Simon Roe Gerente de Producto, Outpost24
Es evidente que las organizaciones están luchando con la ciberseguridad, ya que los profesionales de seguridad luchan para hacer frente a las múltiples amenazas, lo que hace que las empresas estén dos o tres pasos atrás. Algunos podrían decir que la falta de experiencia e información disponible para gestionar de manera efectiva grandes cantidades de vulnerabilidades significa que estamos cerca de un punto de inflexión sin retorno, mientras que otros pueden decir que ya estamos allí.
Enlaces de interés:
Te invitamos a nuestro evento de oupost24 este martes 13 de octubre desde las 11:00 Chile y 09 hrs Perú y Colombia https://www.cpnnetsecurity.com/events/outpost24-sabes-cuan-vulnerable-es-tu-infraestructura-y-tus-aplicaciones/
Conoce más sobre Outpost24 en nuestro sitio web https://www.cpnnetsecurity.com/outpost24/
Lo que está en juego es una victoria fácil para los piratas informáticos que dirigen muchos de sus ingeniosos ataques ante la enorme cantidad de vulnerabilidades que acechan en las infraestructuras de TI de las empresas y buscan una vía abierta fácil para lanzar un ataque.
Con recursos, tiempo y personal limitados en las empresas, el proceso de parcheo y remediación se ha convertido como buscar una aguja en un pajar, en vez de un selectivo método de eliminación de los mayores riesgos. Lo que es peor, los piratas informáticos solo están rascando la superficie, ya que el peligro para las organizaciones es mucho más extremo y afecta a múltiples capas de infraestructura.
Sin embargo, cuando los atacantes tienen éxito es porque han actuado rápidamente con aproximadamente la mitad de todos los exploit ocurridos dentro de las dos semanas posteriores a la publicación de CVE. La desafortunada realidad es que una empresa normalmente repara las vulnerabilidades 85 días después de esa publicación, dejando a los piratas informáticos suficiente tiempo para lanzar un ataque exitoso. Agregue a eso el descubrimiento diario de nuevas vulnerabilidades y la falta de recursos mencionada anteriormente, los profesionales de seguridad están constantemente poniéndose al día y equivocados por la gravedad del CVSS en lugar del riesgo real.
En algunos casos, el daño ya se ha hecho en forma de Alert fatigue. Está claro que las soluciones actuales de gestión de vulnerabilidades no están a la altura de la tarea, ya que las empresas aún quedan expuestas y los profesionales de seguridad están en el último plano.
La clasificación de Vulnerability Management (VM) y CVSS heredadas necesita un impulso
Como se mencionó anteriormente, las empresas están reparando las vulnerabilidades de una manera casi inmediata. Por lo general, los escáneres de vulnerabilidad utilizan el sistema de clasificación de gravedad CVSS para determinar dónde priorizar los esfuerzos. El sistema utiliza un estilo de clasificación 1-10, con cualquier cosa por encima de 7 etiquetada como severa.
Naturalmente, los profesionales de seguridad se sentirán atraídos por los más peligrosos. Si bien hay una lógica en esta estrategia, puede ejercer una presión y ansiedad indebidas sobre la reparación de vulnerabilidades que nunca pueden ser explotadas y no representan ningún riesgo. Recuerde que a los atacantes no les importa si una vulnerabilidad es grave o no, y explotarán cualquier vulnerabilidad que les dé un punto de apoyo. Todo lo que buscan es una brecha dentro de los sistemas para causar devastación.
Esta es la razón por la cual centrarse en una métrica como “tiempo de remediación” puede estar mal orientado, dependiendo de si el objetivo del equipo está en priorizar las vulnerabilidades correctas.
Para abordar este problema, que abunda en los programas actuales de gestión de vulnerabilidades, las organizaciones deben implementar un enfoque predictivo de gestión de vulnerabilidades. Esto permite a los analistas de seguridad priorizar las vulnerabilidades más susceptibles de ser explotadas en la naturaleza en función de la inteligencia de amenazas. Entonces, ¿qué tecnología aprovechará esto y cómo pueden los profesionales de seguridad y CISO adoptar la nueva ola de VM?
VM con inteligencia adicional
Las empresas que buscan aprovechar la VM predictiva deben buscar soluciones que utilicen la funcionalidad de escaneo de VM como base, y también dar el siguiente paso al proporcionar una calificación centrada en el riesgo a través de una amplia gama de inteligencia de amenazas. Esto debería integrarse dentro de la solución para identificar automáticamente los datos y los activos de la empresa y evaluar dónde pueden estar los riesgos para predecir correctamente la probabilidad de que los hackers exploten una vulnerabilidad.
Para aliviar la carga del administrador en los analistas de TI y seguridad, se informará la puntuación basada en el riesgo para todas las vulnerabilidades identificadas en orden de nivel de riesgo planteado, de modo que los pasos de corrección necesarios puedan tener lugar en un orden eficiente.
La fusión de la inteligencia artificial y el aprendizaje automático con VM finalmente le brindará a las organizaciones las herramientas para defenderse y defenderse de manera efectiva contra las amenazas presentes y futuras. Los datos basados en el riesgo proporcionados a través de este enfoque permitirán a los analistas de seguridad evaluar qué explotaciones tienen más probabilidades de ser vulneradas por el atacante, al ampliar las vulnerabilidades que conllevan el mayor riesgo. Al hacerlo, todos los falsos positivos más bajos que se obtienen con el puntaje CVSS se eliminan y se reemplazan de manera efectiva con un modelo predictivo y preciso que muestra las vulnerabilidades importantes.
En última instancia, se reduce a dos factores: establecer la tolerancia al riesgo de las organizaciones y asignar el recurso adecuado para mitigar las amenazas más peligrosas; ambos son clave para una gestión eficaz del riesgo.
Al tener más datos sobre el comportamiento del atacante y una mayor visión de las vulnerabilidades y los riesgos, los profesionales de seguridad pueden tomar decisiones más inteligentes y rápidas para reducir la exposición a la vulnerabilidad de su empresa y, lo que es más importante, les permite estar un paso por delante de los atacantes.
Hemos visto que el tiempo para parchar es crítico para la seguridad de TI de la empresa y con un mayor contexto de riesgo, los equipos de seguridad pueden reducir el ruido y tomar decisiones mejor informadas.
https://www.infosecurity-magazine.com/opinions/vulnerabilities-little-time