Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Aquí Están las Respuestas a 16 Preguntas sobre la Priorización Predictiva

Aquí están las respuestas a 16 preguntas sobre la Priorización Predictiva

A principios de este año, Tenable presentó la Priorización Predictiva, un innovador proceso basado en ciencia donde se vuelven a priorizar las vulnerabilidades con base en la probabilidad de que se aprovechen en un ataque. Aquí respondemos a sus 16 preguntas más apremiantes relacionadas a lo que representa esta capacidad para su ejecución de gestión de vulnerabilidades.

Se dieron a conocer 16 500 nuevas vulnerabilidades en 2018 — y CVSS categorizó a la mayoría de ellas como de gravedad alta o crítica. Dado que las vulnerabilidades están elevándose, ¿cómo puede usted identificar las mayores amenazas para su negocio y saber qué reparar primero? La Priorización Predictiva es un proceso innovador que cambia la forma en que las organizaciones abordan la sobrecarga de vulnerabilidades, y le permite concentrarse en la reparación de las vulnerabilidades que más importan. ¿Tiene curiosidad por saber cómo funciona la Priorización Predictiva? Obtenga respuestas a esta y otras preguntas comunes en las preguntas frecuentes sobre la Priorización Predictiva.

P. ¿Qué es la Priorización Predictiva?

R. La Priorización Predictiva es el proceso donde se vuelven a priorizar las vulnerabilidades con base en la probabilidad de que se aprovechen en un ataque.

P. ¿Cuál es la diferencia entre la Priorización Predictiva y el Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR)?

R. El resultado del proceso de Priorización Predictiva es el Índice de Priorización de Vulnerabilidades (VPR), que indica la prioridad de reparación para una vulnerabilidad individual. El VPR opera en una escala de cero a 10, en la que 10 es la mayor gravedad. Vea el siguiente video para obtener más información sobre el VPR.

P. ¿Por qué necesito un índice VPR? ¿No prioriza ya CVSS las vulnerabilidades?

R. El CVSS hace un buen trabajo registrando el alcance y el impacto de las vulnerabilidades; ofrece una explicación sólida de lo que podría suceder si se explota una vulnerabilidad determinada. También proporciona una base para medir la probabilidad de que se explote una vulnerabilidad. Sin embargo, su aplicación actual no ofrece la granularidad necesaria para establecer prioridades de manera efectiva. El CVSS califica aproximadamente el 60 % de todas las CVE como de gravedad Alta o Crítica.

La Priorización Predictiva se mantiene fiel al marco del CVSS (vea la figura abajo), pero lo mejora con el reemplazo de los componentes de explotabilidad y de madurez del código del exploit del CVSS por una puntuación de amenazas generada mediante aprendizaje automático, que funciona con un conjunto diverso de fuentes de datos. Esto significa que las organizaciones pueden tomar decisiones de reparación con base en las vulnerabilidades que:

  • Tienen probabilidades de explotabilidad
  • Tendrán un gran impacto si se explotan

CVSS en comparación con el marco de la Priorización Predictiva

P. ¿Los índices VPR reemplazan a las puntuaciones CVSS?

R. No. Recomendamos que complemente sus procesos existentes de priorización (p. ej., CVSS) con VPR.

P. ¿Cómo se comparan los rangos de gravedad de VPR con los rangos de gravedad de CVSS?

R. En CVSS y VPR, se utilizan los mismos cortes para crear rangos. Sin embargo las distribuciones son muy diferentes como resultado del proceso de priorización (vea la figura interactiva a continuación).

P. ¿Qué vulnerabilidades obtienen un VPR?

R. Actualmente, la Priorización Predictiva produce un VPR para todas las vulnerabilidades que tengan una CVE publicada en la Base de Datos Nacional de Vulnerabilidades (NVD) de los EE. UU. Tenemos la intención de ampliar el alcance de las vulnerabilidades calificadas por la Priorización Predictiva en el futuro.

P. ¿El VPR (índice) puede cambiar?

R. Sí, la Priorización Predictiva recalcula los VPR para cada CVE cada día. Pueden cambiar o no, según el panorama de amenazas. Lea el documento técnico para obtener más información.

P. ¿La Priorización Predictiva genera un VPR para las CVE que no tienen una puntuación CVSS?

R. Sí. Si una CVE no tiene métricas/puntuaciones CVSS publicadas, la Priorización Predictiva generará un VPR usando la información disponible (p. ej., la descripción de la vulnerabilidad). Luego, usamos el VPR como fuente en un modelo que predice las puntuaciones con base en los términos que aparecen en el texto sin procesar.

Por ejemplo, si la descripción de la vulnerabilidad contiene los términos “Adobe” y “ejecución arbitraria de código”, entonces el modelo podría predecir puntuaciones CVSS altas debido a la actividad pasada sobre vulnerabilidades con características similares. Cuando las puntuaciones CVSS reales están disponibles, reemplazan los valores de la predicción. Esto implica una ventaja, ya que normalmente la NVD tarda 45 días en publicar las puntuaciones CVSS después de la publicación de la vulnerabilidad.

P. Ayúdenme a comprender los índices VPR. ¿Qué implica un VPR de gravedad crítica (>9)? Y ¿qué implica un VPR de gravedad baja?

R. En términos generales, un VPR de gravedad crítica significa que la vulnerabilidad en cuestión tiene una alta probabilidad de ser explotada o que, si esa vulnerabilidad es explotada con éxito, su impacto sería significativo.

Por otro lado, la Priorización Predictiva asigna un VPR de gravedad baja a las vulnerabilidades que tienen una probabilidad de explotación inferior y/o a aquellas que, si fueran explotadas con éxito, su impacto sería bajo. Sin embargo, tenga en cuenta que no podemos decir con seguridad total que una vulnerabilidad no será explotada.

P. Tenable dice que la Priorización Predictiva me ayudará a concentrarme en el 3 % que más importa. ¿Qué implica ese 3 %?

R. Este 3 % corresponde a las vulnerabilidades con un VPR de gravedad alta o crítica y le da una idea de qué vulnerabilidades priorizar para su reparación. Recomendamos que comience a reparar las vulnerabilidades con VPR de gravedad crítica y alta y que, luego, continúe hacia abajo en la lista. De ninguna manera estamos sugiriendo que usted deba ignorar el otro 97 % de las vulnerabilidades.

P. ¿En qué se diferencia el VPR de la puntuación CVSS temporal?

R. La principal diferencia entre ambas es que el VPR predice el futuro, mientras que el CVSS solo observa el pasado. El VPR no solo considera la disponibilidad y funcionalidad del código del exploit, sino que también predice la probabilidad de explotación en el futuro a corto plazo. El VPR es más granular también en la forma en que se adapta a la explotación.

P. “Predictiva” suena interesante, ¿pero por qué es importante?

R. En lugar de analizar únicamente los datos históricos para calificar las vulnerabilidades, el uso de datos históricos y un algoritmo predictivo basado en el aprendizaje automático nos ayudan a anticipar lo que es probable que suceda (en lugar de anunciar lo que ya sucedió) y a planificar en función de ello. Al gestionar el riesgo, es importante saber si algo sucedió en el pasado, pero es mucho más importante saber qué es probable que suceda en el futuro.

P. ¿Existe una diferencia entre algo que “es explotable” y algo que “es explotado”?

R. Sí. Si algo es explotable, significa simplemente que hay un exploit disponible, y podría ser tan básico como una prueba de concepto poco confiable publicada en un archivo público. Sin embargo, una vulnerabilidad explotada es grave: significa que un exploit ha aprovechado con éxito una vulnerabilidad.

P. ¿Qué sucede si una vulnerabilidad ya ha sido explotada?

R. Si bien una vulnerabilidad puede haber sido explotada en el pasado, la probabilidad de que sea explotada activamente (es decir, utilizada en ataques cibernéticos) en el futuro puede cambiar con el tiempo.

P. ¿Usted analiza el historial completo de cada vulnerabilidad?

R. Analizamos toda la información disponible desde la publicación de la vulnerabilidad.

P. ¿Cuáles son los datos de entrada en el modelo de aprendizaje automático para la puntuación de amenazas?

R. Actualmente, la Priorización Predictiva usa más de 150 características distintas como entradas en el modelo de aprendizaje automático para generar la puntuación de amenazas. Una característica (o entrada) es un atributo de una CVE que nos permite describirla o comprenderla más claramente. Estos son algunos ejemplos:

  • La antigüedad de la vulnerabilidad
  • La disponibilidad del kit del exploit
  • Las conversaciones en la dark web

En términos generales, tendemos a agrupar las características en estas categorías:

  • Patrones de amenazas del pasado (por ejemplo, la evidencia de explotación en el pasado: ¿qué tan reciente? ¿qué tan frecuente?)
  • Fuentes de amenazas del pasado (por ejemplo, fuentes específicas que muestran evidencia de explotación)
  • Métricas de las vulnerabilidades (métricas del CVSS, como el vector de acceso, la complejidad de ataque, la puntuación básica, etc.)
  • Metadatos de las vulnerabilidades (antigüedad de la vulnerabilidad, CVE, proveedor/software afectado por la vulnerabilidad, etc.)
  • Disponibilidad del exploit utilizando datos de inteligencia de amenazas (¿la vulnerabilidad se encuentra en Exploit Database? ¿Metasploit?)

 Hoy en día, esos datos provienen de siete tipos de fuentes:

  • Sitios web sobre la seguridad de la información
  • Blogs
  • Revelaciones de vulnerabilidades
  • Redes sociales
  • Foros
  • Dark web
  • Panorama de vulnerabilidades

Explore los recursos adicionales de Priorización Predictiva

Hemos elaborado estas preguntas frecuentes en función de las preguntas más comunes de nuestros clientes acerca de la Priorización Predictiva, y actualizaremos esta publicación según sea necesario. Puede descargar una versión en PDF de estas preguntas frecuentes aquí.

A continuación, encontrará otros recursos que pueden resultarle útiles:

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.