Llegamos a ustedes gracias a:



Reportajes y análisis

6 principales herramientas de gestión de vulnerabilidades

Y cómo ayudan a priorizar las amenazas

[13/06/2022] La gestión de las vulnerabilidades no solo ha cambiado considerablemente a lo largo de los años, sino que también lo han hecho los sistemas en los que los equipos de seguridad de las empresas deben identificar y parchear. Hoy en día existen sistemas en las instalaciones, dispositivos IoT, nubes públicas y privadas, y un número sustancialmente mayor de aplicaciones personalizadas. Los sistemas de gestión de vulnerabilidades ya no se centran únicamente en las redes y las aplicaciones alojadas de forma privada. Hoy en día, deben ser capaces de evaluar todos estos sistemas, e identificar las vulnerabilidades y ayudar a los equipos de seguridad de la empresa a tomar mejores decisiones de remediación.

Para que las vulnerabilidades sean peligrosas, tienen que ser explotables. Una vulnerabilidad en un sistema que no puede ser explotada no es un gran peligro. Saber lo que es realmente peligroso es esencial para que las empresas puedan planificar lo que hay que arreglar inmediatamente y lo que puede ser parcheado o mitigado más tarde.

[Reciba lo último de CIO Perú suscribiéndose a nuestro newsletter semanal]

También es importante clasificar las vulnerabilidades en función de su impacto potencial en caso de ser explotadas. Esto incluye la gravedad potencial de la vulnerabilidad, como la eliminación de una base de datos completa o el bloqueo de un solo usuario, y el valor de los recursos afectados. Que su sitio web de cara al público sea desfigurado es vergonzoso, pero que le roben datos confidenciales puede ser crítico y conducir a la divulgación obligatoria de infracciones y a multas reglamentarias.

Los mejores programas de gestión de vulnerabilidades deberían añadir contexto a los escaneos. Algunos incluso ofrecen correcciones automáticas, formación o asistencia preventiva mediante inteligencia artificial, entendiendo las normas de cumplimiento, los mandatos legales y las mejores prácticas que se aplican a la organización que lanza el escaneo.

Con los miles de vulnerabilidades que pueden esconderse en cualquier red empresarial de gran tamaño, es la única forma de priorizar las correcciones de forma fiable y reducir el riesgo. Los siguientes seis productos superan los límites de al menos un aspecto de la gestión de vulnerabilidades.

Qualys VMDR

Qualys fue la primera plataforma de gestión de vulnerabilidades SaaS lanzada en 1999. En aquel entonces, los dispositivos de la empresa se conectaban a la red interna corporativa, y los escáneres de vulnerabilidad evaluaban esas redes internas, y las pocas aplicaciones alojadas y orientadas a Internet. Hoy en día, no es tan sencillo. Hay sistemas locales, más software a medida, sistemas en la nube, más software de código abierto y sistemas virtualizados.

Qualys Vulnerability Management Detection and Response (VMDR) se accede como un servicio en la nube. Sus pequeños agentes de voz, escáneres virtuales y capacidades de escaneo pasivo de la red ayudan a las organizaciones a ver sus activos y a identificar activos previamente desconocidos añadidos a la red. Qualys VMDR evalúa los activos locales, todas las nubes y los puntos finales.

Tras la recopilación de datos sobre vulnerabilidades, Qualys VMDR permite a los usuarios buscar los resultados en determinados activos para obtener información más profunda sobre la configuración, los servicios en ejecución, la información de red y otros datos que ayudarán a mitigar los riesgos de que las vulnerabilidades sean explotadas por los actores de las amenazas. Su función AssetView permite a los equipos de seguridad y cumplimiento de normas actualizar continuamente sus activos de información en función de lo que es importante para su organización. Estos cuadros de mando también se pueden personalizar.

Estos escaneos tienden a descubrir muchas vulnerabilidades, por lo que es esencial centrarse en las más peligrosas en los sistemas más críticos, para que los equipos de seguridad puedan remediarlas en el orden más efectivo. Después de que Qualys VMDR identifique los activos y las vulnerabilidades y priorice su riesgo, los usuarios pueden desplegar parches desde la plataforma.

Tenable.io

Tenable es bien conocido por crear paneles de seguridad para cualquier entorno. Aportan esa misma tecnología de diagnóstico a su programa de gestión de vulnerabilidades, Tenable.io. Esta plataforma se gestiona en la nube, por lo que tiene una pequeña huella dentro de una organización protegida. Utiliza una combinación de agentes de escaneo activo, monitorización pasiva y conectores en la nube para buscar vulnerabilidades. A continuación, Tenable.io aplica el aprendizaje automático, la ciencia de los datos y la IA para predecir qué correcciones deben realizarse antes de que un atacante pueda explotarlas.

Uno de los mayores puntos fuertes de Tenable.io es que utiliza tanto el panel de control como sus informes personalizados para mostrar las vulnerabilidades de una manera que cualquiera pueda entender. Tanto si alguien es un desarrollador, como si forma parte del equipo de operaciones o un miembro de la seguridad informática, puede comprender fácilmente las advertencias generadas por Tenable.io. En cierto modo, Tenable.io ofrece la gestión de vulnerabilidades a todo el mundo sin necesidad de formación especializada o conocimientos.

Para ampliar sus capacidades de gestión de la superficie de ataque externa, Tenable adquirió recientemente el proveedor de ASM Bit Discovery. Esto proporciona a los clientes una visión completa de sus superficies de ataque internas y externas.

Orca Security

Orca Security es una herramienta de gestión de la postura de seguridad en la nube (CSPM), que es una forma elegante de decir que gestiona las vulnerabilidades encontradas en los servicios de infraestructura en la nube como AWS, Azure y Google Cloud Platform. Dado que Orca se ha creado para la nube, funciona sin problemas en estos entornos, a diferencia de algunos escáneres que en su día fueron locales, y se renovaron como sistemas de gestión de vulnerabilidades en la nube.

La tecnología SideScanning de Orca permite a los usuarios, proporcionando sus credenciales, crear un inventario de su entorno en la nube. Recoge datos sobre los paquetes del sistema operativo, las aplicaciones, las bibliotecas, etc. Para cada vulnerabilidad que descubre, el sistema proporciona a los usuarios un mapa que detalla su relación con otros activos para que los equipos puedan priorizar los esfuerzos de remediación.

Como cabría esperar de cualquier gestor de vulnerabilidades avanzado, Orca puede asignar las vulnerabilidades a la gravedad gráfica de las mismas dentro de los sistemas en la nube de una empresa. Orca logra esto descubriendo los sistemas y cargas de trabajo en la nube y sus configuraciones y ajustes de seguridad. Además, Orca llega a comprender las funciones que desempeñan las cargas de trabajo, como el trabajo que están configuradas para realizar y los permisos que están habilitados. Además de las configuraciones y los permisos, Orca determina la conectividad y puede ver qué redes están disponibles públicamente y cuáles no. Con todos estos datos, Orca crea entonces una visualización que intenta evaluar el riesgo real de una vulnerabilidad en el contexto del sistema en la nube.

La base de datos de vulnerabilidad de Orca incluye datos de la base de datos nacional de vulnerabilidad del NIST y de más de 20 fuentes adicionales, como OVAL, la base de datos de exploits y el rastreador de errores de Debian.

Detectify

Detectify no es precisamente un proveedor de servicios de gestión de vulnerabilidades como Qualys. Está en una categoría similar conocida como gestión de la superficie de ataque (ASM, por sus siglas en inglés). La ASM se centra en las vulnerabilidades desde la perspectiva de un atacante, y consiste en el descubrimiento continuo de los activos informáticos de la empresa, los sistemas orientados a Internet, como la infraestructura en la nube, los sistemas de terceros y las aplicaciones web. Descubre las vulnerabilidades de esos sistemas y, a continuación, prioriza y ayuda a gestionar la corrección de esas vulnerabilidades.

Detectify, fundada en el 2013, proporciona una gestión de la superficie de ataque externa. Aunque permite descubrir, evaluar y priorizar la superficie de ataque de la empresa, Detectify también se asocia con hackers éticos y proporciona su investigación a su escáner en tan solo 15 minutos.

Como Detectify está basado en la nube, no es necesario instalarlo. Basta con añadir el dominio a evaluar y todos los subdominios y aplicaciones asociados serán evaluados continuamente. Detectify divide su escaneo en dos servicios, Surface Monitoring y Application Monitoring.

La monitorización de la superficie evalúa los activos de una organización orientados a Internet, y evalúa los hosts que encuentra en busca de vulnerabilidades, configuraciones erróneas y similares. Detectify proporciona información para corregir las debilidades que encuentra y reduce la superficie de ataque.

El escaneo de aplicaciones, por otro lado, evalúa continuamente las aplicaciones web de una organización en busca de vulnerabilidades presentes, y proporciona asesoramiento sobre cómo remediarlas. Detectify evalúa las aplicaciones en producción y el pipeline de desarrollo y la puesta en escena de las aplicaciones.

Una de las cosas que me parece interesante de Detectify es su combinación de automatización con crowdsourcing. Con esta unión, los escaneos automatizados examinan los sistemas en busca de vulnerabilidades presentes, mientras que los especialistas en investigación de seguridad con experiencia buscan fallas que aún no se han descubierto.

Kenna Security Vulnerability Management

Cualquiera que haya trabajado con herramientas de gestión de vulnerabilidades sabe que diferentes escáneres suelen identificar varias vulnerabilidades. Algunos son ligeramente mejores que otros en diferentes tareas, como la evaluación de las redes locales o de las aplicaciones en la nube: comprender los riesgos asociados a todas las vulnerabilidades descubiertas es desalentador. Ahí es donde entra en juego Kenna Security Vulnerability Management, o Kenna.VM.

Kenna no realiza escaneos por sí mismo. En su lugar, proporciona programas de conexión que le permiten ingerir datos de casi cualquier escáner de vulnerabilidad, incluidos los de Tripwire, Qualys, McAfee y CheckMarx. La plataforma en sí se despliega como un servicio, y los clientes se conectan a un portal en la nube para comprobar su información y dar permiso a Kenna para conocer la red que está protegiendo.

La idea de Kenna es recoger las numerosas alertas de vulnerabilidad enviadas por los escáneres y compararlas con los datos sobre amenazas en tiempo real. Puede relacionar una vulnerabilidad descubierta con una campaña de amenazas activa que la explote y priorizar una solución rápida. Cualquier vulnerabilidad que esté siendo explotada en todo el mundo se eleva automáticamente en prioridad, de modo que los defensores pueden arreglar los problemas más peligrosos antes de que los atacantes los descubran y exploten.

La plataforma Kenna.VM fue una de las primeras en incorporar datos de amenazas en tiempo real a la gestión de vulnerabilidades. Desde entonces, la plataforma se ha ampliado para incluir otras fuentes de amenazas, incluida una que la empresa gestiona en función de las redes de sus clientes. También ha añadido soporte para más escáneres de vulnerabilidad, y hoy en día trabaja con casi todos los del mercado.

La plataforma hace un excelente trabajo explicando por qué existen vulnerabilidades en una red protegida y da consejos para solucionarlas. Puede priorizar las fallas descubiertas en función de los activos a los que podrían afectar y de la gravedad del problema. Esta es una característica excelente, pero la priorización de las vulnerabilidades en función de las campañas de amenazas activas, es el as en la manga que convierte a la plataforma de Kenna en una de las mejores a la hora de destacar los problemas críticos que deben solucionarse primero.

Recientemente, Kenna Security ha añadido a Kenna.VM lo que denomina acuerdos de nivel de servicio (SLA) basados en el riesgo. Los acuerdos de nivel de servicio basados en el riesgo proporcionan plazos de reparación basados en la tolerancia al riesgo de una organización. Cuanto menos pueda aceptar el riesgo una organización, más rápidamente tendrá que solucionar una vulnerabilidad. Los acuerdos de nivel de servicio basados en el riesgo de Kenna se basan en tres factores: la tolerancia al riesgo, la prioridad de los activos y la puntuación del riesgo de la vulnerabilidad, que puede ser alta, media o baja. La empresa también ha añadido un conector para Crowdstrike Falcon Spotlight y un conector para Twistlock.

Flexera Software Vulnerability Management

Mientras que muchos gestores de vulnerabilidad se concentran en las aplicaciones y el código que una empresa desarrolla por sí misma, la plataforma Flexera Software Vulnerability Management se ocupa más de los programas de software de terceros que casi todas las empresas utilizan para llevar a cabo sus actividades. En la mayoría de los casos, la corrección de una vulnerabilidad en el software comprado o con licencia se realiza mediante la aplicación de un parche. Esto puede convertirse en un gran problema para una empresa, especialmente si tiene que desconectar miles de sistemas o servicios críticos para aplicar el parche. Incluso es posible que la solución de un problema pueda crear otros debido a lo estrechamente integrado que está el software hoy en día.

El software Flexera ayuda a resolver este problema creando un proceso seguro de gestión de parches en toda la empresa. Puede encontrar vulnerabilidades en el software de terceros y asesorar a los administradores sobre la gravedad de la amenaza potencial. Puede que no se gane mucho con la aplicación de un parche masivo a miles de usuarios para corregir una vulnerabilidad menor, o parchear una función que no está instalada ni es utilizada por la organización protegida. Flexera puede ayudar a tomar esas decisiones proporcionando el contexto y luego desplegando el parche cuando sea necesario.

También puede utilizar la placa Flexera para anclar un sistema automatizado de gestión de parches, corrigiendo las vulnerabilidades cuando sea necesario de manera que no perjudique las operaciones. Por último, puede generar informes personalizados sobre la gestión de vulnerabilidades y parches y sobre el modo en que una organización cumple con los marcos, las leyes y las mejores prácticas pertinentes.

Recientemente, Flexera habilitó la interoperabilidad entre su gestor de vulnerabilidades y VMware Workspace ONE UEM (gestión unificada de puntos finales). Esto proporciona a los clientes la capacidad de identificar, priorizar y satisfacer la necesidad de despliegue de parches de terceros para remediar las vulnerabilidades de software. Una vez identificada y priorizada una vulnerabilidad, los clientes pueden ahora desplegar dichos parches en sus dispositivos gestionados mediante Workspace ONE UEM, reduciendo la ventana de vulnerabilidad.

Puede ver también: