¿Qué es la gestión de vulnerabilidades?

Una vulnerabilidad de seguridad es cualquier falla o debilidad en la estructura, funcionalidad o implementación de una red o activo en red que los hackers pueden explotar para lanzar ataques cibernéticos, obtener acceso no autorizado a sistemas o datos o dañar a una organización.

Ejemplos de vulnerabilidades comunes incluyen configuraciones erróneas del firewall que podrían permitir que ciertos tipos de malware ingresen a la red o errores no parcheados en el protocolo de escritorio remoto de un sistema operativo que podrían permitir que los piratas informáticos se hagan cargo de un dispositivo.

Las redes empresariales actuales están muy distribuidas y diariamente se descubren varias vulnerabilidades nuevas, lo que hace que la gestión eficaz de vulnerabilidades manual o ad hoc sea casi imposible. Los equipos de ciberseguridad suelen confiar en soluciones de gestión de vulnerabilidades para automatizar el proceso.

El Center for Internet Security (CIS) enumera la gestión continua de vulnerabilidades como uno de sus controles de seguridad críticos para defenderse de los ataques cibernéticos más comunes. La administración de vulnerabilidades permite a los equipos de seguridad de TI adoptar una postura de seguridad más proactiva identificando y resolviendo vulnerabilidades antes de que puedan explotarse.

Debido a que pueden surgir nuevas vulnerabilidades en cualquier momento, los equipos de seguridad abordan la gestión de vulnerabilidades como un ciclo de vida continuo en lugar de un evento específico. Este ciclo de vida comprende cinco flujos de trabajo continuos y superpuestos: descubrimiento, categorización y priorización, resolución, reevaluación e reportes.

El flujo de trabajo de descubrimiento se centra en la evaluación de vulnerabilidades, un proceso para verificar todos los activos de TI de una organización en busca de vulnerabilidades conocidas y potenciales. Por lo general, los equipos de seguridad automatizan este proceso mediante el uso de software de análisis de vulnerabilidades. Algunas herramientas de análisis de vulnerabilidades realizan análisis periódicos y completos de la red en una programación regular, mientras que otras utilizan agentes instalados en computadoras portátiles, routers y otros endpoints para recopilar datos en cada dispositivo. Los equipos de seguridad también pueden usar evaluaciones episódicas de vulnerabilidades, como pruebas de penetración, para localizar vulnerabilidades que eluden a una herramienta de análisis.

Una vez identificadas las vulnerabilidades, se clasifican por tipo (por ejemplo, configuraciones incorrectas del dispositivo, problemas de cifrado, exposiciones de datos confidenciales) y se priorizan por nivel de criticidad. Este proceso proporciona una estimación de la gravedad de cada vulnerabilidad, su explotabilidad y la probabilidad de un ataque.

Las soluciones de gestión de vulnerabilidades se suelen basar en fuentes de inteligencia de amenazas, como el Common Vulnerability Scoring System (CVSS), un estándar abierto de la industria de la ciberseguridad, para establecer la puntuación de la criticidad de las vulnerabilidades conocidas en una escala de 0 a 10. Otras dos fuentes de inteligencia populares son la lista Common Vulnerabilities and Exposures (CVE) de MITRE y la National Vulnerability Database (NVD) del NIST.

Una vez que se priorizan las vulnerabilidades, los equipos de seguridad pueden resolverlas de una de estas tres maneras:

• Corrección: abordar completamente una vulnerabilidad para que ya no pueda ser explotada, por ejemplo, instalando un parche que arregla un error de software o retirando un activo vulnerable. Muchas plataformas de gestión de vulnerabilidades proporcionan herramientas de corrección, como gestión de parches para descargas y pruebas automáticas de parches, y gestión de configuración para abordar errores de configuración de redes y dispositivos desde un panel o portal centralizado.
• Mitigación: hacer que una vulnerabilidad sea más difícil de explotar y disminuir el impacto de la explotación sin eliminar la vulnerabilidad por completo. Dejar un dispositivo vulnerable en línea, pero segmentarlo del resto de la red es un ejemplo de mitigación. La mitigación a menudo se realiza cuando aún no está disponible un parche u otros medios de corrección. 
• Aceptación: elegir dejar una vulnerabilidad sin abordar. A menudo se aceptan las vulnerabilidades con puntajes de criticidad bajas, que es poco probable que sean explotadas o que causen daños significativos.

Cuando se resuelven las vulnerabilidades, los equipos de seguridad realizan una nueva evaluación de vulnerabilidades para garantizar que sus esfuerzos de mitigación o corrección funcionaron y no introdujeron nuevas vulnerabilidades.

Las plataformas de gestión de vulnerabilidades suelen proporcionar paneles para informar sobre métricas como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). Muchas soluciones también mantienen bases de datos de vulnerabilidades identificadas, lo que permite a los equipos de seguridad realizar un seguimiento de la resolución de las vulnerabilidades identificadas y auditar los esfuerzos anteriores de gestión de vulnerabilidades.

Estas capacidades de elaboración de informes permiten a los equipos de seguridad establecer una referencia para las actividades continuas de administración de vulnerabilidades y monitorear el rendimiento del programa a lo largo del tiempo. Los informes también pueden usarse para compartir información entre el equipo de seguridad y otros equipos de TI que pueden ser responsables de la gestión de activos, pero que no participan directamente en el proceso de gestión de vulnerabilidades.

La gestión de vulnerabilidades basada en riesgos (RBVM) es un enfoque relativamente nuevo para la gestión de vulnerabilidades. La RVBM combina datos de vulnerabilidad específicos de las partes interesadas con inteligencia artificial y capacidades de aprendizaje automático para mejorar la gestión de vulnerabilidades de tres maneras importantes.

Más contexto para una priorización más eficaz. Las soluciones tradicionales de gestión de vulnerabilidades determinan la criticidad mediante el uso de recursos estándar de la industria como CVSS o NIST NVD. Estos recursos se basan en generalidades que pueden determinar la criticidad promedio de una vulnerabilidad en todas las organizaciones. Pero carecen de datos de vulnerabilidad específicos de los stakeholders que pueden dar lugar a una peligrosa sobrepriorización o subpriorización de la criticidad de una vulnerabilidad para una empresa específica.

Por ejemplo, debido a que ningún equipo de seguridad tiene el tiempo o los recursos para abordar todas las vulnerabilidades en su red, muchos priorizan las vulnerabilidades con un puntaje de CVSS "alto" (7.0-8.9) o "crítico" (9.0-10.0). . Sin embargo, si existe una vulnerabilidad "crítica" en un activo que no almacena ni procesa información confidencial, o que no ofrece vías a segmentos de alto valor de la red, es posible que no valga la pena corregirla.

Las vulnerabilidades con puntajes de CVSS bajos pueden ser una amenaza mayor para algunas organizaciones que para otras. El error Heartbleed, descubierto en 2014, fue calificado como "medio" (5.0) en la escala CVSS. Aun así, los hackers lo utilizaron para llevar a cabo ataques a gran escala, como robar los datos de 4.5 millones de pacientes de una de las cadenas de hospitales más grandes de Estados Unidos.

RBVM complementa la puntuación con datos de vulnerabilidades específicos de los stakeholders (el número y la criticidad del activo afectado, cómo se conectan los activos con otros activos y el daño potencial que se podría causar al explotarlos), así como datos sobre cómo interactúan los delincuentes cibernéticos con las vulnerabilidades en el mundo real. Utiliza el machine learning para formular puntuaciones de riesgo que reflejen con mayor precisión el riesgo de cada vulnerabilidad para la organización específicamente. Esto permite a los equipos de seguridad de TI priorizar un número menor de vulnerabilidades críticas sin sacrificar la seguridad de la red.

Descubrimiento en tiempo real. En RBVM, los análisis de vulnerabilidades a menudo se realizan en tiempo real en lugar de hacerlo de forma recurrente. Además, las soluciones de RBVM pueden monitorear una gama más amplia de activos: mientras que las herramientas de análisis de vulnerabilidades tradicionales generalmente se limitan a activos conocidos conectados directamente a la red, las herramientas de RBVM generalmente pueden analizar dispositivos celulares locales y remotos, activos en la nube, aplicaciones de terceros y otros recursos.

Reevaluación automatizada. En un proceso de RBVM, la reevaluación se puede automatizar mediante un análisis continuo de vulnerabilidades. En la gestión tradicional de vulnerabilidades, la reevaluación puede requerir un análisis de red intencional o una prueba de penetración.

La gestión de vulnerabilidades está estrechamente relacionada con la gestión de la superficie de ataque (ASM). La ASM es el descubrimiento, análisis, corrección y supervisión continuos de las vulnerabilidades y los vectores de ataque potenciales que conforman la superficie de ataque de una organización. La principal diferencia entre la ASM y la gestión de vulnerabilidades es el alcance. Aunque ambos procesos monitorean y resuelven las vulnerabilidades de los activos de una organización, la ASM adopta un enfoque más holístico de la seguridad de la red.

Las soluciones de ASM incluyen capacidades de descubrimiento de activos que identifican y monitorean todos los activos conocidos, desconocidos, de terceros, subsidiarios y maliciosos conectados a la red. La ASM también se extiende más allá de los activos de TI para identificar vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización. Luego, analiza estos activos y vulnerabilidades desde la perspectiva de los hackers para comprender cómo los delincuentes cibernéticos podrían usarlos para infiltrar en la red.

Con el auge de la gestión de vulnerabilidades basada en riesgos (RBVM), las líneas entre la gestión de vulnerabilidades y la ASM se volvieron cada vez más borrosas. Las organizaciones a menudo implementan plataformas de ASM como parte de su solución RBVM, ya que ASM proporciona una vista más completa de la superficie de ataque que la gestión de vulnerabilidades por sí sola.