¿Qué es la gestión de vulnerabilidades?

Con la gestión de vulnerabilidades podrás identificar, priorizar y reaccionar ante problemas de software y de configuraciones erróneas que podrían convertirse en objetivos de ataques, provocar la liberación accidental de datos confidenciales o interrumpir las operaciones empresariales.

El ecosistema cibernético moderno es todo menos estático; es una entidad cambiante en constante evolución que continuamente se expande para abarcar nuevas tecnologías, sistemas y personas. Lamentablemente, esto hace que la seguridad sea una tarea abrumadora.

Casi a diario se descubren nuevas vulnerabilidades digitales, teniendo en cuenta los miles de vectores de amenaza nuevos que surgen cada año, lo que provoca problemas considerables a las organizaciones de prácticamente todos los sectores. Y según el Ponemon Institute, el coste medio global de una filtración de datos en Estados Unidos es de 8,64 millones de dólares. Por lo tanto, responder a los ataques solo después de que se hayan producido no es una defensa eficaz.

Además, en la sociedad moderna los sistemas y servicios son cada vez más complejos e integrales. A medida que los usuarios configuren, mantengan y agreguen más tecnología y dispositivos al entorno, se irán produciendo errores. Cada error abre la puerta a un nuevo problema.

La gestión de vulnerabilidades ofrece una solución.

Definición de la gestión de vulnerabilidades

La gestión de vulnerabilidades es un término que describe los diversos procesos, herramientas y estrategias de identificación, evaluación, tratamiento y notificación de las vulnerabilidades de seguridad y de las configuraciones erróneas dentro del software y los sistemas de una organización. En otras palabras, te permite supervisar el entorno digital de tu empresa para identificar posibles riesgos y obtener una imagen actualizada del estado de seguridad actual.

Vulnerabilidades de seguridad

En términos generales, una vulnerabilidad es una debilidad, un punto flaco del que alguien puede aprovecharse. En informática, una vulnerabilidad de seguridad es básicamente lo mismo. Las vulnerabilidades de seguridad son el punto de mira de los atacantes, que intentan encontrarlas y explotarlas para acceder a sistemas restringidos.

Explorador de vulnerabilidades

Identificar vulnerabilidades en todos tus sistemas, redes y aplicaciones requiere herramientas específicas. Un explorador de vulnerabilidades es un programa diseñado para moverse a través de sistemas digitales y descubrir posibles debilidades, posibilitando así la gestión de vulnerabilidades.

Gestión de vulnerabilidades basada en el riesgo

Los programas de gestión de vulnerabilidades basados en el riesgo, que son una ampliación de la gestión de vulnerabilidades, están diseñados para abordar las debilidades inherentes a los sistemas digitales, incluidos el software, el hardware y la infraestructura. La gestión de vulnerabilidades basada en el riesgo utiliza el aprendizaje automático para ampliar la gestión de vulnerabilidades más allá de los activos de TI tradicionales, incorporando infraestructura en la nube, dispositivos IoT, aplicaciones web y otros. Esto permite a las empresas acceder a información relevante en toda su superficie de ataque.

La gestión de vulnerabilidades basada en el riesgo también permite una priorización más precisa y basada en el riesgo. Tu empresa puede así centrarse primero en identificar y reparar las debilidades que tienen más probabilidades de provocar una filtración y dejar las vulnerabilidades menos críticas para más adelante.

Gestión de vulnerabilidades frente a evaluación de vulnerabilidades

Tanto la gestión de vulnerabilidades como la evaluación de vulnerabilidades contribuyen a abordar y resolver de manera eficaz las vulnerabilidades de seguridad cibernética. Sin embargo, ambos términos no son sinónimos.

Una evaluación de vulnerabilidades es solo la primera fase de la gestión de vulnerabilidades. La mayoría de las empresas utilizan herramientas de escaneo para observar sus dispositivos en red, así como para recopilar información sobre la versión del software instalado y compararlo con las vulnerabilidades conocidas comunicadas por los proveedores de software. Normalmente se requieren varias herramientas de escaneo, con o sin agentes o credenciales, para cubrir el rango de software en uso (aplicaciones, sistemas operativos, proveedores de servicios en la nube, etc.). Las empresas ejecutan escaneos a intervalos programados (generalmente mensuales o trimestrales). A continuación, utilizan la lista, que a menudo se envía por correo electrónico como hoja de cálculo, para asignar tareas de actualización o de aplicación de parches. Si se anuncia una vulnerabilidad de día cero que se está explotando activamente y para la que posiblemente aún no hay un parche disponible, una empresa puede iniciar un análisis bajo demanda que puede tardar días o semanas, según el tamaño y la configuración de su infraestructura.

Por el contrario, la gestión de vulnerabilidades es un ciclo de vida, no solo un escaneo programado o para un fin concreto. Se trata de un programa continuo que pasa de la evaluación a la priorización y de ahí a la resolución. Utiliza múltiples fuentes de datos para evaluar y reevaluar continuamente el estado actual de tu software y tus servicios. Al agregar el contexto de negocio, riesgo, ataque y explotación a la información de software generada por las herramientas de evaluación, un sistema de gestión de vulnerabilidades puede llamar la atención de manera eficaz sobre las vulnerabilidades que se deben abordar inmediatamente, e incluso sugerir la mejor solución o medida de atenuación del riesgo. La constante apreciación, evaluación, reparación y comunicación de vulnerabilidades te permite gestionar y abordar las vulnerabilidades de seguridad diariamente. Esto significa que las debilidades se pueden descubrir más rápidamente, los problemas de mayor impacto se pueden abordar primero y se pasan por alto menos vulnerabilidades.

En pocas palabras, una evaluación de vulnerabilidades ofrece una visión general del estado del software de TI, mientras que la gestión de vulnerabilidades ofrece información en tiempo real y en constante evolución, así como orientación para la resolución y la elaboración de informes.

A medida que se crea e incluye más información dentro de los sistemas digitales y las organizaciones siguen aumentando el uso de tecnologías móviles y dispositivos de IoT, surgen nuevas vulnerabilidades de seguridad. Aquí analizamos algunas de las estadísticas más relevantes relacionadas con la gestión de vulnerabilidades:

  • En 2020 se identificaron y publicaron 17 002 nuevas vulnerabilidades de seguridad. (Stack Watch)
  • La vulnerabilidad promedio tuvo una clasificación de gravedad de 7,1 sobre 10. (Stack Watch)
  • El 48 % de las organizaciones confiesa haber sufrido una filtración de datos en los últimos dos años. (ServiceNow)
  • El 60 % de las víctimas de filtración de datos comentó que ello se debió a una vulnerabilidad conocida no resuelta en la que no se aplicó el parche. (ServiceNow)
  • El 62 % no sabía antes de la filtración de datos que sus organizaciones eran vulnerables. (ServiceNow)
  • El 52 % de los encuestados afirma que sus organizaciones están en desventaja a la hora de responder a vulnerabilidades porque utiliza procesos manuales. (ServiceNow)

Los cinco proveedores con el mayor número de vulnerabilidades de seguridad documentadas en 2020 son Microsoft, Google, Oracle, Apple e IBM. (Stack Watch)

Sin duda, no son pocas las vulnerabilidades que pueden convertirse en el blanco de los atacantes. Además, dado el daño que puede resultar de una filtración de datos, no solo en términos de pérdidas financieras sino también en lo que respecta a interrupciones operativas, pérdida de confianza del cliente y daño a la reputación de la marca, o incluso posibles repercusiones legales, encontrar y corregir vulnerabilidades es absolutamente vital.

Un sistema de gestión de vulnerabilidades eficaz proporciona una importante capa adicional de protección y te faculta para gestionar y corregir fallos de seguridad de TI de forma continua.

Ningún debate sobre la gestión de vulnerabilidades estaría completo sin abordar los exploits, lo que son y cómo prepararnos para ellos.

Un exploit es un programa de software malicioso (malware). Consta de un código especializado que aprovecha las vulnerabilidades conocidas de un sistema. Los atacantes inicialmente utilizan exploits para acceder a redes y sistemas relacionados de forma remota. Después pueden robar o modificar datos, otorgarse privilegios de sistema, bloquear a usuarios autorizados, profundizar en la red y abrir la puerta a otros malware o técnicas de ataque.

Un factor importante que se debe considerar es que los exploits son programas de software que están diseñados para atacar y aprovechar las vulnerabilidades conocidas o, en el caso de las de día cero, una vulnerabilidad que puede no ser conocida y, por lo tanto, no se le habrán aplicado parches. Implementando la gestión de vulnerabilidades en tu organización puedes abordar y reparar las mismas vulnerabilidades a las que atacan los exploits.

Además de la gestión continua de vulnerabilidades, también puedes preparar tu organización de las siguientes maneras:

  • Proporciona formación de seguridad de TI a todos los empleados
    Tu departamento de TI no es el único que necesita saber cómo defenderse de posibles ataques. Capacita a todos tus empleados en materia de mejores prácticas de seguridad de TI y asegúrate de que las políticas de ciberseguridad de tu organización estén actualizadas.
  • Implementa el filtrado y escaneo del tráfico
    El filtrado y escaneo de tráfico te proporciona una mayor visibilidad del tráfico de red y te permite enviar los tipos correctos de tráfico a las herramientas adecuadas de monitorización de seguridad. Esto evita los cuellos de botella del tráfico, reduce la latencia y permite una identificación y respuesta más rápida contra agentes maliciosos.
  • Mantente al día aplicando parches periódicamente
    Los proveedores de software proporcionan parches y actualizaciones con regularidad para ayudar a proteger tus productos de las vulnerabilidades emergentes. Comprueba periódicamente si hay nuevos parches y asegúrate de que todos tus sistemas y aplicaciones se usen con las versiones más actualizadas; ello te ayudará a garantizar que las vulnerabilidades conocidas no se utilicen en tu contra.

Para obtener más información sobre la protección de tu ecosistema vital de TI, consulta Implementar una respuesta ágil de seguridad: la lista de comprobación esencial.

Cuando los proveedores y desarrolladores ponen a disposición soluciones de software, no siempre tienen tiempo para identificar y abordar todas las posibles vulnerabilidades antes de que el producto salga al mercado. Por tanto, los defectos y fallos pueden pasar desapercibidos durante un tiempo.

A medida que los proveedores, las agencias de seguridad, los controladores y los usuarios tradicionales descubren nuevas vulnerabilidades, estas generalmente se comunican y divulgan a través de los canales pertinentes. Después, los proveedores son responsables de aplicar parches a sus productos expuestos. Según la gravedad o importancia de la vulnerabilidad, los proveedores se mueven más o menos rápidamente para publicar un parche. Los grandes proveedores suelen agregar y probar parches en una versión de “martes de parches”, de modo que sus clientes puedan tener menos interrupciones y menos trabajo para implementar la solución.

Aunque los proveedores probablemente empleen a sus propios evaluadores e incluso a agencias de pruebas de infiltración externas para identificar vulnerabilidades, muchos fallos pasan inadvertidos hasta que los usuarios se topan con ellos o los hackers los identifican. Teniendo esto en cuenta, la gestión continua de vulnerabilidades se vuelve aún más crucial.

La gestión de vulnerabilidades es un proceso cíclico; sigue una serie de etapas definidas y luego se repite. Este ciclo incluye seis pasos:

Descubrir las vulnerabilidades

Cuanto más tiempo permanezca una vulnerabilidad sin ser detectada, más probable es que se produzca una infracción de la seguridad. Realiza escaneos semanales externos e internos de la red para identificar vulnerabilidades existentes y nuevas. Este proceso incluye el escaneo de sistemas accesibles en red, la identificación de puertos y servicios abiertos en dichos sistemas, la recopilación de información del sistema y la comparación de la información del sistema con vulnerabilidades conocidas.

Priorizar los activos

Una vez que sepas lo que está en uso, puedes asignar a cada activo un valor basado en su uso o función en la empresa. ¿Se utiliza una aplicación o un servidor web para dar soporte a tus mejores clientes o a tus empleados con una misión crítica, o solo para una impresora? ¿Se trata de un ordenador portátil para ejecutivos o de un terminal del departamento de ayuda al cliente? Agregando este contexto a tu lista de sistemas sabrás en todo momento lo importante que es solucionar una vulnerabilidad concreta.

Evaluar las vulnerabilidades

La evaluación consiste en analizar y comprender el estado de las aplicaciones y los sistemas de tu entorno.

Priorizar las vulnerabilidades

A medida que tus análisis descubren vulnerabilidades, deberás priorizarlas según su riesgo potencial para el negocio, los empleados y los clientes. Las plataformas de gestión de vulnerabilidades suelen proporcionar distintas métricas incorporadas para evaluar y clasificar las vulnerabilidades. Dicho esto, también tendrás que enriquecer el proceso con el contexto de empresa, amenazas y riesgos, que puede provenir de fuentes internas o externas. El objetivo es identificar las vulnerabilidades más relevantes para ti, de alto impacto y de alta probabilidad. Con el brusco aumento de software, servicios y dispositivos en tu empresa, es posible que nunca puedas corregir todas las vulnerabilidades. Identificar los objetivos más importantes y probables de un ataque proporciona una forma práctica de gestionar esta realidad.

Corregir las vulnerabilidades

Una vez identificadas, priorizadas y catalogadas las vulnerabilidades, el siguiente paso obvio es corregirlas o mitigarlas. Cabe señalar que a menudo las personas que son responsables de comprender el riesgo asociado a las vulnerabilidades dentro de una empresa no suelen ser las mismas personas con la autoridad para implementar soluciones. Con esto en mente, tu organización debe intentar desarrollar un lenguaje, criterios de decisión y procesos comunes entre los equipos de operaciones de seguridad, operaciones de TI y administración del sistema.

Verificar la solución

El paso final, que a menudo se pasa por alto en este proceso, es verificar que se haya resuelto la vulnerabilidad. Realiza un seguimiento de los pasos antes mencionados con otro análisis para asegurarte de que los riesgos de máxima prioridad se hayan resuelto o mitigado eficazmente. Este paso final permite cerrar el incidente en el sistema de rastreo y proporciona métricas de rendimiento claves, como el tiempo medio de resolución (MTTR) o el número de vulnerabilidades críticas abiertas.

Informar sobre el estado

Especialmente cuando existe un evento de interés general, como un defecto de software importante o una vulnerabilidad de día cero explotada, los gerentes, ejecutivos e incluso la junta directiva pueden pedirte cuentas de hasta qué punto has evaluado y abordado correctamente las vulnerabilidades de los activos. Los informes sobre las tendencias de las vulnerabilidades, el riesgo y el rendimiento de la gestión de vulnerabilidades también ayudan a justificar la dotación de personal o de herramientas. Las principales plataformas de gestión de vulnerabilidades incluyen opciones para generar automáticamente informes visuales y paneles interactivos para respaldar a diferentes usuarios, partes interesadas y objetivos.

2-What-is-Vulnerability-Mngmt-A

Las seis etapas descritas anteriormente evidencian un enfoque estructurado y secuencial para la gestión de vulnerabilidades. La estructura correcta es también esencial en la configuración del proceso de gestión de vulnerabilidades. Estos son los pasos que debes considerar:

Definir los objetivos

Obviamente, el objetivo principal de cualquier solución de gestión de vulnerabilidades debe ser identificar y corregir o mitigar las vulnerabilidades del sistema, y hacerlo antes de que los atacantes puedan aprovecharse de estas vulnerabilidades. Sin embargo, también deberías identificar cualquier objetivo secundario que tu organización pueda tener en relación con el proceso de gestión de vulnerabilidades.

Los objetivos secundarios permiten mejorar la eficacia general de la gestión de vulnerabilidades y la forma en que la organización implementa los datos resultantes. Estos objetivos secundarios pueden incluir el aumento de la regularidad del análisis de vulnerabilidades o la reducción del tiempo de resolución al abordar las vulnerabilidades identificadas.

Definir los roles dentro de la organización

Para que una solución de gestión de vulnerabilidades sea efectiva, es necesario que todas las partes interesadas estén comprometidas con su éxito, y que los roles y responsabilidades que participan en el proceso estén claramente definidos. Aunque las distintas estructuras y competencias de las organizaciones pueden requerir una separación de responsabilidades diferente, la mayoría de las empresas pueden beneficiarse de asignar personas a los roles de supervisores, solucionadores y autorizadores.

  • Supervisor
    Este rol evalúa la gravedad y el riesgo de las vulnerabilidades, documenta sus hallazgos y alerta a los solucionadores, que serán responsables de abordar los problemas.
  • Solucionador
    Este rol es responsable de localizar los parches para los problemas conocidos y de crear soluciones de mitigación cuando los parches no están disponibles o no es conveniente aplicarlos.
  • Autorizador
    Este rol adopta una visión global de las vulnerabilidades del sistema y es responsable de realizar cambios en la estrategia y el procedimiento cuando sea necesario para mitigar los efectos de las vulnerabilidades ahora y en el futuro.

Evaluar la eficacia del programa de gestión de vulnerabilidades

Los procesos continuos de gestión de vulnerabilidades permiten que la empresa tenga una visión más clara y actualizada de su estado de seguridad general. Como ventaja adicional, la naturaleza continua de estos procesos ayudará a desarrollar una evaluación precisa sobre qué aspectos del enfoque de gestión de vulnerabilidades están funcionando y cuáles necesitan ajustarse.

Recuerda: aunque los pasos básicos de la gestión de vulnerabilidades son relativamente uniformes, puede ser adecuado realizar sutiles variaciones en el enfoque en cada organización. No temas hacer cambios en los procesos para lograr una mayor precisión, claridad y corrección.

Para crear un proceso eficaz y continuo de gestión de vulnerabilidades, las mejores soluciones deberían incluir lo siguiente:

Escaneo

Incluye un análisis de red y un registro del cortafuegos, así como pruebas de infiltración y herramientas automatizadas. De hecho, existen muchas fuentes diferentes de datos de escaneo, así que no es preciso que limites tus opciones a una sola empresa o herramienta.

Búsqueda

Implica el análisis de los resultados de los escaneos para identificar vulnerabilidades, así como la posible evidencia de infracciones pasadas o en curso.

Comprobación

Incluye una evaluación de las vulnerabilidades en sí mismas para determinar cómo pueden utilizarlas los atacantes y qué riesgo conllevan.

Priorización basada en el riesgo y mitigación del impacto

Esta función puede incluir la gestión de vulnerabilidades basada en el riesgo para determinar qué fallos constituyen un mayor riesgo y, por lo tanto, su corrección o mitigación debe tener una mayor prioridad.

Aplicación de parches

Implica la aplicación de parches a las vulnerabilidades identificadas, eliminándolas de forma eficaz como posibles vectores de amenaza.

Medición

Supone evaluar la eficacia de la solución de gestión de vulnerabilidades y realizar cambios en el proceso donde sea necesario.

Primeros pasos con SecOps

Identifica, prioriza y responde a las amenazas más rápidamente.