Cómo la gestión de vulnerabilidades basada en el riesgo impulsa su postura de seguridad para entornos de TI modernos

La evaluación de vulnerabilidades y la gestión de vulnerabilidades suelen confundirse, pero son dos cosas distintas. De acuerdo al documento técnico de Enterprise Strategy Group: "es fundamental comprender sus diferencias y cambiar de evaluaciones de vulnerabilidades ad hoc a una gestión de vulnerabilidades basada en el riesgo (RBVM) continua". Lea el documento para conocer los puntos destacados de este estudio encomendado por Tenable y enterarse de cómo la RBVM ayuda a las organizaciones a adoptar una postura robusta de seguridad y riesgo en entornos multinube híbridos y complejos.

No confunda las evaluaciones de vulnerabilidades con la gestión de vulnerabilidades.

Para gestionar eficazmente los riesgos de seguridad, necesita una gestión de vulnerabilidades continua e integral, no solo evaluaciones de vulnerabilidades de punto en el tiempo que se llevan a cabo periódicamente o ad hoc. Aunque las evaluaciones de vulnerabilidades son importantes, solo forman parte de un programa más amplio de gestión de vulnerabilidades para reducir los riesgos y mejorar la postura de seguridad en los entornos de TI modernos.  

Este es el enfoque de un nuevo documento técnico elaborado por Enterprise Strategy Group (ESG) y encomendado por Tenable que se titula: Elevating Security with Risk-based Vulnerability Management (Eleve su seguridad con gestión de vulnerabilidades basada en el riesgo). El informe detalla los motivos por los que usted necesita un programa de gestión de vulnerabilidades basada en el riesgo (RBVM) que no solo evalúe las vulnerabilidades, sino que también involucre priorizar, tomar medidas, reevaluar e incorporar mejoras. En esta publicación de blog, profundizaremos en algunos puntos importantes clave del informe. 

¿Qué son las evaluaciones de vulnerabilidades y cuáles son sus limitaciones? 

ESG define las evaluaciones de vulnerabilidades como “escaneos en la red de punto en el tiempo que se emplean para detectar activos de TI y aplicaciones con sus vulnerabilidades asociadas”. Al depender de estas evaluaciones periódicas, las organizaciones tienen problemas para hacer un seguimiento completo y medir el éxito de su programa. Usualmente no pueden responder a preguntas importantes como las siguientes: 

• ¿Escaneamos el 100 % de los activos que están en el entorno? 
• ¿Abordamos todas las vulnerabilidades críticas de manera oportuna? 
• ¿Estamos reduciendo en riesgo general? 

Sin respuestas a preguntas como estas, las organizaciones no pueden determinar el impacto a largo plazo de sus esfuerzos.  

Con la adopción de servicios en la nube, dispositivos de IoT, sistemas de tecnología operativa (OT), puntos de conexión móviles y más, las organizaciones deben gestionar y proteger entornos multinube híbridos y altamente complejos. Debido a que las herramientas de evaluación de vulnerabilidades están diseñadas para escanear un entorno de TI a la vez, las organizaciones que dependen de dichas herramientas tradicionales muchas veces deben realizar múltiples escaneos individuales para poder cubrir la totalidad de sus entornos. Incluso entonces, la visibilidad completa de los activos sigue siendo un desafío con las herramientas tradicionales que no están diseñadas para detectar y proteger activos modernos como máquinas virtuales, contenedores, infraestructura en la nube y cargas de trabajo efímeras.

Los resultados de los escaneos deben ser agregados posteriormente a una única ubicación para priorizar y corregir. Las herramientas de evaluación de vulnerabilidades tienen problemas con la automatización de los flujos de trabajo, que puede ser muy cara para las organizaciones. Como se menciona en el documento técnico de ESG: “Las herramientas tradicionales en sí mismas pueden ser más baratas, pero las horas hombre necesarias para poder actuar productivamente con base en los hallazgos acaban siendo más caras que lo que se ahorra en software”. 

Los mayores desafíos de un programa de gestión de vulnerabilidades

De acuerdo a la encuesta de ESG aplicada a 383 profesionales de TI y de ciberseguridad, los tres principales desafíos que enfrentan las organizaciones en sus procesos y herramientas actuales de gestión de vulnerabilidades son los siguientes:

• La automatización de procesos como la detección, priorización y mitigación de vulnerabilidades.
• Hacer el seguimiento de vulnerabilidades que carecen de parches o de las que no se les pueden colocar parches.
• Problemas para coordinar procesos de gestión de vulnerabilidades a lo largo de diferentes herramientas. 

Estos datos demuestran la necesidad de una solución de gestión de vulnerabilidades que vaya más allá de la evaluación de vulnerabilidades tradicional. Una solución que proporcione capacidades robustas de automatización de flujos de trabajo, priorización basada en el riesgo efectiva y eficiente, y recursos para cerrar la brecha entre los equipos de seguridad y de corrección.  

Los beneficios de la gestión de vulnerabilidades basada en el riesgo continua 

La adopción de un programa de gestión de vulnerabilidades basada en el riesgo, es fundamental para obtener una reducción del riesgo más eficaz y para poder adoptar una mejor postura de seguridad. 

Para adoptar un abordaje basado en el riesgo hacia la gestión de vulnerabilidades, ESG destaca tres elementos que son necesarios para contextualizar las vulnerabilidades y priorizar el riesgo de manera eficaz y eficiente: 

1. Impacto: si una vulnerabilidad es explotada con éxito, es necesario comprender el impacto en el activo afectado y en la organización en su totalidad.
2. Probabilidad de explotación: el comprender qué vulnerabilidades se están explotando activamente en la realidad y qué vulnerabilidades se pueden explotar fácilmente es un factor importante en sus esfuerzos de priorización. 
3. Valor del activo: este factor se ha hecho más complejo durante los últimos años, ya que el valor de los activos ya no se trata solo de determinar qué sistemas están ejecutando software crítico. El valor del activo también tiene que ver con los datos de identidad y con los permisos y roles otorgados a los usuarios de un sistema. 

El hacer madurar el programa de gestión de vulnerabilidades de su organización y convertirlo en un programa proactivo e integral para la reducción efectiva del riesgo, le permitirá satisfacer mejor las necesidades de las cargas de trabajo modernas. Para obtener más información acerca de los descubrimientos de ESG, descargue el documento técnico completo hoy mismo. 

Cómo puede ayudar Tenable Vulnerability Management 

Tenable Vulnerability Management es una plataforma de gestión de vulnerabilidades basada en el riesgo que proporciona un abordaje moderno y eficaz para la resolución de los mayores desafíos de gestión de vulnerabilidades de hoy en día. 

Gestionado en la nube y con tecnología de Tenable Nessus, Tenable Vulnerability Management brinda la más amplia cobertura de vulnerabilidades de la industria con evaluaciones continuas en tiempo real de las organizaciones y visibilidad completa del ecosistema para predecir ataques y responder rápidamente a las vulnerabilidades críticas. 

Para obtener más información de Tenable Vulnerability Management, inicie su prueba gratuita hoy mismo y descargue el documento técnico: Elevating Security with Risk-based Vulnerability Management (Eleve su seguridad con gestión de vulnerabilidades basada en el riesgo).