código abierto, como los puntajes del Sistema de Puntuación de Vulnerabilidades Comunes (CVSS, por sus siglas en inglés), para determinar la importancia de una falla. Alternativamente, pueden usar algoritmos más complejos que consideren la falla en el contexto único de la organización.
Frecuencia y Tipos de Escaneo
Los riesgos de seguridad de una red cambian a medida que se añaden nuevos activos y se descubren nuevas vulnerabilidades. Sin embargo, cada análisis de vulnerabilidades puede identificar exclusivamente un momento en el tiempo. La mayoría de los análisis de vulnerabilidades no analizan todos los activos de la red de una sola vez porque esto requiere muchos recursos y tiempo. Por el contrario, los equipos de seguridad suelen agrupar los activos en función de su criticidad y analizarlos por lotes. Algunos escáneres de vulnerabilidades avanzados ofrecen un análisis continuo. Estas herramientas monitorean los activos en tiempo real y marcan nuevas vulnerabilidades tan pronto como surgen. Sin embargo, el escaneo continuo no es siempre factible o deseable. Algunos escáneres se enfocan en tipos particulares de activos. Los escáneres se pueden instalar localmente o proporcionarse como aplicaciones de software como servicio (SaaS). Tanto los escáneres de vulnerabilidades de código abierto como las herramientas de pago son comunes. Aunque los escáneres de vulnerabilidades están disponibles como soluciones independientes, los proveedores los ofrecen cada vez más como parte de un conjunto integral de gestión de vulnerabilidades.
Tipos de Análisis de Vulnerabilidades
Los equipos de seguridad pueden ejecutar diferentes tipos de análisis según sus necesidades:
Análisis Externos
Los análisis de vulnerabilidades externas escanean la red desde el exterior. Se enfocan en defectos en activos orientados a Internet, como las aplicaciones web, y prueban controles perimetrales como cortafuegos.
Análisis Internos
Los análisis de vulnerabilidades internas examinan las vulnerabilidades desde el interior de la red.
Análisis Autenticados (Acreditados)
Los análisis autenticados, también llamados “análisis acreditados”, requieren los privilegios de acceso de un usuario autorizado. En lugar de simplemente mirar una aplicación desde afuera, el escáner puede ver lo que vería un usuario que haya iniciado sesión.
Análisis No Autenticados (Sin Credenciales)
Los análisis no autenticados, también llamados “análisis sin credenciales”, no tienen permisos ni privilegios de acceso. Solo ven los activos desde la perspectiva de un usuario externo. Aunque cada tipo de análisis tiene su propio caso de uso, hay algunas superposiciones, y pueden combinarse para cumplir diferentes propósitos. Por ejemplo, un análisis autenticado interno mostraría la perspectiva de una amenaza de un usuario interno.
Análisis de Vulnerabilidades vs. Pruebas de Penetración
El análisis de vulnerabilidades y las pruebas de penetración son formas distintas, pero relacionadas de probar la seguridad de la red. Los análisis de vulnerabilidades son escaneos de activos automatizados y de alto nivel. Encuentran fallas y las reportan al equipo de seguridad. Las pruebas de penetración, o pruebas de pen, son un proceso manual. Los evaluadores de penetración utilizan habilidades éticas de hacking no solo para encontrar vulnerabilidades de la red, sino también para aprovecharlas en ataques simulados. Los análisis de vulnerabilidades son más baratos y fáciles de ejecutar, por lo que los equipos de seguridad los utilizan para monitorear un sistema. Si se usan en conjunto, los análisis de vulnerabilidades y las pruebas de penetración pueden hacer que la gestión de vulnerabilidades sea más eficaz. Por ejemplo, los análisis de vulnerabilidades ofrecen a los analistas un punto de partida útil.
Gestión de Vulnerabilidades y Cumplimiento Normativo
Vulnerabilidades y Amenazas en ISO 27001
Las amenazas y vulnerabilidades en ISO 27001 son tratadas en el capítulo 8 de la norma. Si la organización se conecta a Internet, debe empezar a preocuparse por esas amenazas. Un punto de conexión es siempre un posible punto de vulnerabilidad y, por lo tanto, un área donde se pueden requerir controles. En definitiva, las amenazas son externas a los activos de información y las vulnerabilidades suelen ser atributos o aspectos del activo que la amenaza puede explotar. Si bien las amenazas tienden a ser externas a los activos, no provienen necesariamente de fuera de la organización. El rango de amenazas y vulnerabilidades en ISO 27001 es muy amplio. La identificación de amenazas y vulnerabilidades en ISO 27001 es esencial para una gestión de riesgos adecuada. Saber identificar las amenazas y vulnerabilidades en ISO 27001 de acuerdo con el contexto de la organización es de obligado conocimiento para los profesionales en seguridad de la información.
Cumplimiento con Marcos Regulatorios
La gestión de vulnerabilidades es importante para el cumplimiento. Muchos marcos de cumplimiento como HIPAA, PCI DSS y RGPD requieren de procesos de gestión de vulnerabilidades, incluyendo escaneo de vulnerabilidades, gestión de parches y documentación e informes.
Métricas Clave para la Priorización de Vulnerabilidades
Para gestionar eficazmente las vulnerabilidades, es crucial priorizar las correcciones basadas en el impacto y la probabilidad de explotación.
Índice de Priorización de Vulnerabilidades (VPR)
El Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) es parte del proceso de Priorización predictiva de Tenable. El VPR combina más de 150 puntos de datos, incluyendo los datos de vulnerabilidades y amenazas de Tenable y de terceros. Utiliza un algoritmo de aprendizaje automático para identificar vulnerabilidades con la mayor probabilidad de una posible explotación dentro de los próximos 28 días. El algoritmo analiza cada vulnerabilidad en la Base de Datos Nacional de Vulnerabilidades (NVD), además de otras anunciadas por el proveedor, pero aún no publicadas en la NVD, para predecir la probabilidad de una explotación. Los VPR se puntúan en una escala de 0 a 10.
Índice de Criticidad del Activo (ACR)
El Índice de Criticidad del Activo (Asset Criticality Rating, ACR) representa el impacto crítico para el negocio de los activos dentro de su organización. El ACR automatiza la evaluación de la criticidad de los activos usando los datos de los resultados de escaneos y un abordaje basado en reglas para los tres pilares clave: exposición a Internet, tipo de dispositivo y funcionalidad del dispositivo. Estos pilares se combinan para proporcionar un ACR de 0 a 10. Un activo que tiene un ACR bajo no se considera crítico para el negocio.
Puntuación de Exposición Cibernética (CES)
La Puntuación de Exposición Cibernética (Cyber Exposure Score, CES) representa su riesgo cibernético general para que pueda priorizar las correcciones con base en la criticidad de los activos, los objetivos del negocio, la gravedad de la amenaza y la probabilidad de que un atacante pueda intentar explotarla en un futuro cercano, así como el contexto de la amenaza. Una vez que determine su CES, puede hacer una evaluación comparativa de su programa de gestión de vulnerabilidades a nivel interno, así como también respecto de organizaciones similares.
Herramientas y Estrategias para la Gestión de Vulnerabilidades
Sus procesos de gestión de vulnerabilidades también deben incluir pruebas de seguridad de rutina, como la prueba de penetración interna y externa, y la documentación de políticas y procedimientos. Debe realizar escaneos de vulnerabilidades constantes para identificar problemas de seguridad a medida que los activos suben y bajan en su superficie de ataque.
Herramientas Comunes
Algunas herramientas comunes para la gestión de vulnerabilidades incluyen los escáneres de red, escáneres de aplicaciones web y las herramientas de gestión de vulnerabilidades de seguridad en la nube. El escaneo de vulnerabilidades y la gestión de parches funcionan bien de forma conjunta.
La Importancia de la Automatización
La automatización desempeña una función importante en la gestión de vulnerabilidades. Al escanear automáticamente sus activos buscando exposiciones de seguridad, puede estar al tanto de posibles riesgos de seguridad en tiempo real para que pueda elaborar planes procesables para abordarlos según el riesgo para su organización en particular y los objetivos del negocio. Muchos sistemas de gestión de vulnerabilidades también automatizan la corrección, como la colocación de parches. La gestión de vulnerabilidades puede mejorar la postura de ciberseguridad de su organización al exponer de manera proactiva el riesgo cibernético para que pueda abordar las debilidades de seguridad antes de que los agentes maliciosos las exploten.
Qué es la automatización de procesos y cómo funciona
Servicios de Seguridad Administrados (MSP)
Un proveedor de servicios de seguridad administrados (MSSP) externo supervisa los servicios de seguridad administrados (MSP). Si su organización tiene problemas para contratar y retener profesionales de ciberseguridad o usted desea liberar a su equipo de seguridad existente para que se enfoque en otras tareas, puede considerar los servicios de seguridad administrados (MSP) para la gestión de vulnerabilidades. Tenable ofrece un curso de especialista en gestión de vulnerabilidades de dos días de duración impartido por un instructor, diseñado para ayudar a los usuarios a obtener conocimientos y habilidades para usar de forma más eficaz Tenable Vulnerability Management.
Gestión de Vulnerabilidades vs. Gestión de Riesgos
La diferencia clave entre la gestión de vulnerabilidades y la gestión de riesgo es que esta última es una mirada de mayor nivel a todas las amenazas para la resiliencia operativa. Incluye el riesgo cibernético, pero también los riesgos relacionados con las finanzas, y la continuidad y la estrategia empresariales. Por otro lado, la gestión de vulnerabilidades aborda específicamente la búsqueda y corrección de las debilidades de seguridad a lo largo de la superficie de ataque.
tags: #informes #de #vulnerabilidades #de #una #instalacion