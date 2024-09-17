Actualizado el 24 de septiembre de 2024
En febrero, el número de vulnerabilidades procesadas y enriquecidas por la Base de Datos Nacional de Vulnerabilidades (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) comenzó a disminuir. En mayo, el 93,4 % de las nuevas vulnerabilidades y el 50,8 % de las vulnerabilidades explotadas conocidas seguían pendientes de análisis, según una investigación de VulnCheck.
Tres meses después, el problema persiste. Aunque el NIST tiene un plan para volver a la normalidad, el análisis actual del estado actual de las vulnerabilidades y exposiciones comunes (CVE) no está a la altura de las nuevas detecciones de vulnerabilidades. Eche un vistazo a lo que hay detrás del backlog, por qué los CVE pueden ya no ser el Santo Grial de la defensa de TI y cómo los equipos de seguridad pueden adelantarse a los esfuerzos de los atacantes.
Los recortes presupuestarios son parcialmente responsables de los problemas de análisis de CVE. Como lo señaló Security Magazine, la financiación del NIST se redujo en un 12 % este año, lo que hace más difícil para la agencia enriquecer las CVE. En la práctica, la NVD es efectivamente un consumidor descendente de datos CVE: aunque el número de CVE encontrados y notificados se mantiene estable, la capacidad del NIST para evaluar y enriquecer estas vulnerabilidades se ha reducido significativamente.
La gran cantidad de vulnerabilidades reportadas también supone un problema para los esfuerzos de análisis; la investigación de Flashpoint reveló que el NIST informó de 33 137 vulnerabilidades en 2023. En parte, el aumento de los números está ligado a una mejora en las capacidades de detección. A medida que las empresas amplían sus esfuerzos de seguridad con tecnologías basadas en la nube y herramientas habilitadas para la IA, son más capaces de detectar posibles amenazas. Como resultado, los números más grandes no siempre son indicativos de un mayor riesgo, pero sí hablan de un número creciente de posibles rutas de ataque.
El NIST tiene un plan para eliminar el atraso. Según USASpending.gov, el gobierno ha adjudicado un contrato de 860 000 USD a Analygence para análisis de ciberseguridad y soporte por correo electrónico. Los esfuerzos de análisis estaban programados para comenzar el 3 de junio, y el NIST espera volver a la normalidad en septiembre de 2024. Aunque está previsto que el contrato finalice en diciembre de 2024, la agencia tiene la opción de ampliar los servicios hasta julio de 2025.
La preocupación por el atraso de la NVD es comprensible. Cuanto más tiempo tarde el NIST en analizar las CVE y sugerir contramedidas eficaces, mayor será el riesgo para las empresas.
Sin embargo, como señala Cybersecurity Dive, el panorama de la ciberseguridad está cambiando. Durante la cumbre virtual de Gartner sobre seguridad y gestión de riesgos, el analista principal Mitchell Schneider señaló que, aunque el número total de vulnerabilidades sigue Continuar aumentando, los CVE críticos no están superando a sus homólogos de alto, medio y bajo nivel.
Es más, los atacantes no utilizan la gravedad de la CVE como criterio de compromiso. "No existe una correlación inherente entre la vulnerabilidad y si los actores de amenazas las están explotando en términos de esas clasificaciones de gravedad", dice Schneider. En cambio, los atacantes están priorizando las vulnerabilidades más explotables, que a menudo son las clasificadas como de gravedad media o baja.
En la práctica, esto crea un escenario de bosque para los árboles: si las empresas se centran demasiado en CVE críticas, pueden pasar por alto exploits intermedios que permiten a los atacantes acceder a la red y luego mover lateralmente a sistemas más críticos.
¿El resultado? Si bien la base de datos de vulnerabilidades comunes sigue siendo una parte crítica de una seguridad eficaz, no es una solución mágica. Las tácticas de amenazas cibernéticas están cambiando y los equipos de seguridad deben estar preparados para cambiar en respuesta.
Entonces, ¿cómo se ve este cambio en acción?
Cuatro consideraciones pueden ayudar a las empresas a construir mejores defensas en un mundo de adiciones retrasadas de NVD.
Con la diversificación de los métodos y patrones de ataque, las empresas deben priorizar la visibilidad de TI. Consideremos una empresa que utiliza almacenamiento on-premises para datos críticos, nubes públicas para pruebas y desarrollo, y nubes privadas para recursos de aplicación escalables.
En el nuevo panorama de amenazas, los ataques pueden proceder de cualquier fuente y en cualquier momento. Si no se detectan, los atacantes pueden esperar su tiempo recopilando datos y localizando rutas de ataque ideales. Como resultado, la visibilidad completa es crítica. Cuanto más sepan las empresas lo que ocurre en sus entornos, mejor preparadas estarán para detectar, identificar y mitigar los ataques.
Como deja claro Gartner, la explotabilidad es ahora la máxima prioridad para los atacantes. Si bien las vulnerabilidades más graves pueden ser objetivos más valiosos a corto plazo, las debilidades explotables de gravedad media o baja pueden preparar a los atacantes para un éxito continuo.
Por ejemplo, supongamos que los actores maliciosos pueden explotar una vulnerabilidad de gravedad media en el perímetro de las redes empresariales. En ese caso, pueden crear y mantener puertas traseras que proporcionen acceso permanente a los sistemas empresariales. A partir de ahí, pueden llevar a cabo un reconocimiento y esperar el momento oportuno hasta que los equipos de seguridad se centren en otras vulnerabilidades.
Al centrarse en las vulnerabilidades más explotables en lugar de en las más graves, los equipos de seguridad pueden reducir las posibilidades de éxito de los ataques.
La seguridad ya no es responsabilidad exclusiva de los equipos de TI. Todos los equipos de operaciones, finanzas, marketing, ventas y servicio de atención al cliente tienen un papel que desempeñar para mantener la seguridad de las empresas. Aunque la responsabilidad última de la seguridad sigue recayendo en los profesionales de la tecnología, compartir la carga entre los equipos puede mejorar los índices de detección y reducir el tiempo que transcurre entre la identificación y la acción.
Con la NVD atrasada, es importante que los equipos de seguridad encuentren y aprovechen recursos alternativos. Las posibles fuentes de seguridad incluyen:
El NIST espera eliminar la acumulación de NVD para septiembre de 2024, pero no hay garantía de que sus esfuerzos tengan éxito. Como señaló The Record, el senador Mark Warner (D-VA) y Thom Tillies (R-NC) han propuesto una legislación que restablecería la financiación del NIST y aumentaría su enfoque en nuevos riesgos, como las amenazas habilitadas por la IA, pero el proyecto de ley es en su infancia.
En otras palabras, aunque la agencia y los legisladores federales reconocen el impacto crítico del análisis y enriquecimiento de CVE, las empresas no pueden confiar en la NVD para proporcionar datos de vulnerabilidad actualizados.
En cambio, es mejor que las empresas cambien su enfoque para adaptarse a la evolución de los esfuerzos de los atacantes. Mediante la implementación de herramientas que ayuden a mejorar la visibilidad y a identificar la explotabilidad, las empresas pueden priorizar las amenazas de alto riesgo. Mientras tanto, al compartir la carga de la seguridad entre los departamentos y ampliar el uso de los recursos de seguridad disponibles, las empresas pueden responder con mayor eficacia a los cambios en las prioridades de los ataques.
Corrección: este artículo se ha actualizado para aclarar las diferencias entre NVD y CVE. El Programa CVE cataloga las vulnerabilidades divulgadas públicamente a través de CVE Records, mientras que NVD es un consumidor final de los datos del Programa CVE.
