Facebook Google Plus Twitter LinkedIn YouTube RSS Menu Search Resource - BlogResource - WebinarResource - ReportResource - Eventicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir

Detengan las rotativas: La cobertura de los medios de comunicación como medida de priorización para la gestión de vulnerabilidades

Nos preguntamos si la cobertura de los medios de comunicación de las vulnerabilidades, cambiaba la forma en que las compañías llevan a cabo la gestión de vulnerabilidades. Así que les preguntamos a ellas. Esto es lo que nos dijeron.

En los círculos técnicos, las vulnerabilidades siempre han sido noticia. Sin embargo, ahora con más frecuencia, las vulnerabilidades aparecen en las noticias de los principales medios de comunicación. Se tratan periódicamente en publicaciones de negocios que leen los líderes de las compañías que, de otro modo, no estarían involucrados en lo esencial de la gestión de vulnerabilidades. 

El 2018 fue un gran año para las vulnerabilidades en los medios de comunicación. Empezó inmediatamente con Meltdown y Spectre en enero, parecía que la cobertura nunca se detendría. Al ver esto, nos preguntamos si esta cobertura cambiaba la forma en que las compañías llevaban a cabo la gestión de vulnerabilidades y cómo lo hacía. Así que les preguntamos a ellas. Durante las amplias entrevistas aplicadas a CISOs y analistas de seguridad, nos aseguramos de preguntarles sobre sus experiencias con las vulnerabilidades en las noticias.

Preguntamos a los entrevistados: "¿La cobertura periodística de las vulnerabilidades afectó su trabajo? Si era así, ¿de qué manera?". 

La mayoría había experimentado algún tipo de interrupción en sus operaciones normales debido a la cobertura periodística de las vulnerabilidades. Los dos principales ejemplos dados fueron las vulnerabilidades de ejecución especulativa, Meltdown y Spectre, y Struts2. El informe completo, Las vulnerabilidades en los titulares: Cómo determina la percepción del riesgo la cobertura en los medios de comunicación, contiene detalles sobre estrategias, tácticas y desafíos que se desarrollaron al responder a estos incidentes. Nuestros hallazgos clave fueron los siguientes: 

  • Las vulnerabilidades de alto perfil no son solo una preocupación para los equipos de seguridad. Estas vulnerabilidades, sean o no técnicamente críticas, pueden plantear graves riesgos para la reputación y requieren una gestión de las relaciones con los clientes, los socios, los reguladores y otras partes interesadas clave. 
  • La cobertura de los medios de comunicación no es una medida objetiva para determinar la verdadera criticidad de una vulnerabilidad, en particular, en el contexto de una compañía específica. El papel de los medios de comunicación es investigar historias e informar sobre ellas, no realizar análisis de riesgos. Informarán sobre las vulnerabilidades que son interesantes, pero no necesariamente críticas. 
  • No obstante, aun así, la cobertura de los medios de comunicación puede influir en las evaluaciones integrales del riesgo. Si bien los equipos de seguridad están conscientes de que la cobertura de los medios de comunicación no es una medida ideal del riesgo técnico, deben hablar de su proceso de evaluación de riesgos con otras personas. También deben aceptar que el riesgo global que presenta una vulnerabilidad de menor gravedad podría requerir la adopción de medidas.
  • Parte de la función de un equipo de seguridad es gestionar el riesgo percibido y asesorar a las partes interesadas clave, especialmente a los responsables de la toma de decisiones de rango superior, y permitir una respuesta mesurada a las vulnerabilidades en función de la contextualización y no del despliegue publicitario. Los CISO deben estar equipados con datos de vulnerabilidades en el contexto adecuado para poder transmitir adecuadamente la Cyber Exposure de su organización a los líderes de negocios e invertir recursos de forma adecuada para reducir el riesgo.

Sin embargo, hay otro ángulo no contemplado en el informe que me gustaría analizar: no es solo la cobertura en la prensa de negocios lo que puede afectar la forma en que se realiza la gestión de vulnerabilidades. Los equipos de seguridad dan seguimiento a un conjunto mucho más amplio de canales que sus ejecutivos en materia de vulnerabilidades. Si bien los equipos de seguridad no utilizan esta cobertura como una única fuente de inteligencia de vulnerabilidades, puede usarse como una métrica (en combinación con otras) para la priorización. Examinemos ese aspecto del panorama de vulnerabilidades en los medios de comunicación. 

Panorama de vulnerabilidades en los medios de comunicación

Si bien el informe "Las vulnerabilidades en los titulares" se centra principalmente en cómo las organizaciones responden a la gran cobertura de los medios de comunicación, historias que alcanzan el nivel de The New York Times y las noticias en los informativos, el panorama de vulnerabilidades en los medios de comunicación abarca mucho más que solo esas historias. Si bien la presión para tener el mejor desempeño es mayor cuando el liderazgo ejecutivo o las juntas directivas toman conocimiento de una vulnerabilidad, los equipos de seguridad suelen utilizar la cobertura de los medios de comunicación como medida de la gravedad. Por lo general, la cobertura de los medios de comunicación aumentará la prioridad de una vulnerabilidad y esto es particularmente verdadero cuando se observa que los ataques circulan libremente. Por ejemplo, Atlassian publicó un aviso sobre vulnerabilidades en Confluence Server el 20 de marzo, que incluía una reparación para CVE-2019-3396. Sin embargo, no fue hasta que el código de prueba de concepto y la explotación de esta vulnerabilidad se hicieran públicos, que los medios de comunicación lo notaron. Aunque no llegue a hacer que una vulnerabilidad encabece la lista de prioridades, la cobertura de los medios de comunicación actúa como un punto de datos adicional para la priorización.

El Equipo de Respuesta de Seguridad (SRT) de Tenable da seguimiento a las vulnerabilidades en las noticias (y otras fuentes) y, desde principios de 2019, los medios de comunicación han cubierto casi todas las vulnerabilidades significativas dadas a conocer. Eso genera mucho alboroto, y los equipos de seguridad deben atender todo eso. La cobertura de los medios de comunicación es cada vez menos útil como medida, ya que el panorama de los medios de comunicación está cambiando. 

Al reflexionar sobre los cambios en el panorama de los medios de comunicación, Ryan Seguin, ingeniero de investigación del SRT, dijo: "Creo que durante los últimos cinco años, se ha diseminado tempestad de eventos en la industria. El primer gran impacto en la cobertura de vulnerabilidades de los medios de comunicación fue Heartbleed en 2014 y el segundo fue Twitter, que se convirtió en un método de comunicación común para los investigadores. Desde luego, Heartbleed no fue la primera vulnerabilidad en recibir un nombre impactante, pero, en mi experiencia anecdótica, su publicación creó una especie de fiebre del oro en la investigación de vulnerabilidades. Desde 2014, los investigadores se dedican cada vez más a ser la siguiente persona en descubrir la vulnerabilidad perfecta, digna de un magnífico informe y una deslumbrante página web. Además de dar a conocer mundialmente el nombre de quien los detecta y aumentar su credibilidad, los programas de recompensas de detección de errores también se han vuelto más lucrativos y organizados".Este cambio en la forma en que los investigadores divulgan su trabajo para competir por la atención, ha provocado que los medios de comunicación presenten las noticias escandalosas y abundantes que observamos actualmente.

Las vulnerabilidades y las tácticas analizadas en el informe, se alinean con el tema de interés de las salas de juntas que ha mantenido su popularidad en el ámbito de la ciberseguridad durante los últimos años. ¿De qué manera los equipos de seguridad reaccionan al aumento de la atención de directores y juntas directivas y cómo sacan provecho de ello? Particularmente en 2018, esa atención se centró en la gestión de vulnerabilidades. Ya sea que esta atención sea motivada por una historia en la prensa de negocios o por una publicación técnica como Bleeping Computer, los equipos de seguridad deben ser capaces de articular los riesgos que plantean las vulnerabilidades en términos que permitan a las partes interesadas clave tomar las mejores decisiones.

Vea: En Edge 2019, un panel de expertos habla del informe Las vulnerabilidades en los titulares

Actualización, 4 de junio de 2019: Hablamos de los hallazgos del informe en una sesión de Panel de expertos durante la conferencia de usuarios Edge 2019 de Tenable, que se llevó a cabo del 21 al 23 de mayo en Atlanta. La sesión fue moderada por Paul Roberts, Editor en Jefe de The Security Ledger, donde pude participar junto con: Kevin Kerr, CISO del Oak Ridge National Laboratory; Greg Kyrytschenko, Director de Servicios de Seguridad de Guardian; y Ramin Lamei, Director Sénior y Director de Seguridad de la Información de Global Payments. Vea la sesión completa a continuación:

Para obtener más información

Artículos relacionados

Noticias de ciberseguridad que le son útiles

Ingrese su correo electrónico y nunca se pierda alertas oportunas y orientación en seguridad de los expertos de Tenable.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable.

Su prueba de Tenable Vulnerability Management también incluye Tenable Lumin y Tenable Web App Scanning.

Tenable Vulnerability Management

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

100 activos

Seleccione su tipo de suscripción:

Comprar ahora

Probar Tenable Web App Scanning

Disfrute de acceso completo a nuestra última oferta de escaneo de aplicaciones web diseñada para aplicaciones modernas como parte de la plataforma Tenable One Exposure Management. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Registrarse ahora.

Su prueba de Tenable Web App Scanning también incluye Tenable Vulnerability Management y Tenable Lumin.

Comprar Tenable Web App Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Probar Tenable Lumin

Visualice y explore su gestión de exposición, realice un seguimiento de la reducción de riesgos a lo largo del tiempo y compárese con sus competidores con Tenable Lumin.

Su prueba de Tenable Lumin también incluye Tenable Vulnerability Management y Tenable Web App Scanning.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para saber cómo puede ayudarle Tenable Lumin a obtener información de toda su organización y gestionar el riesgo cibernético.

Probar Tenable Nessus Professional gratuitamente

GRATIS POR 7 DÍAS

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día.

NUEVO - Tenable Nessus Expert
Ahora disponible

Nessus Expert viene con aún más funcionalidades, incluyendo escaneo de superficie de ataque externa y la capacidad de agregar dominios y escanear infraestructura en la nube. Haga clic aquí para probar Nessus Expert.

Rellene el formulario a continuación para continuar con la prueba de Nessus Pro.

Comprar Tenable Nessus Professional

Tenable Nessus es el escáner de vulnerabilidades más completo en el mercado hoy en día. Tenable Nessus Professional ayudará a automatizar el proceso de escaneo de vulnerabilidades, ahorrará tiempo en sus ciclos de cumplimiento y le permitirá involucrar a su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año.

Seleccione su licencia

Compre una licencia multi anual y ahorre.

Añada soporte y capacitación

Probar Tenable Nessus Expert gratuitamente

GRATIS POR 7 DÍAS

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

¿Ya tiene Tenable Nessus Professional?
Actualice a Nessus Expert gratuitamente por 7 días.

Comprar Tenable Nessus Expert

Diseñado para la superficie de ataque moderna, Nessus Expert le permite ver más y proteger a su organización contra las vulnerabilidades, desde TI hasta la nube.

Seleccione su licencia

Compre una licencia plurianual y ahorre más.

Añada soporte y capacitación