Un enfoque limitado a las CVE deja a las organizaciones vulnerables a los ataques

Las CWE y otras vulnerabilidades necesitan un tablero de control único para una evaluación completa de los riesgos cibernéticos 

Una cantidad cada vez mayor de profesionales de ciberseguridad hicieron evolucionar sus programas de gestión de vulnerabilidades tradicional para incorporar la priorización de los esfuerzos de corrección en función de las vulnerabilidades que representan el mayor riesgo para la organización. Aunque esto es, sin duda, un paso en la dirección correcta, para la mayoría de las organizaciones implica enfocarse exclusivamente en las vulnerabilidades y exploits comunes (CVE). 

La inmensa mayoría del sector de la ciberseguridad cree que las CVE y las vulnerabilidades son lo mismo, es decir, términos que se pueden usar indistintamente. Sin embargo, el término "vulnerabilidad" puede definirse como una debilidad en un sistema de información, en los procedimientos de seguridad del sistema, en los controles internos o en la implementación que una fuente de amenazas podría explotar o desencadenar. En otras palabras, una vulnerabilidad es cualquier cosa que haga que su organización sea susceptible de sufrir un ataque cibernético. 

Si bien una CVE sin parches se ajusta a la definición anterior, no es lo único que hace. A los adversarios no les importa cómo entrar, solo quieren hacerlo. Tomarán la ruta de menor resistencia para conseguir cualquier acceso que puedan obtener. Los ladrones pueden preferir la puerta trasera para entrar a robar, pero estarán encantados de aprovechar una ventana abierta de la planta baja si se le presenta la oportunidad. Por tal motivo, es fundamental detectar y comprender todas sus vulnerabilidades y, posteriormente, desarrollar un plan completo para resolverlas.

Esta lista no es exhaustiva, pero a continuación, encontrará algunas de las principales vulnerabilidades que se deben tener en cuenta:

• Enumeración de debilidades comunes (CWE)
• Los principales 10 riesgos de seguridad de Open Web Application Security Project (OWASP)
• Vulnerabilidades de día cero
• Errores o configuraciones incorrectas en la gestión de los accesos
• Errores de configuración de la red/infraestructura
• Errores de configuración accidentales o intencionales en entornos industriales

Cada una de estas vulnerabilidades, o fallas, se produce en segmentos muy diferentes de la superficie de ataque. Cada una de ellas representa un conjunto único de desafíos que requieren habilidades distintas para gestionarlos de manera eficaz. Las vulnerabilidades de los activos de hardware en los entornos de TI convencionales suelen ser CVE que se identificaron y definieron previamente. Por lo tanto, los profesionales de la seguridad pueden determinar el nivel de riesgo que cada una presenta para la organización, y el departamento de TI puede ponerse a trabajar directamente en la neutralización de la amenaza con los parches adecuados y otros métodos de corrección prescritos.

Las enumeraciones de debilidades comunes (CWE), por otro lado, consisten en las vulnerabilidades predominantes que se encuentran en las aplicaciones web personalizadas, las aplicaciones compiladas y el hardware. Las CWE representan el tipo o categoría subyacente de una vulnerabilidad, en vez de una instancia específica. De hecho, cada instancia de una CWE suele ser única, lo cual significa que los esfuerzos de corrección se deben personalizar para cada instancia. No hay tantas CWE basadas en aplicaciones como CVE basadas en hardware, pero una CWE puede requerir tiempo y recursos en un grado mucho mayor para poder mitigarla de manera eficaz.

Tenga en cuenta que estos son solo dos ejemplos de los muchos tipos de vulnerabilidades a los que se enfrentan las organizaciones. Si a esto le añadimos las vulnerabilidades de día cero y la amplia gama de errores de configuración que probablemente existan a lo largo de su superficie de ataque, en breve habrá demasiadas vulnerabilidades para que los equipos de seguridad puedan gestionarlas de manera eficaz. Es especialmente difícil porque la mayoría utiliza herramientas diferentes para cada tipo de vulnerabilidad y evalúa manualmente muchas de ellas.

Tal vez el aspecto más difícil de la gestión eficaz de todas sus vulnerabilidades sea detectarlas y evaluarlas en primer lugar. Dado que cada tipo de vulnerabilidad es único, por lo general, se requieren herramientas especializadas para identificar correctamente cada una de ellas. Las herramientas de gestión de vulnerabilidades son excelentes para las CVE, pero necesita un escáner de aplicaciones para las aplicaciones web. Asimismo, los entornos industriales requieren herramientas especialmente diseñadas para dichos entornos. Por supuesto, los errores de configuración varían drásticamente, según el entorno o el grupo de activos que se evalúe.

Con todos estos datos dispares, que proceden de múltiples segmentos de la superficie de ataque, es casi imposible que los seres humanos puedan evaluarlos a todos manualmente y priorizarlos en función de cuál representa el mayor riesgo inmediato para la organización. Para tener éxito, los equipos necesitan una única plataforma que pueda unificar todos estos datos y evaluarlos conjuntamente mediante algoritmos de aprendizaje automático, inteligencia contextual y análisis predictivo, a fin de ayudar a priorizar lo que se debe corregir primero.

Una plataforma completa que detecte y evalúe los datos de seguridad de toda la organización le permite hacer lo siguiente:

• Ir más allá de las CVE para comprender con precisión todo el entorno
• Ver todas las vulnerabilidades en contexto para tomar decisiones más sólidas sobre la mitigación de riesgos
• Alinear mejor los esfuerzos del equipo de seguridad con las audiencias no técnicas del área de negocios, a fin de mostrar una mayor relevancia para la organización
• Mejorar los procesos de seguridad para ser más proactivos y estratégicos

Por lo tanto, si bien la evaluación y la corrección de las CVE son, por cierto, pasos esenciales para reducir el riesgo cibernético, una estrategia de seguridad completa requiere que se aborden todas las debilidades.

Más información

• Vea el seminario web, Vulnerabilities Beyond CVEs. Which are You Missing? (Vulnerabilidades más allá de las CVE. ¿Cuáles está pasando por alto?) https://es-la.tenable.com/webinars/vulnerabilities-beyond-cves-which-are-you-missing
• Descargue el documento técnico, Superación de las dificultades creadas por las distintas herramientas de gestión de vulnerabilidades: https://es-la.tenable.com/whitepapers/overcoming-challenges-created-by-disparate-vulnerability-management-tools
• Lea el informe de Gartner: Los elementos esenciales de una gestión de vulnerabilidades eficaz (The Essential Elements of Effective Vulnerability Management): https://es-la.tenable.com/analyst-research/gartner-the-essential-elements-of-effective-vulnerability-management