El proceso de evaluación de vulnerabilidades

La cantidad de vulnerabilidades se ha disparado en los últimos años, y las organizaciones de todo el mundo todavía no están seguras de cómo realizar una evaluación de vulnerabilidades de manera eficiente. Para responder a esto, debe saber qué espera lograr con la evaluación de vulnerabilidades para poder diseñar su proceso de evaluación de vulnerabilidades de acuerdo con esa necesidad.

Vulnerability assessment process - ManageEngine Vulnerability Manager Plus

Temas:

¿Qué es el proceso de evaluación de vulnerabilidades y para qué sirve?

Es evidente que el objetivo de la gestión de vulnerabilidades es mantener bajo control los riesgos para su infraestructura de TI en todo momento. Como parte crucial del ciclo de vida de la gestión de vulnerabilidades, una evaluación de vulnerabilidades lo ayuda a calificar los riesgos de las vulnerabilidades presentes en su ecosistema para que pueda priorizar los problemas que tienen consecuencias graves y que requieren atención inmediata en cualquier momento.

Entremos en los detalles del «por qué» y «cómo» del proceso de evaluación de vulnerabilidades.

¿Por qué necesita un proceso de evaluación de vulnerabilidades?

En 2019 se divulgaron 22,316 nuevas vulnerabilidades y se encontraron exploits para más de un tercio de ellas. Dado que los atacantes desarrollan exploits dentro de más o menos una semana luego de su divulgación pública, las organizaciones deben tomar medidas de remediación rápidamente.

Sin embargo, cada organización tiene sus propias limitaciones de parches. Debido a los recursos limitados y el poco tiempo disponible, es poco probable que todos los equipos Windows sean actualizados con todos los parches recién lanzados el día después del martes de parches. Además, no todas las vulnerabilidades representan el mismo riesgo. Algunas vulnerabilidades son explotables de forma inminente e incluso pueden propagarse sin la intervención de un hacker (vulnerabilidades de tipo «wormable»). Por lo tanto, las organizaciones deben realizar una evaluación de vulnerabilidades basada en el riesgo para predecir cuáles elementos en la infraestructura son más propensos a ser explotados y qué consecuencias podría acarrear.

Por ejemplo, suponga que su análisis de vulnerabilidades identifica 1.000 vulnerabilidades en su red al mismo tiempo; parchearlas todas a la vez no es práctico, y parchear de forma aleatoria podría omitir algunas fallas muy críticas. Pero si pudiera elegir las 100 vulnerabilidades más graves y parchearlas de inmediato, nos arriesgaremos a decir que tendrá mejores oportunidades contra los ataques cibernéticos.

Factores de riesgo clave que debe considerar al realizar una evaluación de vulnerabilidades.

El objetivo de la evaluación de vulnerabilidades es priorizar las vulnerabilidades de alto perfil. El riesgo de una vulnerabilidad generalmente se correlaciona con su grado de explotabilidad y el impacto que tendría si se explotara. Si bien las clasificaciones de gravedad y del sistema de puntaje de vulnerabilidades comunes (CVSS) ofrecen una evaluación superficial del riesgo, hay algunos factores clave que debe investigar para comprender realmente los riesgos que plantea una vulnerabilidad:

  • Facilidad de explotación o compromiso de la vulnerabilidad (explotabilidad)
  • Tipo de acciones que puede cometer un atacante al explotar la vulnerabilidad (impacto de la amenaza)
  • Número de activos afectados y su criticidad
  • Número de días que una vulnerabilidad ha permanecido sin parchear
  • Si la vulnerabilidad ha sido divulgada o explotada «in the wild» sin contar con un parche

Cómo llevar a cabo el proceso de evaluación de vulnerabilidades de manera efectiva, explicado en 5 pasos sencillos

Ahora que hemos identificado las variables esenciales para evaluar rigurosamente los riesgos, analicemos cómo lo ayudan no solo a dirigir su atención a las áreas más críticas, sino también a adoptar el mejor plan de acción.

Comprender la explotabilidad de una vulnerabilidad.

Es fundamental saber si el exploit para una vulnerabilidad se conoce públicamente a fin de priorizar la vulnerabilidad. Estas son las vulnerabilidades que requieren atención inmediata, ya que el exploit se hace «in the wild» y cualquiera podría aprovecharla para entrar en su red y robar datos confidenciales. Si solo aplica parches en las vulnerabilidades según la gravedad, podría pasar por alto otras vulnerabilidades inminentes que se pueden explotar fácilmente. Nueve de cada 12 vulnerabilidades explotadas públicamente y resueltas por Microsoft el año pasado no fueron clasificadas como importantes. Es esencial considerar la disponibilidad del exploit como la máxima prioridad en el proceso de evaluación de vulnerabilidades.

Determine cuánto tiempo ha estado latente la vulnerabilidad en su endpoint.

Una vez que se divulga la información sobre la vulnerabilidad, el reloj se pone en marcha e inicia el juego entre sus equipos de seguridad y los atacantes. Es esencial controlar cuánto tiempo han estado latentes las vulnerabilidades en sus endpoints. Además, una vulnerabilidad que puede parecer menos crítica al inicio podría resultar fatal con el tiempo, ya que los atacantes eventualmente desarrollan programas que pueden aprovechar al máximo estos defectos de formas inimaginables. Lo mejor es resolver inmediatamente las vulnerabilidades que tienen un exploit disponible, así aquellas que son críticas. Las vulnerabilidades clasificadas como importantes son más difíciles de explotar, pero deben ser remediadas dentro de 30 días. Cualquier vulnerabilidad que se considere de menor prioridad que Crítica o Importante debe remediarse dentro de 90 días.

Implemente soluciones alternativas para mitigar las vulnerabilidades que no tienen un parche disponible.

Si hay un parche disponible para una vulnerabilidad, puede aplicarlo de inmediato para corregir la falla, pero asegúrese de probar el parche antes de implementarlo para asegurarse de que no genere problemas sin precedentes. No obstante, hay casos en los que no hay un parche disponible para una vulnerabilidad muy crítica. Es importante mantenerse atento a estas vulnerabilidades y tomar las medidas adecuadas para proteger sus activos. Analicemos algunos de estos casos que deben ser atendidos lo antes posible.

Caso 1: Vulnerabilidades de día cero

Hay casos en los que se explota una vulnerabilidad «in the wild» incluso antes de que el proveedor se entere de ello. Lo que es peor es que se existe un exploit, mientras que no hay un parche disponible para corregir la falla. En tales escenarios, la mejor opción es fortalecer la seguridad de su entorno de TI o aislar el sistema / aplicación afectado hasta que haya un parche o solución disponible. Conozca las mejores prácticas que puede implementar ahora para fortalecer su entorno frente a las vulnerabilidades de día cero.

Caso 2: Vulnerabilidades divulgadas públicamente por un investigador de seguridad

A veces, un investigador de seguridad insatisfecho puede publicar los detalles de las vulnerabilidades en un foro público para enseñar una lección al proveedor que sigue ignorando sus alertas sobre la vulnerabilidad en sus productos. Además, hay casos en los que el proveedor puede revelar accidentalmente la información de una falla en sus boletines de seguridad antes de que se implemente un parche. Un buen ejemplo de esto podría ser los detalles filtrados recientemente de la falla «EternalDarkness» en Microsoft SMB v3. Por lo general, en tales casos los vendedores encuentran rápidamente una solución para mitigar la explotación de la falla. Aprenda cómo puede implementar scripts de mitigación en su entorno para garantizar que esté protegido mientras espera un parche.

Incluya la criticidad de los activos en su proceso de evaluación de vulnerabilidades:

Algunos activos son más importantes que otros. Dado que los servidores web están en la frontera de su red y expuestos a Internet, están al alcance de los hackers. Los servidores de bases de datos, que registran una gran cantidad de información (como la información personal y los detalles de pago de sus clientes) también deben tener prioridad sobre otros activos al definir el alcance de su evaluación.

Tenga en cuenta el impacto de las vulnerabilidades.

Los atacantes pueden llevar a cabo un ataque de denegación de servicio, ejecución remota de código, corrupción de memoria, elevación de privilegios, scripts entre sitios o divulgación de datos confidenciales dependiendo del tipo de impacto que tiene una vulnerabilidad. Las soluciones que proporcionan filtros para ver las vulnerabilidades según el tipo de impacto ayudan a identificar los componentes o sistemas de infraestructura que son más vulnerables para que pueda adoptar los cambios de seguridad adecuados además de parchear las vulnerabilidades.

Si confía la seguridad de su organización a un software de evaluación de vulnerabilidades, asegúrese de que clasifique y presente las vulnerabilidades descubiertas de manera significativa (es decir, en el contexto de los factores de riesgo anteriores) y que también brinde información procesable para corregir las brechas, de forma que pueda proteger su red en todo momento.

Realice una evaluación de vulnerabilidades eficiente con Vulnerability Manager Plus

Vulnerability Manager Plus al ser una solución de gestión de vulnerabilidades de extremo a extremo, utiliza una base de datos con información de vulnerabilidades que se actualiza constantemente para ayudarlo a detectar las vulnerabilidades en su TI híbrida global, evaluar las vulnerabilidades en función de los factores de riesgo discutidos anteriormente y establecer un plan de acción apropiado para solucionar las vulnerabilidades.

Ofrece varios dashboards interactivos que le brindan toda la información que necesita con respecto a las vulnerabilidades en forma de infografías, tendencias y otros filtros para ayudarlo a tomar decisiones informadas. Aprenda cómo se podría usar la infografía del dashboard para realizar una evaluación de vulnerabilidades eficiente.

Además, ofrece una vista de recursos detallada que pone las vulnerabilidades en contexto (como el tipo de activo) para que pueda centrar su atención en los activos críticos (como servidores de bases de datos y servidores web) al priorizar la aplicación de parches.

También ofrece una vista dedicada a las vulnerabilidades de día cero y divulgadas públicamente, de forma que se evita mezclar la atención inmediata con las fallas menos críticas.

Una vez priorizado, puede continuar con el curso de acción sugerido, que podría ser parchear en caso de que el parche esté disponible o implementar una solución alternativa de mitigación en caso de que el parche no esté disponible.

Para comenzar con Vulnerability Manager Plus, descargue una prueba gratuita de 30 días ahora mismo.