Detengan las rotativas: La cobertura de los medios de comunicación como medida de priorización para la gestión de vulnerabilidades
por Claire Tills
Página de inicio del Blog / Investigación
Nos preguntamos si la cobertura de los medios de comunicación de las vulnerabilidades, cambiaba la forma en que las compañías llevan a cabo la gestión de vulnerabilidades. Así que les preguntamos a ellas. Esto es lo que nos dijeron.
En los círculos técnicos, las vulnerabilidades siempre han sido noticia. Sin embargo, ahora con más frecuencia, las vulnerabilidades aparecen en las noticias de los principales medios de comunicación. Se tratan periódicamente en publicaciones de negocios que leen los líderes de las compañías que, de otro modo, no estarían involucrados en lo esencial de la gestión de vulnerabilidades.
El 2018 fue un gran año para las vulnerabilidades en los medios de comunicación. Empezó inmediatamente con Meltdown y Spectre en enero, parecía que la cobertura nunca se detendría. Al ver esto, nos preguntamos si esta cobertura cambiaba la forma en que las compañías llevaban a cabo la gestión de vulnerabilidades y cómo lo hacía. Así que les preguntamos a ellas. Durante las amplias entrevistas aplicadas a CISOs y analistas de seguridad, nos aseguramos de preguntarles sobre sus experiencias con las vulnerabilidades en las noticias.
Preguntamos a los entrevistados: "¿La cobertura periodística de las vulnerabilidades afectó su trabajo? Si era así, ¿de qué manera?".
La mayoría había experimentado algún tipo de interrupción en sus operaciones normales debido a la cobertura periodística de las vulnerabilidades. Los dos principales ejemplos dados fueron las vulnerabilidades de ejecución especulativa, Meltdown y Spectre, y Struts2. El informe completo, Las vulnerabilidades en los titulares: Cómo determina la percepción del riesgo la cobertura en los medios de comunicación, contiene detalles sobre estrategias, tácticas y desafíos que se desarrollaron al responder a estos incidentes. Nuestros hallazgos clave fueron los siguientes:
- Las vulnerabilidades de alto perfil no son solo una preocupación para los equipos de seguridad. Estas vulnerabilidades, sean o no técnicamente críticas, pueden plantear graves riesgos para la reputación y requieren una gestión de las relaciones con los clientes, los socios, los reguladores y otras partes interesadas clave.
- La cobertura de los medios de comunicación no es una medida objetiva para determinar la verdadera criticidad de una vulnerabilidad, en particular, en el contexto de una compañía específica. El papel de los medios de comunicación es investigar historias e informar sobre ellas, no realizar análisis de riesgos. Informarán sobre las vulnerabilidades que son interesantes, pero no necesariamente críticas.
- No obstante, aun así, la cobertura de los medios de comunicación puede influir en las evaluaciones integrales del riesgo. Si bien los equipos de seguridad están conscientes de que la cobertura de los medios de comunicación no es una medida ideal del riesgo técnico, deben hablar de su proceso de evaluación de riesgos con otras personas. También deben aceptar que el riesgo global que presenta una vulnerabilidad de menor gravedad podría requerir la adopción de medidas.
- Parte de la función de un equipo de seguridad es gestionar el riesgo percibido y asesorar a las partes interesadas clave, especialmente a los responsables de la toma de decisiones de rango superior, y permitir una respuesta mesurada a las vulnerabilidades en función de la contextualización y no del despliegue publicitario. Los CISO deben estar equipados con datos de vulnerabilidades en el contexto adecuado para poder transmitir adecuadamente la Cyber Exposure de su organización a los líderes de negocios e invertir recursos de forma adecuada para reducir el riesgo.
Sin embargo, hay otro ángulo no contemplado en el informe que me gustaría analizar: no es solo la cobertura en la prensa de negocios lo que puede afectar la forma en que se realiza la gestión de vulnerabilidades. Los equipos de seguridad dan seguimiento a un conjunto mucho más amplio de canales que sus ejecutivos en materia de vulnerabilidades. Si bien los equipos de seguridad no utilizan esta cobertura como una única fuente de inteligencia de vulnerabilidades, puede usarse como una métrica (en combinación con otras) para la priorización. Examinemos ese aspecto del panorama de vulnerabilidades en los medios de comunicación.
Panorama de vulnerabilidades en los medios de comunicación
Si bien el informe "Las vulnerabilidades en los titulares" se centra principalmente en cómo las organizaciones responden a la gran cobertura de los medios de comunicación, historias que alcanzan el nivel de The New York Times y las noticias en los informativos, el panorama de vulnerabilidades en los medios de comunicación abarca mucho más que solo esas historias. Si bien la presión para tener el mejor desempeño es mayor cuando el liderazgo ejecutivo o las juntas directivas toman conocimiento de una vulnerabilidad, los equipos de seguridad suelen utilizar la cobertura de los medios de comunicación como medida de la gravedad. Por lo general, la cobertura de los medios de comunicación aumentará la prioridad de una vulnerabilidad y esto es particularmente verdadero cuando se observa que los ataques circulan libremente. Por ejemplo, Atlassian publicó un aviso sobre vulnerabilidades en Confluence Server el 20 de marzo, que incluía una reparación para CVE-2019-3396. Sin embargo, no fue hasta que el código de prueba de concepto y la explotación de esta vulnerabilidad se hicieran públicos, que los medios de comunicación lo notaron. Aunque no llegue a hacer que una vulnerabilidad encabece la lista de prioridades, la cobertura de los medios de comunicación actúa como un punto de datos adicional para la priorización.
El Equipo de Respuesta de Seguridad (SRT) de Tenable da seguimiento a las vulnerabilidades en las noticias (y otras fuentes) y, desde principios de 2019, los medios de comunicación han cubierto casi todas las vulnerabilidades significativas dadas a conocer. Eso genera mucho alboroto, y los equipos de seguridad deben atender todo eso. La cobertura de los medios de comunicación es cada vez menos útil como medida, ya que el panorama de los medios de comunicación está cambiando.
Al reflexionar sobre los cambios en el panorama de los medios de comunicación, Ryan Seguin, ingeniero de investigación del SRT, dijo: "Creo que durante los últimos cinco años, se ha diseminado tempestad de eventos en la industria. El primer gran impacto en la cobertura de vulnerabilidades de los medios de comunicación fue Heartbleed en 2014 y el segundo fue Twitter, que se convirtió en un método de comunicación común para los investigadores. Desde luego, Heartbleed no fue la primera vulnerabilidad en recibir un nombre impactante, pero, en mi experiencia anecdótica, su publicación creó una especie de fiebre del oro en la investigación de vulnerabilidades. Desde 2014, los investigadores se dedican cada vez más a ser la siguiente persona en descubrir la vulnerabilidad perfecta, digna de un magnífico informe y una deslumbrante página web. Además de dar a conocer mundialmente el nombre de quien los detecta y aumentar su credibilidad, los programas de recompensas de detección de errores también se han vuelto más lucrativos y organizados".Este cambio en la forma en que los investigadores divulgan su trabajo para competir por la atención, ha provocado que los medios de comunicación presenten las noticias escandalosas y abundantes que observamos actualmente.
Las vulnerabilidades y las tácticas analizadas en el informe, se alinean con el tema de interés de las salas de juntas que ha mantenido su popularidad en el ámbito de la ciberseguridad durante los últimos años. ¿De qué manera los equipos de seguridad reaccionan al aumento de la atención de directores y juntas directivas y cómo sacan provecho de ello? Particularmente en 2018, esa atención se centró en la gestión de vulnerabilidades. Ya sea que esta atención sea motivada por una historia en la prensa de negocios o por una publicación técnica como Bleeping Computer, los equipos de seguridad deben ser capaces de articular los riesgos que plantean las vulnerabilidades en términos que permitan a las partes interesadas clave tomar las mejores decisiones.
Vea: En Edge 2019, un panel de expertos habla del informe Las vulnerabilidades en los titulares
Actualización, 4 de junio de 2019: Hablamos de los hallazgos del informe en una sesión de Panel de expertos durante la conferencia de usuarios Edge 2019 de Tenable, que se llevó a cabo del 21 al 23 de mayo en Atlanta. La sesión fue moderada por Paul Roberts, Editor en Jefe de The Security Ledger, donde pude participar junto con: Kevin Kerr, CISO del Oak Ridge National Laboratory; Greg Kyrytschenko, Director de Servicios de Seguridad de Guardian; y Ramin Lamei, Director Sénior y Director de Seguridad de la Información de Global Payments. Vea la sesión completa a continuación:
Para obtener más información
- Descargue el informe Las vulnerabilidades en los titulares: Cómo determina la percepción del riesgo la cobertura en los medios de comunicación.
- Asista al seminario web, Tenable Research analiza las vulnerabilidades que llegan a los titulares: ¿la publicidad sesga la percepción?, el 19 de junio a las 2:00 p. m., hora del Este.
- ¿Desea ver más videos de Edge 2019? Haga clic aquí.
Artículos relacionados
Cybersecurity Snapshot: Find MITRE ATT&CK Complex? Need Help Mapping to It? There’s an App for That!
March 10, 2023Learn about a new tool that streamlines MITRE ATT&CK mapping. Plus, known vulnerabilities remain a major cyber risk – just ask LastPass. Also, discover why SaaS data protection remains difficult. Plus, a look at the U.S. National Cybersecurity Strategy. And much more!
The Ransomware Ecosystem: In Pursuit of Fame and Fortune
July 28, 2022The key players within the ransomware ecosystem, including affiliates and initial access brokers, work together cohesively like a band of musicians, playing their respective parts as they strive for fame and fortune.
Brazen, Unsophisticated and Illogical: Understanding the LAPSUS$ Extortion Group
July 20, 2022Having gained the industry’s attention in the first months of 2022, the LAPSUS$ extortion group has largely gone quiet. What can we learn from this extortion group’s story and tactics?
Cybersecurity Snapshot: Latest MITRE ATT&CK Update Offers Security Insights on GenAI, Identity, Cloud and CI/CD
April 26, 2024Check out what’s new in Version 15 of the MITRE ATT&CK knowledge base of adversary tactics, techniques and procedures. Plus, learn the latest details about the Change Healthcare breach, including the massive scope of the data exfiltration. In addition, why AI cyberthreats aren’t impacting CISOs’ budgets. And much more!
CVE-2024-20353, CVE-2024-20359: Frequently Asked Questions About ArcaneDoor
April 25, 2024Frequently asked questions about CVE-2024-20353 and CVE-2024-20359, two vulnerabilities associated with “ArcaneDoor,” the espionage-related campaign targeting Cisco Adaptive Security Appliances.
CVE-2024-4040: CrushFTP Virtual File System (VFS) Sandbox Escape Vulnerability Exploited
April 23, 2024A zero-day vulnerability in CrushFTP was exploited in the wild against multiple U.S. entities prior to fixed versions becoming available as the vendor recommends customers upgrade as soon as possible.
- Threat Intelligence
- Threat Management
- Vulnerability Management
- Vulnerability Scanning