Un programa de gestión de vulnerabilidades puede alcanzar su máximo potencial cuando se basa en objetivos fundamentales bien establecidos que abordan las necesidades de información de todas las partes interesadas, cuando su producción está vinculada a los objetivos del negocio y cuando hay una reducción general en el riesgo de la organización.

Dicha tecnología de gestión de vulnerabilidades puede detectar riesgos, pero requiere una base sólida con personas y procesos que le permitan garantizar el éxito del programa.

Hay cuatro etapas para un programa de gestión de vulnerabilidades:

  • El proceso que determina que tan crítico es el activo, los propietarios de los activos y la frecuencia de escaneo, así como establecer plazos para la remediación:
  • El descubrimiento y el inventario de activos en la red;
  • El descubrimiento de vulnerabilidades en los activos descubiertos
  • La notificación y remediación de vulnerabilidades descubiertas.

La primera etapa se enfoca en construir un proceso que sea medible y repetible. Las etapas dos a cuatro se centran en ejecutar el proceso descrito en la etapa uno con énfasis en la mejora continua. Examinaremos estas etapas con más detalle a continuación.


Etapa uno: el proceso de escaneo de vulnerabilidades

1. El primer paso en esta etapa es identificar la criticidad de los activos en la organización.

Para construir un programa efectivo de gestión de riesgos, primero se debe determinar qué activos necesita proteger la organización. Esto se aplica a los sistemas informáticos, dispositivos de almacenamiento, redes, datos y sistemas de terceros dentro de la red de la organización. Los activos deben clasificarse y jerarquizarse en función de su riesgo real e inherente para la organización.

Hay que considerar varios  aspectos al momento de desarrollar una valoración del riesgo inherente de un activo, como la conexión física o lógica a otros activos con una valoración más alta, el acceso de los usuarios y la disponibilidad del sistema.

Por ejemplo, un activo en la DMZ con acceso lógico a una base de datos de cuentas tendrá una mayor criticidad que un activo en un laboratorio. Un activo en producción tendrá una mayor criticidad que un activo en un entorno de pruebas. Un servidor web accesible por Internet tendrá una mayor importancia que un servidor de archivos interno.

Sin embargo, aunque un activo tenga una menor criticidad, no se debe pasar por alto la remediación de ese activo. Los atacantes pueden aprovechar estos activos a menudo ignorados para obtener acceso y luego atravesar la red comprometiendo múltiples sistemas hasta que lleguen a los sistemas con datos confidenciales. El esfuerzo de remediación siempre debe estar en relación con el riesgo general.

2. El segundo paso es identificar los propietarios de cada sistema.

Los propietarios del sistema son en última instancia responsables del activo, del riesgo asociado con él y deberían responsabilizarse si ese activo se ve comprometido. Este paso es crítico para el éxito del programa de gestión de vulnerabilidades, ya que impulsa los esfuerzos de responsabilidad y remediación dentro de la organización.

Si no hay quien que se haga cargo del riesgo, no habrá quien impulse la remediación del mismo.

3. El tercer paso es establecer la frecuencia de escaneo.

El Centro para la seguridad de Internet en sus 20 controles de seguridad críticos principales recomienda que una organización “ejecute herramientas de escaneo de vulnerabilidades automatizadas en todos los sistemas de la red de forma semanal o con mayor frecuencia”. Tripwire lanza actualizaciones de firma de vulnerabilidad (ASPL) semanalmente.

Un escaneo frecuente permite a los propietarios de los activos rastrear el progreso de los esfuerzos de remediación, identificar nuevos riesgos y priorizar la remediación de vulnerabilidades en función de la nueva inteligencia recopilada.

Cuando se lanza una vulnerabilidad por primera vez, puede tener un puntaje de vulnerabilidad más bajo porque aún no se conoce ningún exploit. Una vez que una vulnerabilidad ha existido por algún tiempo, un kit de explotación automatizado puede estar disponible, lo que aumentaría el riesgo de esa vulnerabilidad. Un sistema que alguna vez se pensó que no era vulnerable puede volverse susceptible a una vulnerabilidad o conjunto de vulnerabilidades debido a la instalación de un nuevo software o una reversión de parche.

Hay muchos factores que podrían contribuir a la postura de riesgo de un cambio de activos. El escaneo frecuente garantiza que el propietario del activo se mantenga actualizado con la información más reciente. El escaneo de vulnerabilidades debe realizarse no menos de una vez al mes.

4. El cuarto paso para construir este proceso es establecer y documentar cronogramas y umbrales para la remediación.

Las vulnerabilidades que pueden explotarse de manera automatizada, otorgando un control privilegiado a el atacante, deben remediarse de inmediato. Las vulnerabilidades que proveen un control privilegiado, son más difíciles de explotar o que actualmente solo son explotables teóricamente deberían remediarse dentro de los siguientes 30 días. Las vulnerabilidades inferiores a esta pueden remediarse dentro de los próximos 90 días.

En el caso de que un propietario de sistema no pueda remediar una vulnerabilidad dentro del plazo aprobado, se debe crear su respectiva excepción.

Como parte de este proceso, debe haber una comprensión documentada y aceptación del riesgo por parte del propietario del sistema junto con un plan de acción adecuado para remediar la vulnerabilidad en una fecha determinada. Las excepciones con respecto a una vulnerabilidad siempre deben tener una fecha de vencimiento.


Etapa dos: descubrimiento de activos e inventario

El inventario y descubrimiento de activos se toman en cuenta en los controles críticos de seguridad 1 y 2. Esta es la base de cualquier programa de seguridad, seguridad de la información o de otro tipo, ya que no se puede proteger lo que no se conoce.

El control de seguridad crítico número uno es tener un inventario de todos los dispositivos autorizados y no autorizados en la red. El control de seguridad crítico número dos es tener un inventario de software autorizado y no autorizado instalado en los activos de la red de la organización.

Estos dos van de la mano ya que los atacantes siempre intentan identificar sistemas que sean fácilmente explotables para ingresar a la red de una organización. Una vez que están dentro, pueden aprovechar el control que tienen sobre ese sistema para atacar a otros sistemas e infiltrarse aún más en la red.

Asegurarse de que el equipo de seguridad de la información esté al tanto de lo que hay en la red les permite proteger mejor esos sistemas y proporcionar una orientación a los propietarios de esos sistemas para reducir el riesgo que representan esos activos.

Ha habido muchos casos en los que los usuarios implementan sistemas sin informar al equipo de seguridad de la información. Estos pueden abarcar desde servidores de prueba hasta routers inalámbricos conectados debajo del escritorio de un empleado para mayor comodidad. Sin el descubrimiento apropiado de activos y el control de acceso a la red, este tipo de dispositivos pueden proporcionar una puerta de enlace para un atacante a la red interna.

Tripwire IP360 realiza un descubrimiento de activos dentro de rangos definidos y también encuentra las aplicaciones que se están ejecutando en esos activos antes de realizar un análisis de vulnerabilidades.


Etapa tres: detección de vulnerabilidades

Una vez que se identifican todos los activos en la red, el siguiente paso es identificar la postura del riesgo por vulnerabilidades de cada activo.

Las vulnerabilidades se pueden identificar a través de un escaneo no autenticado, autenticado o mediante la implementación de un agente esto para determinar su postura respecto a las vulnerabilidades. Por lo general, un atacante vería un sistema con una vista no autenticada. Por lo tanto, el escaneo sin credenciales proporcionaría una vista similar a un atacante primitivo.

Un escaneo no autenticado es bueno para identificar algunas vulnerabilidades de riesgo extremadamente alto que un atacante podría detectar de forma remota y explotar para obtener un acceso más profundo al sistema. Sin embargo, a menudo hay vulnerabilidades que pueden ser explotadas por un usuario que descarga un archivo adjunto o hace clic en un enlace malicioso que no se pueden detectar con este método.

Un método mucho más completo y recomendado para el escaneo de vulnerabilidades es escanear con credenciales o implementar un agente. Esto permite una mayor precisión en la determinación del riesgo de vulnerabilidad de la organización. Las firmas de vulnerabilidad específicas del sistema operativo y las aplicaciones instaladas que se detectaron en la etapa de descubrimiento e inventario se ejecutan para identificar qué vulnerabilidades están presentes. Los clientes de Tripwire Enterprise pueden aprovechar un módulo adicional de sus agentes Axon para permitir la detección de vulnerabilidades.

Las vulnerabilidades en las aplicaciones instaladas localmente solo se pueden detectar con este método. Con un scan de vulnerabilidades autenticado, IP360 también identifica vulnerabilidades que un atacante vería de una exploración de vulnerabilidad externa no autenticada.

Muchos escáneres de vulnerabilidad simplemente detectan los niveles de parcheo o las versiones de la aplicación para proporcionar una lectura de la postura de vulnerabilidad. Sin embargo, Tripwire IP360 proporciona un análisis mucho más detallado ya que las firmas de vulnerabilidad pueden determinar factores tales como la eliminación de bibliotecas vulnerables, claves de registro o si se realizó o no un reinicio del sistema para aplicar una remediación.


Etapa cuatro: informes y remediación

Una vez que se completa un análisis de vulnerabilidad, se adjunta una puntuación a cada vulnerabilidad utilizando un algoritmo exponencial basado en tres factores:

  1. La habilidad requerida para explotar la vulnerabilidad;
  2. El privilegio obtenido con la explotación exitosa; y
  3. La edad de la vulnerabilidad.

Cuanto más fácil sea explotar la vulnerabilidad y cuanto mayor sea el privilegio obtenido, mayor será el puntaje de riesgo de IP360. Además de esto, a medida que aumenta la edad de la vulnerabilidad, también aumenta su puntuación.

La primera métrica que debe obtenerse es un puntaje de acuerdo al riesgo promedio como referencia IP360 para la organización en general.

Los clientes con más éxito en gestión de vulnerabilidades de Tripwire comienzan apuntando a una reducción del riesgo del 10% al 25% año tras año. A medida que el programa madura, se puede establecer un puntaje meta de riesgo IP360 para que la organización lo logre. En los años iniciales, un puntaje de riesgo promedio por activo por debajo de 5,000 es un buen objetivo.

La mayoría de las organizaciones maduras se esfuerzan por tener promedios aún más bajos y se centran en abordar cualquier vulnerabilidad individual con un puntaje superior a 1,000.

La siguiente métrica que debe tomarse es el aumento promedio en el puntaje de riesgo IP360 por dueño.

El dueño de los activos se identificó en la primera etapa; por lo tanto, cada propietario debería poder ver la puntuación de riesgo IP360 de referencia para sus activos. Similar al objetivo para la organización en general, cada propietario debe apuntar a reducir su puntaje de riesgo promedio en un 10% a 25% año tras año hasta que estén por debajo del umbral aceptado por la organización.

Los propietarios del sistema deberían poder ver sus puntajes en comparación con otros propietarios del sistema para crear un sentido de competencia entre sus pares. Aquellos que tienen los puntajes más bajos deben ser recompensados ​​por sus esfuerzos.

Para impulsar la remediación, los propietarios del sistema necesitan datos empíricos de las vulnerabilidades encontradas para determinar qué vulnerabilidades deben corregirse junto con las instrucciones de cómo llevar a cabo la remediación. Los informes deben describir los hosts más vulnerables, las vulnerabilidades de mayor puntuación y / o informes dirigidos a aplicaciones específicas altamente vulnerables. Esto permitirá a los propietarios del sistema priorizar sus esfuerzos con un enfoque en las vulnerabilidades que reducirán la mayor cantidad de riesgo para la organización.

A medida que se ejecutan nuevos análisis de vulnerabilidad, las métricas de los nuevos análisis de vulnerabilidad se pueden comparar con los análisis anteriores para mostrar un análisis de tendencias en el riesgo, así como el progreso de la corrección.

Algunas métricas que se pueden utilizar para rastrear la remediación son las siguientes:

  • ¿Cuál es el puntaje promedio de vulnerabilidad de cada activo por propietario y en general?
  • ¿Cuánto tiempo lleva, en promedio, remediar las vulnerabilidades basadas en la infraestructura por propietario y en general?
  • ¿Cuánto tiempo lleva, en promedio, remediar las vulnerabilidades basadas en aplicaciones por propietario y en general?
  • ¿Qué porcentaje de los activos no han sido escaneados recientemente en busca de vulnerabilidades?
  • ¿Cuántas vulnerabilidades explotables de forma remota que otorgan acceso privilegiado están expuestas en los sistemas?

No es raro que una organización tenga un puntaje de vulnerabilidad promedio muy alto con largos ciclos de corrección en las etapas iniciales de la construcción del programa. La clave es mostrar el progreso mes a mes, trimestre a trimestre y año a año.

Los puntajes de riesgo por vulnerabilidades y el tiempo para la remediación deberían estar disminuyendo a medida que los equipos se familiaricen con el proceso y se eduquen más sobre los riesgos que plantean los atacantes.

La gestión de vulnerabilidades y riesgos es un proceso continuo. Los programas más exitosos se adaptan continuamente y están alineados con los objetivos de reducción de riesgos del programa de ciberseguridad dentro de la organización. El proceso debe revisarse periódicamente y el personal debe mantenerse actualizado con las últimas amenazas y tendencias en seguridad de la información.

Asegurarse que el desarrollo continuo de las personas, procesos y tecnología garantizará el éxito del programa de gestión de riesgos y vulnerabilidades del negocio.

¿Interesado en aprender más sobre la construcción de un programa maduro de gestión de vulnerabilidades? Haga clic aquí para descubrir más.


Nota del editor: este blog fue traducido del inglés: (https://www.tripwire.com/state-of-security/vulnerability-management/vulnerability-management-best-practice/)