1. ¿Qué es la gestión de vulnerabilidades?
La gestión de vulnerabilidades consiste en tecnologías, herramientas, políticas y procedimientos para identificar, priorizar y reparar las deficiencias de seguridad a lo largo de la organización. Es un proceso proactivo que ayuda a sus equipos a disminuir la probabilidad de una filtración o de un ataque cibernético. Con un abordaje basado en el riesgo, también puede alinear su programa de gestión de riesgos de ciberseguridad con las metas y los objetivos operativos de su organización.
El objetivo de la gestión de vulnerabilidades es disminuir rápida y eficazmente las exposiciones, así como proteger su superficie de ataque, tanto de forma local como en la nube.
Con la solución de gestión de vulnerabilidades adecuada, puede obtener una visibilidad completa hacia su superficie de ataque en constante cambio para monitorear constantemente su entorno e ir al paso de las amenazas en evolución.
Un programa maduro para gestionar las exposiciones de seguridad, como las vulnerabilidades, es clave para garantizar la resiliencia operativa al reducir el riesgo de una filtración o de un ataque cibernético.
Existen cuatro etapas clave para la gestión de vulnerabilidades:
- Identificar activos y vulnerabilidades en todos sus entornos, de forma local y en la nube.
- Priorizar la corrección de vulnerabilidades de las exposiciones críticas basadas en la inteligencia de amenazas, el perfil de riesgo de su organización y las vulnerabilidades que los atacantes tienen más probabilidades de explotar a corto plazo.
- Corregir problemas de seguridad.
- Monitorear continuamente, generar informes y mejorar los programas.
Con el desarrollo de un programa de gestión de vulnerabilidades enfocado en el riesgo, puede conocer, exponer y cerrar de manera protectora las deficiencias de seguridad que las herramientas tradicionales de gestión de vulnerabilidades pasan por alto.
Y no solo para los sistemas informáticos tradicionales, sino también para lo siguiente:
- Sistemas y servicios en la nube
- Dispositivos móviles
- Contenedores o sin servidor
- Aplicaciones web
- Tecnología operativa (OT)
Si bien cada organización tiene un entorno de amenaza cibernética único, existen cuatro tipos principales de vulnerabilidades:
- Sistemas operativos y aplicaciones
- Red
- Errores de configuración y basadas en procesos
- Relacionados con las personas
Ejemplos de vulnerabilidades:
- Errores de configuración de sistemas, redes o aplicaciones
- Sistemas operativos y software obsoletos o sin parches
- Puertos abiertos y servicios no utilizados
- Autenticación ineficaz o dañada
- Inyección de código SQL
- Secuencias de comandos entre sitios (XSS)
¿Cuáles son las vulnerabilidades más comunes?
La Fundación OWASP actualiza activamente su lista de las principales diez vulnerabilidades de OWASP. La lista anterior de vulnerabilidades comunes incluye lo siguiente:
- Control de acceso afectado
- Fallas criptográficas
- Inyección
- Diseño poco seguro
- Errores de configuración de seguridad
- Componentes vulnerables y obsoletos
- Fallos en la identificación y autenticación
- Fallos en el software y en la integridad de los datos
- Fallos en el registro y monitoreo de la seguridad
- Falsificación de peticiones del lado del servidor
¿Qué implica la gestión de vulnerabilidades y cuáles son sus cinco pasos?
El ciclo de vida de la gestión de vulnerabilidades explicado:
Paso 1: Detectar
Identifique y asigne todos los activos en todos los entornos informáticos, de forma local y en la nube, y busque vulnerabilidades y otros riesgos.
Paso 2: Evaluar
Comprenda el riesgo y la criticidad de los activos, incluyendo vulnerabilidades, errores de configuración y otros indicadores del estado de la seguridad.
Paso 3: Priorizar
Comprenda las exposiciones en contexto para priorizar su corrección en función de la criticidad de los activos, la gravedad de la vulnerabilidad, su entorno y el contexto de la amenaza.
Paso 4: Corregir
Priorice qué exposiciones abordar primero en función del riesgo para el negocio. A continuación, utilice las prácticas recomendadas del sector para la corrección.
Paso 5: Medir
Mida y compare la exposición, internamente y con organizaciones similares, para que sus equipos puedan tomar decisiones mejor fundamentadas sobre el riesgo para el negocio y el riesgo cibernético, con el fin de impulsar la reducción de riesgos, el cumplimiento y la madurez del programa.
¿Qué diferencia existe entre la gestión de vulnerabilidades y la evaluación de vulnerabilidades?
La gestión de vulnerabilidades y la evaluación de vulnerabilidades son diferentes, pero trabajan juntas. Los términos frecuentemente se utilizan de manera indistinta, pero eso es incorrecto.
La gestión de vulnerabilidades de ciberseguridad identifica activos y vulnerabilidades a lo largo de su superficie de ataque. Ayuda a los equipos a planificar estrategias para mitigar los problemas de seguridad, y priorizar y corregir las vulnerabilidades.
No es lo mismo que un escaneo de vulnerabilidades, que tiene una fecha de inicio y fin establecida. El análisis de vulnerabilidades es una snapshot puntual de su superficie de ataque. Es parte de su programa general de gestión de vulnerabilidades y ayuda a los equipos a identificar y abordar los riesgos cibernéticos de manera constante.
¿Qué es la gestión de vulnerabilidades basada en el riesgo?
La gestión de vulnerabilidades basada en el riesgo proporciona una visibilidad completa hacia su superficie de ataque, para que pueda ver qué problemas de seguridad plantean el mayor riesgo.
Cuando conoce las vulnerabilidades críticas que los atacantes pueden explotar con mayor probabilidad a corto plazo y el posible impacto, puede mitigar y corregir las exposiciones con mayor eficacia para reducir el riesgo.
La IA y el aprendizaje automático mejoran las prácticas de gestión de vulnerabilidades basada en el riesgo, las cuales deben ir más allá de la detección de vulnerabilidades. El objetivo es comprender el riesgo con el contexto de la amenaza, incluyendo la información sobre el impacto en el negocio.
¿Qué tan diferente es la gestión de vulnerabilidades de la gestión de vulnerabilidades basada en el riesgo?
Las prácticas tradicionales de gestión de vulnerabilidades ofrecen una visión general de las vulnerabilidades y de los riesgos. Descubren las amenazas que podría introducir una vulnerabilidad. No obstante, los procesos tradicionales no le brindan una visión real del escenario de las amenazas.
Si sus equipos no comprenden el riesgo en contexto, pueden perder tiempo en vulnerabilidades que no representan una amenaza. Pueden pasar por alto la detección y corrección de vulnerabilidades de riesgo que tienen más probabilidades de afectar negativamente a su organización.
¿Cuáles son los beneficios de la gestión de vulnerabilidades?
- Proporciona el contexto de amenazas para las vulnerabilidades.
- Permite que los equipos reduzcan la mayor cantidad de riesgos con el mínimo esfuerzo.
- Proporciona una visibilidad completa hacia todas las vulnerabilidades en toda la superficie de ataque.
- Alinea el riesgo cibernético con el riesgo para el negocio para que pueda tomar decisiones empresariales y de ciberseguridad más fundamentadas.
- Facilita la evaluación comparativa y la elaboración de informes sobre el éxito del programa.
- Ayuda a comunicar el riesgo cibernético a las partes interesadas clave en el contexto de negocios.
- Reduce las medidas de seguridad reactivas.
- Elimina los puntos ciegos creados por los procesos de gestión de vulnerabilidades tradicional.
- Permite que los equipos se concentren en el 3 % de las vulnerabilidades que plantea un mayor riesgo para la organización.
¿Cuáles son los desafíos habituales de la gestión de vulnerabilidades?
Demasiadas vulnerabilidades
- A medida que adopta más tecnologías y más tipos de tecnología —TI tradicional, IoT, IIoT, aplicaciones web, infraestructura y servicios en la nube, máquinas virtuales, etc.— el volumen de vulnerabilidades y otros problemas de seguridad se dispara.
- La solución basada en el riesgo: Priorice las vulnerabilidades en función del riesgo real para su entorno único y el impacto en el negocio para saber qué exposición debe abordar primero.
Sin contexto de amenazas para la priorización
- Muchas herramientas de gestión de vulnerabilidades descubren vulnerabilidades, pero no brindan contexto ni tienen inteligencia de amenazas sobre la probabilidad de exploits. Muchas clasifican demasiadas vulnerabilidades como high o critical (altas o críticas), aunque puede que nunca afecten a su negocio.
- La solución basada en el riesgo: Utilice la IA, el aprendizaje automático y otra inteligencia de amenazas de confianza del sector, como Tenable Research, para comprender los Índices de Criticidad del Activo (Asset Criticality Ratings, ACR) y el contexto de las amenazas para priorizar la corrección de la exposición.
Seguimiento limitado de activos y conocimiento de todos sus riesgos
- A medida que las superficies de ataque se expanden y aumentan en complejidad, la mayoría de los equipos de seguridad, sobre todo aquellos que utilizan herramientas de gestión de ciberseguridad diferentes, no pueden obtener una visibilidad completa hacia todos los activos y exposiciones de seguridad.
- La solución basada en el riesgo: Utilice la automatización y otras herramientas que tengan en cuenta los riesgos para ver todos los activos, independientemente de qué tan rápido se pongan en marcha o de qué tan poco duren.
Gestión de parches
- La colocación de parches es un desafío. Algunos parches afectan de manera negativa a los sistemas, y causan interrupciones y tiempos de inactividad inesperados.
- La solución basada en el riesgo: Con el conocimiento de los posibles exploits y del impacto en el negocio, puede realizar planes acerca de qué vulnerabilidades reparar primero y a cuáles colocar un parche posteriormente.
Recursos limitados
- Hay millones de puestos de ciberseguridad sin cubrir, un problema agravado por la necesidad creciente de profesionales de seguridad en la nube.
- La solución basada en el riesgo: Las herramientas de automatización, la IA y el aprendizaje automático enfocados en el contexto de riesgos y amenazas pueden ayudarle a tomar decisiones de corrección procesables e impactantes más rápidamente con el uso de menos recursos y gastos.
¿Qué son los servicios administrados de gestión de vulnerabilidades?
Los servicios gestionados de gestión de vulnerabilidades son tareas de gestión de exposición que las organizaciones subcontratan a un proveedor externo de servicios gestionados de seguridad (MSSP), tales como las siguientes:
- Escaneo de vulnerabilidades constante
- Identificación, priorización y mitigación de riesgos
- Procesos de corrección y orientación
- Métricas, documentación y generación de informes
Su organización puede necesitar la gestión de vulnerabilidades subcontratada en los siguientes casos:
- Tiene presupuestos y recursos internos limitados.
- Está operando en entornos complejos, por ejemplo, una combinación de TI, OT y nubes múltiples o híbridas.
- Se esfuerza por mantenerse al tanto del escenario de las amenazas que evoluciona rápidamente.