Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Un enfoque limitado a las CVE deja a las organizaciones vulnerables a los ataques

Un enfoque limitado a las CVE deja a las organizaciones vulnerables a los ataques

Las CWE y otras vulnerabilidades necesitan un tablero de control único para una evaluación completa de los riesgos cibernéticos 

Una cantidad cada vez mayor de profesionales de ciberseguridad hicieron evolucionar sus programas de gestión de vulnerabilidades tradicional para incorporar la priorización de los esfuerzos de corrección en función de las vulnerabilidades que representan el mayor riesgo para la organización. Aunque esto es, sin duda, un paso en la dirección correcta, para la mayoría de las organizaciones implica enfocarse exclusivamente en las vulnerabilidades y exploits comunes (CVE). 

La inmensa mayoría del sector de la ciberseguridad cree que las CVE y las vulnerabilidades son lo mismo, es decir, términos que se pueden usar indistintamente. Sin embargo, el término "vulnerabilidad" puede definirse como una debilidad en un sistema de información, en los procedimientos de seguridad del sistema, en los controles internos o en la implementación que una fuente de amenazas podría explotar o desencadenar. En otras palabras, una vulnerabilidad es cualquier cosa que haga que su organización sea susceptible de sufrir un ataque cibernético. 

Si bien una CVE sin parches se ajusta a la definición anterior, no es lo único que hace. A los adversarios no les importa cómo entrar, solo quieren hacerlo. Tomarán la ruta de menor resistencia para conseguir cualquier acceso que puedan obtener. Los ladrones pueden preferir la puerta trasera para entrar a robar, pero estarán encantados de aprovechar una ventana abierta de la planta baja si se le presenta la oportunidad. Por tal motivo, es fundamental detectar y comprender todas sus vulnerabilidades y, posteriormente, desarrollar un plan completo para resolverlas.

Esta lista no es exhaustiva, pero a continuación, encontrará algunas de las principales vulnerabilidades que se deben tener en cuenta:

  • Enumeración de debilidades comunes (CWE)
  • Los principales 10 riesgos de seguridad de Open Web Application Security Project (OWASP)
  • Vulnerabilidades de día cero
  • Errores o configuraciones incorrectas en la gestión de los accesos
  • Errores de configuración de la red/infraestructura
  • Errores de configuración accidentales o intencionales en entornos industriales

Cada una de estas vulnerabilidades, o fallas, se produce en segmentos muy diferentes de la superficie de ataque. Cada una de ellas representa un conjunto único de desafíos que requieren habilidades distintas para gestionarlos de manera eficaz. Las vulnerabilidades de los activos de hardware en los entornos de TI convencionales suelen ser CVE que se identificaron y definieron previamente. Por lo tanto, los profesionales de la seguridad pueden determinar el nivel de riesgo que cada una presenta para la organización, y el departamento de TI puede ponerse a trabajar directamente en la neutralización de la amenaza con los parches adecuados y otros métodos de corrección prescritos.

Las enumeraciones de debilidades comunes (CWE), por otro lado, consisten en las vulnerabilidades predominantes que se encuentran en las aplicaciones web personalizadas, las aplicaciones compiladas y el hardware. Las CWE representan el tipo o categoría subyacente de una vulnerabilidad, en vez de una instancia específica. De hecho, cada instancia de una CWE suele ser única, lo cual significa que los esfuerzos de corrección se deben personalizar para cada instancia. No hay tantas CWE basadas en aplicaciones como CVE basadas en hardware, pero una CWE puede requerir tiempo y recursos en un grado mucho mayor para poder mitigarla de manera eficaz.

Tenga en cuenta que estos son solo dos ejemplos de los muchos tipos de vulnerabilidades a los que se enfrentan las organizaciones. Si a esto le añadimos las vulnerabilidades de día cero y la amplia gama de errores de configuración que probablemente existan a lo largo de su superficie de ataque, en breve habrá demasiadas vulnerabilidades para que los equipos de seguridad puedan gestionarlas de manera eficaz. Es especialmente difícil porque la mayoría utiliza herramientas diferentes para cada tipo de vulnerabilidad y evalúa manualmente muchas de ellas.

Tal vez el aspecto más difícil de la gestión eficaz de todas sus vulnerabilidades sea detectarlas y evaluarlas en primer lugar. Dado que cada tipo de vulnerabilidad es único, por lo general, se requieren herramientas especializadas para identificar correctamente cada una de ellas. Las herramientas de gestión de vulnerabilidades son excelentes para las CVE, pero necesita un escáner de aplicaciones para las aplicaciones web. Asimismo, los entornos industriales requieren herramientas especialmente diseñadas para dichos entornos. Por supuesto, los errores de configuración varían drásticamente, según el entorno o el grupo de activos que se evalúe.

Con todos estos datos dispares, que proceden de múltiples segmentos de la superficie de ataque, es casi imposible que los seres humanos puedan evaluarlos a todos manualmente y priorizarlos en función de cuál representa el mayor riesgo inmediato para la organización. Para tener éxito, los equipos necesitan una única plataforma que pueda unificar todos estos datos y evaluarlos conjuntamente mediante algoritmos de aprendizaje automático, inteligencia contextual y análisis predictivo, a fin de ayudar a priorizar lo que se debe corregir primero.

Una plataforma completa que detecte y evalúe los datos de seguridad de toda la organización le permite hacer lo siguiente:

  • Ir más allá de las CVE para comprender con precisión todo el entorno
  • Ver todas las vulnerabilidades en contexto para tomar decisiones más sólidas sobre la mitigación de riesgos
  • Alinear mejor los esfuerzos del equipo de seguridad con las audiencias no técnicas del área de negocios, a fin de mostrar una mayor relevancia para la organización
  • Mejorar los procesos de seguridad para ser más proactivos y estratégicos

Por lo tanto, si bien la evaluación y la corrección de las CVE son, por cierto, pasos esenciales para reducir el riesgo cibernético, una estrategia de seguridad completa requiere que se aborden todas las debilidades.

Más información

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.