Cómo dar prioridad a un desatendido …



¿Por qué uno de los mayores problemas en ciberseguridad también es uno que los CISO ignoran en gran medida? Aquí hay tres razones y una hoja de ruta para un enfoque moderno.

Optiv Security realizó recientemente un encuesta de 200 jefes de seguridad de la información (CISO) en los EE. UU. y el Reino Unido y, a pesar de sus diferencias geográficas, su visión de la gestión de parches es la misma: está en el fondo de su lista de prioridades. Este resultado es sorprendente porque las vulnerabilidades sin parches son una de las causas más comunes de violaciones de datos: de hecho, el 57% de todas las violaciones, Investigación Ponemon.

Se les preguntó a los encuestados: si pudieran detener el negocio durante seis meses y tener el lujo de tiempo para ejecutar las prioridades de seguridad, ¿en cuáles de las siguientes áreas elegirían enfocarse? Los CISO mencionaron la educación de los empleados, la simplificación de la infraestructura y la creación de modelos DevSecOps como sus principales prioridades. Póngase al día con funciones básicas como parches y escaneo de vulnerabilidades que terminaron en último lugar.

Estos resultados plantean esta pregunta: ¿por qué es que uno de los mayores problemas en ciberseguridad es también uno al que menos le prestan atención los CISO? Aquí hay una variedad de factores en juego, pero los tres más comunes son:

Factor 1: para los CISO, la gestión de parches es probablemente un punto de fricción a largo plazo entre la seguridad y la TI (y las operaciones y la ingeniería). Normalmente, la seguridad informa a TI de la necesidad de parchear, y luego TI implementa el parche. Esta relación ha estado vigente durante dos décadas y es uno de los flujos de trabajo de seguridad más antiguos. Un atributo consistente de esa relación también es que TI no tendrá la velocidad que desea la seguridad cuando se trata de aplicar parches, por lo que termina siendo un punto doloroso entre los dos grupos. En comparación con otros desafíos de seguridad y nuevas tecnologías de seguridad, puede parecer tanto mundano como un punto de conflicto que debe evitarse.

Element 2: Dado que el parcheo es una función administrativa, la responsabilidad de un CISO es informar que se necesita un parche en lugar de dictar cómo se aplican y cuándo. Esto generalmente es más un element político o psicológico, ya que la seguridad necesita cooperación con TI para tener éxito y el respeto de los límites de las responsabilidades de cualquiera de los grupos es parte de eso. Aunque el papel de la seguridad a veces se puede ver como «trabajo realizado» cuando se informa al propietario del activo que necesita ser parchado, ese no es siempre el enfoque más efectivo.

Aspect 3: El component final, y quizás el más difícil de modificar, es la cultura y el conjunto de políticas que restringen la gestión de parches y cambios. Las organizaciones que han existido durante el tiempo suficiente para experimentar un mal despliegue de parches y lidiar con las consecuencias tendrán una gran cantidad de rigor por el que debe pasar la actividad de remediación de seguridad. Muchas de estas políticas fueron redactadas antes de que existiera la automatización y la orquestación, y a menudo, las mejores prácticas para la gestión del cambio reflejarán un enfoque de precaución que puede no tener en cuenta las capacidades habilitadas por las tecnologías actuales. Además, la seguridad no quiere ser vista como la que elimina las salvaguardas actuales en nombre de la reducción de riesgos. La mayoría de las veces, el motor principal para mejorar la velocidad aquí será que la empresa adopte un cambio más amplio.

Entonces, ¿qué más pueden hacer las empresas para ayudar a priorizar la administración de parches en este panorama? Aquí hay una hoja de ruta que los equipos de seguridad pueden seguir:

Descubra y analice el ciclo completo de gestión de parches. Esto significa que la seguridad debe tener una comprensión completa de cómo se repara cada activo, hasta las herramientas y revisiones específicas. El objetivo aquí es mapear los pasos en el proceso y también identificar puntos donde la seguridad puede ser un instrumento para la visibilidad. Si se tarda más de un mes en promedio para reparar una vulnerabilidad, una empresa debería poder ver ese flujo de trabajo y explotar dónde se están produciendo las ralentizaciones. ¿Existe la capacidad de parchear una vulnerabilidad de inmediato, pero debe esperar hasta la próxima ventana de cambio? ¿El parche necesita pasar por múltiples niveles de un proceso de gestión de cambios que lleva semanas? ¿Carece la organización de automatización para la gestión de parches? Sin dividir el flujo de trabajo en pasos discretos, es difícil dar un diagnóstico preciso.

Realizar un análisis de herramientas independientes. Cuando se trata de herramientas para la gestión de parches y configuración, casi siempre será una decisión de TI e ingeniería. Dicho esto, como CISO, vale la pena investigar y comprender qué capacidades existen en ese mercado en comparación con lo que la organización está utilizando actualmente. El objetivo aquí no es llamar a TI si el departamento está atrasado, sino poder acudir al particular de TI con información que los ayudará a tener más éxito en standard y proporcionar una voz adicional para los recursos que necesitarían para poner esas capacidades en línea. Mientras más antigua sea una organización, más valor tenderá a obtener de este ejercicio.

Reducción de superficie de ataque. Tenga una conversación sobre la reducción de la superficie de ataque con TI y trabaje en dos vías principales: primero, la reducción como issue de reducción de la superficie de ataque desde el inicio del ciclo de vida de un activo, y segundo, cómo TI determina cuándo un activo se retira de la crimson. Las modernas plataformas de gestión de configuración y orquestación pueden reducir la necesidad de trabajo manual repetido durante el endurecimiento de las imágenes endurecidas, pero aún requiere un desarrollo inicial más avanzado que las construcciones todo en uno. En el otro extremo del ciclo de vida, tiene activos que aún viven en el medio ambiente pero no están en uso activo y, a menudo, no están bajo administración activa. Estos sistemas olvidados a menudo se destacan en los informes de gestión de vulnerabilidades porque las vulnerabilidades presentes son un objetivo atractivo para los atacantes.

Si bien la administración de parches no es el tema más dinámico en la agenda de un CISO, sigue siendo un componente fundamental de un programa de seguridad. Ser uno de los temas más longevos también puede conducir a una mentalidad de «todo lo que se puede hacer se ha hecho» y un desafío sin margen de mejora. Sin embargo, dadas las capacidades que ahora están ampliamente disponibles, debería valer la pena una reevaluación de los procesos actuales y verse como una oportunidad en la que la seguridad puede lograr sus objetivos y al mismo tiempo mantenerse al día con la velocidad del negocio utilizando un enfoque moderno.

Contenido relacionado:

John Bock es el vicepresidente de investigación de amenazas de Optiv centrado en el panorama de seguridad emergente y las amenazas a las nuevas tecnologías que son inmaduras para la seguridad. Antes de este papel, John period el líder de la práctica de seguridad de aplicaciones de Optiv, que proporcionaba un lápiz de aplicación … Ver biografía completa

Más tips





Enlace a la noticia primary