Marco Rottigni

Chief Technical Security Officer para EMEA en Qualys

---

Los últimos años han llamado la atención de las organizaciones sobre la importancia de contar con una adecuada capacidad de detección, prevención y respuesta. Esto se debe al aumento de sofisticados ciberataques y atacantes, que provocaron infracciones de varios niveles de magnitud en grandes y pequeñas empresas, y en todos los sectores.

La situación ha ido mejorando poco a poco, a la vez que ha revelado con una claridad impresionante el bajo nivel de madurez en cuanto a las habilidades y recursos de las empresas que aún no están preparadas para afrontar el enorme desafío de responder a un incidente cibernético de manera oportuna.

Mientras que algunos todavía están lidiando con utopías como la prevención total o incluso la ofensa, los CISOs más ilustrados han empezado a construir capacidades en torno al concepto de resiliencia, moviendo el foco desde la prevención de intrusiones hasta la reducción de la superficie vulnerable. O fortaleciendo capacidades como la visibilidad en todo el entorno digital, o la precisión en la detección a escala.

Aprovechando el concepto de que cuanto más pequeña es la superficie vulnerable, más precisa es la detección, menor es la cantidad de eventos significativos a investigar y menor es el impacto en recursos costosos, cualificados y especializados.

Por trivial que parezca, este concepto está muy difundido hoy en día.

Demasiadas organizaciones siguen considerando la Evaluación de Vulnerabilidad como un proceso cíclico, que funciona una vez al mes, para validar el número de vulnerabilidades que deben pasar a los propietarios de las aplicaciones para su reparación, a veces impulsando el ciclo de parches con informes. Y el remedio se prioriza de alguna manera en función de los perímetros donde se ubican los recursos, los indicadores CVSS, la gravedad objetiva de la vulnerabilidad, y otras métricas.

Donde el proceso de VA se considera principalmente una actividad táctica

Este enfoque se asemeja a la llamada metodología de las cascadas, hoy en día en gran parte en proceso de abandono y sustitución por enfoques más ágiles como el scrum.

La necesidad de agilidad llevó a los CISOs a considerar la evolución de VA a VM, un proceso en el que la vulnerabilidad se gestiona y sigue a lo largo del tiempo. Donde los informes se utilizan para detectar defectos en los procesos de BAU. Donde hay tableros dinámicos para monitorizar la superficie vulnerable en tiempo real o casi en tiempo real. Donde se proporciona algún contexto en torno a una vulnerabilidad para potenciar los SecOps o la gestión de parches con la información de priorización adecuada.

Donde el valor de VM se convierte en más operativo y menos táctico

La misma agilidad está impulsando a los CISOs más avanzados a evolucionar desde la Gestión de Vulnerabilidades a la Gestión de Amenazas y Vulnerabilidades.

Este proceso requiere la creación de flujos de información ágiles a través de diferentes procesos dentro de la organización, disolviendo las barreras existentes, anulando los jardines amurallados y destruyendo los silos.

Se basa en conceptos fundamentales como la implementación de una orquestación transparente a través de las tecnologías; la inmediatez en el interrogatorio del entorno digital supervisado; la operatividad de la información de inteligencia sobre ciberamenazas para crear una capa simplificada de abstracción; y la armonización de la necesidad de que las diferentes partes interesadas de la organización accedan a los mismos datos, desde su propia perspectiva, en el formato más consumible.

Echemos un vistazo más de cerca a estos conceptos.

La orquestación transparente consiste en aprovechar la API expuesta por diferentes tecnologías para crear flujos de información seguros, mejorar la eficiencia y reducir los errores humanos.

Por ejemplo, extraer los resultados de una evaluación de superficies vulnerables y entregarlos a una aplicación de gestión de servicios que informará al propietario de la aplicación, supervisará el proceso de corrección y, una vez que la vulnerabilidad se considere cerrada, activará de nuevo la tecnología de evaluación de vulnerabilidades para verificar que la superficie vulnerable se ha ido de verdad; tal vez, rellenando un tablero de control dinámico que rastree a lo largo del tiempo la eficacia del proceso de TVM en beneficio de los ejecutivos de la empresa.

La inmediatez de la interrogación se refiere a la implementación de los ojos dondequiera que se necesiten en el entorno digital, sin importar lo complejo que sea. Estos ojos tienen la tarea de recopilar información y enviarla a un lugar centralizado donde se indexan, procesan, agregan, cortan y trocean para ser consumidos por los seres humanos a través de una interfaz de usuario moderna y por los inhumanos a través de la interfaz de programación de aplicaciones (API).

Este proceso asegura que una vez que necesito hacer una pregunta, la respuesta ya está allí en los datos indexados y me llega en segundos para apoyar las decisiones a nivel táctico, operativo y estratégico.

La operacionalización de la inteligencia de las ciberamenazas significa hacer que la información sea consumible, actuar sobre los datos en un feed creando un nivel de abstracción que responda instantáneamente a preguntas complejas.

Dada una campaña de amenazas o una nueva técnica de ataque, un ejemplo de esta abstracción es entender instantáneamente cuántos activos se ven afectados en todo mi entorno de TI; con la capacidad de pivotar tácticamente - ver la lista de activos y obtener detalles - u operativamente - profundizar más la información sobre la amenaza para fortalecer la defensa y la resiliencia.

Armonizar las necesidades de las diferentes partes interesadas en ver los mismos datos desde diferentes perspectivas significa aprovechar la capacidad unificada de procesamiento de datos mencionada anteriormente para exponer sólo la parte que necesita el público objetivo. Si se trata de un servidor, el departamento de TI puede estar interesado en comprender el software instalado, la información sobre el hardware, los parches que faltan, la geolocalización, etc.; el departamento de seguridad puede estar interesado en detectar los indicadores de compromiso, comprobar la explotabilidad del software y detectar anomalías; el departamento de conformidad puede estar interesado en comprender si esa máquina cumple con uno u otro conjunto de controles definidos por el marco de trabajo vinculado al perímetro en el que se encuentra la máquina.

El momento de TVM

Las capacidades mencionadas anteriormente, una vez implementadas correctamente, crean un conjunto de flujos bien engrasados respaldados por personas, procesos y tecnologías que elevan a TVM a un nivel estratégico, a la vez que mantienen la ventaja operativa de la VM y el valor táctico de una VA precisa.

Ahora piense en su organización: ¿cómo definiría su nivel de madurez en la perspectiva proporcionada anteriormente? ¿Puede llamar a su proceso TVM? ¿Todavía está evolucionando a VM? ¿O luchando con una cascada VA?

Si su respuesta es TVM, estos serían los pasos a seguir:

• Cambiar a SDLC y CI/CD: su madurez es lo suficientemente sólida como para expandir el proceso de seguridad de los boletines hacia donde se origina la superficie vulnerable.

Muy probablemente, ya estaría usando metodologías de desarrollo ágiles, centrándose en hacer sus sprints con equipos de desarrolladores que están escrutando las cosas de la manera más eficiente.

Necesita evaluar su madurez y sensibilidad para la seguridad, encontrar a su campeón de seguridad y asociarse con él para dirigir el proceso.

Puede presentar la seguridad como algo que no ralentizará el proceso, a la vez que lo hace más seguro.

Un ejemplo podría ser permitir que los plugins basados en API en las herramientas SDLC utilizadas (como Jenkins o Bamboo) activen pruebas dinámicas cada vez que el código está comprometido con la pre-producción.

• Potenciela gestión de parches. Ya tiene una visión muy clara de lo que significa TVM y tiene el contexto necesario con un nivel de abstracción diferente. ¿Por qué no ampliar este conocimiento para crear flujos de trabajo destinados a operacionalizar la reparación en el mejor de los casos, aumentando la eficacia y la eficiencia al tiempo que se minimizan los indicadores clave de rendimiento (KPI) como el MTTR?

Programe la aplicación de parches, teniendo en cuenta la supercedencia y la obsolescencia; realice un seguimiento de la aplicación de parches, resultados, KPI; monitorice el reinicio después de la aplicación de parches, que sigue siendo una de las áreas más nebulosas en este proceso.

• Vaya hacia entornos cloud y contenedores. Amplíe su madurez de TVM para aumentar la visibilidad donde se disuelven los perímetros, para evaluar las relaciones entre los recursos en entornos multicloud y comprobar si hay errores de configuración.

Curiosamente, los errores de configuración se encuentran entre las principales razones de la fuga de datos en los programas de adopción de la nube, como lo demuestran publicaciones como "The Traacherous Twelve" de Cloud Security Alliance.

También hay que hacer frente a los retos que plantean los programas de contenedorización, que están cambiando radicalmente toda la forma en que concebimos la TI con conceptos extremos como la informática sin servidores, las plataformas de contenedor como servicio (CaaS) y la orquestación federada para la optimización de recursos.

Esta evolución reciente del entorno informático requiere una gran especialización en las capacidades de recogida de datos, para hacer frente a las necesidades organizativas más tradicionales, como el cumplimiento de la normativa. Esto no es sólo un desafío tecnológico, y debería impulsar el proceso de selección de proveedores para privilegiar a aquellos que entienden el flujo de trabajo que hay detrás.

• IT Asset Management.Este proceso a menudo ya está establecido con diferentes grados de eficiencia en las organizaciones, pero requiere ser modernizado para hacer frente a la necesidad de crear una única fuente de verdad para todos los activos, a través de un entorno digital que cambia constantemente y se amplía con el paso del tiempo.

Aquí los nuevos criterios son el descubrimiento, la normalización, la organización y la clasificación, un ciclo que debe ser lo más automatizado y continuo posible.

Sincronización con sistemas CMDB, para asegurar la consistencia en el proceso ITAM independientemente de quién realice el descubrimiento. Y como ningún proceso puede ser aislado y sólo táctico, esta fuente de verdad debería convertirse en el punto de referencia para BAU, SecOps, DevOps y otros procesos.

En resumen, este es un viaje difícil... hay quien lo llama transformación digital.