¿Qué agujero tapar primero? Solucionar la sobrecarga de parches de vulnerabilidades crónicas

Surcharge de correctifs de vulnérabilité Noticias

Según el folclore, las brujas podían navegar en un tamiz, un colador con agujeros en el fondo. Desafortunadamente, las brujas no funcionan en ciberseguridad, donde las redes generalmente tienen tantas vulnerabilidades que parecen tamices.

Para la mayoría de nosotros, mantener a flote el tamiz de nuestras redes requiere un trabajo terriblemente duro y compromisos frecuentes sobre qué agujeros tapar primero.

¿La razón? En 2010, se registraron algo menos de 5000 CVE en la base de datos de vulnerabilidades de MITRE. Para 2021, el total anual se había disparado a más de 20.000. Hoy en día, la integridad del software y la red son sinónimos de continuidad empresarial. Y esto hace que la cuestión de qué vulnerabilidades abordar primero sea de misión crítica. Sin embargo, debido a las innumerables vulnerabilidades documentadas que acechan en un ecosistema empresarial típico, en miles de computadoras portátiles, servidores y dispositivos conectados a Internet, menos de uno de cada diez en realidad necesita ser parcheado. La pregunta es: ¿cómo podemos saber qué parches garantizarán que nuestro tamiz no se hunda?

Es por eso que cada vez más empresas recurren a la tecnología de priorización de vulnerabilidades (VPT). Buscan soluciones que filtren la avalancha de falsos positivos generados por herramientas heredadas y soluciones mal configuradas y aborden solo aquellas vulnerabilidades que afectan directamente a sus redes. Están dejando atrás los paradigmas tradicionales de gestión de vulnerabilidades y cambiando a la próxima generación de soluciones VPT.

La evolución de la gestión de vulnerabilidades

No es ninguna novedad que incluso la empresa con más recursos no pueda clasificar, priorizar y parchear todas las vulnerabilidades de su ecosistema. Es por eso que el cambio hacia VPT comenzó en primer lugar.

Inicialmente, la gestión de vulnerabilidades (VM) se centró en escanear y detectar redes centrales en busca de vulnerabilidades. Esto se conocía como evaluación de vulnerabilidades (VA), y el producto final era una lista enormemente larga de vulnerabilidades que tenían poco valor práctico para los recursos de TI que ya estaban sobrecargados.

Para hacer que VA sea más procesable, la próxima generación de herramientas de VM incluyó la priorización de vulnerabilidades en función de cada vulnerabilidad. puntuación CVE global. Esto se perfeccionó aún más al agregar otra capa de priorización basada en estimaciones de daño potencial, contexto de amenaza e, idealmente, una correlación con el contexto local para evaluar el impacto comercial potencial basado en MIEDO modelos tipo. Este enfoque más avanzado se conoce como Gestión de vulnerabilidades basada en riesgos (RBVM) y fue un gran paso adelante desde VA.

Sin embargo, incluso las herramientas de VM avanzadas que implementan RBVM se quedan atrás en sofisticación y capacidad de acción. Estas herramientas solo pueden detectar lo que saben, lo que significa que las herramientas de detección mal configuradas con frecuencia resultan en ataques fallidos. No pueden evaluar si los controles de seguridad están configurados para compensar la gravedad de una vulnerabilidad determinada según su puntuación CVE correlacionada con el riesgo del contexto local. Esto todavía da como resultado listas de parches infladas y también significa que, al igual que con las herramientas VA de primera generación, los parches a menudo terminan al final de la lista de tareas pendientes o simplemente los equipos de TI los ignoran.

Aprovechamiento de VPT de próxima generación

Las soluciones VPT avanzadas son la próxima generación de VM y ofrecen a las organizaciones una visión muy diferente de sus riesgos cibernéticos únicos.

Sobre la base de la detección de VA tradicional y capacidades de RBVM más avanzadas, la última generación de soluciones VPT agrega contexto de criticidad de activos, contexto ambiental y múltiples fuentes de inteligencia de amenazas preintegradas. De esta manera, aumenta de manera efectiva los datos de gravedad de la vulnerabilidad con análisis sofisticados y aplicabilidad en contexto. Estas capacidades analíticas permiten que las soluciones VPT avanzadas integren una validación de amenazas altamente granular, creando la próxima generación de capacidades que aumentan la máquina virtual tradicional: Gestión de vulnerabilidades basada en ataques (ABVM).

ABVM es un cambio de juego. Porque una vez que las partes interesadas de la red pueden validar de manera efectiva las amenazas del mundo real que enfrentan sus redes, pueden probar sus entornos en función de los niveles de exposición reales y la permeabilidad al ataque. De acuerdo a Gartner, el cambio hacia ABVM es crucial para una mejor priorización y evaluación de las vulnerabilidades. Permite a los líderes de seguridad y gestión de riesgos generar recomendaciones y aplicarlas directamente a sus programas de seguridad, abordando los hallazgos prioritarios.

Aprovechando ABVM, las partes interesadas en la seguridad pueden identificar todos ataques no detectados, genere datos y casos de uso que permitan la mejora continua de la configuración de herramientas de detección y respuesta, y mapee posibles rutas de ataque de extremo a extremo con un contexto local detallado. Una vez que estas rutas de ataque aún no seguras están claramente trazadas, la aplicación de parches también lo está porque la validación de amenazas junto con una comprensión profunda de las rutas de ataque permite la priorización de parches enfocada en láser. Con ABVM, optimizar los escasos recursos de parcheo para tapar solo aquellos agujeros que amenazan con hundir el tamiz se vuelve sencillo.

El paso de los enfoques tradicionales de VA o RBVM basados ​​en puntajes a ABVM puede reducir la carga de parches entre un 20 % y un 50 % y, al mismo tiempo, mejorar notablemente la postura general de seguridad. Al evitar la desviación de la seguridad, ABVM también ayuda a optimizar los conjuntos de herramientas SIEM, mejorando la configuración de las herramientas, eliminando la superposición e identificando las capacidades faltantes.

La línea de fondo

Al mejorar la seguridad, reducir costos, refinar la asignación de recursos y fortalecer la colaboración entre equipos, ABVM ofrece un nuevo horizonte de productividad y eficacia para los equipos de seguridad. Llevando el VPT tradicional al siguiente nivel, ABVM resuelve la sobrecarga crónica de parches de vulnerabilidad, lo que permite que las redes permanezcan a flote incluso en las aguas ahogadas por amenazas de hoy.

David
Rate author
Hackarizona