Amitai Ratzon, director general de Pentera

Los conceptos tradicionales de gestión de vulnerabilidades contribuyen a cegar a los defensores y gestores de riesgos en un contexto en el que no dejan de proliferar los ataques de ransomware.

La marea imparable de las vulnerabilidades

A medida que aumenta el ritmo de la digitalización y el desarrollo de nuevas aplicaciones de software, cada vez se escribe más código empleando medidas de seguridad que no son óptimas. Como resultado, el número de vulnerabilidades que se pueden explotar es cada vez más grande y, a pesar de las modernas prácticas de DevSecOps, la marea continúa imparable.

Cuando se empezaron a gestionar activamente las vulnerabilidades, hace aproximadamente 20 años, no había tantas de las que ocuparse (en el año 2000 había aproximadamente 1000 vulnerabilidades conocidas). El proceso manual de escaneo de vulnerabilidades, revisión y análisis de los resultados, comprobación de su validez y corrección del problema si fuera necesario, está correlacionado con el número de hallazgos.

Desde entonces, el número de vulnerabilidades ha aumentado exponencialmente. Cada año se descubren miles de nuevas vulnerabilidades, que se amontonan unas sobre otras y hacen más difícil priorizar las correcciones críticas. A día de hoy, la gravedad de las vulnerabilidades (CVSS) se basa en una puntuación agregada y tiene a veces una correlación cuestionable con el riesgo que presenta para el negocio. Los equipos de seguridad no dan abasto aplicando parches de seguridad sin saber si en realidad se han solucionado las brechas más peligrosas.

Ya solo en 2020 se identificaron más de 15 000 vulnerabilidades, de las cuales, según publicó Gartner, solo el 8 % fueron explotadas por atacantes. Para acotar aún más el problema, la Agencia de Ciberseguridad y Seguridad de la Infraestructuras (CISA, por sus siglas en inglés) publicó recientemente un informe con las 30 vulnerabilidades más peligrosas. Estos informes demuestran que la industria se ha dado cuenta de la necesidad de centrarse y de adoptar un nuevo enfoque de seguridad. Todo este contexto es crucial para que los equipos de TI y de seguridad minimicen el riesgo, garanticen la continuidad del negocio y se adelanten a sus adversarios.

La carrera armamentística de la ciberseguridad

En esta última década también hemos sido testigos de un cambio importante en el conjunto de herramientas de las que disponen los adversarios. El hecho de que explotar una nueva vulnerabilidad tenga un valor económico tangible para los atacantes, hace que exista un fuerte incentivo por parte de los defensores para descubrir estas vulnerabilidades y por parte de los atacantes para explotarlas. Impulsado por estas fuerzas, se ha producido un gran aumento en el número de herramientas de ciberataque gratuitas que se pueden encontrar en el mercado, lo que se ha traducido en un incremento en el número de atacantes potenciales. A medida que estas herramientas han florecido, también han evolucionado las medidas de defensa. Esta «carrera armamentística cibernética» ha llevado a las organizaciones a adquirir tecnología de seguridad avanzada, lo que complica el programa de seguridad de las empresas y conduce inevitablemente a errores de configuración humanos que crean nuevos riesgos en la red. Ahora, además de las miles de vulnerabilidades estáticas que se divulgan cada año, los equipos de seguridad tienen vulnerabilidades dinámicas, también conocidas como errores de configuración, que son específicas a sus redes.

La gravedad del asunto se acentúa cuando nos damos cuenta de que los procesos implementados para realizar pruebas de integración no han evolucionado en los últimos 20 años, y han sufrido relativamente pocos cambios en los conjuntos de herramientas y tecnologías en los que se apoyan. En este sentido, tras unos devastadores ataques de ransomware en Estados Unidos contra Colonial Pipeline y JBS Foods, la administración de Biden emitió un memorando en el que instaba a las empresas a tomar medidas proactivas y continuas para reducir el riesgo de ataques avanzados. Esto incluye la actualización y aplicación de parches en los sistemas con prontitud y el uso de «pruebas de penetración a manos de terceros para comprobar la seguridad de sus sistemas y su capacidad para defenderse de un ataque sofisticado».

Aunque las pruebas de penetración pueden ser eficaces para priorizar las vulnerabilidades más críticas, se trata de un proceso manual, y por lo tanto limitado en su escala, que solo proporciona una foto puntual de la situación de seguridad de una organización. Está claro que en el panorama actual las organizaciones necesitan validar su seguridad de forma continua y estar siempre preparadas para hacer frente a las diferentes amenazas. Aquí es donde entra en juego la validación de seguridad automatizada.

El amanecer de la automatización de SecVal

Tal y como hemos dejado entrever antes, la red es un organismo vivo que evoluciona y cambia constantemente. Cada vez que se pone a disposición del usuario una nueva tecnología, cada vez que se elimina una tecnología ya existente, cada vez que se realiza una migración a la nube o cada vez que se fusionan dos empresas se plantean brechas de seguridad que deben ser analizadas y abordadas. Por este motivo, los analistas de seguridad están adoptando un enfoque más amplio y completo en lo que a la validación automática de la seguridad se refiere. Este enfoque permite a las empresas tener una perspectiva real sobre cómo atacarían los adversarios su red y, de este modo, centrarse en aquellas brechas que tengan un impacto potencial adverso en el negocio.

Pentera es la primera plataforma de validación de seguridad automatizada que cambia el paradigma permitiendo a los equipos de seguridad adelantarse a la aparición de vulnerabilidades, centrarse en las que más importan e identificar la verdadera causa del problema. Esto ayuda a las empresas no solo a afrontar mejor el ciclo de vida de las aplicaciones, sino también a ahorrar costes y optimizar recursos.

Según el director general de Pentera, Amitai Ratzon, «no estamos aquí para convertirnos en una mejor plataforma de gestión de vulnerabilidades, sino para introducir un enfoque diferente en la industria y ayudarla a centrarse en las vulnerabilidades que de verdad importan».

Riesgos reales: pruebas para determinar el potencial de explotación

Estos son algunos elementos clave en los que Pentera proporciona un enfoque diferente:

• Probar las implicaciones explotables: los equipos de seguridad quieren abordar la vulnerabilidad que presente el mayor riesgo para su organización. Para saber a dónde puede conducir una vulnerabilidad, hay que construir el vector de ataque hasta el sistema víctima.
• Perspectiva del atacante: la única forma de saber qué vulnerabilidades hay que priorizar es emulando las tácticas y técnicas exactas que un atacante del mundo real utilizaría para explotar la red. Al exponer las redes a acciones adversas reales, se obtiene una visión completa de las posibilidades del atacante para proporcionar así una verdadera evaluación de riesgos.
• Validación de la remediación: uno de los problemas de la evaluación tradicional de vulnerabilidades es que los equipos no tienen visibilidad sobre la efectividad de sus esfuerzos de remediación. Con Pentera, los equipos de seguridad pueden volver a probar su entorno inmediatamente y compararlo con su línea base para garantizar una protección adecuada.
• Eficacia de los controles de seguridad: como se ha señalado anteriormente, la naturaleza estática de la gestión de vulnerabilidades no tiene en cuenta los continuos cambios en los controles de la infraestructura de TI. Pentera facilita la validación continua para asegurar que los controles están configurados correctamente y funcionan como deben.

Sobre Pentera:

Pentera ayuda a más de 470 organizaciones en más de 30 países a descubrir cómo de expuestas están a los ataques del mundo real. Para ello, emula ataques bajo demanda sobre cada capa de ciberseguridad: «No desplegamos agentes, por lo que en pocas horas proporcionamos visibilidad a verdaderos vectores de ataque que conducen a las joyas de la corona de la organización, seguidas de instrucciones de remediación», dice Ratzon.

Pentera es una empresa orientada hacia la investigación con una visión audaz: convertirse en la autoridad mundial en materia de validación de ciberseguridad. Bajo la dirección de Amitai Ratzon y su equipo, Pentera está dispuesta a redefinir las perspectivas de seguridad de las empresas. Su equipo de investigación construye réplicas seguras de malware y ransomware que se suman a las pruebas de seguridad ya existentes. Además, el mismo equipo proporciona las instrucciones necesarias para contrarrestar las brechas de seguridad que identifiquen. Recientemente, el equipo de Pentera identificó una vulnerabilidad de día cero en VMware vCenter, contribuyendo a la comunidad de ciberseguridad en su conjunto. «Creemos que el espacio actual de gestión de vulnerabilidades está obsoleto. Nuestra seguridad debe ser desafiada con la misma fuerza y sofisticación que las amenazas reales. Por eso estamos encabezando la revolución de la validación de seguridad automatizada y proporcionando a las empresas una verdadera evaluación de riesgos y una hoja de ruta sobre cómo remediarlos», concluye Ratzon.