Llegamos a ustedes gracias a:



Reportajes y análisis

6 herramientas de gestión de vulnerabilidades

Y cómo ayudan a priorizar las amenazas

[03/11/2020] La ciencia y la tecnología que respaldan la gestión de vulnerabilidades ha cambiado mucho en poco tiempo. Cuando se implementaron originalmente, las empresas de gestión de vulnerabilidades actuaron casi como proveedores de antivirus, ya que intentaron que sus escáneres descubrieran el mayor número posible de amenazas potenciales. Incluso se jactaban de ser capaces de detectar más vulnerabilidades escondidas en los bancos de pruebas que sus competidores.

El problema con esa lógica es que, a diferencia de los virus y otros tipos de malware, las vulnerabilidades son solo potencialmente un problema. Para que una vulnerabilidad sea verdaderamente peligrosa, debe ser accesible para un atacante y relativamente fácil de explotar. Por lo tanto, una vulnerabilidad que se asienta en un recurso interno no es una amenaza potencial, ni tampoco una que requiera componentes adicionales como el acceso seguro a otros servicios de red. Saber qué es realmente peligroso es importante para poder planear qué arreglar ahora, y qué dejar para más tarde o incluso ignorar.

También es útil categorizar las vulnerabilidades en función de sus posibles impactos en caso de que sean explotadas. Esto incluye la gravedad potencial de la explotación, como la eliminación de una base de datos entera versus bloquear a un solo usuario y el valor de los recursos afectados. El hecho de que su sitio web de cara al público sea desfigurado es vergonzoso, pero el robo de datos confidenciales puede ser crítico.

Los mejores programas de gestión de vulnerabilidades deberían añadir contexto a los escaneos. Algunos incluso ofrecen correcciones automáticas, entrenamiento o asistencia preventiva usando inteligencia artificial (IA). También es importante comprender las normas de cumplimiento, los mandatos legales y las mejores prácticas que se aplican a la organización que pone en marcha el escaneo. Con miles de vulnerabilidades potenciales escondidas en cualquier red empresarial grande, es la única manera de que las correcciones puedan ser priorizadas de forma fiable.

Los siguiente seis productos amplían los límites de al menos un aspecto de la gestión de vulnerabilidades.

Kenna Security Vulnerability Management

La plataforma Kenna Security Vulnerability Management fue una de las primeras en incorporar datos sobre amenazas en tiempo real a la gestión de vulnerabilidades hace varios años. Desde entonces, la plataforma se ha ido ampliando para incorporar más fuentes de amenazas, incluyendo una que la empresa gestiona específicamente con base en las redes de sus clientes. También ha añadido soporte para más escáneres de vulnerabilidad, y hoy en día funciona con casi todos los que hay en el mercado.

Kenna no hace ningún escaneo por sí misma. En su lugar, proporciona programas de conexión que le permiten ingerir datos de casi cualquier escáner de vulnerabilidad, incluyendo los realizados por Tripwire, Qualys, McAfee y CheckMarx. La plataforma en sí misma se despliega como un servicio, con los clientes conectándose a un portal de nube para comprobar su información y dar permiso a Kenna para conocer la red que está protegiendo.

La idea detrás de Kenna es que recoge las muchas alertas de vulnerabilidad enviadas por los escáneres y luego las compara con los datos de las amenazas en tiempo real. Puede vincular una vulnerabilidad descubierta con una campaña de amenazas activa que la esté explotando y priorizar una solución rápida. Cualquier vulnerabilidad que se esté explotando en el mundo se eleva automáticamente en prioridad, de modo que los defensores pueden arreglar los problemas más peligrosos antes de que los atacantes los descubran y los exploten.

La plataforma hace un buen trabajo al explicar por qué existen vulnerabilidades en una red protegida, y da consejos sobre cómo arreglarlas. Puede priorizar las fallas descubiertas en función de los activos que podrían afectar y de la gravedad del problema. Es una buena característica, pero la priorización de las vulnerabilidades basada en campañas activas de amenazas es el as bajo la manga que hace que la plataforma de Kenna sea una de las mejores, destacando los problemas críticos que deben ser arreglados primero.

Flexera Vulnerability Manager

Mientras que muchos gestores de vulnerabilidades se concentran en aplicaciones y códigos que una empresa desarrolla por sí misma, la plataforma Flexera se preocupa más por los programas de software de terceros que casi todas las empresas utilizan para llevar a cabo sus negocios. En la mayoría de los casos, la reparación de una vulnerabilidad en un software comprado o con licencia se realiza aplicando un parche. Para una empresa, eso puede llegar a ser un gran problema, especialmente si tiene que desconectar miles de sistemas o servicios críticos para aplicarlo. Incluso es posible que debido a lo estrechamente integrado que está el software en estos días, la reparación de un problema podría crear bastantes otros.

El software Flexera Software Vulnerability Management ayuda a resolver este problema creando un proceso seguro de gestión de parches en toda la empresa. Puede encontrar vulnerabilidades en software de terceros, y asesorar a los administradores sobre la gravedad de la amenaza potencial. Es posible que no se gane mucho con la aplicación de un parche masivo a miles de usuarios para solucionar una vulnerabilidad menor o con la aplicación de un parche a una función que no esté instalada o que no sea utilizada por la organización protegida. Flexera puede ayudar a tomar esas decisiones proporcionando un contexto y luego desplegando el parche cuando sea necesario.

También puede utilizarse para anclar un sistema automatizado de gestión de parches, arreglando las vulnerabilidades cuando sea necesario de manera que no perjudique las operaciones. Por último, puede generar informes personalizados sobre la gestión de vulnerabilidades y parches, y también sobre la forma en que una organización está cumpliendo con los marcos, leyes y buenas prácticas relevantes.

Tenable.io

Tenable es bien conocido en la industria por crear tableros de seguridad para cualquier entorno, y lo que han hecho es llevar esa misma tecnología de diagnóstico a su programa de gestión de vulnerabilidades, Tenable.io. Esta plataforma es gestionada en la nube, razón por la cual ocupa muy poco espacio dentro de una organización protegida. Además, utiliza una combinación de agentes de escaneo activos, monitoreo pasivo y conectores de nube para buscar vulnerabilidades, y luego aplica el aprendizaje automático, data science e inteligencia artificial para predecir qué correcciones deben hacerse primero antes de que un atacante pueda explotarlas.

Una de las mayores fortalezas de Tenable.io es que utiliza tanto el tablero como sus informes personalizados para mostrar las vulnerabilidades de una manera que cualquiera puede entender. Tanto un desarrollador como un miembro del equipo de operaciones o de la seguridad informática, comprenderá fácilmente las advertencias generadas por Tenable.io. En cierto modo, este le proporciona gestión de vulnerabilidades a todo el mundo sin necesidad de formación o conocimientos especializados.

ZeroNorth

Incluir a ZeroNorth en un resumen de programas de gestión de vulnerabilidades podría parecer un poco extraño, ya que la plataforma no escanea nada por sí misma. En su lugar, fue diseñada para consolidar otros escáneres de vulnerabilidades y ayudar a compensar sus deficiencias. Dado el número infinito de vulnerabilidades que la mayoría de las grandes empresas enfrentan, es una herramienta que rápidamente demostrará su utilidad.

ZeroNorth es desplegado como un servicio, con usuarios que se conectan a una plataforma web segura para monitorear su entorno. Conectar varios escáneres de nuestra red de prueba a la plataforma ZeroNorth fue fácil y estuvimos en funcionamiento en poco tiempo. Por supuesto, necesita tener escáneres de vulnerabilidades en su entorno para empezar a obtener datos con ZeroNorth, pero este puede manejar datos provenientes de cualquier parte de la red, desde el entorno de desarrollo hasta la producción. Si no tiene ningún escáner, la plataforma ofrece una manera fácil de añadir a su entorno escáneres de código abierto o comerciales, que luego se conectan automáticamente con esta.

La plataforma ZeroNorth hace mucho trabajo consolidando y analizando los datos procedentes de los escáneres. Una buena característica es que puede mostrar la manera en la que las vulnerabilidades están relacionadas e incluso son dependientes unas de otras. Por ejemplo, mientras que un escaneo en bruto puede revelar 20 nuevas vulnerabilidades, la mayoría de las veces no le dirá que 19 de ellas existen debido a la primera falla. ZeroNorth lo hará. Entonces, al arreglar una sola vulnerabilidad, puede eliminar otras 20 de su red. En nuestra red de prueba, cada vulnerabilidad que ZeroNorth recomendó que arregláramos eliminó un promedio de 14 otras.

También hace un gran trabajo rastreando quién creó los recursos vulnerables y quién los está administrando. Puede informar de todos sus hallazgos a los administradores y a su consola central, pero también puede enviar alertas y correcciones recomendadas a los propietarios de las aplicaciones. De esa manera, las personas responsables de una aplicación vulnerable, y probablemente las más preocupadas por corregir cualquier problema, pueden empezar a trabajar inmediatamente en una solución.

También hace un buen trabajo de supervisión de los propios escáneres de vulnerabilidades. Por ejemplo, le dirá si a un escáner le falta una vulnerabilidad crítica que otros están descubriendo. De esta manera, podrá saber si su inversión en los escáneres de vulnerabilidades específicas está dando frutos. Como tal, ZeroNorth sería una adición muy valiosa para cualquier organización que trate de domar el diluvio de caóticas alertas de los escáneres o mejorar su precisión de escaneo con nuevas políticas o herramientas.

ThreadFix

Una de las plataformas de gestión de vulnerabilidades más conocidas, ThreadFix, centraliza los datos de las pruebas de diversas fuentes en un solo lugar y con un solo tablero. Puede ingerir los resultados de estas en formatos tales como SAST, DAST, IAST y Análisis de Composición de Software (SCA).

No solo recoge y corteja los resultados, sino que también los desglosa y proporciona ayuda para analizar las vulnerabilidades y priorizar las correcciones. Lo hace de forma avanzada, algo poco frecuente para los gestores de vulnerabilidades. Por ejemplo, puede desdoblar y correlacionar las vulnerabilidades a nivel de aplicación, y las debilidades de seguridad que están arraigadas en la misma infraestructura. El hecho de poder separar distinciones críticas como esa puede ayudar a los equipos de TI a adaptar a medida correcciones de vulnerabilidades específicas sin romper nada nuevo en el proceso.

Además de equilibrar y coordinar los resultados de múltiples escáneres de vulnerabilidades comerciales y de código abierto, ThreadFix también puede ayudar a automatizar el proceso de escaneo y reparación de vulnerabilidades al agilizar el flujo de backend entre los equipos de seguridad y desarrollo. El hecho de que pueda actuar en tiempo real lo convierte en una herramienta perfecta para implementar en un entorno de DevSecOps, donde los desarrolladores pueden asumir la responsabilidad de crear código seguro desde el principio. ThreadFix puede encontrar las vulnerabilidades a medida que se van generando, y ayudar a los desarrolladores a corregirlas antes de que se acerquen a un entorno de producción.

ThreadFix también puede cuantificar las actividades de resolución de vulnerabilidades y el tiempo que se está tardando en corregir los errores descubiertos. Armados con estos datos, los equipos de seguridad pueden tener una mejor idea de sus verdaderas ventanas de vulnerabilidad, mientras que la administración puede ver si la situación está mejorando con el tiempo y cómo.

Infection Monkey

El programa "Infection Monkey" de Guardicore podría considerarse otra extraña opción para un resumen de vulnerabilidades, pero el nivel de detalle que proporciona en cuanto a fallas de seguridad y vulnerabilidades lo hace valioso para casi cualquier organización. También es gratis y con código fuente modificable, así que no tiene nada que perder.

Infection Monkey es una gran herramienta porque no solo identifica las vulnerabilidades, sino que muestra exactamente cómo un atacante podría explotarlas. Puede usar el programa para comprobar si hay agujeros de seguridad en los entornos de Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack y Google Cloud Platform. Debido a que también se proporciona el código fuente basado en Python, los usuarios también pueden configurarlo para que funcione en cualquier entorno propietario o único.

El programa utiliza ataques y técnicas reales que son constantemente actualizados por Guardicore. De hecho, no es técnicamente una simulación porque en realidad está atacando una red, solo que no tiene una carga útil maliciosa. Si sus herramientas de seguridad existentes pueden detener al Infection Monkey, mucho mejor, porque significa que cualquier vulnerabilidad que se esconda detrás de esa defensa podría considerarse de baja prioridad.

El valor real llega cuando Infection Monkey logra entrar, lo que puede tardar desde unos pocos minutos hasta muchas horas, dependiendo de la complejidad de la red atacada. Una vez que encuentra una debilidad y la explota, el programa registra cada paso que dio a lo largo del camino, incluyendo qué vulnerabilidades explotó y qué defensas se pasaron por alto o fueron engañadas.

Si está mirando una lista de miles de vulnerabilidades, use Infection Monkey para averiguar cuáles son explotables por los atacantes. Luego parche esas primero y despliegue el mono una vez más para comprobar su trabajo.