El contexto manda: desde la gestión de vulnerabilidades hasta la gestión de exposición

La gestión de vulnerabilidades sigue siendo una piedra angular de la ciberseguridad preventiva, pero las organizaciones siguen luchando con la sobrecarga de vulnerabilidades y las amenazas sofisticadas. Exposure Signals (Señales de exposición) de Tenable proporciona a los equipos de seguridad un contexto completo, para que puedan pasar de la gestión de vulnerabilidades a la gestión de exposición y priorizar eficazmente las exposiciones de alto riesgo en su compleja superficie de ataque.

Se ha revelado una vulnerabilidad crítica y atacantes de todo el mundo la están explotando activamente en la realidad. Su equipo de gestión de vulnerabilidades entra en acción y determina que la vulnerabilidad está presente en cientos de activos en su organización. ¿Dónde coloca parches primero? ¿Cómo prioriza sus iniciativas de corrección? ¿Qué criterios debe seguir? El reloj sigue su marcha y los hackers están listos para atacar.

Históricamente, su equipo de gestión de vulnerabilidades ha dependido de puntajes de gravedad como el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR). Este es un magnífico punto de partida, pero solo le proporciona un indicador de riesgo. Para priorizar la corrección con precisión y eficacia, debe considerar diversos criterios diferentes, como el tipo, el propietario y la función de un activo vulnerable; el nivel de acceso y los privilegios del activo; y las rutas de ataque críticas en su entorno.

Este tipo de contexto completo e integral, le permitirá priorizar correctamente, pero esto solo se puede lograr con un abordaje diferente que vaya más allá de la gestión de vulnerabilidades tradicional. Este abordaje es la gestión de exposición. 

Con la gestión de la exposición, su equipo de gestión de vulnerabilidades podría ser capaz de identificar el subconjunto de activos afectados por nuestra vulnerabilidad hipotética que, por ejemplo, son accesibles externamente, poseen privilegios a nivel de dominio y son parte de una ruta de ataque crítica. De esa manera sabrían dónde está el mayor riesgo y qué necesitan corregir primero. Al contar con información, contexto y visibilidad a profundidad se transforma la ecuación de evaluación de riesgos y esto permite que su equipo de gestión de vulnerabilidades se mueva de manera decisiva, rápida y estratégica.

En este blog, explicaremos por qué es fundamental que sus equipos de gestión de vulnerabilidades adopten una mentalidad de gestión de exposición e ilustraremos cómo Tenable puede ayudar a hacerlo.

Para identificar las vulnerabilidades con más riesgo, la gestión de vulnerabilidades necesita un contexto de exposición más amplio

Dentro del panorama actual de la ciberseguridad en constante evolución, la gestión de vulnerabilidades sigue siendo una de las piezas fundamentales de la estrategia de defensa proactiva de una organización. Sin embargo, estos equipos todavía tienen dificultades para abordar el aumento del nivel de riesgo planteado por el continuo incremento de vulnerabilidades y exposiciones comunes (CVE) y otras fallas.

Muchos equipos de seguridad frecuentemente se ven abrumados por el gran volumen de vulnerabilidades y cuentan con recursos limitados para gestionarlas de manera eficaz. La sofisticación y la velocidad de los agentes maliciosos se han intensificado: los atacantes tienen más puntos de entrada y utilizan nuevas tácticas, técnicas y procedimientos para acceder a otras áreas críticas del negocio, lo que demuestra que los ataques ya no son lineales sino multifacéticos.

Es común que los equipos de seguridad luchen con lo siguiente:

• Sobrecarga de vulnerabilidades: este problema de larga data sigue empeorando. Para los equipos de seguridad es más difícil que nunca filtrar la avalancha de CVE e identificar las áreas del negocio que tienen más riesgo.
   
• Falta de contexto de exposiciones para la priorización: sus equipos están tomando decisiones mientras se pasan por alto capas de contexto. La inteligencia de amenazas y la gravedad de las vulnerabilidades representan un magnífico comienzo, pero limitarse a ellas no proporciona el contexto completo que usted necesita para priorizar correctamente.  
   
• Respuesta lenta para las correcciones: tanto los equipos de seguridad proactivos como los reactivos dedican mucho tiempo a responder a vulnerabilidades críticas. Se debe abarcar lo más posible con los escasos recursos, por lo que es más importante que nunca que los equipos identifiquen con confianza las exposiciones de mayor riesgo al recomendar esfuerzos de corrección.

Necesidad de cambiar de una mentalidad de vulnerabilidades a una mentalidad de exposición

Conocer las dificultades con las que está lidiando hoy puede ayudar a destacar las ventajas de la gestión de exposición. Lo que falta entre una vulnerabilidad y una exposición son las capas adicionales de contexto. Contar con un contexto multidimensional le permite comprender no solo las vulnerabilidades en sí, sino su impacto potencial dentro de la superficie de ataque. Este abordaje proporciona una visión más completa de la postura de seguridad de una organización al considerar factores como la inteligencia de amenazas, la criticidad de los activos, las identidades y el acceso, así como otros elementos del contexto. Con esta información adicional, usted pasa mucho menos tiempo ordenando pilas de vulnerabilidades similares y puede estar más enfocado en identificar los problemas clave que plantean riesgo, la exposición.

Para aquellos que nunca han oído hablar de la gestión de exposición o están comenzando, existen muchas ventajas de esta disciplina. Cuando tiene que ver con el abordaje de Tenable, adoptamos la misma mentalidad con nuestra plataforma de gestión de exposición. El objetivo es sencillo: la gestión de exposición permite a las organizaciones priorizar los esfuerzos de corrección más efectivamente. Hace surgir información que ayuda a desarrollar estrategias para abordar no solo las vulnerabilidades en sí mismas, sino también la aparición de exposiciones que podrían provocar vulneraciones significativas.

El salto de las vulnerabilidades hacia la exposición

Cerrar la brecha entre la gestión de vulnerabilidades y la gestión de la exposición requiere conectar el contexto a lo largo de toda la superficie de ataque. La gestión de vulnerabilidades proporciona el contexto que predice la probabilidad de un ataque y muestra los impulsores clave, la antigüedad de la vulnerabilidad y los orígenes de las amenazas. Estos atributos son útiles, pero podemos ir mucho más lejos para mejorar la efectividad de nuestra priorización. Esto requiere tener una visibilidad más amplia y una visión más profunda de toda la superficie del ataque para comprender el panorama más amplio de las exposiciones.

Específicamente, los equipos de seguridad necesitan contexto adicional en torno a lo siguiente:

• Contexto de activos: hay muchos niveles en un activo que pueden ayudar a impulsar las decisiones de priorización. Es fundamental entender la criticidad de un activo relacionado con su tipo, función, nombre del propietario y sus relaciones con otros activos. Incluso el saber si el activo es accesible o no desde Internet será importante para saber cómo se priorizan sus correcciones.
   
• Identidades: las identidades sirven como la piedra angular de los ataques exitosos, por lo que es esencial contextualizarlas para la gestión de exposición. Comprender los niveles de privilegios de usuarios, los derechos y la información de usuarios puede ayudar a evitar que los atacantes obtengan una escalación de privilegios y se muevan lateralmente. El enfocar los esfuerzos de priorización en activos vulnerables con privilegios de dominio y nivel de administrador es una práctica recomendada crítica para reducir la probabilidad de que se presente una vulneración.
   
• Contexto de amenazas: tener varios niveles de contexto de amenazas también es importante para priorizar las exposiciones. Sabemos que las amenazas cambian con el tiempo, por lo que aprovechar la puntuación dinámica como VPR o el Asset Exposure Score (AES) puede mostrar indicadores de riesgo. También podemos aportar contexto del modelado de rutas de ataque para influir en las decisiones de corrección con base en la perspectiva del atacante, comprendiendo el número de rutas de ataque críticas o puntos de estrangulamiento en su entorno.

Cuando los analistas de seguridad cuentan con esa información adicional, pueden comprender realmente la amplitud y profundidad de la exposición. Así es como se lleva a cabo la priorización en este nuevo mundo de gestión de exposición.

Presentamos Exposure Signals

Para ayudar a facilitarle cambiar a esta mentalidad de gestión de exposición, desarrollamos una nueva capacidad de priorización llamada Exposure Signals. Disponible en Tenable One, la plataforma de gestión de exposición de Tenable, Exposure Signals permite a los equipos de seguridad contar con contexto más completo en un lugar centralizado, para poder tener una vista del riesgo enfocada. 

Existen dos maneras de usar el nuevo Exposure Signals. La primera es acceder a una biblioteca completa de señales de alto riesgo diseñadas previamente. Fáciles de referir, señalan el riesgo potencial en su entorno y generan un excelente punto de partida para que usted aplique sus habilidades de gestión de exposición. Por ejemplo, puede ver fácilmente y referirse a lo siguiente: 

• Grupo de administradores de dominio en hosts expuestos a Internet con vulnerabilidades críticas.
• Dispositivos expuestos a Internet a través de RDP con una cuenta de identidad asociada con una contraseña en riesgo.
• Activos en la nube con hallazgos de gravedad crítica y una puntuación de exposición de activos superior a 700.

Exposure Signals le permite hacer el seguimiento del número de infracciones que señalan escenarios de alto riesgo en su entorno. Vea esta lista periódicamente para saber cómo cambia con el tiempo con su línea de tendencia única. Tome la exploración en sus propias manos al ver el activo afectado y su inteligencia contextual en nuestro Inventory Module. 

La segunda manera de emplear Exposure Signals, es mediante la creación de sus propias señales utilizando un constructor de consultas o búsqueda de procesamiento de lenguaje natural (NLP) impulsado por ExposureAI. Así, puede ser tan general o tan detallado como sea necesario. Por ejemplo, digamos que hay una nueva vulnerabilidad de día cero que acomete a la industria, similar a Log4Shell. Usted puede crear fácilmente una señal para destacar qué activos tienen la vulnerabilidad, están orientados a Internet y tienen privilegios de nivel de administrador de dominio. Estamos entrelazando estos componentes para que usted pueda entender su verdadero riesgo y dirigir mejor sus esfuerzos de priorización.

Para obtener más información acerca de Tenable One y Exposure Signals, vea nuestra demostración interactiva: