¿Qué es un programa de gestión de vulnerabilidades?
Los rápidos cambios de métodos y técnicas de ataque en el panorama actual de la ciberseguridad han hecho que mantener un entorno seguro sea cada vez más difícil. Las organizaciones se están tomando en serio el estado de preparación para la seguridad cibernética y buscan de manera proactiva aplicaciones, sistemas operativos y plataformas vulnerables dentro del entorno de red que los ciberdelincuentes explotarían para obtener acceso, conseguir privilegios, establecer persistencia y realizar acciones con un fin malicioso.
Una estrategia de seguridad proactiva integral es el de la gestión de vulnerabilidades. La gestión de vulnerabilidades se define comúnmente como “la práctica de identificar, clasificar, remediar y mitigar las vulnerabilidades”. A diferencia de los parches basados en umbrales de seguridad como Common Vulnerability Scoring System (CVSS), la gestión de vulnerabilidades es un proceso continuo que busca priorizar inteligentemente la respuesta a las vulnerabilidades identificadas diariamente antes de que un atacante intente explotarlas, manteniendo la organización lo más segura posible.
¿Qué es un programa de gestión de vulnerabilidades?
Un programa de gestión de vulnerabilidades es un proceso continuo establecido y basado en riesgos dentro de la organización, diseñado para abordar la necesidad de identificar y remediar vulnerabilidades. Aprovecha un equipo de miembros que abarca varios departamentos, incluidos los de seguridad, TI, AppSec y DevOps; herramientas como la gestión de activos, el análisis de vulnerabilidades y las soluciones de evaluación de vulnerabilidades, así como un medio para actualizar la amplia gama de sistemas operativos, aplicaciones, dispositivos y dispositivos involucrados.
Los pilares de la gestión de vulnerabilidades
Un programa de gestión de vulnerabilidades generalmente consta de solo cuatro pilares básicos:
1 El pilar del descubrimiento: comprender todas las fuentes potenciales de vulnerabilidad, incluidas las computadoras portátiles, de escritorio, servidores, firewalls, dispositivos de red, impresoras y más, sirve como base para cualquier programa sólido de administración de vulnerabilidades.
2 El pilar de la identificación: utilizando una solución de escaneo de vulnerabilidades, los sistemas y dispositivos bajo administración se escanean, buscando vulnerabilidades conocidas y correlacionando los hallazgos del escaneo con dichas vulnerabilidades.
3 El pilar de informes / priorización: este paso es un poco más complejo. Teniendo en cuenta que puede tener miles de vulnerabilidades potenciales (según el tamaño y la complejidad del entorno), sin duda habrá diversos factores que determinarán qué vulnerabilidades descubiertas tienen prioridad sobre otras. Pero en este paso, los miembros del equipo del programa de gestión de vulnerabilidades deberán evaluar las vulnerabilidades identificadas y determinar la prioridad.
4 El pilar de respuesta / corrección: primero debe tenerse en cuenta que el paso de corrección no siempre es “parchearlo”. En algunos casos, no hay un parche, por lo que las acciones de reparación utilizan algún tipo de control de compensación. Parte del proceso de reparación implica volver a realizar las pruebas, ya sea mediante otro análisis de vulnerabilidades o una prueba de penetración.
Un marco para la construcción de un programa interno
Siempre que haya un amplio personal y experiencia interna, es posible implementar un programa de gestión de vulnerabilidades internamente. Se necesitará un equipo de personas que sean responsables de las diversas partes de la organización que se vean afectadas tanto por los análisis de vulnerabilidades como por los parches y / o reparaciones resultantes. La creación de un marco también llevará algo de tiempo para construir, probar y ajustar para satisfacer las necesidades específicas de la organización. Se necesitarán una gran cantidad de soluciones de software. Y, por último, un programa interno también requerirá cierta aceptación de nivel C, ya que necesitará presupuesto, personal potencialmente dedicado (ya que este es un proceso continuo), esas soluciones de software, etc.
Un programa eficaz contendrá cuatro aspectos clave, que se muestran a continuación:
– Gestión de activos: no puede proteger lo que no conoce.
– Gestión de vulnerabilidades: necesita un medio para evaluar rápidamente si los activos son vulnerables.
– Riesgo de amenazas y priorización: necesita ayuda para determinar qué riesgo representa una vulnerabilidad encontrada y la capacidad de clasificar la respuesta.
– Gestión de parches / configuraciones: el programa debe tener la capacidad de actualizar sistemas operativos y aplicaciones con configuraciones y parches para remediar vulnerabilidades
Para formular un programa de administración de vulnerabilidades más completo, hay una serie de excelentes recursos para comenzar:
– SANS tiene un Modelo de madurez de gestión de vulnerabilidades (enfóquese en la página 2 en este enlace) que proporciona cinco niveles diferentes de madurez y describe cuáles son los objetivos para cada paso del proceso en ese nivel de madurez.
– El Centro de Seguridad de Internet (CIS) tiene un Control de Seguridad Crítico dedicado a la Gestión Continua de Vulnerabilidades.
¿Se debería considerar la gestión de vulnerabilidades como un servicio?
La idea de subcontratar esto debe considerarse, a pesar de cualquier deseo de manejar esto internamente, y por algunas muy buenas razones. En primer lugar, aunque todos estén de acuerdo en que la gestión de vulnerabilidades debe ejecutarse como un proceso continuo de escaneo, análisis, informes y respuesta, cuando se deja por hacer internamente, es más probable que termine haciéndose periódicamente (lo que frustra el propósito de tener un programa de gestión de vulnerabilidades en primer lugar). El proveedor administrado traerá el proceso continuo asegurando una cobertura 24 horas al día, 7 días a la semana, al tiempo que libera la TI interna para enfocarse en otras iniciativas tecnológicas.
En segundo lugar, es posible que el personal interno no tenga los conocimientos, la experiencia y la exposición a los matices de la gestión de vulnerabilidades que puede tener un proveedor externo, junto con tecnologías avanzadas que se habrán probado en muchas organizaciones, geografías y amenazas.
Por último, la mayoría de los servicios gestionados subcontratados, especialmente en el ámbito de la ciberseguridad, están diseñados para ser menos costosos que si realiza el mismo servicio internamente; cuentan con el personal, los procesos y las herramientas de seguridad necesarias y tradicionalmente las ofrecen juntas en un modelo de precios de suscripción rentable.
Como mínimo, considera utilizar la experiencia externa para ayudar a crear un programa de gestión de vulnerabilidades internamente; la experiencia y conocimientos pueden ayudar a la organización a llevar el programa de manera más precisa y rápida a un nivel de madurez y efectividad que puede ayudar a impactar positivamente la seguridad de la organización.