¿Ha muerto la gestión tradicional de las vulnerabilidades?

por | Feb 23, 2021 | IA en la prueba de penetración automatizada

Al igual que la defunción y los impuestos, las brechas de seguridad son inevitables en la vida. Cuando el mundo se ha trasladado a la nube y la gente trabaja desde casa, las vulnerabilidades de seguridad prevalecen y persisten en los titulares, al igual que esos molestos y persistentes anuncios de “pérdida de peso”.

Gestionar el riesgo y las vulnerabilidades en un entorno altamente dinámico no es fácil;

muchas de las prácticas, políticas y herramientas utilizadas por los equipos de seguridad -especialmente la gestión de vulnerabilidades- suelen ser producto de la época anterior, que ya no se adaptan a los entornos “nativos de la nube” ni a la compleja dinámica empresarial actual.

Limitaciones de la gestión tradicional de la vulnerabilidad

La gestión de la vulnerabilidad se define generalmente como el proceso de identificar, categorizar, priorizar y resolver las vulnerabilidades en el software y las aplicaciones.

Las evaluaciones de la vulnerabilidad deben realizarse periódicamente para evaluar la postura de seguridad existente y si los planes de gestión de la vulnerabilidad deben cambiar.

El escaneo de vulnerabilidades es quizás la herramienta de gestión de vulnerabilidades más conocida. Los escáneres automáticos son las herramientas más populares del momento porque funcionan eficazmente, son repetibles y fáciles de usar.

Sin embargo, hay algunos defectos importantes en el escaneo regular de vulnerabilidades:

  • Suelen pasar por alto amenazas activas fuera de la base de datos o amenazas más complejas que superan sus capacidades.
  • Producen falsos positivos, que hacen que los detectores de los defensores sean menos sensibles a las amenazas críticas.
  • No proporcionan una verdadera comprensión del riesgo. Las vulnerabilidades altamente clasificadas no son necesariamente altos riesgos de negocio para las organizaciones si no hay exploits para esa vulnerabilidad en ese entorno particular y viceversa.

Según un estudio de la empresa de análisis Gartner, en la última década se revelaron unas 8.000 vulnerabilidades al año. El número sólo ha aumentado ligeramente de un año a otro, y sólo una octava parte fue explotada. Como las vulnerabilidades explotadas o aprovechables presentan riesgos empresariales inmediatos para las organizaciones, se les dará prioridad y se abordarán de inmediato.

El escáner tradicional no puede indicar a las organizaciones qué vulnerabilidades son explotables en sus entornos de red particulares, lo que obliga a los equipos de seguridad a dedicar sus esfuerzos por igual a todas las vulnerabilidades. Este enfoque los mantiene ocupados e ineficaces. 

Comprender el alcance de las amenazas y evaluar la gravedad y el impacto de las operaciones empresariales en función de escenarios específicos es una tarea de enormes proporciones que las herramientas de escaneado tradicionales no pueden abordar porque carecen de la profundidad y la complejidad necesarias.

Gestión de la vulnerabilidad basada en el riesgo

Aunque la gestión tradicional de las vulnerabilidades tiene dificultades para hacer frente a algunos de los principales retos de los entornos actuales, las organizaciones pueden realizar algunos cambios sencillos para solucionar este problema. El enfoque fundamental e impactante es desplegar herramientas más potentes y avanzadas que no sólo descubran las vulnerabilidades, sino que también las asocien con los riesgos del negocio.

Esto es lo que haría la gestión de la vulnerabilidad basada en el riesgo, y RidgeBot es un ejemplo perfecto.

RidgeBot es un sistema automatizado de pruebas de penetración. A diferencia del escaneo, las pruebas de penetración van mucho más allá de la identificación de amenazas superficiales. Las pruebas de penetración pueden identificar las vulnerabilidades y explotarlas para proporcionar una imagen más completa del estado del entorno de seguridad, detallando todo el daño que un atacante podría causar en caso de una brecha. Y al igual que el escaneo, RidgeBot hace que este proceso de pruebas de penetración sea eficiente, repetible y fácil de usar.

RidgeBot funciona lanzando una serie de ataques simulados ininterrumpidos contra un entorno seguro. Estas simulaciones reproducen las posibles rutas y técnicas de ataques utilizadas por APT y otros adversarios. A diferencia de las pruebas de penetración manuales, el RidgeBot basado en ordenador funciona de forma automatizada y continua.

RidgeBot define las vulnerabilidades explotadas como riesgos empresariales. Proporciona información detallada sobre los riesgos, como las rutas de ataque, la información de la cadena de muerte, las técnicas de ataque, las vulnerabilidades asociadas y los activos afectados, sobre la base de los cuales las organizaciones son capaces de hacer una estimación precisa sobre el impacto potencial en dólares y recursos y formar una estrategia de defensa concreta y eficaz.

La gestión de la vulnerabilidad basada en el riesgo ha crecido rápidamente, y muchas organizaciones la ven como una actualización obligatoria de la gestión tradicional de la vulnerabilidad.  Para reducir el número y las pérdidas potenciales atribuidas a los principales incidentes de seguridad, las organizaciones deben crear un proceso de gestión de vulnerabilidades que refleje realmente los verdaderos retos de seguridad a los que se enfrentan las empresas hoy en día. La elección de la herramienta adecuada es sólo uno de los muchos pasos importantes hacia este objetivo.