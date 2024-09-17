Actualizado el 24 de septiembre de 2024
En febrero, el número de vulnerabilidades procesadas y enriquecidas por el National Vulnerability Database (NVD) del Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. comenzó a disminuir. En mayo, el 93.4 % de las nuevas vulnerabilidades y el 50.8 % de las vulnerabilidades explotadas conocidas seguían pendientes de análisis, según una investigación de VulnCheck.
Tres meses después, el problema persiste. Si bien el NIST tiene un plan para retomar el camino, el análisis actual del estado actual de vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) no está a la altura de las nuevas detecciones de vulnerabilidades. Este es un vistazo a lo que hay detrás del backlog, por qué las CVE pueden ya no ser el Santo Grial de la defensa de TI y cómo los equipos de seguridad pueden adelantarse a los esfuerzos de los atacantes.
Boletín de la industria
Manténgase al día sobre las tendencias más importantes e intrigantes de la industria sobre IA, automatización, datos y más con el boletín Think. Consulte la Declaración de privacidad de IBM.
Su suscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.
Los recortes presupuestarios son parcialmente responsables de los problemas de análisis de CVE. Como lo señaló la revista Security Magazine, el financiamiento del NIST se redujo en un 12 % este año, lo que hace más difícil para la agencia enriquecer las CVE. En la práctica, el NVD es efectivamente un consumidor posterior de datos de CVE: mientras que el número de CVE encontradas e informadas se mantiene estable, la capacidad del NIST para evaluar y enriquecer estas vulnerabilidades se ha reducido significativamente.
La gran cantidad de vulnerabilidades declaradas también supone un problema para los esfuerzos de análisis; la investigación de Flashpoint encontró que el NIST declaró 33 137 vulnerabilidades en 2023. En parte, el aumento de los números está ligado a una mejora en las capacidades de detección. A medida que las empresas amplían sus esfuerzos de seguridad con tecnologías basadas en la nube y herramientas habilitadas para la IA, están en mejores condiciones de identificar amenazas potenciales. Como resultado, los números más grandes no siempre son indicativos de un mayor riesgo, pero sí hablan de un número creciente de posibles rutas de ataque.
El NIST tiene un plan para eliminar el backlog. Según USASpending.gov, el gobierno ha otorgado un contrato de 860 000 USD a Analygence para el análisis de ciberseguridad y el soporte de correo electrónico. Los esfuerzos de análisis estaban programados para comenzar el 3 de junio, y el NIST espera volver a la normalidad para septiembre de 2024. Si bien el contrato finalizará en diciembre de 2024, la agencia tiene la opción de extender los servicios hasta julio de 2025.
Las preocupaciones en torno al backlog del NVD son comprensibles. Cuanto más tiempo tarde el NIST en analizar las CVE y sugerir contramedidas eficaces, mayor será el riesgo para las empresas.
Sin embargo, tal como señala Cibersegurity Dive, el escenario de la ciberseguridad está cambiando. Durante la cumbre virtual de Gartner Security and Risk Management, el analista principal Mitchell Schneider señaló que, si bien el número total de vulnerabilidades continúa aumentando, las CVE críticas no están superando a sus contrapartes altas, medias y bajas.
Además, los atacantes no utilizan la gravedad de las CVE como criterio de compromiso. “No existe una correlación inherente entre la vulnerabilidad y si los actores de amenazas los están explotando en términos de esos índices de gravedad”, dice Schneider. En cambio, los atacantes están priorizando las vulnerabilidades más explotables, que a menudo son las clasificadas como de gravedad media o baja.
En la práctica, esto crea un escenario de bosque para los árboles: si las empresas se centran demasiado en CVE críticas, pueden pasar por alto exploits intermedios que permiten a los atacantes acceder a la red y luego moverse lateralmente a sistemas más críticos.
¿El resultado? Aunque la base de datos de vulnerabilidades comunes sigue siendo una parte crítica de la seguridad efectiva, no es una solución mágica. Las tácticas de las amenazas cibernéticas están cambiando, y los equipos de seguridad deben estar preparados para adaptarse a estos cambios.
Entonces, ¿cómo se ve este cambio en acción?
Cuatro consideraciones pueden ayudar a las empresas a construir mejores defensas en un mundo de incorporaciones retrasadas del NVD.
Con la diversificación de los métodos y patrones de ataque, las empresas deben priorizar la visibilidad de TI. Considere una empresa que utiliza almacenamiento on premises para datos críticos, nubes públicas para pruebas y desarrollo y nubes privadas para recursos de aplicación escalables.
En el nuevo escenario de amenazas, los ataques pueden provenir de cualquier fuente en cualquier momento. Si no se detectan, los atacantes pueden esperar el momento oportuno para recopilar datos y determinar las vías de ataque ideales. Como resultado, la visibilidad total es crítica. Cuanto más sepan las empresas lo que sucede en sus entornos, mejor preparadas estarán para detectar, identificar y mitigar los ataques.
Como Gartner deja claro, la explotabilidad es ahora la máxima prioridad para los atacantes. Si bien las vulnerabilidades más graves pueden ser objetivos más valiosos a corto plazo, las debilidades explotables de gravedad media o baja pueden preparar a los atacantes para el éxito continuo.
Por ejemplo, supongamos que los actores maliciosos pueden explotar una vulnerabilidad de gravedad media en el borde de las redes empresariales. En ese caso, pueden crear y mantener puertas traseras que proporcionen acceso permanente a los sistemas empresariales. Desde allí, pueden llevar a cabo reconocimientos y esperar el momento oportuno hasta que los equipos de seguridad se centren en otras vulnerabilidades.
Al enfocarse en las vulnerabilidades más explotables en lugar de las más graves, los equipos de seguridad pueden reducir la posibilidad de ataques exitosos.
La seguridad ya no es responsabilidad exclusiva de los equipos de TI. Los equipos de operaciones, finanzas, marketing, ventas y atención al cliente tienen una función en cuanto a mantener las empresas seguras. Si bien la responsabilidad final de la seguridad sigue siendo de los profesionales de la tecnología, compartir la carga entre los equipos puede mejorar las tasas de detección y reducir el tiempo entre la identificación y la acción.
Con el backlog del NVD, es importante que los equipos de seguridad encuentren y aprovechen recursos alternativos. Las posibles fuentes de seguridad incluyen:
El NIST espera eliminar el backlog del NVD para septiembre de 2024, pero no hay garantía de que sus esfuerzos tengan éxito. Como señaló The Record, el senador Mark Warner (D-VA) y Thom Tillies (R-NC) propusieron una legislación que restauraría el financiamiento del NIST y aumentaría su enfoque en nuevos riesgos, como las amenazas habilitadas por IA, pero el proyecto de ley está en fases incipientes.
En otras palabras, aunque la agencia y los legisladores federales reconocen el impacto crítico del análisis y enriquecimiento de CVE, las empresas no pueden confiar en el NVD para entregar datos de vulnerabilidad actualizados.
En cambio, es mejor que las empresas cambien su enfoque para alinearse con los esfuerzos cambiantes de los atacantes. Al implementar herramientas que ayudan a mejorar la visibilidad e identificar la explotabilidad, las empresas pueden priorizar las amenazas de alto riesgo. Al compartir la carga de seguridad entre departamentos y ampliar el uso de los recursos de seguridad disponibles, las empresas pueden responder de manera más eficaz a las cambiantes prioridades de ataque.
Corrección: este artículo se actualizó para aclarar las diferencias entre el NVD y las CVE. El Programa CVE cataloga las vulnerabilidades divulgadas públicamente a través de CVE Records, mientras que NVD es un consumidor final de los datos del Programa CVE.
Obtenga insights para prepararse y responder a los ciberataques con mayor rapidez y eficacia con IBM X-Force Threat Intelligence Index.
Descubra cómo está cambiando el panorama de seguridad actual y cómo afrontar los desafíos y aprovechar la resiliencia de la IA generativa.
Obtenga insights clave y estrategias prácticas para proteger su nube con la inteligencia de amenazas más reciente.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad
Utilice las soluciones de detección y respuesta a amenazas de IBM para fortalecer su seguridad y acelerar la detección de amenazas.
Optimice los procesos de toma de decisiones, mejore la eficiencia de los SOC y acelere la respuesta ante incidentes con una solución de orquestación y automatización inteligente.
Mejore el programa de respuesta ante incidentes de su organización, minimice el impacto de una violación y experimente una respuesta rápida a los incidentes de ciberseguridad