Gestión de vulnerabilidades es una combinación de procesos y productos destinados a mantener un inventario de la infraestructura digital de una organización, probándola en busca de vulnerabilidades y remediando las debilidades identificadas. Es una práctica cíclica y la antípoda del conocido adagio de TI que dice: “Si no está roto, no lo arregles”. Este principio simplemente no funciona en la seguridad empresarial en estos días. Si los activos digitales no se controlan y fortalecen de forma continua, se convierten en frutos al alcance de la mano.
Un escáner no es suficiente
A diferencia de escáneres de vulnerabilidad, el objetivo principal de la gestión de vulnerabilidades es fortalecer la seguridad de la infraestructura y proporcionar una respuesta de emergencia a algunas amenazas súper peligrosas. Encontrar una laguna en un sistema es la mitad de la batalla, pero debe solucionarse para que los actores de amenazas no puedan explotarla como punto de entrada. Los métodos de evaluación de vulnerabilidades y priorización de problemas detectados en función de la infraestructura del cliente son igualmente importantes. Los escáneres no hacen eso.
La gestión de vulnerabilidades es, esencialmente, un complemento del proceso de análisis que evalúa, prioriza y corrige las vulnerabilidades detectadas. Las necesidades de los clientes están cambiando, mientras que el objetivo principal solía reducirse a descubrir una vulnerabilidad, ahora se trata más de las formas de abordar el problema.
En cuanto a los modelos de licencias utilizados por los sistemas de gestión de vulnerabilidades, normalmente se basan en la cantidad de direcciones IP protegidas. No importa dónde se encuentren ni cuántas instalaciones requiera el cliente. El costo de un escáner de vulnerabilidades, por otro lado, depende del número de instalaciones y los parámetros de escaneo, como la cantidad de hosts.
Además, existen diferentes tipos de instalaciones, y algunos proveedores ofrecen un uso ilimitado de sus sistemas. La etiqueta de precio también puede verse influenciada por el conjunto de características, algunas de las cuales están disponibles como extras pagados.
Criterios para elegir un sistema de gestión de vulnerabilidades
Las características más importantes incluyen el tamaño de la organización, la cantidad de sucursales ubicadas en diferentes zonas horarias, así como la localización del producto, que es la capacidad de detectar vulnerabilidades específicas de la región y de la industria.
Un factor interesante se relaciona con qué tan bien los departamentos de InfoSec y TI de la empresa pueden negociar las características necesarias de la solución. Los especialistas de InfoSec suelen priorizar la detección de vulnerabilidades, mientras que los equipos de TI se centran principalmente en la implementación de parches. Por lo tanto, la superposición de estas dos áreas definirá los parámetros del sistema.
También vale la pena observar la integridad y la frecuencia de las actualizaciones, así como los sistemas operativos compatibles con el escáner. El sistema ideal de gestión de vulnerabilidades también debe adaptarse al contexto de la industria que representa la organización y las aplicaciones que está utilizando actualmente.
En la etapa de firma del contrato, el proveedor puede asegurar al cliente que está listo para agregar nuevos productos y funciones en el futuro. Desafortunadamente, algunos proveedores no siempre cumplen con tales compromisos. Por lo tanto, es mejor centrarse en la funcionalidad fácilmente disponible de la solución.
Una característica útil de cualquier sistema de gestión de vulnerabilidades es la capacidad de enriquecer su propia base de datos de vulnerabilidades con información de fuentes de terceros. También es excelente si la solución puede proporcionar un ejemplo de un exploit que aprovecha una vulnerabilidad específica.
La mayoría de los clientes se enfrentan a un dilema clásico: usar un escáner gratuito o comprar una solución comercial desde el principio. Mantener una base de datos de vulnerabilidades actualizada es un proceso tedioso y costoso. Por tanto, en el caso de un producto gratuito, el equipo de desarrollo puede tener que priorizar otras áreas de su actividad en busca de fuentes alternativas de ingresos, lo que explica que estos escáneres tengan algunas limitaciones.
Herramientas bajo el paraguas de gestión de vulnerabilidades
El conjunto de soluciones necesarias para organizar el proceso de gestión de vulnerabilidades dentro de una empresa puede incluir:
- Diferentes instrumentos para recopilar información sobre vulnerabilidades, como escáneres, herramientas para procesar datos de fuentes de terceros y repositorios de información obtenida de forma independiente por especialistas de InfoSec.
- Herramientas de priorización de vulnerabilidades que definen puntajes CVSS y miden el valor del activo potencialmente afectado por la falla.
- Herramientas para la interacción con bases de datos externas.
- Sistemas que manejan una vulnerabilidad en el contexto de la organización, su infraestructura y la superficie de ataque global.
Gestión de activos y parches automáticos
El proceso de gestión de activos debe tener el máximo grado de automatización, abarcar toda la infraestructura de la organización y realizarse de forma periódica. Es imposible priorizar las vulnerabilidades a menos que se cumplan estas condiciones. Además, no hay forma de controlar la infraestructura TI de una organización sin saber exactamente en qué consiste. Por lo tanto, la gestión de activos es una parte muy importante de la gestión de vulnerabilidades.
El principal requisito previo para la automatización de la gestión de parches El proceso es asignar un identificador específico a cada firma de vulnerabilidad y asegurarse de que la próxima actualización lo aborde. Este es un flujo de trabajo complejo con muchas trampas. Las consecuencias de omitir una sola actualización pueden ser desastrosas, por lo que la implementación de parches debe estar tan bien orquestada como sea posible.
También es importante ajustar los parches automáticos a un área de aplicación específica. Para las estaciones de trabajo, es aceptable restringir las actualizaciones del sistema operativo y el software básico, como navegadores y aplicaciones de oficina. En el caso de los servidores, las cosas son más complicadas porque hay mucho en juego y una actualización con errores puede afectar la disponibilidad de los recursos de TI críticos para el negocio.
Cuando se trata de monitorear la infraestructura empresarial, la mayoría de las empresas prefieren escanear antes que instalar agentes en los terminales, ya que a menudo se vuelven puntos de entrada de malware. Sin embargo, si no se puede acceder al host de otra forma, debe utilizar aplicaciones de recopilación de datos.
Como se mencionó anteriormente, la interacción fluida entre InfoSec y los departamentos de TI marca la diferencia. Los dos equipos deben acordar políticas que especifiquen quién es responsable de instalar actualizaciones para ciertos recursos y con qué frecuencia ocurrirá. Esencialmente, el proceso de gestión de vulnerabilidades debe reducirse a monitorear el cumplimiento de dichos acuerdos e instalar parches urgentes.
¿Qué depara el futuro para los sistemas de gestión de vulnerabilidades?
En este punto, existe una clara tendencia hacia una mayor automatización de la supervisión de activos y la implementación de parches. A medida que las infraestructuras empresariales continúan migrando al nube, está dentro de los límites de la posibilidad que el proceso de análisis de vulnerabilidades se reduzca a verificar la configuración de seguridad de la nube. Otro vector evolutivo se reduce a mejorar los sistemas de evaluación de la vulnerabilidad. Las herramientas de priorización de vulnerabilidades incluirán más datos, especialmente sobre las vulnerabilidades más “explotables”.
También existe una buena posibilidad de que estos sistemas cambien a una lógica todo en uno en los próximos años, donde una única solución proporcionará un espectro completo de instrumentos de gestión de InfoSec. Es muy probable que surja una plataforma integral que incluya capacidades de gestión de vulnerabilidades, gestión de activos y gestión de riesgos junto con otras funciones de protección. Tal vez, habrá una consola de administración de vulnerabilidades integral para todos los elementos de la infraestructura digital, desde un servidor o una impresora hasta un contenedor en un host dedicado.