Gestión de vulnerabilidades: Evaluar

Desarrolle una capacidad madura de evaluación de vulnerabilidades que identifique toda la superficie de ataque de su organización

La gestión de vulnerabilidades es una parte esencial del programa de seguridad de cualquier organización, y resulta fundamental para la Cyber Exposure, una disciplina emergente para gestionar y medir los riesgos de ciberseguridad en la era digital. Un programa maduro de gestión de vulnerabilidades (vulnerability management, VM) incluye los cinco pasos del ciclo vital de Cyber Exposure.

Este resumen informativo de la solución se enfoca en Evaluar, el segundo paso de la gestión de vulnerabilidades.

El objetivo de Evaluar es que comprenda la Cyber Exposure de todos los activos, incluyendo sus vulnerabilidades, configuraciones incorrectas y otros indicadores de estado de la seguridad.

Beneficios principales

• Evalúe la superficie de ataque completa para poder comprender el riesgo y proteger a su organización de forma adecuada.
• Realice auditorías de los parches y los cambios de configuración para asegurarse de que las vulnerabilidades y las configuraciones incorrectas se hayan corregido según lo previsto.
• Informe la gestión de incidentes con información sobre vulnerabilidades y configuraciones incorrectas para ayudar a priorizar la investigación.

Desafíos

Evaluar todos los activos es un desafío por dos importantes motivos:

• Los diversos tipos de activos, incluyendo los activos tradicionales de TI, los activos transitorios, móviles, dinámicos y de tecnologías operativas, a menudo requieren diferentes tecnologías de evaluación. Los escaneos activos de evaluación son más adecuados para los activos de TI tradicionales. Sin embargo, la nube, las aplicaciones web, los contenedores y las tecnologías operativas (OT) requieren métodos de evaluación adicionales. Por ejemplo, se debe utilizar el monitoreo pasivo para evaluar los activos de OT, tales como los PLC y las RTU. Esto reducirá el riesgo de que el escaneo activo interrumpa su funcionamiento.

• Garantizar la veracidad de los datos. Nada socava la credibilidad de los departamentos de Seguridad a los ojos de los propietarios/administradores de activos como la inexactitud de los datos de las evaluaciones. Un mal número y pueden desestimar todo su trabajo. Se necesita una preparación cuidadosa para evaluar con amplitud, profundidad y frecuencia óptimas. Se necesitan las tecnologías adecuadas para evaluar toda la gama de activos sin necesidad de realizar una doble contabilización de los activos o de las vulnerabilidades. Se necesitan credenciales actualizadas para llevar a cabo evaluaciones profundas y autenticadas, y es necesario realizar las pruebas correctas durante la evaluación. Por último, se debe proporcionar información oportuna.

Solución

El desarrollo de una capacidad de Evaluar madura que identifique toda la superficie de ataque de su organización progresa a través de cuatro niveles, y Tenable puede ayudarle con cada uno de ellos.

Nivel 1. Evaluar los activos tradicionales locales

Debe seleccionar los hosts detectados que desee evaluar y utilizar la plantilla de Basic Network Scan (Escaneo básico de la red) de Nessus para realizar una detección de vulnerabilidades interna que sea adecuada para cualquier host. Las evaluaciones del Nivel 1 asumen que Nessus no tiene las credenciales requeridas para los escaneos autenticados. Por lo tanto, Nessus omitirá automáticamente las comprobaciones de seguridad locales, que se incluyen en el Basic Network Scan, pero que requieren credenciales.

Nivel 2. Aumentar la amplitud, profundidad y frecuencia de las evaluaciones

Debe incrementar la amplitud de la evaluación para incluir todos los activos modernos con el fin de hacer las mediciones necesarias para gestionar toda la superficie de ataque. Tenable proporciona una capacidad de evaluación optimizada para computadoras portátiles, dispositivos móviles, infraestructura virtual, la nube, aplicaciones web, contenedores y tecnologías operativas. Es posible que necesite adoptar una nueva actitud, establecer nuevas relaciones con el área de desarrollo de aplicaciones y encontrar formas innovadoras de implementar medidas de seguridad, posibilitando, a la vez, los procesos de DevOps en rápido movimiento. Una forma es integrar la evaluación en los flujos de trabajo de creación de software en la etapa de desarrollo, en lugar de esperar hasta que se implementen los activos de software en el entorno de producción.

La profundidad se aumenta utilizando escaneos y agentes autenticados. Los escaneos autenticados, también denominados escaneos con credenciales, usan credenciales para iniciar sesión de forma remota en los dispositivos y examinarlos desde dentro hacia fuera. Debido a que los escaneos autenticados interrogan a los dispositivos desde dentro hacia fuera, pueden recopilar una gran cantidad de información relacionada con la seguridad sobre el software instalado y las vulnerabilidades. El escaneo basado en agentes, realizado por el software instalado en los dispositivos de destino, visualiza los dispositivos desde dentro hacia fuera y puede proporcionar información detallada similar a la del escaneo autenticado. Los agentes resuelven dos problemas comunes de los activos transitorios. En primer lugar, eliminan el punto ciego de no evaluar los activos que se desconectan de la red durante los escaneos. En segundo lugar, solo informan sobre un activo determinado (y sus vulnerabilidades) una única vez, incluso si su dirección IP cambia con cada reconexión.

Debe incluir la detección de malware en sus evaluaciones, y los escaneos autenticados pueden buscar malware conocido en los sistemas de archivos. Además, pueden detectar la presencia, el estado de actualización y el funcionamiento de muchos productos antivirus.

Debe aumentar la frecuencia de la evaluación de un intervalo "ad hoc" a un intervalo programado periódicamente. El intervalo debe ser, al menos, tan frecuente como su ciclo de parches, si no semanal.

Nivel 3. Evaluar las configuraciones y optimizar la evaluación por clase de activos

La evaluación de configuración reduce la superficie de ataque de un activo al deshabilitar los servicios innecesarios, como FTP y RDP, lo que refuerza la autenticación y, en general, protege el activo. Puede evaluar sus servidores, computadoras de escritorio, computadoras portátiles, servicios web, bases de datos, infraestructura n la nube, dispositivos de red y mucho más utilizando estándares de The Center for Internet Security, la Defense Information Systems Agency y de muchos proveedores más. Nota: Cuando evalúe por primera vez sus activos en comparación con uno de estos estándares, es probable que descubra muchos más problemas de configuración de los esperados. Por lo tanto, es posible que deba adaptar los estándares para reducir inicialmente los requisitos y, luego, aumentarlos gradualmente.

Usted definirá los parámetros de evaluación con base en el acuerdo de nivel de servicio (SLA) para cada clase de activos. Los SLA para las clases de activos permiten ajustar con precisión la profundidad, la amplitud y la frecuencia de la evaluación para proteger su superficie de ataque en función de la magnitud de la pérdida esperada en los diferentes servicios de negocios. Así, usted evaluará los activos clasificados como “altos” más minuciosamente que otras clases de activos.

Nivel 4. Evaluar continuamente los activos e integrarlos con la gestión de acceso privilegiado

En este nivel, se agrega la evaluación casi en tiempo real de los nuevos activos y la revisión periódica de los SLA de evaluación. También se puede realizar la integración con sistemas de gestión de acceso privilegiado, si corresponde.

La evaluación en tiempo real evalúa de inmediato los activos recién detectados. El monitoreo pasivo identifica continuamente muchas vulnerabilidades nuevas y puede desencadenar automáticamente un escaneo activo para evaluar más a fondo el activo recién detectado. Si el nuevo activo incluye un agente en su imagen de creación, el agente evaluará automáticamente el activo e informará los resultados.

La revisión de los SLA asegura que las políticas de evaluación (profundidad, amplitud y frecuencia) continúen adaptándose a cada clase de activos. Por ejemplo, si su equipo de desarrollo de aplicaciones responsable de un sitio web que genera ingresos comenzó a utilizar recientemente la tecnología de contenedores o Azure, debe trabajar con ellos para actualizar la política de evaluación adecuada.

La integración de la gestión de acceso privilegiado (Privileged Access Management o PAM) es muy útil si cambia periódicamente las credenciales necesarias para el escaneo autenticado. La integración proporciona automáticamente las credenciales actualizadas al escáner para evitar escaneos fallidos.

Para obtener más información:

Visite tenable.com

Póngase en contacto con nosotros:

Envíenos un correo electrónico a [email protected] o visite tenable.com/contact