Inicio
Temas
¿Qué es la gestión de vulnerabilidades?
La gestión de vulnerabilidades, un subdominio de la gestión de riesgos de TI, es el descubrimiento continuo, la priorización y la resolución de vulnerabilidades de seguridad en la infraestructura informática y el software de una organización.
Una vulnerabilidad de seguridad es cualquier falla o debilidad en la estructura, funcionalidad o implementación de una red o activo en red que los hackers pueden explotar para lanzar ataques cibernéticos, obtener acceso no autorizado a sistemas o datos o dañar a una organización.
Ejemplos de vulnerabilidades comunes incluyen configuraciones erróneas del firewall que podrían permitir que ciertos tipos de malware ingresen a la red o errores no parcheados en el protocolo de escritorio remoto de un sistema operativo que podrían permitir que los piratas informáticos se hagan cargo de un dispositivo.
Las redes empresariales actuales están muy distribuidas y diariamente se descubren varias vulnerabilidades nuevas, lo que hace que la gestión eficaz de vulnerabilidades manual o ad hoc sea casi imposible. Los equipos de ciberseguridad suelen confiar en soluciones de gestión de vulnerabilidades para automatizar el proceso.
El Center for Internet Security (CIS) enumera la gestión continua de vulnerabilidades como uno de sus controles de seguridad críticos (enlace externo a ibm.com) para defender de los ciberataques más comunes. La administración de vulnerabilidades permite a los equipos de seguridad de TI adoptar una postura de seguridad más proactiva identificando y resolviendo vulnerabilidades antes de que puedan explotarse.
Obtenga información para prepararse y responder ante los ciberataques con mayor rapidez y eficacia con IBM® Security X-Force Threat Intelligence Index.
Debido a que pueden surgir nuevas vulnerabilidades en cualquier momento, los equipos de seguridad abordan la gestión de vulnerabilidades como un ciclo de vida continuo en lugar de un evento específico. Este ciclo de vida comprende cinco flujos de trabajo continuos y superpuestos: descubrimiento, categorización y priorización, resolución, reevaluación e reportes.
1. Descubrimiento
El flujo de trabajo de descubrimiento se centra en la evaluación de vulnerabilidades, un proceso para verificar todos los activos de TI de una organización en busca de vulnerabilidades conocidas y potenciales. Por lo general, los equipos de seguridad automatizan este proceso mediante el uso de software de análisis de vulnerabilidades. Algunas herramientas de análisis de vulnerabilidades realizan análisis periódicos y completos de la red en una programación regular, mientras que otras utilizan agentes instalados en computadoras portátiles, routers y otros endpoints para recopilar datos en cada dispositivo. Los equipos de seguridad también pueden usar evaluaciones episódicas de vulnerabilidades, como pruebas de penetración, para localizar vulnerabilidades que eluden a una herramienta de análisis.
2. Categorización y priorización
Una vez identificadas las vulnerabilidades, se clasifican por tipo (por ejemplo, configuraciones incorrectas del dispositivo, problemas de cifrado, exposiciones de datos confidenciales) y se priorizan por nivel de criticidad. Este proceso proporciona una estimación de la gravedad de cada vulnerabilidad, su explotabilidad y la probabilidad de un ataque.
Las soluciones de gestión de vulnerabilidades suelen basar en fuentes de inteligencia de amenazas, como el Common Vulnerability Scoring System (CVSS), un estándar abierto de la industria de la ciberseguridad, para establecer la puntuación de la criticidad de las vulnerabilidades conocidas en una escala de 0 a 10. Otras dos fuentes de inteligencia populares son la lista Common Vulnerabilities and Exposures (CVE) de MITRE y la National Vulnerability Database (NVD) del NIST.
3. Resolución
Una vez que se priorizan las vulnerabilidades, los equipos de seguridad pueden resolverlas de una de estas tres maneras:
4. Reevaluación
Cuando se resuelven las vulnerabilidades, los equipos de seguridad realizan una nueva evaluación de vulnerabilidades para garantizar que sus esfuerzos de mitigación o corrección funcionaron y no introdujeron nuevas vulnerabilidades.
5. Informes
Las plataformas de gestión de vulnerabilidades suelen proporcionar paneles para informar sobre métricas como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). Muchas soluciones también mantienen bases de datos de vulnerabilidades identificadas, lo que permite a los equipos de seguridad realizar un seguimiento de la resolución de las vulnerabilidades identificadas y auditar los esfuerzos anteriores de gestión de vulnerabilidades.
Estas capacidades de elaboración de informes permiten a los equipos de seguridad establecer una referencia para las actividades continuas de administración de vulnerabilidades y monitorear el rendimiento del programa a lo largo del tiempo. Los informes también pueden usarse para compartir información entre el equipo de seguridad y otros equipos de TI que pueden ser responsables de la gestión de activos pero que no participan directamente en el proceso de gestión de vulnerabilidades.
La gestión de vulnerabilidades basada en riesgos (RBVM) es un enfoque relativamente nuevo para la gestión de vulnerabilidades. La RVBM combina datos de vulnerabilidad específicos de las partes interesadas con inteligencia artificial y capacidades de aprendizaje automático para mejorar la gestión de vulnerabilidades de tres maneras importantes.
Más contexto para una priorización más eficaz. Las soluciones tradicionales de gestión de vulnerabilidades determinan la criticidad mediante el uso de recursos estándar de la industria como CVSS o NIST NVD. Estos recursos se basan en generalidades que pueden determinar la criticidad promedio de una vulnerabilidad en todas las organizaciones. Pero carecen de datos de vulnerabilidad específicos de los stakeholders que pueden dar lugar a una peligrosa sobrepriorización o subpriorización de la criticidad de una vulnerabilidad para una empresa específica.
Por ejemplo, debido a que ningún equipo de seguridad tiene el tiempo o los recursos para abordar todas las vulnerabilidades en su red, muchos priorizan las vulnerabilidades con un puntaje de CVSS "alto" (7.0-8.9) o "crítico" (9.0-10.0). . Sin embargo, si existe una vulnerabilidad "crítica" en un activo que no almacena ni procesa información confidencial, o que no ofrece vías a segmentos de alto valor de la red, es posible que no valga la pena corregirla.
Las vulnerabilidades con puntajes de CVSS bajos pueden ser una amenaza mayor para algunas organizaciones que para otras. El error Heartbleed, descubierto en 2014, fue calificado como “medio” (5,0) en la escala CVSS (enlace externo a ibm.com). Aun así, los hackers lo emplearon para realizar ataques a gran escala, como robar los datos de 4,5 millones de pacientes (enlace externo a ibm.com) de una de las cadenas de hospitales más grandes de EE. UU.
RBVM complementa el puntaje con datos de vulnerabilidades específicos de los stakeholders (el número y la criticidad del activo afectado, cómo se conectan los activos con otros activos y el daño potencial que podría causar un exploit), así como datos sobre cómo interactúan los ciberdelincuentes con las vulnerabilidades en el mundo real. Utiliza el aprendizaje automático para formular puntajes de riesgo que reflejen con mayor precisión el riesgo de cada vulnerabilidad para la organización específicamente. Esto permite a los equipos de seguridad de TI priorizar un número menor de vulnerabilidades críticas sin sacrificar la seguridad de la red.
Descubrimiento en tiempo real. En RBVM, los análisis de vulnerabilidades a menudo se realizan en tiempo real en lugar de hacerlo de forma recurrente. Además, las soluciones de RBVM pueden monitorear una gama más amplia de activos: mientras que las herramientas de análisis de vulnerabilidades tradicionales generalmente se limitan a activos conocidos conectados directamente a la red, las herramientas de RBVM generalmente pueden analizar dispositivos celulares locales y remotos, activos en la nube, aplicaciones de terceros y otros recursos.
Reevaluación automatizada. En un proceso de RBVM, la reevaluación se puede automatizar mediante un análisis continuo de vulnerabilidades. En la gestión tradicional de vulnerabilidades, la reevaluación puede requerir un análisis de red intencional o una prueba de penetración.
La gestión de vulnerabilidades está estrechamente relacionada con la gestión de la superficie de ataque (ASM). La ASM es el descubrimiento, análisis, corrección y supervisión continuos de las vulnerabilidades y los vectores de ataque potenciales que conforman la superficie de ataque de una organización. La principal diferencia entre la ASM y la gestión de vulnerabilidades es el alcance. Aunque ambos procesos monitorear y resuelven las vulnerabilidades de los activos de una organización, la ASM adopta un enfoque más holístico de la seguridad de la red.
Las soluciones de ASM incluyen capacidades de descubrimiento de activos que identifican y monitorean todos los activos conocidos, desconocidos, de terceros, subsidiarios y maliciosos conectados a la red. La ASM también se extiende más allá de los activos de TI para identificar vulnerabilidades en las superficies de ataque de ingeniería física y social de una organización. Luego, analiza estos activos y vulnerabilidades desde la perspectiva de los hackers para comprender cómo los delincuentes cibernéticos podrían usarlos para infiltrar en la red.
Con el auge de la gestión de vulnerabilidades basada en riesgos (RBVM), las líneas entre la gestión de vulnerabilidades y la ASM se volvieron cada vez más borrosas. Las organizaciones a menudo implementan plataformas de ASM como parte de su solución RBVM, ya que ASM proporciona una vista más completa de la superficie de ataque que la gestión de vulnerabilidades por sí sola.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección que podrían exponer sus activos más críticos.
Gestione el riesgo de TI y establezca estructuras de gobernanza que aumenten la madurez de la ciberseguridad con un enfoque integrado de gobernanza, riesgo y cumplimiento (GRC).
Simplifique y optimice la administración de aplicaciones y las operaciones de tecnología con insight generativo basado en IA.
La gestión de la superficie de ataque ayuda a las organizaciones a descubrir, priorizar y corregir las vulnerabilidades frente a los ciberataques.
DevSecOps incorpora automáticamente la seguridad en cada fase del ciclo de vida del desarrollo de software.
Las prácticas y tecnologías de seguridad de datos protegen la información digital del acceso no autorizado, la corrupción o el robo.