La gestión de vulnerabilidades es un proceso presente en las grandes organizaciones con más de dos décadas de historia, que normalmente distingue entre vulnerabilidades del código propio y las de terceros para apoyarse en herramientas especializadas que buscan identificar, priorizar y resolver causas raíz comunes que minimicen el riesgo de las organizaciones.  

Además, y de manera en general independiente, otros procesos han ido cobrando importancia, como los de postura de seguridad y cumplimiento, los de gestión (y uso) de permisos y privilegios. Aunque lo descubierto por estos podrían ser tratados como vulnerabilidades desde un punto de vista estricto -pues vulnerabilidad es toda aquella debilidad susceptible de causar un riesgo-, normalmente han quedado fuera del ámbito del proceso de gestión de vulnerabilidades.  De igual modo, la información de descubrimiento de la criticidad y sensibilidad de los datos, crítica para analizar el riesgo real de una vulnerabilidad, más allá de su “score”, frecuentemente ha sido tratada con herramientas inconexas de las de gestión de vulnerabilidades. 

Con este contexto, cada vez es más habitual encontrar incidentes de seguridad a los que llamamos ataques “malwareless”, en los que no está implicada ninguna vulnerabilidad de software propio o de terceros. Asimismo, los atacantes utilizan las herramientas presentes en el sistema para conseguir sus objetivos, lo que llamamos “living off the land”. Adicionalmente, vemos muchas situaciones en los que a priori el riesgo de las vulnerabilidades software involucradas era bajo, aunque el impacto finalmente haya sido muy alto por no tener en cuenta el contexto para hacer un adecuado análisis de riesgo. 

En estos ataques, entre las causas principales se encuentran los errores de postura de seguridad o de adopción de buenas prácticas como el uso de multifactor, de educación u operación segura o de asignación de mínimo privilegio. Habitualmente, una combinación de los factores anteriores es la que permite a un atacante abrirse paso entre los activos de la organización para llegar a su objetivo final, ya sea este la destrucción o manipulación de activos, su robo, extorsión, etc. 

Por esta razón, consideramos que no es recomendable mantener aislados los procesos de gestión de vulnerabilidades, cumplimiento, gestión de configuración y postura de seguridad, gestión de privilegios y accesos y protección de la información, todos ellos posibles vectores o fuente de información en un ataque. Solo con toda dicha información, convenientemente organizada en forma de un grafo, es posible tener una visión realista de cada una de las debilidades detectadas dentro de un camino de explotación.  

En su lugar, es necesario replantear el proceso de gestión de vulnerabilidades para incorporar la información del resto de procesos (postura, cumplimiento, identidad y accesos). Así mismo debemos dejar de tratar estas debilidades de forma individual o agrupándolas por categorías como venimos haciendo hasta el momento. Por el contrario, el foco debe estar en como estas debilidades, con independencia de su tipo o proceso que las haya identificado, se agrupan en caminos que permiten a los atacantes llegar a tomar control de los activos críticos encadenando las mismas.  

Un ejemplo de camino de ataque típico sería un servidor expuesto a internet sin firewall de aplicación publicándolo, sin parchear y que tiene privilegios sobre un servidor de bases de datos que almacena información sensible. Es la suma de todos estos factores -vulnerabilidad, postura, privilegios y sensibilidad de la información- la causa común de un incidente grave que podría ser prevenido con una adecuada integración de procesos.  

Sin duda, la evolución de las herramientas va encaminada a integrar todas estas perspectivas, y es por ello por lo que, antes o después, una reorganización de los departamentos de seguridad –en la que estos procesos sean tratados como uno- redundará en un incremento de la seguridad del entorno, pudiendo llegar a predecir potenciales incidentes y conteniéndolos antes de que se materialicen.