Simon Quentel, Consultor Senior de Ciberseguridad, HelpSystems.

Las vulnerabilidades de Seguridad son uno de los problemas de Ciberseguridad más comunes, y en creciente aumento. Según Common Vulnerabilities and Exposures en 2019 se descubrieron 12.174 nuevas vulnerabilidades (13 veces más que las descubiertas en 1999, cuando nació esta base de datos).

Pero más allá del número exacto, lo más relevante es que son un desafío que puede resultar abrumador. Por eso, de cara a planificar el año que viene, éste es un buen momento para analizar el nivel de madurez de su programa de gestión de vulnerabilidades y evaluar cómo mejorar la Seguridad de su empresa de forma realista.

Nivel 0: Inexistente

Más compañías de las que nos gustaría admitir no poseen una estrategia para abordar las vulnerabilidades. Algunas no han considerado su riesgo y otras pueden pensar que son demasiado pequeñas para intentar cualquier cosa que no sean parches manuales. Pero a menos que su organización sea extremadamente pequeña, implementar parches ad hoc no es suficiente.

Por fortuna, la forma de empezar a implementar un programa es sencilla: adquirir un escáner de vulnerabilidades y ejecutarlo de forma regular.

Nivel 1: Escaneo

Gracias al escaneo de vulnerabilidades conocerá las posibles debilidades de Seguridad, que es un buen punto de partida. Pero contar con nueva información puede dificultar saber por dónde empezar con la remediación.

El análisis proporcionará datos, pero no una guía sobre qué hacer con esa información. Para avanzar al siguiente nivel, deberá comenzar a diseñar una estrategia de gestión de vulnerabilidades.

Nivel 2: Evaluación y cumplimiento

En el nivel 2 se pasa de un enfoque de Seguridad que toma los problemas a medida que llegan a una estrategia estructurada con evaluaciones y procesos regulares.

Se pueden usar los requisitos de cumplimiento normativo como un marco alrededor del cual desarrollar un programa de gestión de vulnerabilidades. Por ejemplo, el Estándar PCI-DSS requiere análisis trimestrales y solicita que los parches se implementen en menos de un mes desde que se descubrieron.

Es recomendable empezar a realizar test de penetración, que permiten a su equipo de Seguridad explotar vulnerabilidades de software, problemas sistemáticos y de diseño de la infraestructura de Seguridad, con el fin de lograr objetivos específicos asemejándose a la forma en que actúa un atacante externo.

Nivel 3: Análisis y priorización

En este nivel la priorización no se basa en los estándares de cumplimiento, sino que está determinada por el nivel de riesgo.

Los tests de penetración agregan más contexto al verificar el potencial de las amenazas, clasificando el riesgo de las vulnerabilidades en función de las que realmente podrían obtener acceso a sistemas críticos para el Negocio y tener impacto real en la operación.

Los procesos desarrollados en este nivel integran sistemas de emisión de tickets y otras herramientas para garantizar una reparación rápida y eficaz, y la realización de más pruebas de penetración para validarlos. Para esto ya es necesario utilizar una herramienta de gestión de vulnerabilidades.

Nivel 4: Gestión de ataques

Aquí ya no verá las vulnerabilidades y los parches como entidades separadas, sino como un ecosistema completo y se evalúa el riesgo de forma integral.

La gestión de ataques utiliza datos de tests de exploración y penetración para identificar cómo un hacker podría moverse a través del sistema, utilizando diferentes vulnerabilidades para obtener acceso a los activos críticos del Negocio. La priorización ahora se basa específicamente en el riesgo de estos activos.

En esta etapa es relevante contar con una solución de detección avanzada de amenazas por inspección de tráfico de red.

Nivel 5: Gestión de riesgo operacional

En última instancia, este es el nivel por el que todas las organizaciones deberían esforzarse: un programa de gestión completamente desarrollado que tenga en cuenta todo el entorno y analice los datos de los escaneos de vulnerabilidades y pruebas de penetración, examine métricas para identificar tendencias, utilice procesos mejorados y técnicas de corrección.

Sin embargo, nunca hay que dejar de mejorarlo, por ejemplo, se pueden implementar Equipos Rojos que mediante tecnologías de simulación de adversarios intenten vulnerar la organización, defendida por equipos Azules o Morados. Si carece de los recursos para hacerlo de forma interna, puede tercerizar este tipo de servicios.

En conclusión, no importa en qué nivel se encuentre, la gestión de vulnerabilidades es un proceso continuo y en constante desarrollo. Siempre que evalúe regularmente su programa y permanezca flexible para adaptarse a los nuevos desafíos continuará mejorando la madurez del mismo y aumentará la Seguridad de su organización.