Facebook Google Plus Twitter LinkedIn YouTube RSS Menú Buscar Recurso: BlogRecurso: Seminario webRecurso: InformeRecurso: Eventoicons_066 icons_067icons_068icons_069icons_070

Blog de Tenable

Suscribir
  • Twitter
  • Facebook
  • LinkedIn

Detengan las rotativas: La cobertura de los medios de comunicación como medida de priorización para la gestión de vulnerabilidades

Detengan las rotativas: La cobertura de los medios de comunicación como medida de priorización para la gestión de vulnerabilidades

Nos preguntamos si la cobertura de los medios de comunicación de las vulnerabilidades, cambiaba la forma en que las compañías llevan a cabo la gestión de vulnerabilidades. Así que les preguntamos a ellas. Esto es lo que nos dijeron.

En los círculos técnicos, las vulnerabilidades siempre han sido noticia. Sin embargo, ahora con más frecuencia, las vulnerabilidades aparecen en las noticias de los principales medios de comunicación. Se tratan periódicamente en publicaciones de negocios que leen los líderes de las compañías que, de otro modo, no estarían involucrados en lo esencial de la gestión de vulnerabilidades. 

El 2018 fue un gran año para las vulnerabilidades en los medios de comunicación. Empezó inmediatamente con Meltdown y Spectre en enero, parecía que la cobertura nunca se detendría. Al ver esto, nos preguntamos si esta cobertura cambiaba la forma en que las compañías llevaban a cabo la gestión de vulnerabilidades y cómo lo hacía. Así que les preguntamos a ellas. Durante las amplias entrevistas aplicadas a CISOs y analistas de seguridad, nos aseguramos de preguntarles sobre sus experiencias con las vulnerabilidades en las noticias.

Preguntamos a los entrevistados: "¿La cobertura periodística de las vulnerabilidades afectó su trabajo? Si era así, ¿de qué manera?". 

La mayoría había experimentado algún tipo de interrupción en sus operaciones normales debido a la cobertura periodística de las vulnerabilidades. Los dos principales ejemplos dados fueron las vulnerabilidades de ejecución especulativa, Meltdown y Spectre, y Struts2. El informe completo, Las vulnerabilidades en los titulares: Cómo determina la percepción del riesgo la cobertura en los medios de comunicación, contiene detalles sobre estrategias, tácticas y desafíos que se desarrollaron al responder a estos incidentes. Nuestros hallazgos clave fueron los siguientes: 

  • Las vulnerabilidades de alto perfil no son solo una preocupación para los equipos de seguridad. Estas vulnerabilidades, sean o no técnicamente críticas, pueden plantear graves riesgos para la reputación y requieren una gestión de las relaciones con los clientes, los socios, los reguladores y otras partes interesadas clave. 
  • La cobertura de los medios de comunicación no es una medida objetiva para determinar la verdadera criticidad de una vulnerabilidad, en particular, en el contexto de una compañía específica. El papel de los medios de comunicación es investigar historias e informar sobre ellas, no realizar análisis de riesgos. Informarán sobre las vulnerabilidades que son interesantes, pero no necesariamente críticas. 
  • No obstante, aun así, la cobertura de los medios de comunicación puede influir en las evaluaciones integrales del riesgo. Si bien los equipos de seguridad están conscientes de que la cobertura de los medios de comunicación no es una medida ideal del riesgo técnico, deben hablar de su proceso de evaluación de riesgos con otras personas. También deben aceptar que el riesgo global que presenta una vulnerabilidad de menor gravedad podría requerir la adopción de medidas.
  • Parte de la función de un equipo de seguridad es gestionar el riesgo percibido y asesorar a las partes interesadas clave, especialmente a los responsables de la toma de decisiones de rango superior, y permitir una respuesta mesurada a las vulnerabilidades en función de la contextualización y no del despliegue publicitario. Los CISO deben estar equipados con datos de vulnerabilidades en el contexto adecuado para poder transmitir adecuadamente la Cyber Exposure de su organización a los líderes de negocios e invertir recursos de forma adecuada para reducir el riesgo.

Sin embargo, hay otro ángulo no contemplado en el informe que me gustaría analizar: no es solo la cobertura en la prensa de negocios lo que puede afectar la forma en que se realiza la gestión de vulnerabilidades. Los equipos de seguridad dan seguimiento a un conjunto mucho más amplio de canales que sus ejecutivos en materia de vulnerabilidades. Si bien los equipos de seguridad no utilizan esta cobertura como una única fuente de inteligencia de vulnerabilidades, puede usarse como una métrica (en combinación con otras) para la priorización. Examinemos ese aspecto del panorama de vulnerabilidades en los medios de comunicación. 

Panorama de vulnerabilidades en los medios de comunicación

Si bien el informe "Las vulnerabilidades en los titulares" se centra principalmente en cómo las organizaciones responden a la gran cobertura de los medios de comunicación, historias que alcanzan el nivel de The New York Times y las noticias en los informativos, el panorama de vulnerabilidades en los medios de comunicación abarca mucho más que solo esas historias. Si bien la presión para tener el mejor desempeño es mayor cuando el liderazgo ejecutivo o las juntas directivas toman conocimiento de una vulnerabilidad, los equipos de seguridad suelen utilizar la cobertura de los medios de comunicación como medida de la gravedad. Por lo general, la cobertura de los medios de comunicación aumentará la prioridad de una vulnerabilidad y esto es particularmente verdadero cuando se observa que los ataques circulan libremente. Por ejemplo, Atlassian publicó un aviso sobre vulnerabilidades en Confluence Server el 20 de marzo, que incluía una reparación para CVE-2019-3396. Sin embargo, no fue hasta que el código de prueba de concepto y la explotación de esta vulnerabilidad se hicieran públicos, que los medios de comunicación lo notaron. Aunque no llegue a hacer que una vulnerabilidad encabece la lista de prioridades, la cobertura de los medios de comunicación actúa como un punto de datos adicional para la priorización.

El Equipo de Respuesta de Seguridad (SRT) de Tenable da seguimiento a las vulnerabilidades en las noticias (y otras fuentes) y, desde principios de 2019, los medios de comunicación han cubierto casi todas las vulnerabilidades significativas dadas a conocer. Eso genera mucho alboroto, y los equipos de seguridad deben atender todo eso. La cobertura de los medios de comunicación es cada vez menos útil como medida, ya que el panorama de los medios de comunicación está cambiando. 

Al reflexionar sobre los cambios en el panorama de los medios de comunicación, Ryan Seguin, ingeniero de investigación del SRT, dijo: "Creo que durante los últimos cinco años, se ha diseminado tempestad de eventos en la industria. El primer gran impacto en la cobertura de vulnerabilidades de los medios de comunicación fue Heartbleed en 2014 y el segundo fue Twitter, que se convirtió en un método de comunicación común para los investigadores. Desde luego, Heartbleed no fue la primera vulnerabilidad en recibir un nombre impactante, pero, en mi experiencia anecdótica, su publicación creó una especie de fiebre del oro en la investigación de vulnerabilidades. Desde 2014, los investigadores se dedican cada vez más a ser la siguiente persona en descubrir la vulnerabilidad perfecta, digna de un magnífico informe y una deslumbrante página web. Además de dar a conocer mundialmente el nombre de quien los detecta y aumentar su credibilidad, los programas de recompensas de detección de errores también se han vuelto más lucrativos y organizados".Este cambio en la forma en que los investigadores divulgan su trabajo para competir por la atención, ha provocado que los medios de comunicación presenten las noticias escandalosas y abundantes que observamos actualmente.

Las vulnerabilidades y las tácticas analizadas en el informe, se alinean con el tema de interés de las salas de juntas que ha mantenido su popularidad en el ámbito de la ciberseguridad durante los últimos años. ¿De qué manera los equipos de seguridad reaccionan al aumento de la atención de directores y juntas directivas y cómo sacan provecho de ello? Particularmente en 2018, esa atención se centró en la gestión de vulnerabilidades. Ya sea que esta atención sea motivada por una historia en la prensa de negocios o por una publicación técnica como Bleeping Computer, los equipos de seguridad deben ser capaces de articular los riesgos que plantean las vulnerabilidades en términos que permitan a las partes interesadas clave tomar las mejores decisiones.

Vea: En Edge 2019, un panel de expertos habla del informe Las vulnerabilidades en los titulares

Actualización, 4 de junio de 2019: Hablamos de los hallazgos del informe en una sesión de Panel de expertos durante la conferencia de usuarios Edge 2019 de Tenable, que se llevó a cabo del 21 al 23 de mayo en Atlanta. La sesión fue moderada por Paul Roberts, Editor en Jefe de The Security Ledger, donde pude participar junto con: Kevin Kerr, CISO del Oak Ridge National Laboratory; Greg Kyrytschenko, Director de Servicios de Seguridad de Guardian; y Ramin Lamei, Director Sénior y Director de Seguridad de la Información de Global Payments. Vea la sesión completa a continuación:

Para obtener más información

Artículos relacionados

¿Es usted vulnerable a los últimos exploits?

Ingrese su correo electrónico para recibir las últimas alertas de Cyber Exposure en su bandeja de entrada.

Solución de prueba Compre ahora
Tenable.io GRATIS DURANTE 30 DÍAS

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Regístrese ahora.

Tenable.io COMPRE

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

65 activos

Seleccione su tipo de suscripción:

Comprar ahora
Solución de prueba Compre ahora

Pruebe Nessus Professional gratis

GRATIS DURANTE 7 DÍAS

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre Nessus Professional

Nessus® es el analizador de vulnerabilidades más completo en el mercado actual. Nessus Professional le ayudará a automatizar el proceso de análisis de vulnerabilidades, le ahorrará tiempo en sus ciclos de cumplimiento y permitirá la participación su equipo de TI.

Compre una licencia multi anual y ahorre. Agregue Soporte Avanzado para acceder a soporte por teléfono, chat y a través de la Comunidad las 24 horas del día, los 365 días del año. Más detalles aquí.

Solución de prueba Compre ahora

Pruebe Tenable.io Web Application Scanning

GRATIS POR 30 DÍAS

Disfrute el acceso completo a nuestra oferta de productos más recientes para el escaneo de aplicaciones web diseñados para aplicaciones modernas como parte de la plataforma Tenable.io. Escanee de manera segura todo su portafolio en línea para detectar vulnerabilidades con alto grado de exactitud sin el esfuerzo manual intensivo ni la interrupción de aplicaciones web críticas. Regístrese ahora.

Adquiera Tenable.io Web Application Scanning

Disfrute el acceso completo a una plataforma moderna para la gestión de vulnerabilidades en la nube, que le permite ver y rastrear todos sus activos con una precisión inigualable. Compre una suscripción anual hoy mismo.

5 FQDN

USD 3578

Comprar ahora

Versión de prueba Compre ahora

Pruebe Tenable.io Container Security

GRATIS POR 30 DÍAS

Disfrute del acceso sin límites a la única oferta de productos para la seguridad de contenedores integrada en una plataforma de gestión de vulnerabilidades. Supervisa imágenes de contenedores para detectar vulnerabilidades, malware e infracciones a las políticas. Integración con sistemas de implementación continua (CI/CD) para respaldar las prácticas de las operaciones de desarrollo, fortalecer la seguridad y respaldar el cumplimiento con las políticas empresariales.

Adquiera Tenable.io Container Security

Tenable.io Container Security permite de forma fácil y segura procesos de DevOps al ofrecer visibilidad sobre la seguridad de las imágenes de contenedores, incluyendo vulnerabilidades, malware e infracciones a políticas, mediante la integración con el proceso de desarrollo.

Versión de prueba Compre ahora

Probar Tenable Lumin

GRATIS POR 30 DÍAS

Con Tenable Lumin, visualice y explore su Cyber Exposure, dé seguimiento a la reducción del riesgo con el tiempo y compárela con la de sus competidores.

Comprar ahora Tenable Lumin

Póngase en contacto con un representante de ventas para averiguar cómo Lumin puede ayudarle a obtener información de toda su organización y gestionar el riesgo cibernético.