Cómo las organizaciones deben priorizar las vulnerabilidades de seguridad

Las organizaciones no siempre están vinculando los datos reales sobre vulnerabilidades con los riesgos específicos para su negocio, dice Cyber ​​Vulcan.

Imagen: Getty Images / iStockphoto

Con tantas vulnerabilidades de seguridad que ponen en riesgo a las empresas, determinar cuáles abordar puede ser un desafío. Centrarse en todas las vulnerabilidades es prácticamente imposible. Concentrarse solo en los críticos es un enfoque más sólido. Pero, en última instancia, desea enfrentarse a los que tienen el mayor impacto en su organización, una estrategia que muchos profesionales de la seguridad no están necesariamente siguiendo.

VER: Política de gestión de parches (TechRepublic Premium)

Para su nuevo informe «¿Cómo están priorizando los equipos de seguridad cibernética el riesgo de vulnerabilidad?» El proveedor de seguridad Cyber ​​Vulcan encuestó a 200 tomadores de decisiones de seguridad de TI en América del Norte para averiguar cómo se prioriza, administra y reduce el riesgo de vulnerabilidad. La encuesta se realizó del 23 de septiembre al 17 de octubre de 2021.

Cuando se les preguntó cómo agrupan las vulnerabilidades internamente para decidir cuáles priorizar, el 64% dijo que lo hacen por infraestructura, el 53% por función de negocio, el 53% por aplicación, el 42% por accionista y el 40% por departamento de negocio. Para ayudarlos en este proceso, el 86% de los encuestados dijo que confía en datos basados ​​en la gravedad de la vulnerabilidad, el 70% recurre a la inteligencia de amenazas, el 59% usa la relevancia de los activos y el 41% usa su propia puntuación de riesgo personalizada.

Los profesionales de la seguridad recurren a diferentes modelos y pautas para ayudar a priorizar las fallas de seguridad. Alrededor del 71% de los encuestados dijeron que confían en el Common Vulnerability Scoring System (CVSS), el 59% usa el OWASP Top 10, el 47% depende del escaneo de gravedad, el 38% el CWE Top 25 y el 22% el modelo de puntuación Bespoke. Alrededor del 77% de los encuestados reveló que utilizan al menos dos de estos modelos para puntuar y priorizar las vulnerabilidades.

A pesar de toda la información y los modelos disponibles, la mayoría de los profesionales encuestados admitieron que no siempre clasifican las vulnerabilidades de manera adecuada. Cuando se les preguntó si muchas de las vulnerabilidades que clasificaron deberían clasificarse más bajas para su entorno específico, el 78% de los encuestados estuvo muy o algo de acuerdo. Y se preguntó si muchas de las vulnerabilidades que consideran bajas deberían clasificarse más alto para su organización, 69% fuertemente o algo de acuerdo.

«En un mundo ideal, todas las vulnerabilidades recibirían la misma atención que Log4Shell», dijo Yaniv Bar-Dayan, CEO y cofundador de Vulcan Cyber. «Pero considerando el hecho de que NIST divulga e informa sobre 400 nuevas vulnerabilidades cada semana, los equipos de seguridad de TI apenas tienen tiempo para evaluar y priorizar solo las más críticas».

VER: Cómo administrar las contraseñas: mejores prácticas y consejos de seguridad (PDF gratuito) (TechRepublic)

También se preguntó a los encuestados cuáles de las áreas más vulnerables eran las más preocupantes. Alrededor del 54% señaló la exposición de datos confidenciales, el 44% citó autenticación rota, el 39% mencionó errores de configuración de seguridad, el 35% citó registro y monitoreo insuficientes y el 32% señaló ataques de inyección. Otras preocupaciones incluyeron la creación de secuencias de comandos entre sitios, el uso de componentes con vulnerabilidades conocidas y el control de acceso roto.

Y se les preguntó qué tipos específicos de vulnerabilidades les preocupaban más, el 62% citó MS14-068 (cuentas de usuario sin privilegios de Microsoft Kerberos), el 40% mencionó MS08-067 (Windows SMB, también conocido como Conficker, Downadup, Kido, etc.), el 32% señaló a CVE-2019-0708 (BlueKeep), el 32% citó CVE-2014-0160 (OpenSSL, también conocido como Heartbleed) y el 30% enumeró MS17-010 (EternalBlue).

Otras fallas de seguridad preocupantes fueron MS01-023 (Microsoft IIS, también conocido como Nimda) Spectre / Meltdown (vulnerabilidades de la CPU), CVE-2008-1447 (DNS, también conocido como Kaminsky), CVE-2014-6271 (Bash, también conocido como Shellshock) y MS02- 039 (SQL Slammer).

Recomendaciones para profesionales de la seguridad de TI

Dado que priorizar las vulnerabilidades puede resultar un desafío, ¿qué pueden hacer los profesionales de la seguridad para mejorar su proceso?

«Saber dónde es vulnerable su organización es fundamental para ejecutar una estrategia eficaz de gestión del riesgo cibernético, pero también debe poder convertir rápidamente el análisis del riesgo cibernético en procesos de mitigación eficaces», dijo Bar-Dayan. «Eso requiere una comprensión profunda de cómo priorizar qué vulnerabilidades y riesgos debe abordar primero. La forma más efectiva de hacerlo es consolidando la gestión del ciclo de vida de las vulnerabilidades y los riesgos cibernéticos para la infraestructura, las aplicaciones y los activos en la nube en un solo lugar. Eso es necesario para asegúrese de que todos los departamentos trabajen juntos para identificar y mitigar el riesgo en toda su superficie de ataque «.

Bar-Dayan aconseja a las organizaciones que se centren solo en las vulnerabilidades de mayor impacto en su negocio específico. Para lograr esto, debe recopilar y agregar datos sobre sus activos a través de escáneres, administración de activos, colaboración, administración de servicios de TI y administración de parches y configuraciones. Luego, esa información debe vincularse con los datos de seguridad CVE, así como con la inteligencia de amenazas, la gravedad de la vulnerabilidad y la explotación de los activos. Con tanta información para recopilar y correlacionar, la mayoría de las organizaciones deberían considerar un enfoque automatizado, según Bar-Dayan.

«El objetivo final en la priorización de vulnerabilidades es generar una métrica que sea más significativa que el riesgo atómico de cualquier instancia de vulnerabilidad, o la masa de riesgo de un grupo de instancias vulnerables», agregó Bar-Dayan. «Una combinación de entradas para generar una calificación de postura de seguridad para una unidad de negocios o un grupo de activos les da a los equipos de seguridad de TI una oportunidad realista de reducir el riesgo cibernético bien orquestado».

Ver también