Fecha de publicación: 15 de diciembre de 2023
Colaboradores: Matt Kosinski, Amber Forrest
El análisis de vulnerabilidades, también llamado “evaluación de vulnerabilidades”, es el proceso de evaluación de redes o activos de TI en busca de vulnerabilidades de seguridad, fallas o debilidades que los actores de amenazas externos o internos pueden aprovechar. El análisis de vulnerabilidades es la primera etapa del ciclo de vida de la gestión de vulnerabilidades más amplio.
En la mayoría de las organizaciones actuales, los análisis de vulnerabilidades están totalmente automatizados. Se llevan a cabo mediante herramientas especializadas de búsqueda de vulnerabilidades que encuentran y señalan las fallas para que los revise el equipo de seguridad.
La explotación de vulnerabilidades es el segundo vector de ataques cibernéticos más común detrás del phishing, según el Índice de X-Force Threat Intelligence de IBM. El análisis de vulnerabilidades ayuda a las organizaciones a detectar y cerrar las deficiencias de seguridad antes de que los delincuentes cibernéticos puedan convertirlas en armas. Por este motivo, el Center for Internet Security (CIS) (enlace externo a ibm.com) considera la gestión continua de vulnerabilidades, incluido el análisis automatizado de vulnerabilidades, una práctica crítica de la seguridad cibernética.
Una vulnerabilidad de seguridad es cualquier debilidad en la estructura, función o implementación de un activo o red de TI que los piratas informáticos u otros actores de amenazas pueden aprovechar para obtener acceso no autorizado y causar daño a la red, los usuarios o la empresa. Las vulnerabilidades comunes incluyen:
- Errores de codificación, como aplicaciones web que son susceptibles al scripting entre sitios, inyección SQL y otros ataques de inyección debido a la forma en que manejan las entradas de los usuarios.
- Puertos abiertos no protegidos en servidores, computadoras portátiles y otros endpoints, que los piratas informáticos podrían utilizar para difundir malware.
- Configuraciones incorrectas, como un depósito de almacenamiento en la nube que expone datos confidenciales a la red pública de Internet porque tiene permisos de accesoinadecuados.
- Faltan parches, contraseñas débiles u otras deficiencias en la higiene de la seguridad cibernética.
Cada mes se descubren miles de nuevas vulnerabilidades. Dos agencias gubernamentales de Estados Unidos mantienen catálogos en los que se pueden buscar vulnerabilidades de seguridad conocidas, el National Institute of Standards and Technologies o NIST y la Cybersecurity and Infrastructure Security Agency o CISA (enlaces externos a ibm.com).
Por desgracia, aunque las vulnerabilidades se documentan exhaustivamente una vez que se descubren, los piratas informáticos y otros actores de amenazas suelen encontrarlas primero, lo que les permite tomar por sorpresa a las organizaciones.
Para adoptar una postura de seguridad más proactiva ante estas amenazas cibernéticas, los equipos de TI implementan programas de gestión de vulnerabilidades. Estos programas siguen un proceso continuo para identificar y resolver los riesgos de seguridad antes de que los piratas informáticos puedan aprovecharlos. Los análisis de vulnerabilidades suelen ser el primer paso en el proceso de gestión de vulnerabilidades, ya que descubren las debilidades de seguridad que los equipos de TI y de seguridad necesitan abordar.
Muchos equipos de seguridad también utilizan análisis de vulnerabilidad para:
Validar las medidas y los controles de seguridad: después de implementar nuevos controles, los equipos suelen realizar otro análisis para confirmar que las vulnerabilidades detectadas se han eliminado y que las medidas correctivas no han introducido nuevos problemas.
Mantener el cumplimiento normativo: algunas normativas exigen explícitamente los análisis de vulnerabilidades. Por ejemplo, la Norma de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI-DSS) exige que las organizaciones que manejan datos de titulares de tarjetas se sometan a análisis trimestrales (enlace externo a ibm.com).
Entre las aplicaciones en la nube y locales, los dispositivos móviles e IoT, las computadoras portátiles y otros endpoints tradicionales, las redes empresariales modernas incluyen demasiados activos para realizar análisis manuales de vulnerabilidades. En cambio, los equipos de seguridad utilizan escáneres de vulnerabilidades para realizar análisis automatizados de forma recurrente.
Para encontrar posibles vulnerabilidades, los escáneres primero recopilan información sobre los activos de TI. Algunos escáneres utilizan agentes instalados en los endpoints para recopilar datos sobre los dispositivos y el software que se ejecuta en ellos. Otros escáneres examinan sistemas desde el exterior, probando puertos abiertos para revelar detalles sobre las configuraciones de dispositivos y servicios activos. Algunos escáneres realizan pruebas más dinámicas, como intentar iniciar sesión en un dispositivo con credenciales predeterminadas.
Una vez que un escáner ha hecho un inventario de los activos, los compara con una base de datos de vulnerabilidades que registra vulnerabilidades y exposiciones comunes (CVE) para varias versiones de hardware y software. Algunos escáneres dependen de fuentes públicas como las bases de datos de NIST y CISA; otros utilizan bases de datos patentadas.
El escáner comprueba si cada activo muestra signos de defectos asociados, como un sistema operativo que se sabe que tiene un error de protocolo de escritorio remoto que permite a los piratas informáticos tomar el control del dispositivo. Los escáneres también pueden revisar las configuraciones de un activo con una lista de mejores prácticas de seguridad, como asegurarse de que se aplican criterios de autenticación suficientemente estrictos para una base de datos confidencial.
A continuación, el escáner compila un informe sobre las vulnerabilidades identificadas para que el equipo de seguridad lo revise. Los informes más básicos simplemente enumeran todos los problemas de seguridad que deben abordarse. Algunos escáneres pueden proporcionar explicaciones detalladas y comparar los resultados del análisis con los análisis anteriores para realizar un seguimiento de la gestión de vulnerabilidades a lo largo del tiempo.
Los escáneres más avanzados también priorizan las vulnerabilidades en función de su criticidad. Los escáneres pueden utilizar inteligencia de amenazas de código abierto, como las puntuaciones del Sistema común de puntuación de vulnerabilidades (CVSS), para determinar la gravedad de una falla, o pueden utilizar algoritmos más complejos que tienen en cuenta la falla en el contexto único de la organización. Estos escáneres también pueden recomendar métodos de corrección y mitigación para cada falla.
Los riesgos de seguridad de una red cambian a medida que se añaden nuevos activos y se descubren nuevas vulnerabilidades. Sin embargo, cada análisis de vulnerabilidades solo puede capturar un momento en el tiempo. Para mantenerse al día con el panorama de amenazas cibernéticas en evolución, las organizaciones realizan análisis regularmente.
La mayoría de los análisis de vulnerabilidades no analizan todos los activos de la red de una sola vez, ya que esto requeriría muchos recursos y tiempo. Por el contrario, los equipos de seguridad suelen agrupar los activos en función de su criticidad y analizarlos por lotes. Los activos más críticos pueden escanearse semanal o mensualmente, mientras que los menos críticos pueden escanearse trimestral o anualmente.
Los equipos de seguridad también pueden ejecutar análisis cuando ocurren cambios importantes en la red, como agregar nuevos servidores web o crear una nueva base de datos confidencial.
Algunos escáneres de vulnerabilidades avanzados ofrecen un análisis continuo. Estas herramientas monitorean los activos en tiempo real y marcan nuevas vulnerabilidades tan pronto como surgen. Sin embargo, el análisis continuo no siempre es factible o deseable. Los análisis de vulnerabilidades más intensivos pueden interferir con el rendimiento de la red, por lo que algunos equipos de TI pueden preferir realizar análisis periódicos.
Hay muchos tipos diferentes de escáneres, y los equipos de seguridad suelen usar una combinación de herramientas para obtener un panorama integral de las vulnerabilidades de la red.
Algunos escáneres se enfocan en tipos particulares de activos. Por ejemplo, los escáneres en la nube se centran en los servicios en la nube, mientras que las herramientas de escaneo de aplicaciones web buscan fallas en las aplicaciones web.
Los escáneres se pueden instalar localmente o proporcionarse como aplicaciones de software como servicio (SaaS). Tanto los escáneres de vulnerabilidades de código abierto como las herramientas de pago son comunes. Algunas organizaciones subcontratan el análisis de vulnerabilidades por completo a proveedores de servicios externos.
Aunque los escáneres de vulnerabilidades están disponibles como soluciones independientes, los proveedores los ofrecen cada vez más como parte de un conjunto integral de gestión de vulnerabilidades. Estas herramientas combinan varios tipos de escáneres con la gestión de la superficie de ataque, la gestión de activos, la gestión de parches y otras funciones clave en una sola solución.
Muchos escáneres admiten integraciones con otras herramientas de seguridad cibernética, como sistemas de gestión de eventos e información de seguridad (SIEM) y herramientas de detección y respuesta de endpoints (EDR).
Los equipos de seguridad pueden ejecutar diferentes tipos de análisis según sus necesidades. Algunos de los tipos de análisis de vulnerabilidad más comunes incluyen:
Los análisis de vulnerabilidades externas escanean la red desde el exterior. Se enfocan en defectos en activos orientados a Internet, como las aplicaciones web, y prueban controles perimetrales como cortafuegos. Estos análisis muestran cómo un pirata informático externo podría entrar en una red.
Los análisis de vulnerabilidades internas examinan las vulnerabilidades desde el interior de la red. Aclaran lo que podría hacer un pirata informático si consiguiera entrar, incluido cómo podría moverse lateralmente y la información sensible que podría robar en una filtración de datos.
Los análisis autenticados, también llamados “análisis acreditados”, requieren los privilegios de acceso de un usuario autorizado. En lugar de simplemente mirar una aplicación desde afuera, el escáner puede ver lo que vería un usuario que haya iniciado sesión. Estos análisis ilustran lo que un pirata informático podría hacer con una cuenta secuestrada o cómo una amenaza de un usuario interno podría causar daño.
Los análisis no autenticados, también llamados “análisis sin credenciales”, no tienen permisos ni privilegios de acceso. Solo ven los activos desde la perspectiva de un usuario externo. Los equipos de seguridad pueden ejecutar análisis internos y externos sin autenticación.
Aunque cada tipo de análisis tiene su propio caso de uso, hay algunas superposiciones, y pueden combinarse para cumplir diferentes propósitos. Por ejemplo, un análisis autenticado interno mostraría la perspectiva de una amenaza de un usuario interno. En cambio, un análisis no autenticado interno mostraría lo que vería un pirata informático sin escrúpulos si consiguiera traspasar el perímetro de la red.
El análisis de vulnerabilidades y las pruebas de penetración son formas distintas pero relacionadas de probar la seguridad de la red. Aunque tienen funciones diferentes, muchos equipos de seguridad las usan para complementarse entre sí.
Los análisis de vulnerabilidades son escaneos de activos automatizados y de alto nivel. Encuentran fallas y las reportan al equipo de seguridad. Las pruebas de penetración, o pruebas de pen, son un proceso manual. Los evaluadores de penetración utilizan habilidades éticas de hackeo no solo para encontrar vulnerabilidades de la red, sino también para aprovecharlas en ataques simulados.
Los análisis de vulnerabilidades son más baratos y fáciles de ejecutar, por lo que los equipos de seguridad los utilizan para monitorear un sistema. Las pruebas de penetración requieren más recursos, pero pueden ayudar a los equipos de seguridad a comprender mejor las fallas de su red.
Si se usan en conjunto, los análisis de vulnerabilidades y las pruebas de penetración pueden hacer que la gestión de vulnerabilidades sea más eficaz. Por ejemplo, los análisis de vulnerabilidades ofrecen a los analistas un punto de partida útil. Mientras que las pruebas de penetración pueden agregar más contexto a los resultados del análisis al descubrir falsos positivos, identificar las causas principales y explorar la forma en que los delincuentes cibernéticos pueden vincular las vulnerabilidades en ataques más complejos.
Mejore significativamente los índices de detección y acelere el tiempo para detectar e investigar las amenazas
Adopte un programa de gestión de vulnerabilidades que identifique, priorice y gestione la corrección de fallas que podrían exponer sus activos más críticos.
Identifique amenazas en minutos. Logre una mayor eficiencia y operaciones sencillas con flujos de trabajo integrados.
Al comprender las causas y los factores que aumentan o reducen los costos de las filtraciones, usted estará mejor preparado para enfrentarlas. Aprenda de las experiencias de más de 550 organizaciones que se vieron afectadas por una filtración de datos.
La caza de amenazas es un enfoque proactivo para identificar amenazas desconocidas o continuas no reparadas dentro de la red de una organización.
Conozca la amenaza para vencerla: obtenga información práctica que le ayude a comprender cómo los actores de las amenazas están llevando a cabo los ataques y cómo proteger de forma proactiva a su organización.