La gestión de vulnerabilidades, un subdominio de la gestión de riesgos de TI, es el descubrimiento, la priorización y la resolución de vulnerabilidades de seguridad de forma continua en la infraestructura de TI y el software de una organización.
Una vulnerabilidad de seguridad es cualquier defecto o debilidad en la estructura, la funcionalidad o la implementación de un activo red o en red que los hackers pueden explotar para iniciar ciberataques, obtener acceso no autorizado a sistemas o datos, o dañar de cualquier otra manera a una organización. Ejemplos de vulnerabilidades frecuentes incluyen configuraciones incorrectas de cortafuegos que podrían permitir que determinados tipos de programas maliciosos entraran en la red, o errores sin parches en el protocolo de escritorio remoto de un sistema operativo que podrían permitir que los hackers tomaran el control de un dispositivo.
Como las redes empresariales actuales están tan distribuidas, y se descubren tantas nuevas vulnerabilidades cada día, una gestión de vulnerabilidades manual o ad hoc eficaz resulta prácticamente imposible. Los equipos de ciberseguridad suelen confiar en soluciones de gestión de vulnerabilidades para automatizar el proceso.
El CIS (Center for Internet Security) incluye la gestión de vulnerabilidades continua en su lista de Controles de seguridad críticos (enlace externo a ibm.com) para defenderse ante los ciberataques más comunes. La gestión de vulnerabilidades permite a los equipos de seguridad de TI adoptar una postura de seguridad más proactiva ya que facilita la identificación y resolución de vulnerabilidades antes de que puedan ser explotadas.
Debido a que pueden surgir nuevas vulnerabilidades en cualquier momento, los equipos de seguridad plantean la gestión de vulnerabilidades como un ciclo de vida continuo, en lugar de un procedimiento aislado. Este ciclo de vida consta de cinco flujos de trabajo continuos y superpuestos: descubrimiento, categorización y priorización, resolución, reevaluación y generación de informes.
1. Descubrimiento
El flujo de trabajo de descubrimiento se centra en la evaluación de vulnerabilidades, un proceso para comprobar todos los activos de TI de una organización con el objetivo de detectar vulnerabilidades conocidas y potenciales. Normalmente, los equipos de seguridad automatizan este proceso utilizando un software de escáner de vulnerabilidades. Algunos escáneres de vulnerabilidades realizan exploraciones de red completas y periódicas en un horario planificado, mientras que otros utilizan agentes instalados en portátiles, enrutadores y otros puntos finales para recopilar datos en cada dispositivo. Los equipos de seguridad también pueden utilizar evaluaciones de vulnerabilidades episódicas, como pruebas de penetración, para detectar vulnerabilidades que podrían eludir un escáner.
2. Categorización y priorización
Una vez que se han identificado las vulnerabilidades, se clasifican por tipo (p. ej., errores de configuración de dispositivo, problemas de cifrado, exposiciones de datos confidenciales) y se priorizan por nivel de gravedad, que es una estimación de la gravedad de cada vulnerabilidad, la explotabilidad y la probabilidad de que acabe en un ataque.
Para determinar la gravedad, las soluciones de gestión de vulnerabilidades suelen recurrir a fuentes de información de amenazas como el Common Vulnerability Scoring System (CVSS), un estándar abierto de ciberseguridad del sector que puntúa la gravedad de las vulnerabilidades conocidas en una escala del 0 al 10; la lista de vulnerabilidades y exposiciones más comunes (CVE, por sus siglas en inglés) de MITRE; y la base de datos de vulnerabilidades nacional (NVD, por sus siglas en inglés) del NIST.
3. Resolución
Una vez priorizadas las vulnerabilidades, los equipos de seguridad pueden resolverlas de una de estas tres maneras:
- Remediación: consiste en abordar de forma completa una vulnerabilidad para que ya no pueda ser explotada, por ejemplo, instalando un parche que corrija un error de software o retirando un activo vulnerable. Muchas plataformas de gestión de vulnerabilidades proporcionan herramientas de remediación, como la gestión de parches, para descargas automáticas de parches y pruebas, y la gestión de la configuración, para tratar los errores de configuración de red y del dispositivo desde un panel de control o un portal centralizado.
- Mitigación: consiste en dificultar la explotación de una vulnerabilidad o disminuir su impacto sin eliminar por completo la vulnerabilidad. Dejar un dispositivo en línea vulnerable pero segmentándolo del resto de la red sería un ejemplo de mitigación. La mitigación a menudo se realiza cuando aún no está disponible un parche u otro medio de remediación.
- Aceptación: consiste en optar por no abordar una vulnerabilidad. A menudo se aceptan vulnerabilidades con puntuaciones de gravedad bajas, que es poco probable que se acaben explotando o que provoquen daños significativos.
4. Reevaluación
Cuando se resuelven las vulnerabilidades, los equipos de seguridad normalmente realizan una nueva evaluación de vulnerabilidades para asegurarse de que sus esfuerzos de mitigación o remediación hayan funcionado y no hayan introducido nuevas vulnerabilidades.
5. Generación de informes
Las plataformas de gestión de vulnerabilidades suelen proporcionar paneles de control para generar informes sobre métricas como el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR). Muchas soluciones también mantienen bases de datos de vulnerabilidades identificadas, lo que permite a los equipos de seguridad realizar el seguimiento de la resolución de vulnerabilidades identificadas y auditar los esfuerzos de gestión de vulnerabilidades anteriores.
Estas prestaciones de generación de informes permiten a los equipos de seguridad establecer una línea base para las actividades de gestión de vulnerabilidades continuas y supervisar el rendimiento del programa a lo largo del tiempo. Los informes también se pueden utilizar para compartir información entre el equipo de seguridad y otros equipos de TI que pueden ser responsables de la gestión de activos pero que no participan directamente en el proceso de gestión de vulnerabilidades.
La gestión de vulnerabilidades basada en riesgos (RBVM, por sus siglas en inglés) es un enfoque relativamente nuevo para la gestión de vulnerabilidades. RVBM combina datos de vulnerabilidades específicos de las partes interesadas con prestaciones de inteligencia artificial y aprendizaje automático para ampliar la gestión de vulnerabilidades de tres maneras destacadas.
Más contexto para una priorización más efectiva. Como se ha señalado anteriormente, las soluciones tradicionales de gestión de vulnerabilidades determinan la gravedad utilizando recursos estándar del sector, como el CVSS o la NVD del NIST. Estos recursos se basan en generalidades que pueden determinar el promedio de gravedad de una vulnerabilidad en todas las organizaciones. Pero carecen de datos de vulnerabilidades específicos de las partes interesadas, lo cual puede derivar en una peligrosa sobrepriorización o subpriorización de la gravedad de una vulnerabilidad para una compañía concreta.
Por ejemplo, como ningún equipo de seguridad dispone del tiempo ni de los recursos para abordar todas las vulnerabilidades de su red, muchos priorizan las vulnerabilidades con una puntuación de CVSS "alta" (7,0-8,9) o "crítica" (9,0-10,0). Pero si existe una vulnerabilidad "crítica" en un activo que no almacena ni trata información confidencial, o que no ofrece vías de acceso a segmentos de alto valor de la red, la remediación puede ser una mala asignación del valioso tiempo del equipo de seguridad. Por otro lado, las vulnerabilidades con puntuaciones de CVSS bajas pueden representar una amenaza mayor para algunas organizaciones que para otras. El error Heartbleed, descubierto en 2014, fue calificado como "medio" (5,0) en la escala de CVSS (enlace externo a ibm.com), sin embargo, los hackers lo utilizaron para lanzar ataques de gran magnitud, como el robo de los datos de 4,5 millones de pacientes (enlace externo a ibm.com) de una de las cadenas de hospitales más grandes de EE. UU.
La RBVM complementa la puntuación con datos de vulnerabilidades específicos de las partes interesadas: el número y la gravedad del activo afectado, cómo los activos están conectados a otros activos y los daños potenciales que una explotación podría causar, así como datos sobre cómo los ciberdelincuentes interactúan con las vulnerabilidades en el mundo real. Utiliza el aprendizaje automático para formular puntuaciones de riego que reflejen con mayor precisión el riesgo de cada vulnerabilidad para una organización en particular. Esto permite a los equipos de seguridad de TI priorizar un número inferior de vulnerabilidades críticas sin sacrificar la seguridad de la red.
Descubrimiento en tiempo real. En RBVM, los análisis de vulnerabilidad a menudo se realizan en tiempo real en lugar de planificarse de forma periódica. Además, las soluciones de RBVM pueden supervisar una matriz más amplia de activos: mientras que los escáneres de vulnerabilidades tradicionales suelen limitarse a activos conocidos directamente conectados a la red, las herramientas de RBVM pueden escanear dispositivos móviles en remoto y en local, activos en la nube, aplicaciones de terceros y otros recursos.
Reevaluación automatizada. En un proceso de RBVM, la reevaluación se puede realizar automáticamente mediante una exploración continua de vulnerabilidades. En la gestión de vulnerabilidades tradicional, la reevaluación puede requerir una exploración de la red intencional o una prueba de penetración.
La gestión de vulnerabilidades está estrechamente relacionada con la gestión de la superficie de ataque (ASM, por sus siglas en inglés). ASM es el descubrimiento continuo, el análisis, la remediación y la supervisión de las vulnerabilidades y vectores de ataque potenciales que componen la superficie de ataque de una organización. La diferencia principal entre ASM y la gestión de vulnerabilidades es de ámbito. Mientras que ambos procesos supervisan y resuelven vulnerabilidades en los activos de una organización, ASM adopta un enfoque más holístico a la seguridad de red.
Las soluciones de ASM incluyen prestaciones de descubrimiento de activos que identifican y supervisan todos los activos conocidos, desconocidos, de terceros, subsidiarios y maliciosos conectados a la red. ASM también se extiende más allá de los activos de TI para identificar vulnerabilidades en las superficies de ataque físicas y de ingeniería social de una organización. Luego analiza estos activos y vulnerabilidades desde la perspectiva de los hackers, para comprender cómo los ciberdelincuentes podrían utilizarlos para infiltrarse en la red.
Con el auge de la gestión de vulnerabilidades basada en riesgos (RBVM), la frontera entre la gestión de vulnerabilidades y ASM se ha vuelto cada vez más borrosa. Las organizaciones a menudo despliegan plataformas de ASM como parte de su solución de RBVM, porque ASM proporciona una visión más completa de la superficie de ataque que la gestión de vulnerabilidades por sí sola.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de defectos que podrían exponer sus activos más importantes.
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de defectos que podrían exponer sus activos más importantes.
Gestione el riesgo de TI, establezca estructuras de gobierno y aumente la madurez de la ciberseguridad con un enfoque integrado de gobierno, riesgo y conformidad.
La gestión de la superficie de ataque ayuda a las organizaciones a descubrir, priorizar y corregir vulnerabilidades a posibles ciberataques.
DevSecOps incorpora automáticamente seguridad en cada fase del ciclo de vida de desarrollo de software.
Las prácticas y tecnologías de seguridad de datos protegen la información digital de accesos no autorizados, corrupción o robo.