¿Qué es el ciclo de vida de la gestión de vulnerabilidades?

Autor

Matthew Kosinski

Staff Editor

IBM Think

¿Qué es el ciclo de vida de la gestión de vulnerabilidades?

El ciclo de vida de la gestión de vulnerabilidades es un proceso continuo para descubrir, priorizar y abordar vulnerabilidades en los activos de TI de una compañía.

Cada mes, el Instituto Nacional de Estándares y Tecnología (NIST) de EE. UU. agrega más de 2000 nuevas vulnerabilidades de seguridad a la National Vulnerability Database. Los equipos de seguridad no necesitan rastrear todas estas vulnerabilidades, pero sí necesitan una forma de identificar y resolver aquellas que representan una amenaza potencial para sus sistemas. Para eso existe el ciclo de vida de la gestión de vulnerabilidades.

Una ronda típica del ciclo de vida tiene cinco etapas:

  1. Inventario de activos y evaluación de la vulnerabilidad.
  2. Priorización de vulnerabilidades.
  3. Resolución de vulnerabilidades.
  4. Verificación y monitoreo.
  5. Informes y mejora.

El ciclo de vida de gestión de vulnerabilidades permite a las organizaciones mejorar la postura de seguridad al adoptar un enfoque más estratégico para la gestión de vulnerabilidades. En lugar de reaccionar a las nuevas vulnerabilidades a medida que aparecen, los equipos de seguridad cazan activamente fallas en sus sistemas. Las organizaciones pueden identificar las vulnerabilidades más críticas e implementar protecciones antes de que los actores de amenazas ataquen.

Boletín de noticias Think

¿Su equipo captaría a tiempo el próximo día cero?

Únase a los líderes de seguridad que confían en el boletín Think para obtener noticias seleccionadas sobre IA, ciberseguridad, datos y automatización. Aprende rápido con tutoriales de expertos y documentos explicativos, que se envían directamente a su bandeja de entrada. Consulte la Declaración de privacidad de IBM.

Su subscripción se entregará en inglés. En cada boletín, encontrará un enlace para darse de baja. Puede gestionar sus suscripciones o darse de baja aquí. Consulte nuestra Declaración de privacidad de IBM para obtener más información.

https://www.ibm.com/mx-es/privacy

¿Por qué es importante el ciclo de vida de la gestión de vulnerabilidades?

Una vulnerabilidad es cualquier debilidad de seguridad en la estructura, función o implementación de una red o activo que los hackers pueden explotar para dañar a una empresa.

Las vulnerabilidades pueden surgir de fallas fundamentales en la construcción de un activo. Tal fue el caso de la infame vulnerabilidad Log4J, donde los errores de codificación en una popular biblioteca de Java permitieron a los piratas informáticos ejecutar malware de forma remota en las computadoras de las víctimas. Otras vulnerabilidades son causadas por errores humanos, como un depósito de espacio en la nube mal configurado que expone datos confidenciales a la Internet pública.

Cada vulnerabilidad es un riesgo para las organizaciones. Según el X-Force Threat Intelligence Index de IBM, la explotación de vulnerabilidades en aplicaciones públicas es uno de los vectores de ciberataques más comunes. 

Los hackers tienen una creciente reserva de vulnerabilidades a su disposición. En respuesta, las empresas hicieron de la gestión de vulnerabilidades un componente clave de sus estrategias de gestión de riesgos cibernéticos. El ciclo de vida de la gestión de vulnerabilidades ofrece un modelo formal para programas eficaces de gestión de vulnerabilidades en un escenario de amenazas cibernéticas en constante cambio. Al adoptar el ciclo de vida, las organizaciones pueden ver algunos de los siguientes beneficios:

  • Detección y resolución proactivas de vulnerabilidades: las empresas a menudo no conocen sus vulnerabilidades hasta que los hackers las explotaron. El ciclo de vida de la gestión de vulnerabilidades se basa en el monitoreo continuo para que los equipos de seguridad puedan encontrar vulnerabilidades antes que los adversarios.

  • Asignación estratégica de recursos: cada año, se descubren decenas de miles de nuevas vulnerabilidades, pero solo unas cuantas son relevantes para una organización. El ciclo de vida de gestión de vulnerabilidades ayuda a las empresas a identificar las vulnerabilidades más críticas en sus redes y a priorizar los mayores riesgos de corrección.

  • Un proceso de gestión de vulnerabilidades más coherente: el ciclo de vida de la gestión de vulnerabilidades ofrece a los equipos de seguridad un proceso repetible a seguir, desde el descubrimiento de vulnerabilidades hasta la corrección y otros casos. Un proceso más coherente produce resultados más coherentes y permite a las empresas automatizar flujos de trabajo clave, como el inventario de activos, la evaluación de vulnerabilidades y la gestión de parches.

Etapas del ciclo de vida de la gestión de vulnerabilidades

Pueden surgir nuevas vulnerabilidades en una red en cualquier momento, por lo que el ciclo de vida de la gestión de vulnerabilidades es un ciclo continuo en lugar de una serie de eventos distintos. Cada ronda del ciclo de vida alimenta directamente a la siguiente. Una sola ronda suele contener las siguientes etapas:

Etapa 0: Planeación y trabajo previo

 

Técnicamente, la planeación y el trabajo previo ocurren antes del ciclo de vida de gestión de vulnerabilidades, de ahí la designación de "Etapa 0". Durante esta etapa, la organización resuelve los detalles críticos del proceso de gestión de vulnerabilidades, incluidos los siguientes:

  • Qué stakeholders estarán involucrados y qué roles tendrán

  • Recursos, incluidas personas, herramientas y financiamiento, disponibles para la gestión de vulnerabilidades

  • Directrices generales para priorizar y responder a las vulnerabilidades

  • Métricas para medir el éxito del programa

Las organizaciones no pasan por esta etapa antes de cada ronda del ciclo de vida. Por lo general, una empresa lleva a cabo una extensa fase de planeación y trabajo previo antes de lanzar un programa formal de gestión de vulnerabilidades. Cuando se implementa un programa, los stakeholders revisan periódicamente la planeación y el trabajo previo para actualizar sus pautas y estrategias generales según sea necesario.

Etapa 1: Descubrimiento de activos y evaluación de vulnerabilidades

 

El ciclo de vida formal de la gestión de vulnerabilidades comienza con un inventario de activos: un catálogo de todo el hardware y software en la red de la organización. El inventario incluye aplicaciones y endpoints autorizados oficialmente y cualquier activo de TI en la sombra que los empleados usen sin aprobación.

Debido a que de manera regular se agregan nuevos activos a las redes de la empresa, el inventario de activos se actualiza antes de cada ronda del ciclo de vida. Las empresas suelen emplear herramientas de software, como plataformas de gestión de superficies de ataque, para automatizar sus inventarios.

Después de identificar los activos, el equipo de seguridad los evalúa para detectar vulnerabilidades. El equipo puede emplear una combinación de herramientas y métodos, incluidos escáneres de vulnerabilidades automatizados, pruebas de penetración manuales e inteligencia de amenazas externas de la comunidad de ciberseguridad.

Evaluar cada activo durante cada ronda del ciclo de vida sería oneroso, por lo que los equipos de seguridad suelen trabajar en lotes. Cada ronda del ciclo de vida se centra en un grupo específico de activos, y los grupos de activos más críticos reciben análisis con mayor frecuencia. Algunas herramientas avanzadas de análisis de vulnerabilidades evalúan continuamente todos los activos de la red en tiempo real, lo que permite al equipo de seguridad adoptar un enfoque aún más dinámico para el descubrimiento de vulnerabilidades.

Etapa 2: Priorización de vulnerabilidades

 

El equipo de seguridad prioriza las vulnerabilidades que encontraron en la etapa de evaluación. La priorización garantiza que el equipo aborde primero las vulnerabilidades más críticas. Esta etapa también ayuda al equipo a evitar dedicar tiempo y recursos a vulnerabilidades de bajo riesgo. 

Para priorizar las vulnerabilidades, el equipo considera estos criterios:

  • Calificaciones de criticidad de inteligencia de amenazas: esto puede incluir la lista de Vulnerabilidades y exposiciones comunes (CVE, por sus siglas en inglés) o el Sistema de puntuación de vulnerabilidades comunes (CVSS, por sus siglas en inglés).

  • Criticidad de los activos: una vulnerabilidad no crítica en un activo crítico a menudo recibe mayor prioridad que una vulnerabilidad crítica en un activo menos importante. 

  • Impacto potencial: el equipo de seguridad evalúa lo que podría suceder si los hackers explotaran una vulnerabilidad particular, incluidos los efectos en las operaciones comerciales, las pérdidas financieras y cualquier posibilidad de acción legal.

  • Probabilidad de explotación: el equipo de seguridad presta más atención a las vulnerabilidades con exploits conocidos que los hackers emplean activamente en la naturaleza.

  • Falsos positivos: el equipo de seguridad se cerciora de que las vulnerabilidades realmente existan antes de dedicarles recursos.

Etapa 3: Resolución de vulnerabilidades

 

El equipo de seguridad trabaja a través de la lista de vulnerabilidades priorizadas, desde la más crítica hasta la menos crítica. Las organizaciones tienen tres opciones para abordar las vulnerabilidades:

  1. Corrección: abordar completamente una vulnerabilidad para que ya no pueda ser explotada, por ejemplo, parcheando un error del sistema operativo, corrigiendo una configuración incorrecta o eliminando un activo vulnerable de la red. La corrección no siempre es factible. Para algunas vulnerabilidades, las correcciones completas no están disponibles en el momento del descubrimiento (por ejemplo, vulnerabilidades de día cero). En el caso de otras vulnerabilidades, la corrección requeriría demasiados recursos.

  2. Mitigación: Dificultar la explotación de una vulnerabilidad o reducir el impacto de la explotación sin eliminar la vulnerabilidad por completo. Por ejemplo, agregar medidas de autenticación y autorización más estrictas a una aplicación web dificultaría que los hackers secuestren cuentas. La elaboración de planes de respuesta ante incidentes para las vulnerabilidades identificadas puede suavizar el golpe de los ciberataques. Los equipos de seguridad suelen optar por la mitigación cuando la reparación es imposible o prohibitivamente cara. 

  3. Aceptación: algunas vulnerabilidades tienen un impacto tan bajo o es poco probable que se exploten que solucionarlas no sería rentable. En estos casos, la organización puede optar por aceptar la vulnerabilidad.

Etapa 4: Verificación y monitoreo

 

Para verificar que los esfuerzos de mitigación y corrección funcionaron según lo previsto, el equipo de seguridad vuelve a escanear y vuelve a probar los activos en los que acaba de trabajar. Estas auditorías tienen dos propósitos principales: determinar si el equipo de seguridad abordó con éxito todas las vulnerabilidades conocidas y garantizar que la mitigación y la corrección no introdujeron ningún problema nuevo.

Como parte de esta etapa de reevaluación, el equipo de seguridad también monitorea la red de manera más amplia. El equipo busca nuevas vulnerabilidades desde el último análisis, antiguas mitigaciones que se volvieron obsoletas u otros cambios que puedan requerir acción. Todos estos hallazgos ayudan a informar la siguiente ronda del ciclo de vida.

Etapa 5: Reporting y mejora

 

El equipo de seguridad documenta la actividad de la ronda más reciente del ciclo de vida, incluidas las vulnerabilidades encontradas, los pasos de resolución tomados y los resultados. Estos reportes se comparten con las partes interesadas relevantes, incluidos ejecutivos, propietarios de activos, departamentos de cumplimiento y otros. 

El equipo de seguridad también reflexiona sobre cómo fue la ronda más reciente del ciclo de vida. El equipo puede examinar parámetros clave como el tiempo medio de detección (MTTD), el tiempo medio de respuesta (MTTR), el número total de vulnerabilidades críticas y los índices de recurrencia de vulnerabilidades. Mediante el seguimiento de estas métricas a lo largo del tiempo, el equipo de seguridad puede establecer una línea de base para el rendimiento del programa de gestión de vulnerabilidades e identificar oportunidades para mejorar el programa con el tiempo. Las lecciones aprendidas en una ronda del ciclo de vida pueden hacer más eficaz la siguiente.
Soluciones relacionadas
Soluciones de seguridad empresarial

Transforme su programa de seguridad con las soluciones del mayor proveedor de seguridad empresarial.

 Explore las soluciones de ciberseguridad
Servicios de Ciberseguridad

Transforme su negocio y gestione el riesgo con servicios de consultoría de ciberseguridad, nube y seguridad gestionada.

         Explore los servicios de ciberseguridad
    Ciberseguridad de la inteligencia artificial (IA)

    Aumente la velocidad, precisión y productividad de los equipos de seguridad con soluciones cibernéticas potenciadas por IA.

         Explorar la ciberseguridad de IA
    Dé el siguiente paso

    Ya sea que necesite una solución de seguridad de datos, gestión de endpoints o gestión de identidad y acceso (IAM), nuestros expertos están listos para trabajar con usted para lograr una postura de seguridad sólida. Transforme su negocio y gestione el riesgo con un líder global del sector en servicios de consultoría de ciberseguridad, en la nube y de seguridad gestionada.

         Explore las soluciones de ciberseguridad Descubrir los servicios de ciberseguridad