¿Qué es la gestión de vulnerabilidades?

Una vulnerabilidad de seguridad es cualquier fallo o debilidad en la estructura, funcionalidad o implementación de una red o activo en red que los hackers pueden explotar para lanzar ciberataques, obtener acceso no autorizado a sistemas o datos o dañar a una organización.

Algunos ejemplos de vulnerabilidades comunes son las configuraciones incorrectas del firewall que podrían permitir que ciertos tipos de malware ingresen a la red o los errores sin parches en el protocolo de escritorio remoto de un sistema operativo que podrían permitir que los piratas informáticos se apoderen de un dispositivo.

Las redes empresariales actuales están muy distribuidas y cada día se descubren nuevas vulnerabilidades, lo que hace casi imposible una gestión de vulnerabilidades manual o ad hoc eficaz. Los equipos de ciberseguridad suelen confiar en soluciones de gestión de vulnerabilidades para automatizar el proceso.

El Centro de seguridad de internet (CIS) incluye la gestión continua de las vulnerabilidades como uno de sus controles críticos de seguridad para defenderse de los ciberataques más comunes. La gestión de vulnerabilidades permite a los equipos de seguridad de TI adoptar una posición de seguridad más proactiva al identificar y resolver las vulnerabilidades antes de que puedan ser explotadas.

Dado que pueden surgir nuevas vulnerabilidades en cualquier momento, los equipos de seguridad enfocan la gestión de vulnerabilidades como un ciclo de vida continuo y no como un acontecimiento puntual. Este ciclo de vida comprende cinco flujos de trabajo continuos y superpuestos: detección, categorización y priorización, resolución, reevaluación e informes.

El flujo de trabajo de detección se centra en la evaluación de vulnerabilidades, un proceso para comprobar todos los activos de TI de una organización en busca de vulnerabilidades conocidas y potenciales. Por lo general, los equipos de seguridad automatizan este proceso mediante el uso de software de análisis de vulnerabilidades. Algunos escáneres de vulnerabilidades realizan análisis periódicos y exhaustivos de la red de forma regular, mientras que otros utilizan agentes instalados en ordenadores portátiles, enturadores y otros endpoints para recopilar datos en cada dispositivo. Los equipos de seguridad también pueden utilizar las evaluaciones de vulnerabilidades episódicas, como las pruebas de penetración, para localizar las vulnerabilidades que eluden un escáner.

Una vez identificadas las vulnerabilidades, se clasifican por tipo (por ejemplo, configuraciones incorrectas del dispositivo, problemas de cifrado, exposiciones de datos confidenciales) y se priorizan por nivel de criticidad. Este proceso proporciona una estimación de la gravedad de cada vulnerabilidad, su explotabilidad y la probabilidad de un ataque.

Las soluciones de gestión de vulnerabilidades suelen basarse en fuentes de información sobre amenazas como el Sistema de Puntuación de Vulnerabilidades Comunes (CVSS), un estándar abierto del sector de la ciberseguridad, para puntuar la criticidad de las vulnerabilidades conocidas en una escala de 0 a 10. Dos fuentes de inteligencia populares son la lista de Vulnerabilidades y Exposiciones Comunes (CVE) de MITRE y la Base de Datos Nacional de Vulnerabilidades (NVD) del NIST.

Una vez que se priorizan las vulnerabilidades, los equipos de seguridad pueden resolverlas de una de estas tres maneras:

• Corrección: abordar completamente una vulnerabilidad para que ya no se pueda explotar, por ejemplo, mediante la instalación de un parche que corrija un error de software o la retirada de un activo vulnerable. Muchas plataformas de gestión de vulnerabilidades proporcionan herramientas de corrección, como la gestión de parches para descargas y pruebas automáticas de parches, y la gestión de la configuración para abordar los errores de configuración de la red y los dispositivos desde un panel de control o portal centralizado.
• Mitigación: hacer que una vulnerabilidad sea más difícil de explotar y disminuir el impacto de la explotación sin eliminar la vulnerabilidad por completo. Dejar un dispositivo vulnerable en línea pero segmentarlo del resto de la red es un ejemplo de mitigación. La mitigación a menudo se realiza cuando aún no está disponible un parche u otros medios de corrección. 
• Aceptación: elegir dejar una vulnerabilidad sin abordar. A menudo se aceptan las vulnerabilidades con puntuaciones de criticidad bajas, que es poco probable que se exploten o que causen daños significativos.

Cuando se resuelven las vulnerabilidades, los equipos de seguridad realizan una nueva evaluación de vulnerabilidades para asegurarse de que sus esfuerzos de mitigación o corrección funcionaron y no introdujeron nuevas vulnerabilidades.

Las plataformas de gestión de vulnerabilidades suelen proporcionar paneles de control para informar sobre métricas como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). Muchas soluciones también mantienen bases de datos con las vulnerabilidades identificadas, que permiten a los equipos de seguridad hacer un seguimiento de la resolución de las vulnerabilidades identificadas y auditar las iniciativas anteriores de gestión de vulnerabilidades.

Estas capacidades de elaboración de informes permiten a los equipos de seguridad establecer una base para las actividades continuas de gestión de vulnerabilidades y monitorizar el rendimiento del programa a lo largo del tiempo. Los informes también se pueden utilizar para compartir información entre el equipo de seguridad y otros equipos de TI que pueden ser responsables de la gestión de los activos, pero que no están directamente involucrados en el proceso de gestión de vulnerabilidades.

La gestión de vulnerabilidades basada en riesgos (RBVM) es un enfoque relativamente nuevo para la gestión de vulnerabilidades. La RBVM combina datos de vulnerabilidad específicos de las partes interesadas con capacidades de inteligencia artificial y machine learning para mejorar la gestión de las vulnerabilidades de tres maneras importantes.

Más contexto para una priorización más efectiva. Las soluciones tradicionales de gestión de vulnerabilidades determinan la criticidad mediante el uso de recursos estándar del sector, como el CVSS o la NVD de NIST. Estos recursos se basan en generalidades que pueden determinar la criticidad media de una vulnerabilidad en todas las organizaciones. Sin embargo, carecen de datos de vulnerabilidades específicos de los stakeholders, lo que puede dar lugar a una peligrosa priorización excesiva o insuficiente de la criticidad de una vulnerabilidad para una empresa específica.

Por ejemplo, dado que ningún equipo de seguridad tiene el tiempo o los recursos para abordar todas las vulnerabilidades de su red, muchos priorizan las vulnerabilidades con una clasificación "alta" (7,0-8,9) o "crítica" (9,0-10,0). Puntuación CVSS. Sin embargo, si existe una vulnerabilidad "crítica" en un activo que no almacena ni procesa información confidencial o que no ofrece acceso a segmentos de gran valor de la red, puede que no valga la pena corregirlo.

Las vulnerabilidades con puntuaciones CVSS bajas pueden ser una amenaza mayor para algunas organizaciones que para otras. El fallo Heartbleed, descubierto en 2014, fue calificado como "medio" (5,0) en la escala CVSS. Aun así, los hackers lo utilizaron para llevar a cabo ataques a gran escala, como el robo de los datos de 4,5 millones de pacientes de una de las mayores cadenas hospitalarias estadounidenses.

RBVM complementa la puntuación con datos de vulnerabilidades específicos de los stakeholders (el número y la criticidad del activo afectado, cómo se conectan los activos con otros activos y el daño potencial que podría causar un exploit), así como datos sobre cómo interactúan los ciberdelincuentes con las vulnerabilidades en el mundo real. Utiliza el machine learning para formular puntuaciones de riesgo que reflejen con mayor precisión el riesgo de cada vulnerabilidad para la organización específicamente. Esto permite a los equipos de seguridad de TI priorizar un número menor de vulnerabilidades críticas sin sacrificar la seguridad de la red.

Descubrimiento en tiempo real. En RBVM, los análisis de vulnerabilidades suelen realizarse en tiempo real y no de forma periódica. Además, las soluciones de RBVM pueden monitorizar una gama más amplia de activos: mientras que los escáneres de vulnerabilidades tradicionales suelen limitarse a los activos conocidos conectados directamente a la red, las herramientas de RBVM suelen escanear dispositivos móviles locales y remotos, activos en la nube, aplicaciones de terceros y otros recursos.

Reevaluación automatizada. En un proceso de RBVM, la reevaluación se puede automatizar mediante un análisis continuo de vulnerabilidades. En la gestión tradicional de vulnerabilidades, la reevaluación puede requerir un análisis de red intencional o una prueba de penetración.

La gestión de la vulnerabilidad está estrechamente relacionada con la gestión de la superficie de ataque (ASM). La ASM es el descubrimiento, el análisis, la corrección y la monitorización continuos de las vulnerabilidades y los vectores de ataque potenciales que conforman la superficie de ataque de una organización. La principal diferencia entre ASM y la gestión de vulnerabilidades es el alcance. Aunque ambos procesos monitorizan y resuelven las vulnerabilidades de los activos de una organización, la ASM adopta un enfoque más holístico de la seguridad de la red.

Las soluciones de ASM incluyen capacidades de descubrimiento de activos que identifican y monitorizan todos los activos conocidos, desconocidos, de terceros, subsidiarios y maliciosos conectados a la red. La ASM también se extiende más allá de los activos de TI para identificar vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización. A continuación, analiza estos activos y vulnerabilidades desde la perspectiva de los hackers para comprender cómo los ciberdelincuentes podrían utilizarlos para infiltrarse en la red.

Con el auge de la gestión de vulnerabilidades basada en el riesgo (RBVM), las líneas entre la gestión de vulnerabilidades y la MAPE se han vuelto cada vez más borrosas. Las organizaciones a menudo implementan plataformas de ASM como parte de su solución RBVM, ya que ASM proporciona una vista más completa de la superficie de ataque que la gestión de vulnerabilidades por sí sola.