Gestión de los puntos vulnerables

La gestión de los puntos vulnerables es una práctica de seguridad de la TI que implica identificar, evaluar y solucionar las fallas de los dispositivos, las redes y las aplicaciones para reducir el riesgo de los ataques cibernéticos y los problemas de seguridad.

Los especialistas consideran que esta gestión es una parte importante de la automatización de la seguridad. Según lo define el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, es una función necesaria del programa de supervisión permanente de la seguridad de la información denominado Information Security Continuous Monitoring (ISCM). 

Los puntos vulnerables se registran como puntos vulnerables y exposiciones comunes (CVE). Se trata de un sistema que utiliza el sector de la seguridad para catalogar las fallas que identifican los investigadores y los proveedores de TI. Debido a que surgen CVE todo el tiempo, la gestión de los puntos vulnerables es un proceso constante. Un programa destinado a dicha tarea permite que los equipos de seguridad automaticen sus procesos de detección y corrección de errores, lo cual incluye el análisis y la aplicación de parches.

Su objetivo es disminuir el riesgo de ataques cibernéticos y proteger la infraestructura de la TI. Este proceso permite reducir la superficie de ataque de la empresa, ya que identifica y elimina los problemas de seguridad y los errores de configuración que pueden aprovechar los atacantes, realiza el mantenimiento de los parches de los sistemas de software, y detecta y disminuye los ataques que se producen debido a esos puntos vulnerables. Además, garantiza que todo, desde los dispositivos del extremo, hasta los servidores, las redes y los recursos de la nube, se configuren de la forma adecuada y cuenten con los parches correspondientes.

La gestión de los puntos vulnerables puede considerarse como cinco flujos de trabajo que se superponen:

• Análisis: revise los recursos de TI de la empresa para conocer los posibles puntos vulnerables.
• Categorización y establecimiento de un orden de prioridad: clasifique los puntos vulnerables que se identificaron y ordénelos según el nivel de importancia y de riesgo real. Por ejemplo, si un dispositivo presenta un punto vulnerable que solo puede aprovecharse si se conecta a Internet, no supondrá ningún riesgo si no está en sus planes conectar dicho dispositivo.
• Resolución: resuelva estos problemas mediante alguno de los siguientes métodos: corrección (aborde por completo el punto vulnerable), disminución (dificulte la posibilidad de aprovechar un punto vulnerable o disminuya su impacto) o aceptación (deje sin corregir los puntos vulnerables que sean de bajo riesgo).
• Revaluación: realice nuevas evaluaciones para asegurarse de que las iniciativas anteriores funcionaron y no generaron nuevos puntos vulnerables.
• Generación de informes: establezca parámetros de referencia para la gestión de los puntos vulnerables y supervise el rendimiento a lo largo del tiempo.

Como se trata de un elemento de la seguridad de la información, esta gestión respalda las mismas funciones. Según el marco de ciberseguridad que establece el NIST, estas funciones incluyen:

• Identificación: conozca los sistemas, las personas, los recursos, los datos y las funciones.
• Protección: sea capaz de limitar o contener el impacto de los posibles eventos de ciberseguridad. 
• Detección: brinde las condiciones necesarias para el descubrimiento oportuno de los eventos de ciberseguridad.
• Respuesta: tome las medidas apropiadas ni bien detecte un incidente de ciberseguridad.
• Recuperación: elabore un plan para recuperarse y volver a habilitar aquellas funciones o servicios que se hayan visto afectados por un incidente.

MITRE Corporation se encarga de supervisar la lista de CVE con la financiación de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), que forma parte del Departamento de Seguridad Nacional de Estados Unidos. Tanto los investigadores como los proveedores y miembros de la comunidad open source pueden enviar las fallas de seguridad que detecten para agregarlas a los CVE.

Los especialistas en seguridad no solo pueden conseguir información técnica sobre los puntos vulnerables en los CVE, sino también en la National Vulnerability Database (NVD) de los Estados Unidos, la CERT/CC Vulnerability Notes Database y otras fuentes, como las listas que elaboran los proveedores basándose en productos específicos.

Independientemente del sistema, los usuarios pueden utilizar los números de identificación de CVE para reconocer de manera confiable puntos vulnerables únicos y coordinar el desarrollo de soluciones y herramientas de seguridad.

El sistema Common Vulnerability Scoring System (CVSS) es un estándar del sector que permite puntuar los CVE. Aplica una fórmula que analiza una serie de factores relacionados con los puntos vulnerables, por ejemplo, si el posible ataque se puede llevar a cabo de forma remota, su grado de complejidad y si es necesario que el usuario tome medidas. El CVSS le asigna a cada CVE una puntuación base que va del 0 (nada de impacto) al 10 (el impacto más alto).

La puntuación por sí sola no constituye una evaluación integral del riesgo. Existen otros dos tipos de revisiones (temporal y del entorno) que pueden utilizarse para realizar un análisis de CVSS más completo. La revisión temporal agrega información acerca de las técnicas actuales para aprovecharse de los puntos vulnerables, la existencia de los ataques y la disponibilidad de parches o alternativas para solucionar el problema. Una revisión del entorno añade información específica de la empresa sobre los controles, sistemas o datos más importantes que podrían existir en el entorno del consumidor y que podrían alterar el impacto o la posibilidad de que un ataque que se lleve a cabo con éxito.

Los proveedores y los investigadores pueden utilizar otras escalas además de la puntuación CVSS. Por ejemplo, Red Hat Product Security utiliza una escala de gravedad de cuatro puntos para que los usuarios evalúen los problemas de seguridad. Esas clasificaciones son:

• Impacto grave: las fallas que un atacante remoto sin autenticar podría aprovechar para comprometer el sistema sin que sea necesaria la interacción de un usuario. 
• Impacto importante: fallas que pueden comprometer fácilmente la confidencialidad, la integridad o la disponibilidad de los recursos.
• Impacto moderado: fallas que pueden ser más difíciles de aprovechar, pero que de todas formas podrían comprometer la confidencialidad, la integridad o la disponibilidad de los recursos en ciertas circunstancias.
• Impacto bajo: todos los demás problemas que podrían afectar la seguridad, incluso los que requerirían que se dieran circunstancias poco probables para su aprovechamiento o los que traerían consecuencias mínimas si se llegaran a aprovechar.

A medida que aumenta la cantidad de puntos vulnerables y las empresas asignan más personas y recursos para las iniciativas de seguridad, es cada vez más importante priorizar el trabajo lo mejor posible. El uso de datos generales y poco precisos sobre los riesgos, como parte de un programa de gestión de puntos vulnerables, puede llevar a que ciertas fallas no se clasifiquen adecuadamente según su orden de prioridad, lo cual aumenta el riesgo de que no se aborde un problema grave por mucho tiempo.

La gestión de puntos vulnerables basada en los riesgos (RBVM) es un enfoque más nuevo que consiste en priorizar las medidas según el riesgo de las amenazas para una empresa en particular. Este enfoque tiene en cuenta los datos de los puntos vulnerables específicos de las partes interesadas, por ejemplo, la información sobre las amenazas, la probabilidad de aprovechamiento y la importancia para la empresa de los recursos afectados. Puede incluir las funciones de la inteligencia artificial y el aprendizaje automático para desarrollar puntuaciones de riesgo más precisas. Además, su objetivo es controlar los puntos vulnerables en tiempo real con el análisis permanente y automatizado.

La evaluación de los puntos vulnerables es un análisis de las medidas de seguridad de un sistema de TI para identificar las fallas. Esto incluye la recopilación de datos sobre un sistema y sus recursos, la revisión en busca de puntos vulnerables y la elaboración de informes que clasifiquen los hallazgos por riesgo e identifiquen métodos de mejora. Podemos pensar en esta evaluación como una auditoría interna y un análisis de toda la infraestructura para comprobar si hay problemas de seguridad. A pesar de que se puede programar como parte de un proceso regular, es básicamente un evento único que finaliza con una conclusión: un informe que representa una instantánea de un momento determinado. Esto se diferencia de la gestión de los puntos vulnerables en que esta última es una iniciativa permanente que se automatiza y se ejecuta constantemente.

Las funciones de esta gestión son permanentes, constantes y se superponen. De esta forma, los puntos vulnerables críticos pueden abordarse de forma temprana y rápida, lo cual aumenta la seguridad.

Red Hat es una empresa líder en sistemas de software open source que prioriza la transparencia y la responsabilidad para con los clientes y las comunidades. Brinda comunicados frecuentes sobre los puntos vulnerables y, en 2022, llegó a ser una de las empresas principales dentro del programa de CVE.

Además, Red Hat prepara a las empresas para que ejecuten, implementen y diseñen de manera más segura las aplicaciones de la nube. Descubra la mejor manera de detectar y gestionar los puntos vulnerables en los entornos de Kubernetes con Red Hat Advanced Cluster Security for Kubernetes.