La gestión adecuada de parches es un componente importante de la higiene de la ciberseguridad. Si las organizaciones no corrigen los errores de software de manera oportuna, corren el riesgo de exponerse a una variedad de amenazas. Pero luchar para corregir los errores identificados por el programa Common Vulnerability and Exposures (CVE) no es una solución completa. Las organizaciones deben hacer mucho más.
Los programas CVE y CVSS son componentes esenciales de los sistemas de gestión de seguridad de la información (ISMS) en la mayoría de las organizaciones, pero claramente tienen problemas. El programa CVE ofrece una referencia para vulnerabilidades y exposiciones conocidas públicamente. CVSS proporciona una forma de capturar las principales características de una vulnerabilidad y producir una puntuación numérica que refleja su gravedad. Entre los muchos desafíos con estos programas, CVSS no es una indicación real del riesgo que representa un CVE para una organización. Esto se debe a que intenta tener en cuenta el medio ambiente, pero solo tiene un éxito limitado al hacerlo.
La cantidad de riesgo para una organización depende completamente de sus condiciones comerciales, no del puntaje CVSS. Además, el modelo matemático que sustenta los CVE tiene fallas, en parte porque los puntajes bajos de CVE están subrepresentados en los datos. Un CVE bajo puede ser precisamente la vulnerabilidad que impacte a su empresa. (Se pueden encontrar más detalles sobre el problema con las matemáticas aquí en la Theory of Predictable Software, que hace un análisis profundo de las matemáticas detrás de CVE puntuaciones para”comprender cómo funciona, qué hace bien y qué no”)
Además, se publican más de 50 CVE cada día. No es razonable esperar que un equipo de seguridad los revise todos, e incluso si lo hicieran, no todos los CVE contienen toda la información que el equipo necesita para implementar parches de manera efectiva. El equipo puede priorizar los CVE importantes, pero no siempre está claro cuáles presentan realmente el mayor riesgo para un entorno determinado. Considere complementos de terceros, por ejemplo. Si una organización utiliza una plataforma como WordPress, la gestión de parches efectiva y oportuna debería mantener segura la aplicación principal. Pero con WordPress, como muchas otras plataformas, la mayoría de los usuarios confían en complementos y complementos para mejorar las aplicaciones que crean. En muchos casos, estos complementos no están cubiertos por procesos de informes formales.
Ejecutar un enfoque proactivo para una seguridad integral
Las organizaciones deben ser más proactivas. La gestión de parches reactivos siempre tendrá un lugar importante en una estrategia de seguridad integral. Pero el tiempo de permanencia entre el momento en que se identifica una vulnerabilidad y el momento en que los malos actores pueden explotar la falla se ha reducido. Esto hace que la superficie de ataque sea demasiado difícil de manejar simplemente tratando de mantenerse al día con los parches para las vulnerabilidades a medida que se identifican. En realidad, la mayoría de las organizaciones no pueden mantenerse al día con la gestión de parches.
Un encuesta recientemuestra que el 76 por ciento de las vulnerabilidades que se están explotando actualmente se conocen desde antes de 2020. Las empresas están claramente abrumados e incapaces de parchear de manera efectiva las vulnerabilidades que realmente afectan su negocio. Las empresas deben considerar la administración de parches en el contexto de soluciones holísticas de ciberseguridad.
Lo que las empresas necesitan para abordar los abrumadores desafíos de seguridad de hoy en día es una prueba de penetración continua que proporcione una administración integral de la superficie de ataque externa (EASM).
Un programa EASM completo y sólido responde a cuatro preguntas fundamentales:
¿Qué activos orientados a Internet tiene la organización? ¿Qué vulnerabilidades o anomalías tiene y cómo afectan al entorno que está protegiendo? ¿Dónde debe centrar su atención el equipo de seguridad? ¿Cómo puede el equipo solucionar las vulnerabilidades o los riesgos existentes?
Durante los últimos años, las organizaciones se han trasladado rápidamente a la nube, con diferentes grupos empresariales lanzando una variedad de servicios en la nube que no siempre se administran de forma centralizada. Esto ha creado desafíos de seguridad porque es posible que los equipos de TI y seguridad ni siquiera estén al tanto de los activos de la nube que potencialmente exponen datos a través de Internet. Esta es la razón por la que es importante que el programa EASM descubra todos los activos antes de que los malos actores tengan la oportunidad de ejecutar herramientas automatizadas para descubrir y monitorear la superficie de ataque de la organización.
El descubrimiento de activos se puede lograr escaneando constantemente en busca de nuevos subdominios para descubrir nuevos servicios a medida que estén disponibles. Una vez que se hayan descubierto los activos digitales, escanéelos para encontrar vulnerabilidades y anomalías. La clave es utilizar herramientas que realicen las mismas tareas de reconocimiento que un ciberdelincuente utilizaría para atacar a la organización.
El siguiente paso es priorizar las vulnerabilidades y anomalías de mayor a menor gravedad. De esta forma, los equipos de seguridad pueden centrar sus esfuerzos inmediatamente en lo que representa el mayor riesgo para ellos. Como parte de la priorización, los equipos pueden agrupar activos en función de una serie de criterios preestablecidos. El paso final es remediar cualquier vulnerabilidad que deba corregirse. Debido a que muchas organizaciones carecen de los recursos o la experiencia para proporcionar soluciones, es importante utilizar procesos y herramientas que muestren consejos prácticos sobre cómo resolver una vulnerabilidad. Por ejemplo, asegúrese de proporcionar a los equipos información como la URL de solicitud, la carga utilizada para identificar la vulnerabilidad, fragmentos de código y capturas de pantalla cuando estén disponibles.
Los métodos actuales para encontrar y corregir vulnerabilidades, basado en CVE y CVSS, tienen sus méritos. Pero, en última instancia, estas son soluciones defectuosas que no proporcionarán el nivel de seguridad que las organizaciones necesitan hoy. Potencialmente, están dejando a las empresas expuestas a niveles de riesgo más altos de lo que probablemente se dan cuenta. Las empresas deben tener estrategias y soluciones que proporcionen la experiencia y la automatización necesarias para ayudar a los equipos de seguridad a abordar las vulnerabilidades de la manera más eficiente posible. Al hacer esto, las organizaciones pueden ser más proactivas con la seguridad.
Crédito de la imagen: Rawpixel /depositphotos.com
Rickard Carlsson es director ejecutivo y cofundador de Detectify .