¿En qué consiste el ciclo de vida de la gestión de vulnerabilidades?

Autor

Matthew Kosinski

Staff Editor

IBM Think

¿En qué consiste el ciclo de vida de la gestión de vulnerabilidades?

El ciclo de vida de la gestión de vulnerabilidades es un proceso continuo dirigido a descubrir, priorizar y abordar las vulnerabilidades de los activos informáticos de una empresa.

Cada mes, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. añade más de 2000 nuevas vulnerabilidades de seguridad a la base de datos nacional de vulnerabilidades. Los equipos de seguridad no necesitan rastrear todas estas vulnerabilidades, pero sí precisan una forma de identificar y resolver las que representan una amenaza potencial para sus sistemas. Y para eso existe el ciclo de vida de la gestión de vulnerabilidades.

Una ronda típica del ciclo de vida consta de cinco etapas:

  1. Inventario de activos y evaluación de vulnerabilidades.
  2. Priorización de vulnerabilidades.
  3. Resolución de vulnerabilidades.
  4. Verificación y seguimiento.
  5. Elaboración de informes y mejora.

El ciclo de vida de la gestión de las vulnerabilidades permite a las organizaciones mejorar su posición de seguridad adoptando un enfoque más estratégico de la gestión de las vulnerabilidades. En lugar de reaccionar ante las nuevas vulnerabilidades a medida que van surgiendo, los equipos de seguridad buscan activamente los defectos de sus sistemas. Así, las organizaciones pueden identificar las vulnerabilidades más críticas y establecer medidas de seguridad antes de que se produzcan los ataques.

Boletín de Think

¿Su equipo detectaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprenda rápidamente de tutoriales de expertos y artículos explicativos, directamente en su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su suscripción se enviará en inglés. Encontrará un enlace para darse de baja en cada boletín. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/es-es/privacy

¿Por qué es importante el ciclo de vida de la gestión de vulnerabilidades?

Una vulnerabilidad es cualquier fallo de seguridad en la estructura, función o implementación de una red o activo que los piratas informáticos pueden explotar para dañar a una empresa.

Las vulnerabilidades pueden surgir de defectos fundamentales en la construcción de un activo. Tal fue el caso de la famosa vulnerabilidad Log4J, en la que los errores de codificación de una popular biblioteca desarrollada en Java permitieron a los piratas informáticos ejecutar malware de forma remota en los ordenadores de las víctimas. Otras vulnerabilidades se deben a errores humanos, como un bucket de almacenamiento en la nube mal configurado que expone datos confidenciales a la Internet pública.

Cualquier vulnerabilidad supone un riesgo para las organizaciones. Según el X-Force Threat Intelligence Index de IBM, la explotación de vulnerabilidades en aplicaciones públicas es uno de los vectores de ciberataque más comunes. 

Los piratas informáticos tienen a su disposición una creciente reserva de vulnerabilidades. En respuesta, las empresas han hecho de la gestión de vulnerabilidades un componente clave de sus estrategias de gestión de riesgos cibernéticos. El ciclo de vida de la gestión de vulnerabilidades ofrece un modelo formal para crear programas eficaces al respecto en un panorama de ciberamenazas en constante cambio. Al adoptar el ciclo de vida, las organizaciones pueden beneficiarse de lo siguiente:

  • Detección y resolución proactiva de vulnerabilidades: a menudo, las empresas no conocen sus vulnerabilidades hasta que los piratas informáticos las han explotado. El ciclo de vida de la gestión de vulnerabilidades se basa en la supervisión continua para que los equipos de seguridad puedan encontrar vulnerabilidades antes que los adversarios.

  • Asignación estratégica de recursos: cada año se descubren decenas de miles de nuevas vulnerabilidades, pero solo unas pocas son relevantes para las organizaciones. El ciclo de vida de la gestión de vulnerabilidades ayuda a las empresas a identificar las vulnerabilidades más críticas en sus redes y a priorizar los mayores riesgos para su corrección.

  • Un proceso de gestión de vulnerabilidades más coherente: el ciclo de vida de la gestión de vulnerabilidades ofrece a los equipos de seguridad un proceso repetible, desde el descubrimiento de vulnerabilidades hasta la corrección y más allá. Un proceso más coherente produce resultados más coherentes y permite a las empresas automatizar flujos de trabajo clave, como el inventario de activos, la evaluación de vulnerabilidades y la gestión de parches.

Etapas del ciclo de vida de la gestión de vulnerabilidades

En una red pueden surgir nuevas vulnerabilidades en cualquier momento, por lo que el ciclo de vida de la gestión de vulnerabilidades es un bucle continuo y no una serie de eventos independientes. Cada ronda del ciclo vital enlaza directamente con la siguiente. Una sola ronda suele constar de las siguientes etapas:

Etapa 0: planificación y trabajo previo

 

Técnicamente, la planificación y el trabajo previo ocurren antes del ciclo de vida de la gestión de vulnerabilidades, de ahí el nombre de "Etapa 0". Durante esta etapa, la organización afina los detalles críticos del proceso de gestión de vulnerabilidades, incluidos los siguientes:

  • Qué stakeholders participarán y qué funciones desempeñarán

  • Recursos (incluidas personas, herramientas y financiación) disponibles para la gestión de vulnerabilidades

  • Directrices generales para establecer prioridades y responder a las vulnerabilidades

  • Métricas para medir el éxito del programa

Las organizaciones no pasan por esta etapa antes de cada ronda del ciclo de vida. Por lo general, una empresa lleva a cabo una extensa fase de planificación y trabajo previo antes de lanzar un programa formal de gestión de vulnerabilidades. Cuando se pone en marcha un programa, las partes interesadas revisan periódicamente la planificación y el trabajo previo para actualizar sus directrices y estrategias generales según sea necesario.

Etapa 1: descubrimiento de activos y evaluación de vulnerabilidades

 

El ciclo de vida formal de la gestión de vulnerabilidades comienza con un inventario de activos: un catálogo de todo el hardware y el software de la red de la organización. El inventario incluye aplicaciones y endpoints autorizados oficialmente y cualquier activo de TI invisible que los empleados utilicen sin aprobación.

Como las redes de las empresas incorporan regularmente nuevos activos, el inventario de activos se actualiza antes de cada ronda del ciclo de vida. Las empresas suelen utilizar herramientas de software, como plataformas para la gestión de superficies de ataque, para automatizar sus inventarios.

Después de identificar los activos, el equipo de seguridad los evalúa en busca de vulnerabilidades. El equipo puede utilizar una combinación de herramientas y métodos, incluidos escáneres de vulnerabilidades automatizados, pruebas de penetración manuales e inteligencia de amenazas externa de la comunidad de ciberseguridad.

Evaluar cada activo durante cada ronda del ciclo de vida sería oneroso, por lo que los equipos de seguridad suelen trabajar por lotes. Cada ronda del ciclo de vida se centra en un grupo específico de activos, y los grupos de activos más críticos se analizan con mayor frecuencia. Algunas herramientas avanzadas de análisis de vulnerabilidades escanean continuamente todos los activos de la red en tiempo real, lo que permite al equipo de seguridad adoptar un enfoque aún más dinámico para el descubrimiento de vulnerabilidades.

Etapa 2: priorización de vulnerabilidades

 

El equipo de seguridad prioriza las vulnerabilidades que ha encontrado en la fase de evaluación. La priorización garantiza que el equipo aborde primero las vulnerabilidades más críticas. Esta etapa también ayuda al equipo a evitar dedicar tiempo y recursos a vulnerabilidades de bajo riesgo. 

Para priorizar las vulnerabilidades, el equipo sigue estos criterios:

  • Índices de gravedad a partir de inteligencia de amenazas externa: incluida la lista de vulnerabilidades y exposiciones comunes (CVE) de MITRE o el sistema común de puntuación de vulnerabilidades (CVSS).

  • Carácter crítico de los activos: una vulnerabilidad no crítica en un activo crítico a menudo recibe mayor prioridad que una vulnerabilidad crítica en un activo menos importante. 

  • Posible impacto: el equipo de seguridad evalúa lo que podría suceder si los piratas informáticos explotaran una vulnerabilidad en particular, incluidos los efectos en las operaciones empresariales, las pérdidas económicas y cualquier posibilidad de emprender acciones legales.

  • Probabilidad de explotación: el equipo de seguridad presta más atención a las vulnerabilidades con exploits conocidos que los piratas informáticos utilizan activamente en la red.

  • Falsos positivos: el equipo de seguridad se asegura de que las vulnerabilidades realmente existan antes de dedicarles recursos.

Etapa 3: resolución de vulnerabilidades

 

El equipo de seguridad revisa la lista de vulnerabilidades clasificadas por orden de prioridad, de la más crítica a la menos grave. Las organizaciones tienen tres opciones para abordar las vulnerabilidades:

  1. Corrección: consiste en abordar por completo una vulnerabilidad para que ya no pueda explotarse, por ejemplo, parcheando un error del sistema operativo, corrigiendo una configuración incorrecta o eliminando un activo vulnerable de la red. La corrección no siempre es factible. Para algunas vulnerabilidades, no hay soluciones completas disponibles en el momento del descubrimiento (por ejemplo, vulnerabilidades de día cero). En el caso de otras vulnerabilidades, su corrección demandaría demasiados recursos.

  2. Mitigación: consiste en dificultar la explotación de una vulnerabilidad o disminuir su impacto sin eliminar la vulnerabilidad por completo. Por ejemplo, añadir medidas de autenticación y autorización más estrictas a una aplicación web dificulta el secuestro de cuentas. La elaboración de planes de respuesta a incidentes para las vulnerabilidades identificadas puede amortiguar el impacto de los ciberataques. Los equipos de seguridad suelen optar por la mitigación cuando la corrección es imposible o muy costosa. 

  3. Aceptación: algunas vulnerabilidades tienen un impacto muy bajo o es poco probable que se exploten, por lo que corregirlas no sería rentable. En estos casos, la organización puede optar por aceptar la vulnerabilidad.

Etapa 4: verificación y seguimiento

 

Para comprobar que los esfuerzos de mitigación y corrección funcionaron según lo previsto, el equipo de seguridad vuelve a examinar y probar los activos en los que acaba de trabajar. Estas auditorías tienen dos propósitos principales: determinar si el equipo de seguridad abordó con éxito todas las vulnerabilidades conocidas y garantizar que la mitigación y la corrección no introdujeran nuevos problemas.

Como parte de esta etapa de reevaluación, el equipo de seguridad también supervisa la red de manera más amplia. El equipo busca nuevas vulnerabilidades desde el último escaneo, mitigaciones antiguas que se han quedado obsoletas u otros cambios que puedan requerir la adopción de medidas. Todos estos hallazgos orientan la siguiente ronda del ciclo de vida.

Etapa 5: elaboración de informes y mejora

 

El equipo de seguridad documenta la actividad de la ronda más reciente del ciclo de vida, incluidas las vulnerabilidades encontradas, los pasos de resolución tomados y los resultados. Estos informes se comparten con las partes interesadas relevantes, como ejecutivos, propietarios de activos, departamentos de cumplimiento normativo, etc. 

El equipo de seguridad también reflexiona sobre cómo ha ido la ronda más reciente del ciclo de vida. El equipo puede analizar métricas clave como el tiempo medio de detección (MTTD), el tiempo medio de respuesta (MTTR), el número total de vulnerabilidades críticas y las tasas de recurrencia de vulnerabilidades. Al realizar un seguimiento de estas métricas a lo largo del tiempo, el equipo de seguridad puede establecer una línea de referencia para el rendimiento del programa de gestión de vulnerabilidades e identificar oportunidades para mejorar el programa con el tiempo. Las lecciones aprendidas de una ronda del ciclo de vida pueden hacer que la siguiente sea más eficaz.
Soluciones relacionadas
Soluciones de seguridad para la empresa

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Mejore la velocidad, la precisión y la productividad de los equipos de seguridad con soluciones de ciberseguridad basadas en IA.

         Explore la ciberseguridad de la IA
    Dé el siguiente paso

    Tanto si necesita soluciones de seguridad de datos, de gestión de endpoints o de gestión de identidades y accesos (IAM), nuestros expertos están dispuestos a trabajar con usted para lograr una posición de seguridad sólida. Transforme su empresa y gestione los riesgos con un líder de la industria mundial mundial en consultoría de ciberseguridad, cloud y servicios de seguridad gestionados.

         Explore las soluciones de ciberseguridad Descubra los servicios de ciberseguridad