¿Cuán maduras son sus estrategias de defensa cibernética?
Nuestra última investigación evalúa las prácticas de evaluación de vulnerabilidades en el mundo real en 2100 organizaciones para comprender cómo los defensores abordan este paso fundamental en la ciberseguridad.
En nuestro último estudio de investigación, "Cyber Defender Strategies: What Your Vulnerability Assessment Practices Reveal" (Estrategias del defensor cibernético: qué revelan sus prácticas de evaluación de vulnerabilidades), exploramos cómo las organizaciones practican la evaluación de vulnerabilidades (VA) y qué nos enseñan estas prácticas sobre la madurez cibernética.
Nuestro estudio anterior despertó nuestra curiosidad, “Quantifying the Attacker's First-Mover Advantage” (Cuantificación de la ventaja del atacante como el primero en actuar), que descubrió que los atacantes tardan una mediana de cinco días en obtener acceso a un exploit en funcionamiento. En cambio, aprendimos que los defensores tardan una mediana de 12 días para evaluar una vulnerabilidad. La diferencia entre los dos resultados es una ventana de oportunidad mediana de siete días para que un atacante ejecute su golpe, durante la cual un defensor ni siquiera es consciente de que es vulnerable. Esto nos llevó a evaluar cómo se están desempeñando los defensores en las importantísimas fases de detección y evaluación del ciclo de vida de la Cyber Exposure.
Nuestro Informe de Estrategias del Defensor Cibernético se centra específicamente en los indicadores clave de rendimiento (KPI) asociados con las etapas Detectar y Evaluar del ciclo de vida de Cyber Exposure de cinco fases. Durante la primera fase, Detectar, los activos se identifican y asignan para obtener visibilidad en cualquier entorno informático. La segunda fase, Evaluar, supone comprender el estado de todos los activos, incluidas las vulnerabilidades, las configuraciones incorrectas y otros indicadores de estado. Si bien son solo dos fases de un proceso más extenso, juntas definen, de forma decisiva, el alcance y el ritmo de las fases posteriores, como la priorización y la reparación.
Queríamos obtener más información sobre cómo los usuarios finales realizan las evaluaciones de vulnerabilidades en el mundo real, qué nos indica esto sobre su nivel de madurez general y cómo varía según la región demográfica.
Estrategias del defensor cibernético: comprensión de los KPI de la evaluación de vulnerabilidades
Para nuestro Informe de Estrategias del Defensor Cibernético, analizamos cinco indicadores clave de rendimiento (KPI) en función del comportamiento de evaluación de vulnerabilidades del usuario final en el mundo real. Estos KPI se correlacionan con cuatro estilos de madurez de VA: Cuidadoso, Investigativo, Explorador y Minimalista.
Descubrimos que aproximadamente la mitad (48 %) de las empresas incluidas en el conjunto de datos están poniendo en práctica estrategias de evaluación de vulnerabilidades muy maduras (que muestran un estilo Cuidadoso o Investigativo). Sin embargo, poco más de la mitad (52 %) exhiben una madurez en cuanto a la VA de nivel moderado a bajo (que muestra un estilo Explorador o Minimalista). Le contaremos más sobre lo que esto significa en un momento. Primero, echemos un vistazo rápido a la metodología que aplicamos para lograr estos resultados.
Para identificar nuestros cuatro estilos de VA, hemos entrenado un algoritmo de aprendizaje automático llamado análisis arquetípico (AA) con datos de telemetría de escaneos anonimizados de más de 2100 organizaciones individuales en 66 países. Analizamos un poco más de 300.000 escaneos durante un período de tres meses, de marzo a mayo de 2018. Identificamos una serie de comportamientos de VA idealizados dentro de este conjunto de datos y asignamos organizaciones a grupos definidos por el arquetipo con el que se relacionan más estrechamente. Las características de la evaluación de vulnerabilidades para cada estilo de defensor se describen en la tabla que se encuentra a continuación.
Cuatro estilos de evaluación de vulnerabilidades: qué revelan
Estilo de VA |
Nivel de madurez de VA |
Características |
Cuidadoso |
Alta |
El Cuidadoso lleva a cabo una evaluación de vulnerabilidades integral y adapta los escaneos según el caso de uso, pero solo autentica selectivamente. |
Investigativo |
Media a alta |
El Investigador lleva a cabo evaluaciones de vulnerabilidades con un nivel alto de madurez, pero solo evalúa activos específicos. |
Explorador |
De baja a media |
El Explorador realiza evaluaciones de vulnerabilidades frecuentes de amplio alcance, pero se centra principalmente en vulnerabilidades remotas y enfrentadas a redes. |
Minimalista |
Baja |
El Minimalista ejecuta evaluaciones de vulnerabilidades mínimas como lo exigen, de forma general, los mandatos de cumplimiento normativo. |
Fuente: Informe de Estrategias del Defensor Cibernético de Tenable, agosto de 2018
Esta es la información que obtuvimos sobre cada estilo de evaluación de vulnerabilidades:
- Solo el 5 % de las empresas siguen el estilo Cuidadoso, que muestra un nivel alto de madurez en la mayoría de los KPI. Los seguidores cuidadosos realizan evaluaciones de vulnerabilidades frecuentes con una amplia cobertura de activos, así como evaluaciones específicas y personalizadas para diferentes grupos de activos y unidades de negocios.
- El 43 % sigue el estilo Investigativo, lo que indica un nivel de madurez medio o alto. Estas organizaciones muestran una buena cadencia de escaneos, aprovechan las plantillas de escaneo dirigido y autentican la mayoría de sus activos.
- El 19 % de las empresas siguen el estilo de Explorador, lo que las coloca en un nivel de madurez bajo o medio. Los Exploradores realizan evaluaciones de amplio alcance, pero con poca autenticación y poca personalización de las plantillas de escaneo.
- El 33 % de las empresas tienen una madurez baja, siguen el estilo Minimalista y realizan solo evaluaciones limitadas de activos seleccionados.
Informe Tenable Estrategias del Defensor Cibernético: Hallazgos Clave
Fuente: Tenable, Informe de Estrategias del Defensor Cibernético, agosto de 2018
La evaluación de vulnerabilidades es importante en todos los niveles de madurez
En este momento, probablemente se esté formando una opinión sobre cómo se acumulan sus estrategias de evaluación de vulnerabilidades. Si su organización parece inclinarse hacia los estilos Minimalista o Explorador de madurez más baja, no debe temer. No tiene nada de malo tener una madurez baja. Lo que está mal es optar por permanecer allí.
Si es un usuario tardío, significa que tiene más trabajo para ponerse al día. También significa que puede aprender de los errores y de las experiencias de los primeros usuarios. En lugar de hacer que su organización sea blanco de pruebas para soluciones inéditas, nuevas e inmaduras, se beneficiará de la disponibilidad de ofertas probadas y comprobadas. También cuenta con un conjunto de conocimientos existentes que puede aprovechar, en lugar de tratar de elaborar sus estrategias desde cero. Al omitir la fase de experimentación, está preparado para entrar directamente en la optimización y la innovación.
Y, si se identifica con las estrategias de evaluación de vulnerabilidades más maduras que se destacan en este documento, no significa que pueda tomarse un año sabático extenso. Incluso los defensores más sofisticados saben que su trabajo nunca termina.<?p>
El objetivo final, independientemente de qué estilo se ajuste más al suyo, es seguir evolucionando hacia un nivel de madurez superior. Sabemos que no es fácil. Los profesionales de la ciberseguridad arrastran un gran bagaje histórico. Está lidiando con la tecnología y las dependencias heredadas junto con las complejidades de gestionar una cartera de tecnologías emergentes en aumento y constante evolución. Mientras tanto, el entorno de amenazas se ha intensificado, en gran medida, durante los últimos años. Y todo esto sucede en un contexto de presiones comerciales de la competencia.
Cuando se trata de ciberseguridad, hemos alcanzado la velocidad de escape, y la mayoría de las organizaciones ahora lo saben.
Nuestro Informe de Estrategias del Defensor Cibernético brinda recomendaciones para cada estilo de VA a fin de ayudarlo a alcanzar el próximo nivel de madurez. También evaluamos cómo se distribuyen estos cuatro estilos de VA a través de las verticales más importantes de la industria y según el tamaño de la organización para que pueda compararse con sus pares. Haga clic para descargar el informe completo.
Para obtener más información:
- Informe de Estrategias del Defensor Cibernético: qué revelan sus prácticas de evaluación de vulnerabilidades.
- Cuantificación de la ventaja del atacante como primero en actuar.
- Cyber Exposure: la nueva métrica de riesgos críticos para su empresa.
- Cyber Exposure For Dummies (Aspectos básicos de la Cyber Exposure).
Artículos relacionados
- Reports
- Research Reports
- Vulnerability Management
- Vulnerability Scanning