La visibilidad completa de TI necesita el contexto del riesgo para el negocio

Contar con una comprensión completa, detallada y continuamente actualizada de todos los activos de TI es uno de los santos griales de los equipos de seguridad. Para lograrlo, primero debemos comprender en qué consiste realmente la "visibilidad", la cual implica mucho más que identificar qué activos hay y saber qué desafíos deben abordarse.

Si analizáramos los puntos de partida de cualquier marco o práctica recomendada de seguridad de la información de los últimos 20 años, veríamos que la fase inicial es "detectar", "identificar" o "comprender", o alguna variación de esto. En conjunto, todo eso nos dice que no se puede proteger lo que no sabemos que tenemos. Siendo más precisos, no podemos tomar buenas decisiones sobre cómo y dónde proteger nuestros entornos si no sabemos lo que tenemos. Tener una amplia visibilidad hacia los activos que forman parte de nuestra infraestructura general es la pieza clave y fundamental de cualquier programa de seguridad exitoso.

A pesar de que esto es algo que se acepta y reconoce en gran medida, la mayoría de los profesionales de la seguridad le dirán que llegar a ese estado de visibilidad completa todavía es muy difícil. Los equipos de seguridad implementan una amplia variedad de herramientas, pasan mucho tiempo integrando conjuntos de datos de los sistemas de gestión de activos y otras potenciales fuentes de verdad y, aun así, pocos pueden decir que tienen la certeza de comprender por completo su entorno. ¿A qué se debe esto? En su mayor parte, se resume en dos consideraciones clave que no se abordan cuando las organizaciones intentan comprender sus entornos:

• ¿Está buscando e identificando realmente todos sus activos o tan solo los que considera que conoce?
• ¿Comprende el contexto de los activos relativo a los hallazgos de seguridad, el riesgo y el impacto para la organización?

Primero y principal, lograr la visibilidad total significa identificar y evaluar todos los activos técnicos del entorno, no solo aquellos "fáciles" y más conocidos para la mayoría de los equipos de TI y seguridad. Aunque empezar por los servidores, las estaciones de trabajo, los equipos de infraestructura de red y otros dispositivos tradicionales de TI es una excelente práctica, esto puede hacer que se pasen por alto otros activos, o que incluso se ignoren por completo. ¿Qué más puede haber? Pregúntese si su equipo identifica los siguientes activos:

• Bases de datos
• Aplicaciones web
• Dispositivos industriales de OT/ICS/SCADA/IoT
• Infraestructura de la nube
• Plataformas de virtualización
• Contenedores
• Servicios de orquestación en la nube
• Configuraciones de Infrastructure as Code (IaC)
• Active Directory/credenciales/grupos
• Hosts/nombres de hosts/registros disponibles para el público

La lista puede continuar. Aunque identificar estos tipos de activos puede considerarse demasiado difícil, estos poseen una importancia crítica para la mayoría de los negocios, corren riesgo de sufrir ataques cibernéticos y, si se ponen en riesgo, afectarán el bienestar financiero y la reputación de la organización. Los equipos de seguridad deben dar un primer paso significativo para mejorar la visibilidad y adquirir una comprensión más completa del entorno y, posteriormente, debemos abordar todos estos activos, no solo los más tradicionales que ya conocemos. 

Por esta misma razón, Tenable amplía constantemente las herramientas disponibles en la plataforma para poder identificar de manera segura y apropiada activos como estos, e ingresar todos esos datos en un mismo lugar. Para identificar las vulnerabilidades y otros riesgos de seguridad, primero se debe identificar y comprender el objetivo. Con ese nivel de visibilidad, las organizaciones están mejor posicionadas para comprender dónde están los mayores riesgos para su entorno y empezar a tomar las medidas necesarias para mitigar el riesgo donde más importa.

Algunas organizaciones actuales han progresado tanto que se han vuelto muy buenas en recopilar datos del inventario de activos y, además, tienen una buena comprensión de su entorno. Pero aquí también todo se empieza a derrumbar. Tener muchos datos dispares, dispersos generalmente en varios repositorios diferentes, implica una transformación mucho mayor por parte de los equipos de seguridad, no solo a fin de unificar la información en un mismo lugar para un mejor análisis, sino también de determinar maneras de normalizar la información recopilada. A final de cuentas, no todo activo tiene una dirección IP o un nombre de host. Los repositorios de código no tendrán los mismos identificadores que una instancia de contenedor. Las aplicaciones web podrían identificarse por nombre de dominio o URL, pero un controlador lógico programable (PLC) quizá no pueda agregarse a una red conocida. 

Y no solo los identificadores de activos básicos son variados y complicados. Cualquier tipo de hallazgo de vulnerabilidades o de seguridad será igual de diferente o dispar, dependiendo del activo en sí. Un servidor puede tener una vulnerabilidad que pueda identificarse fácilmente con un número CVE ya asignado, pero una configuración incorrecta de Infrastructure as Code (IaC) no tendrá ningún identificador estándar. Las vulnerabilidades de aplicaciones web, como la inyección de código SQL y las secuencias de comandos entre sitios, son más bien técnicas y no vulnerabilidades específicas del sistema operativo que puedan identificarse en todo momento. Y, en el mundo de Active Directory, los problemas de seguridad subyacentes surgen de los riesgos que presenta la manera en que AD funciona y valida las credenciales a lo largo de toda una empresa, una cuestión que no se arregla simplemente colocando un parche que falta. 

Si el equipo de seguridad tiene la tarea de intentar comprender los riesgos del entorno y tomar decisiones sobre dónde y qué mitigar primero, ¿por dónde empezaría usted si no adopta una perspectiva de análisis de activos agrupados por características similares? En realidad, estos datos tan dispares ni siquiera son una comparación entre cosas diferentes, de hecho, implican cosas completamente distintas. Es clave comprender el contexto que subyace en los activos y sus hallazgos de seguridad. Primero, debemos recopilar toda esta información y normalizarla de una manera coherente y medible para comprender el riesgo que cada uno de estos hallazgos presenta para el negocio. Posteriormente, podemos comenzar a relacionar los diferentes factores de riesgo entre sí y tomar la mejor decisión posible sobre dónde corre el mayor riesgo la organización, cuánto riesgo presenta y qué debemos hacer para mitigarlo. Recopilar datos ya es una tarea complicada, pero, aunque pueda controlar esa parte, no llegará lejos si no puede enfocarse en lo verdaderamente importante. Terminará con una gran cantidad de hojas de cálculo y bases de datos para administrar y, aun así, se preguntará por dónde comenzar.

¿Desea más orientación en relación a su estrategia de seguridad? Consulte el documento Panorama de amenazas del 2021, una retrospectiva elaborada por Tenable, que proporciona un análisis completo del panorama de amenazas del año pasado que puede ser usado por los profesionales de seguridad para mejorar su seguridad ahora mismo. También vea el seminario web "Gestión de exposiciones para la superficie de ataque moderna: Identifique y comunique lo que está más en riesgo en su entorno y que es vital reparar primero".