Vulnerabilidades: 4 Mejores Prácticas para Evaluar y Gestionar

Toda persona ocupada, prioriza tareas, esto puede ser una estrategia de vida efectiva, pero es una forma peligrosa de gestionar vulnerabilidades de redes.

El reciente Reporte de Verizon de Investigación de Violaciones de Seguridad (2016) descubrió que las diez principales vulnerabilidades representaron el 85% del tráfico de exploit exitoso.

El 15% restante fue atribuido a más de 900 vulnerabilidades y exposiciones comunes (CVEs).

Claramente, si usted sigue una mera estrategia de prioridades manteniéndose enfocado solo en las 10 principales sin detectar y gestionar efectivamente los riesgos CVE de su red, puede dejar su red expuesta de manera crítica.

La ironía es que la gran mayoría de estos CVEs pueden ser resueltos fácilmente simplemente con un parche o a través de las mejores prácticas de código básico, asumiendo que ya ha identificado el riesgo, por supuesto.

Para lograr esto, es clave que las organizaciones reconozcan la importancia de la automatización para resolver vulnerabilidades, a través del aprovisionamiento de los parches adecuados, en el momento correcto.

El punto débil en este sentido es que muchos no están preparados porque sus equipos de Operaciones de TI y de Seguridad no son capaces de trabajar de manera conjunta para identificar y remediar los riesgos de manera efectiva.

Las prioridades en competencia, las herramientas que no se unen y la falta de automatización hacen que sea realmente difícil detectar la amenaza de los hackers.

Los líderes de TI están comenzando a reconocer la gravedad de este problema y están luchando por encontrar nuevas soluciones para ayudar a resolverlo.

No obstante, de a poco la industria en general está comenzando a reconocer las amenazas más habituales y a tomar recaudos para protegerse, aunque no tan rápido como deberían.

Los números del mercado

En una investigación reciente de Forbes y en la encuesta de seguridad de BMC, el 60% de los 300 encuestados dijo que el descubrimiento y solución de las vulnerabilidades expandidas fue la iniciativa principal en 2016, mientras que solo el 30% puso más recursos en defenderse contra ataques de “día cero” como una iniciativa primaria.

Para romper el hábito de prioridad alta, aquí están las cuatro principales mejores prácticas para asegurar un programa de gestión completa de vulnerabilidades, que le ayudará a navegar exitosamente en el cada vez más denso, diverso y peligroso mundo de amenazas de ciberseguridad:

Realice un scan temprano y con frecuencia

Si sus datos del scan de vulnerabilidad, ya sea de un scan autentificado o no autentificado, no es completo y actualizado, cualquier intento de proteger la red está destinado al fracaso.

No podrá identificar con exactitud las amenazas reales en su red o priorizar su solución. Para aplicaciones que su organización esté desarrollando, asegúrese de escanear tan pronto como sea posible en el ciclo de vida del desarrollo de software (SDLC) para incrementar la seguridad general.

Asegúrese de que los datos son consumibles y accionables

Teniendo una simple lista de vulnerabilidades en una hoja de cálculo y luego enviarla a muchas partes interesadas es casi garantía de que la gestión de vulnerabilidades va a fallar.

Incluso asumiendo que cada nuevo reporte de scan sea abierto, es casi imposible usar ese documento para evaluar con exactitud los riesgos y coordinar con el equipo de operaciones la solución de las vulnerabilidades de alto riesgo.

Esencialmente, esto es como tener cientos de correos “urgentes” para responder antes del final del día, nos quedamos con el asunto de determinar qué es realmente crucial contra lo que puede esperar.

¿Cómo pueden las empresas decidir qué vulnerabilidades tienen prioridad cuando todo lo que plantea es un riesgo para la organización?

Para mitigar esto, los resultados del scan de vulnerabilidad necesitan estar en una forma más sencilla para ser utilizados por los equipos de operaciones y seguridad.

Deben incluir detalles como el nivel de severidad y la edad de vulnerabilidad, y la información también necesita ser fácil de entender. Esto requiere crear un proceso rápido y automatizado (y por lo tanto repetible) que conecte una vulnerabilidad de alto riesgo con su remedio.

Desarrolle contexto

El contexto es clave cuando se trata de entender la naturaleza de un problema y tomar la decisión de respuesta más efectiva.

Si alguien grita “¡Fuego!”, usted necesita más información antes de determinar si debe correr hacia el fuego para ayudar o alejarse para protegerse, o si debe llamar al departamento de bomberos o tomar un extinguidor.

¿En dónde es el fuego? ¿Qué tan grande es? ¿Qué tan rápido se está esparciendo? ¿Alguien está en peligro o herido?

Lo mismo aplica para las vulnerabilidades: una vez que sabemos el número de vulnerabilidades, su nivel de gravedad y la edad de la vulnerabilidad, responder efectivamente todavía requiere respuestas a preguntas adicionales:

¿qué activos pueden ser afectados? ¿Dónde están en mi red? ¿Hay un parche disponible? Y si lo hay, ¿cuándo puede ser desplegado? Si no, ¿puede mitigarse el riesgo a través de protección en tiempo real ofrecida por un firewall o un sistema de prevención de intrusiones?

Solo conociendo el contexto se puede asegurar que se tomará la decisión de respuesta correcta.

Incremente su “inteligencia de vulnerabilidad”

Conforme mejora su habilidad para desarrollar contexto y responder a vulnerabilidades basadas en datos accionables, su nivel general de “inteligencia de vulnerabilidad” aumenta, permitiéndole tomar cada vez mejores decisiones de seguridad.

También le permite adaptar continuamente su estrategia de gestión de vulnerabilidades, de acuerdo a la evolución de las amenazas para acelerar el tiempo entre descubrimiento y solución, así como la reducción del riesgo total.

Con las vulnerabilidades incrementándose, y mientras los atacantes continúan su estrategia prolongada de encontrar recompensas fáciles a través de CVEs incluso mientras evolucionan sus métodos, es crítico tener una estrategia sólida de gestión de vulnerabilidades basada en información completa y actual de scan y ver fácilmente el contexto.

Esta es la única manera de evitar la “trampa de prioridad” y estar seguros de que se están tomando las decisiones correctas para mitigar tanto las amenazas más comunes como los CVEs que pueden llevar a un incidente significativo de seguridad.

Por Sergio Vekselman, Country Director de BMC para las regiones SOLA y NOLA