La gestión de vulnerabilidades, un subdominio de la gestión de riesgos de TI, es el descubrimiento, la priorización y la resolución continuos de las vulnerabilidades de seguridad en la infraestructura y el software de TI de una organización.
Una vulnerabilidad de seguridad es cualquier falla o debilidad en la estructura, funcionalidad o implementación de una red o activo en red que los hackers pueden explotar para lanzar ciberataques, obtener acceso no autorizado a sistemas o datos, o dañar a una organización. Los ejemplos de vulnerabilidades comunes incluyen configuraciones incorrectas del firewall que podrían permitir que ciertos tipos de malware ingresen a la red, o errores sin parches en el protocolo de desktop remoto de un sistema operativo que podrían permitir que los hackers se apoderen de un dispositivo.
Debido a que las redes empresariales de hoy en día están tan distribuidas y se descubren tantas vulnerabilidades nuevas todos los días, una gestión de vulnerabilidades manual o ad hoc efectiva es casi imposible. Los equipos de ciberseguridad suelen confiar en las soluciones de gestión de vulnerabilidades para automatizar el proceso.
El Center for Internet Security (CIS) enumera la gestión continua de vulnerabilidades como uno de sus Controles de seguridad críticos (enlace externo a ibm.com) para defenderse de los ciberataques más comunes. La gestión de vulnerabilidades permite a los equipos de seguridad de TI adoptar una posición de seguridad más proactiva mediante la identificación y resolución de vulnerabilidades antes de que puedan ser explotadas.
Debido a que pueden surgir nuevas vulnerabilidades en cualquier momento, los equipos de seguridad abordan la gestión de vulnerabilidades como un ciclo de vida continuo en lugar de un evento discreto. Este ciclo de vida comprende cinco flujos de trabajo continuos y superpuestos: descubrimiento, categorización y priorización, resolución, reevaluación e informes.
1. Descubrimiento
El flujo de trabajo de descubrimiento se centra en la evaluación de vulnerabilidades, un proceso para verificar todos los activos de TI de una organización en busca de vulnerabilidades conocidas y potenciales. Por lo general, los equipos de seguridad automatizan este proceso con el uso de un software de exploración de vulnerabilidades. Algunos escáneres de vulnerabilidades realizan escaneos de red completos y periódicos en un horario regular, mientras que otros usan agentes instalados en computadoras portátiles, enrutadores y otros puntos finales para recopilar datos en cada dispositivo. Los equipos de seguridad también pueden usar evaluaciones de vulnerabilidades episódicas, como pruebas de penetración, para localizar vulnerabilidades que pueden eludir un escáner.
2. Categorización y priorización
Una vez que se han identificado las vulnerabilidades, se clasifican por tipo (p. ej., configuraciones incorrectas del dispositivo, problemas de cifrado, exposiciones de datos confidenciales) y se priorizan por nivel de criticidad, que es una estimación de la gravedad, la capacidad de explotación y la probabilidad de que cada vulnerabilidad conduzca a un ataque.
Para determinar la criticidad, las soluciones de gestión de vulnerabilidades generalmente se basan en fuentes de inteligencia de amenazas como el Sistema de puntuación de vulnerabilidades comunes (CVSS), un estándar abierto de la industria de ciberseguridad que califica la criticidad de las vulnerabilidades conocidas en una escala de 0 a 10, la lista de vulnerabilidades y exposiciones comunes (CVE) de MITRE, y la base de datos de vulnerabilidad nacional (NVD) de NIST.
3. Resolución
Una vez que se han priorizado las vulnerabilidades, los equipos de seguridad pueden resolverlas de una de estas tres maneras:
- Remediación: abordar completamente una vulnerabilidad para que ya no pueda ser explotada, por ejemplo, instalando un parche que corrige un error de software o retirando un activo vulnerable. Muchas plataformas de gestión de vulnerabilidades brindan herramientas de reparación, como gestión de parches, para descargas y pruebas automáticas de parches, y gestión de configuración, para abordar configuraciones incorrectas de dispositivos y redes desde un panel de control o portal centralizado.
- Mitigación: hacer que una vulnerabilidad sea más difícil de explotar y/o disminuir el impacto de la explotación sin eliminar la vulnerabilidad por completo. Dejar un dispositivo vulnerable en línea pero segmentarlo del resto de la red sería un ejemplo de mitigación. La mitigación a menudo se realiza cuando un parche u otro medio de remediación aún no está disponible.
- Aceptación: consiste en optar por no abordar una vulnerabilidad. A menudo se aceptan las vulnerabilidades con puntajes de criticidad bajos, que es poco probable que se exploten o que causen daños significativos.
4. Revaloración
Cuando se resuelven las vulnerabilidades, los equipos de seguridad generalmente realizan una nueva evaluación de vulnerabilidades para asegurarse de que sus esfuerzos de mitigación o remediación hayan funcionado y no hayan introducido nuevas vulnerabilidades.
5. Informes
Las plataformas de gestión de vulnerabilidades suelen proporcionar paneles de control para informar acerca de métricas, como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). Muchas soluciones también mantienen bases de datos de vulnerabilidades identificadas, lo que permite a los equipos de seguridad realizar un seguimiento de la resolución de las vulnerabilidades identificadas y auditar los esfuerzos anteriores de gestión de vulnerabilidades.
Estas funciones de creación de informes permiten a los equipos de seguridad establecer una línea de base para las actividades de gestión de vulnerabilidades en curso y supervisar el rendimiento del programa a lo largo del tiempo. Los informes también se pueden usar para compartir información entre el equipo de seguridad y otros equipos de TI que pueden ser responsables de gestionar activos pero que no están directamente involucrados en el proceso de gestión de vulnerabilidades.
La gestión de vulnerabilidades basada en riesgos (RBVM) es un enfoque relativamente nuevo para la gestión de vulnerabilidades. RVBM combina datos de vulnerabilidad específicos de los stakeholders con inteligencia artificial y funcionalidades de machine learning para mejorar la gestión de vulnerabilidades de tres formas importantes.
Más contexto para una priorización más eficaz. Como se señaló anteriormente, las soluciones tradicionales de gestión de vulnerabilidades determinan la criticidad mediante recursos estándar de la industria, como CVSS o NIST NVD. Estos recursos se basan en generalidades que pueden determinar la criticidad promedio de una vulnerabilidad en todas las organizaciones. Pero carecen de datos de vulnerabilidad específicos de los stakeholders que pueden resultar en una peligrosa sobrepriorización o sub-priorización de la criticidad de una vulnerabilidad para una empresa específica.
Por ejemplo, debido a que ningún equipo de seguridad tiene el tiempo o los recursos para abordar cada vulnerabilidad en su red, muchos priorizan las vulnerabilidades con un puntaje CVSS "alto" (7.0-8.9) o "crítico" (9.0-10.0). Pero si existe una vulnerabilidad "crítica" en un activo que no almacena ni procesa información confidencial, o no ofrece rutas a segmentos de alto valor de la red, la remediación puede ser una mala asignación del valioso tiempo del equipo de seguridad. Por otro lado, las vulnerabilidades con puntajes CVSS bajos pueden ser una amenaza mayor para algunas organizaciones que para otras. El error Heartbleed, descubierto en 2014, fue calificado como "medio" (5.0) en la escala CVSS (enlace externo a ibm.com), sin embargo, los hackers lo utilizaron para realizar ataques a gran escala, como robar los datos de 4.5 millones de pacientes (enlace externo a ibm.com) de una de las cadenas de hospitales más grandes de EE. UU.
RBVM complementa la puntuación con datos de vulnerabilidades específicos de los stakeholders (la cantidad y la criticidad del activo afectado, cómo los activos están conectados a otros activos y el daño potencial que podría causar una explotación), así como datos sobre cómo los ciberdelincuentes interactúan con las vulnerabilidades reales. Utiliza machine learning para formular puntajes de riesgo que reflejen con mayor precisión el riesgo de cada vulnerabilidad para la organización específicamente. Esto permite que los equipos de seguridad de TI prioricen una cantidad menor de vulnerabilidades críticas, sin sacrificar la seguridad de la red.
Descubrimiento en tiempo real. En RBVM, los escaneos de vulnerabilidades a menudo se realizan en tiempo real en lugar de en un programa recurrente. Además, las soluciones RBVM pueden supervisar una gama más amplia de activos: mientras que los escáneres de vulnerabilidades tradicionales generalmente se limitan a activos conocidos conectados directamente a la red, las herramientas RBVM generalmente pueden escanear dispositivos móviles locales y remotos, activos en la nube, aplicaciones de terceros y otros recursos.
Reevaluación automatizada. En un proceso de RBVM, la reevaluación puede llevarse a cabo automáticamente mediante un escaneo continuo de vulnerabilidades. En la gestión de vulnerabilidades tradicional, la reevaluación puede requerir un análisis de red intencional o una prueba de penetración.
La gestión de vulnerabilidades está estrechamente relacionada con la gestión de superficie de ataque (ASM). ASM es el descubrimiento, análisis, reparación y supervisión continuos de las vulnerabilidades y los posibles vectores de ataque que conforman la superficie de ataque de una organización. La principal diferencia entre ASM y la gestión de vulnerabilidades es el alcance. Si bien ambos procesos supervisan y resuelven vulnerabilidades en los activos de una organización, ASM adopta un enfoque más holístico para la seguridad de la red.
Las soluciones ASM incluyen funcionalidades de descubrimiento de activos que identifican y supervisan todos los activos conocidos, desconocidos, de terceros, subsidiarios y maliciosos conectados a la red. ASM también se extiende más allá de los activos de TI para identificar vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización. Luego analiza estos activos y vulnerabilidades desde la perspectiva de los hackers, para comprender cómo los ciberdelincuentes podrían usarlos para infiltrarse en la red.
Con el auge de la gestión de vulnerabilidades basada en riesgos (RBVM), las líneas entre la gestión de vulnerabilidades y la ASM se han vuelto cada vez más borrosas. Las organizaciones a menudo implementan plataformas ASM como parte de su solución RBVM, porque ASM proporciona una visión más completa de la superficie de ataque que la gestión de vulnerabilidades por sí sola.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la reparación de fallas que podrían exponer sus activos más críticos.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la reparación de fallas que podrían exponer sus activos más críticos.
Gestione el riesgo de TI, establezca estructuras de gestión y aumente la madurez de la ciberseguridad con un enfoque integrado de gestión, riesgo y conformidad.
La gestión de la superficie de ataque ayuda a las organizaciones a descubrir, priorizar y remediar las vulnerabilidades frente a los ciberataques.
DevSecOps incorpora seguridad automáticamente en cada fase del ciclo de vida del desarrollo de software.
Las prácticas y tecnologías de seguridad de datos protegen la información digital del acceso no autorizado, la corrupción o el robo.