Informe de inteligencia de vulnerabilidades: un enfoque centrado en las amenazas para la priorización

Tenable Research se dispuso a brindar a las organizaciones los datos reales que necesitan para adoptar un enfoque centrado en las amenazas para la gestión de vulnerabilidades.

Hasta ahora han sido difíciles de discernir la información del verdadero estado de la Cyber Exposure (cómo actúan, en realidad, los defensores, no cómo piensan o dicen que son).

El Informe de inteligencia de vulnerabilidades de reciente publicación brinda una descripción general de las tendencias actuales de revelación de vulnerabilidades y la información sobre la demografía de vulnerabilidades reales en entornos empresariales. El informe analiza la preponderancia de las vulnerabilidades que circulan libremente en función de la cantidad de empresas afectadas para resaltar las vulnerabilidades que enfrenta los profesionales de la seguridad en la práctica, no solo en teoría.

Los equipos de ciberseguridad se enfrentan al desafío de determinar qué vulnerabilidades representan realmente un riesgo, ya que el 61 % de todas las vulnerabilidades detectadas en entornos empresariales están calificadas como de alta gravedad. Deben priorizar las vulnerabilidades más críticas para maximizar los recursos de reparación que son limitados. Cuando todo es urgente, la selección de prioridades falla.

Es crítico poner en marcha una mejor priorización

A fin de priorizar, las organizaciones primero deben comprender mejor el impacto real, no teórico, de las vulnerabilidades. CVSS tiene sus defectos como métrica de priorización. Carece de granularidad en escala y volumen, ya que la mayoría de las vulnerabilidades se clasifican como de gravedad alta o crítica. El cambio de CVSSv2 a CVSSv3 solo se suma al problema, dado que la mayoría de las vulnerabilidades ahora se registran como "Altas" o "Críticas".

El sentido común indica que si todo parece importante, entonces nada lo es, y que se necesita una mejor manera de priorizar. Dicha información debe incorporar el contexto, como la inteligencia de amenazas, para que las organizaciones puedan priorizar las vulnerabilidades en función de las amenazas reales "que circulan libremente".

Tenable Research está dispuesto a brindar tal información en el Informe de inteligencia de vulnerabilidades .

El informe analiza la preponderancia de las vulnerabilidades en función de la cantidad máxima de empresas afectadas en un solo día para resaltar las vulnerabilidades que enfrentan diariamente los profesionales de la seguridad.

Todos los días, una empresa detecta, en promedio, 870 CVE en 960 activos. Esto significa que las metodologías de priorización en función de la reparación de solo CVE de gravedad alta aún dejan a la empresa promedio con más de 548 vulnerabilidades por día para evaluar y priorizar, a menudo, en varios sistemas.

Esto significa que las metodologías de priorización en función de la reparación de las CVE críticas aún dejan a la empresa promedio con más de 100 vulnerabilidades por día para priorizar por parche, a menudo, en varios sistemas. El problema se suma al hecho de que las vulnerabilidades no definidas como "críticas" (es decir, con una puntuación CVSS inferior a 9) pueden tener un efecto catastrófico, por ejemplo, WannaCry explotó una vulnerabilidad con una puntuación inferior a 9 (la vulnerabilidad se clasificó como 8,5).

Este estudio confirma que la gestión de vulnerabilidades es un desafío de escala, velocidad y volumen. No es solo un desafío de ingeniería, sino que exige una visión centrada en las amenazas para priorizar miles de vulnerabilidades que superficialmente todas parecen ser iguales.

El informe presenta el Gráfico de las 20 Principales Vulnerabilidades que brinda información sobre las vulnerabilidades que más prevalecen y que existen en las empresas. El gráfico utiliza datos de telemetría genuinos para revelar qué vulnerabilidades están realmente presentes en los entornos empresariales y que posteriormente representan el mayor riesgo real. Las organizaciones pueden usar esta información para poner en perspectiva su propia lista de vulnerabilidades en comparación con todas las demás.

Descubrimientos clave

• El pajar cada vez se hace más grande; se publicaron 15.038 vulnerabilidades nuevas en 2017 en total frente a las 9837 de 2016, lo que representa un aumento del 53 %. El año 2018 se encamina a tener entre 18.000 y 19.000 vulnerabilidades nuevas. Casi dos tercios (el 61 %) de las vulnerabilidades que las empresas encuentran en sus entornos tienen una gravedad CVSSv2 alta (entre 7 y 10).
• Sin embargo, hay pocas agujas: los exploits públicos solo están disponibles para el 7 % de todas las vulnerabilidades. La realidad es que, en el caso de la mayoría de las vulnerabilidades, nunca se desarrolla un exploit operativo, y de ellos un subconjunto aún más pequeño está armado activamente y lo emplean actores de amenazas. El descubrimiento y la reparación del 7 % es fundamental para mejorar la Cyber Exposure de una organización.

Conforme a las proyecciones actuales, se publicarán más de 1500 vulnerabilidades explotadas en 2018, o un poco más de 28 vulnerabilidades explotadas por semana. Tener mejor información es una necesidad, no "algo accesorio". Descargue el Informe de inteligencia de vulnerabilidades haciendo clic aquí para obtener la información que necesita a fin de comenzar a desarrollar un enfoque de priorización en función del riesgo.

Para obtener más información:

• Descargue el Informe de inteligencia de vulnerabilidades.
• Lea el libro virtual: How to Prioritize Cybersecurity Risk: A Primer for CISOs (Cómo priorizar el riesgo de ciberseguridad: un ejemplo clásico para CISOs).
• Lea nuestro blog sobre tecnología: Three Vulnerability Intelligence Insights Worth Your Attention (Tres ideas sobre inteligencia de vulnerabilidades que merecen su atención).