[02/04/2022] Los CISOs predican la necesidad de tener los fundamentos de seguridad correctos, pero muchos todavía luchan por construir un programa de gestión de vulnerabilidades sólido como una roca.
Pueden verse obstaculizados por el volumen de vulnerabilidades que necesitan atención, o el ritmo requerido para abordarlas, o los recursos necesarios para ser efectivos.
Considere, por ejemplo, los desafíos que tuvieron los equipos de seguridad para abordar las vulnerabilidades de Log4j. Una encuesta reciente de (ISC)², una asociación sin fines de lucro de profesionales certificados en ciberseguridad, encontró que el 52% de los encuestados pasó semanas o más de un mes remediando Log4j.
[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]
Por supuesto, el alcance de la falla es significativo, pero los expertos aún afirman que la cifra, junto con otras investigaciones y sus propias observaciones, muestra que muchas organizaciones aún están madurando los procesos que utilizan para identificar, priorizar y corregir problemas de seguridad dentro del software que utilizan.
Las siguientes prácticas recomendadas pueden ayudar en ese viaje hacia la creación de un programa de gestión de vulnerabilidades eficaz y eficiente.
Conozca su ambiente
Los expertos en seguridad enfatizan la necesidad de que los CISOs tengan un inventario preciso del ambiente tecnológico que necesitan proteger; esto les ayuda a saber si existen vulnerabilidades conocidas y recientemente identificadas dentro de su stack de tecnología.
Sin embargo, esto sigue siendo más fácil de decir que de hacer.
"Todos afirman que tienen un inventario, pero por lo general necesitan profundizar un poco más. No saben lo que se esconde debajo de las sábanas. Ese sigue siendo el mayor desafío”, afirma Jorge Orchilles, instructor certificado de la empresa de formación en ciberseguridad SANS Institute, CTO de la empresa de tecnología de seguridad Scythe y creador conjunto del proyecto C2 Matrix. "Estamos siendo comprometidos en cosas que simplemente no sabíamos que teníamos”.
Él afirma que ha visto operaciones de seguridad maduras que toman en cuenta los componentes principales de su ambiente, pero pasan por alto elementos más pequeños y el código en sí mismo, un descuido que puede dejar vulnerabilidades críticas sin parches.
Orchilles les aconseja a los líderes de seguridad que se aseguren de tener un registro detallado de su ambiente tecnológico, uno que incluya todos los componentes, como las bibliotecas de programación (algo que resultó esencial para las organizaciones que reparan la vulnerabilidad Log4j). Además, afirma que los CISO deben ser diligentes a la hora de actualizar ese registro "siempre que pongan un nuevo sistema a la venta”.
Tenga un programa real (no solo trabajo ad hoc)
Escanear en busca de vulnerabilidades y remediar cualquier vulnerabilidad que surja puede parecer adecuado, pero los asesores afirman que el enfoque ad hoc es ineficiente e inadecuado.
Por ejemplo, los equipos de seguridad podrían dedicar un tiempo valioso a parchar las vulnerabilidades que representan una amenaza limitada para sus organizaciones en lugar de priorizar un problema de alto riesgo. O se atascan en otros proyectos y posponen el trabajo de gestión de vulnerabilidades hasta que sus agendas se liberan.
Para evitar tales escenarios, los CISO deben tener un enfoque programático para la gestión de vulnerabilidades, uno que incorpore la tolerancia al riesgo de su organización, así como sus procesos para priorizar, remediar y mitigar las vulnerabilidades identificadas, afirma Bryce Austin, CEO de TCE Strategy, quien se desempeña como un experto en ciberseguridad, consultor de riesgos y CISO fraccional.
El programa también debe establecer con qué frecuencia la organización realiza exploraciones de vulnerabilidades, y debe incluir cronogramas vinculados a las fechas de lanzamiento de parches de los proveedores.
Un buen programa de gestión de vulnerabilidades debe tener procesos y políticas definidos, un equipo colegiado y gobernanza, agrega Farid Abdelkader, director general de riesgos tecnológicos, auditoría de TI y servicios de ciberseguridad en la consultora Protiviti, y presidente del capítulo metropolitano de Nueva York de ISACA.
Abdelkader también les aconseja a los CISOs que determinen cómo se ve "lo bueno” utilizando indicadores clave de desempeño que pueden mostrar qué tan bien se están desempeñando, identificar áreas de mejora y luego indicar el progreso a lo largo del tiempo.
Además, las organizaciones con programas maduros de gestión de vulnerabilidades tienen un proceso destinado a informar sus actividades a los ejecutivos de la empresa para que comprendan la importancia del programa, así como su historial, afirma Austin, autor de Secure Enough 20 Questions on Cybersecurity for Business Owners and Executives.
Eso, señala, ayuda a garantizar que haya una supervisión eficaz y que la gestión de vulnerabilidades se trate como cualquier otro riesgo comercial dentro de la organización.
Adáptese a los riesgos propios de la organización
Constantemente, se identifican nuevas vulnerabilidades. Combínelas con la cantidad de vulnerabilidades conocidas existentes, y el volumen de problemas que deben solucionarse se vuelve casi imposible de abordar. Por lo tanto, es fundamental tener una forma de identificar las vulnerabilidades más importantes y priorizar el trabajo de remediación, afirma Abdelkader.
"Comprenda qué tan crítico es un incidente. [Preguntar] ¿Qué sucede si hay una infracción? ¿Cómo afecta eso a los datos? ¿O si los sistemas se caen? ¿Qué tipo de impacto tendría eso para nuestro negocio, nuestros clientes o nuestra reputación?”, añade Abdelkader. "Comprenda el verdadero riesgo para esos activos y el riesgo real de que sucedan esas cosas”.
Ese trabajo puede guiarse por las clasificaciones -alta, media, baja- que ofrecen los escaneos de vulnerabilidades, los proveedores y otras salidas de seguridad, pero el proceso debe tener en cuenta la tolerancia al riesgo de la organización, su ambiente técnico, su industria, etcétera.
"La definición de crítico debe interpretarse”, explica Austin. "Tiene que ser en el contexto de su empresa, de sus activos y recursos críticos, sus datos, cuánta exposición tiene una computadora o sistema a una amenaza crítica”.
Como señala Austin, una vulnerabilidad presente en un sistema aislado, únicamente interno, presenta un nivel de riesgo diferente que uno en un sistema orientado a Internet; por lo tanto, cada uno debe tener un nivel diferente de priorización para la remediación que corresponda a su propio riesgo.
Sin embargo, esa personalización y priorización basadas en el perfil de riesgo de una organización no siempre sucede, agrega. "Veo que muchos programas de gestión de vulnerabilidades comienzan con una lista de lo que encuentran los escaneos de vulnerabilidades frente a cuáles son realmente los riesgos críticos para la organización y lo que realmente le importa a la empresa”.
Revise los riesgos y las prioridades
Establecer la tolerancia al riesgo de la organización, así como crear un proceso para priorizar el trabajo, son prácticas esenciales para un programa sólido de gestión de vulnerabilidades. Pero esas tareas no pueden ser vistas como algo que ya se hizo.
Deben revisarse al menos una vez al año y cada vez que haya un cambio importante dentro de la organización o su ambiente de TI, agrega Austin.
Use marcos de trabajo y sistemas
No es necesario reinventar la rueda para ayudar con todas las tareas de administración de las vulnerabilidades, porque varias organizaciones han desarrollado marcos de trabajo y otros sistemas para ayudar a los CISOs a administrarlos, afirma Jon Baker, cofundador y director interino de investigación y desarrollo del Center for Threat-Informed Defense de MITRE Engenuity.
"Estos brindan formas para que los defensores observen las vulnerabilidades y comprendan cómo un adversario podría usarlas, de modo que usted pueda usarlas para priorizar las vulnerabilidades y sus respuestas”, afirma Baker.
MITRE, por su parte, tiene su sistema de Vulnerabilities and Exposures (CVE), que desde 1999 ha proporcionado información sobre vulnerabilidades y exposiciones conocidas públicamente (tal como lo indica su nombre), así como también ha asociado versiones específicas de código base para esas vulnerabilidades.
También existe la publicación especial NIST 800-30, que las organizaciones pueden usar para realizar evaluaciones de riesgos.
Luego está el Common Vulnerability Scoring System (CVSS), un marco de trabajo abierto que las organizaciones pueden usar con el fin de evaluar la gravedad de las vulnerabilidades de seguridad para que puedan priorizarse según el nivel de amenaza.
MITRE también tiene su marco de trabajo ATT&CK (que aprovecha CVE) que, como parte de una estrategia de defensa integral informada sobre amenazas, las organizaciones pueden usar para priorizar las vulnerabilidades que necesitan su atención.
Considere las vulnerabilidades introducidas por proveedores directos y terceros
Como saben los CISOs, la vulnerabilidad de Log4j fue muy problemática en parte porque la herramienta Log4J es muy frecuente y existe en muchas aplicaciones desarrolladas tanto por equipos de TI empresariales como por proveedores de software.
Esa amenaza, que surgió a fines del 2021, también dejó en claro a los CISOs la necesidad de comprender, evaluar, priorizar y mitigar las vulnerabilidades que existen dentro de los productos de sus proveedores y/o son introducidas por terceros, afirma Baker.
Él reconoce que los equipos de seguridad de las empresas se enfrentan a desafíos aquí, ya que la seguridad empresarial a menudo puede no saber qué vulnerabilidades existen dentro de las soluciones de los proveedores, y es posible que ni siquiera puedan ejecutar escaneos de vulnerabilidades en esos sistemas.
"Realmente nos falta transparencia en el código y las herramientas que aprovechan los sistemas en los que confiamos”, afirma Baker, y señala que la lista de materiales del software (SBOM, por sus siglas en inglés), la lista de componentes en una pieza de software, pueden proporcionar cierta visibilidad en algunos casos.
Baker aconseja a los CISOs que revisen los acuerdos que tienen con los proveedores con respecto al rol que estos tienen en la gestión de vulnerabilidades dentro de sus productos y luego, si es necesario, busquen insertar un lenguaje contractual que limite las posibilidades de que un error pase desapercibido o no se solucione.
"Eso es parte de su programa de administración de vulnerabilidades: comprender cómo los proveedores y terceros rastrean, priorizan y corrigen las vulnerabilidades”, añade Baker.
Establezca controles y contrapesos
Otra práctica recomendada: no asigne la gestión de vulnerabilidades al equipo de TI. Más bien, los expertos en seguridad afirman que el CISO debe tener una persona o equipo dedicado, encargado de identificar las vulnerabilidades y priorizar las soluciones, así como de supervisar la ejecución de la remediación y la mitigación.
"Necesitan a alguien que trabaje en sana tensión con los equipos que realizan los parches reales, porque es demasiado fácil para las personas de infraestructura, cuyo trabajo se hará más difícil al hacer más parches, ser rigurosos con los escaneos de vulnerabilidades [y el trabajo de seguimiento]. Es simplemente la naturaleza humana”, afirma Austin. "Cualquier función de autocontrol es mucho, mucho más vulnerable a la apatía o, en el peor de los casos, a la corrupción. Necesita controles y equilibrios”.
Otros están de acuerdo y señalan que los CISOs pueden optar por un proveedor de servicios de seguridad gestionados (MSSP, por sus siglas in inglés) para ejecutar su programa de gestión de vulnerabilidades y luego trabajar con equipos internos de infraestructura, ingeniería o desarrollo para ejecutar los parches y manejar cualquier tiempo de inactividad necesario y pruebas requeridas.
Invierta en herramientas y equipos
Los expertos en seguridad enfatizan que la gestión eficaz de vulnerabilidades, como todo lo demás en seguridad, necesita las personas, los procesos y la tecnología adecuados.
Señalan que muchas organizaciones tienen partes de todo eso, pero no siempre tienen los tres trabajando juntas de manera efectiva. Por ejemplo, los equipos de seguridad suelen tener herramientas de escaneo, pero es posible que no hayan introducido la automatización necesaria para manejar de manera eficiente la carga de trabajo, afirma Baker.
Además, Orchilles afirma que los CISOs y sus organizaciones deben comprometerse a proporcionar los recursos necesarios para que esos equipos tengan éxito "para que no sea un simulacro de incendio todos los meses”.
Sí, señala Orchilles, puede parecer intuitivo, pero ese consejo no siempre se sigue. Por ejemplo, ha visto a los CISO invertir en una nueva herramienta, pero no en el personal necesario para ejecutar la tecnología, la capacitación necesaria para maximizar su uso y la gestión del cambio requerida.
"Las herramientas no funcionarán sin todo lo demás”, añade.
Basado en el artículo de Mary K. Pratt (CSO) y editado por CIO Perú