¿Tienes que parcharlos a todos? No necesariamente, dicen los expertos



Cuando es imposible remediar todas las vulnerabilidades en una organización, los datos pueden indicar qué errores deben priorizarse.

Los equipos de seguridad modernos enfrentan una tarea desalentadora para mantenerse al día con una creciente cantidad de vulnerabilidades. Si bien es posible que no puedan reparar todas las fallas en sus entornos, pueden reducir el riesgo al priorizar las vulnerabilidades de alto riesgo que tienen más probabilidades de ser explotadas.

El volumen de vulnerabilidades y exposiciones comunes publicadas (CVE) ha aumentado dramáticamente en los últimos 20 años, dijo Benjamin Edwards, científico senior de datos del Instituto Cyentia, durante el panel de la Conferencia RSA «Medición de estrategias de remediación de vulnerabilidad con datos del mundo true». Entre 1999 y 2004, se publicaron un promedio de 1.300 vulnerabilidades por año. Ese número aumentó a 6,100 por año de 2005 a 2016 y luego aumentó a 18,000 por año de 2017 a 2020, explicó.

«Recientemente, la cantidad de vulnerabilidades ha aumentado bastante porque hemos expandido la cantidad de personas que pueden informar y categorizar CVE», continuó Edwards. En este momento, hay más de 130,000 vulnerabilidades publicadas que pueden afectar potencialmente a las organizaciones.

Es un número abrumador que denota un problema empresarial común. Cualquier empresa, independientemente de su tamaño, puede parchear una de cada 10 vulnerabilidades cada mes, dijo Edwards. Los datos provienen de «Priorización a la predicción, Volumen 4: Medición de lo que importa en la remediación», un informe publicado recientemente por el Instituto Cyentia y Kenna Protection basado en una encuesta de unas 100 organizaciones.

Los investigadores encontraron que el cuarenta por ciento de las vulnerabilidades en las redes empresariales todavía están abiertas hoy en día. El tiempo medio para la reparación es de 100 días, y el 25% de los defectos permanecen abiertos más de un año. Pero, como señaló Edwards, algunas vulnerabilidades son más peligrosas que otras. Hay fallas que afectan a millones de activos y las que afectan a cientos, las que son fáciles de explotar y las que son difíciles, dice. «¿Puedes arreglarlo todo? No, ni siquiera cerca», dijo Edwards.

La siguiente pregunta es: «¿Puedo remediar vulnerabilidades antes de la explotación?» dijo Wade Baker, socio y cofundador del Instituto Cyentia. Lo más probable es que no repare las vulnerabilidades antes de que sean armadas, pero puede remediarlas antes de que un atacante las use contra usted.

«Acerca de cuándo se publica un CVE, si se explota, sucede rápidamente», continuó Baker, señalando que pueden ocurrir días cero y pruebas de conceptos antes de que se revele una falla. «La publicación de una vulnerabilidad es un desencadenante de explotación, en muchos casos». Investigadores del Instituto Cyentia encontró El 23% de las vulnerabilidades con CVE publicadas tienen código de explotación asociado.

La explotación se desarrolla gradualmente. La línea de tiempo aparece como una meseta en la que la actividad inicialmente aumenta y luego se extiende por casi dos años y medio después del primer exploit, agregó. Después de aproximadamente tres años de actividad, la probabilidad de que esa vulnerabilidad sea explotada en la naturaleza disminuye.

Qué considerar en un programa de remediación
La clave para la gestión efectiva de vulnerabilidades es saber qué defectos debe priorizar parches. Es posible que no tenga la capacidad de parchear todo, pero sí tiene la capacidad de aprender qué vulnerabilidades se están explotando en la naturaleza y cuáles están en su entorno. Los datos de la investigación muestran que un tercio de los CVE publicados se observan en entornos empresariales.

La remediación lleva tiempo. Según la investigación, el 40% de las vulnerabilidades se corrigen en el primer mes y la mitad en los primeros dos meses. Casi una cuarta parte de las vulnerabilidades siguen abiertas después de un año.

Los investigadores descubrieron que los defectos a priorizar son aquellos que se han observado tanto en entornos empresariales como explotados en la naturaleza, que se aplicaron solo al 5% de todos los CVE. La «gran mayoría» (69%) de las vulnerabilidades nunca aparecen en un entorno de clientes, dijo Edwards. Más de la mitad (54%) nunca se explotan en la naturaleza o se ven en entornos empresariales. Si los atacantes no han visto una falla y nadie la está usando, los equipos de seguridad no preocupan tanto.

Dos de cada tres organizaciones corrigen con éxito las vulnerabilidades de alto riesgo, con un 51% reduciendo la cantidad de fallas de alto riesgo en sus entornos y un 17% manteniendo el mismo nivel. Los que están pagando la deuda de vulnerabilidad lo están haciendo con un enfoque y ejecución mejorados, dijo Baker, señalando que cuatro empresas de métricas pueden usar para medir mejor o peor desempeño de remediación:

  • Cobertura: cuán integral es la remediación El porcentaje de defectos explotados o de alto riesgo abordados.
  • Eficiencia: cuán precisa es la remediación ¿Cuántos defectos parcheados son de alto riesgo?
  • Velocidad: la velocidad y el progreso de la remediación.
  • Capacidad: número de fallas que se pueden reparar en un período de tiempo determinado y ganancia / pérdida neta.

«Existe evidencia estadísticamente significativa de que si intenta aplicar los principios de gestión de vulnerabilidades basados ​​en el riesgo en grandes porciones de su entorno, solucionará las vulnerabilidades más rápido», dijo Baker. Los investigadores también encontraron que un proceso de remediación más basic produjo una mejor cobertura, mientras que los procesos más complejos condujeron a una menor cobertura pero a una velocidad ligeramente mejor. Los programas con presupuestos adecuados tuvieron mejores resultados que aquellos que carecían de fondos suficientes, agregó.

La estructura de los programas de gestión de vulnerabilidades marcó la diferencia. El tiempo para remediar fue un mes y medio más corto entre las empresas que asignan responsabilidades para encontrar y corregir fallas en organizaciones separadas. Esta separación de tareas también condujo a una mayor capacidad de remediación, lo que significa que es menos possible que estas empresas se retrasen. Los investigadores plantearon la hipótesis de que equipos separados identifiquen y corrijan las fallas indica más recursos y madurez.

Los investigadores también encontraron que el 40% creía que sus programas de gestión de vulnerabilidades eran promedio, el 36% los consideraba por encima del promedio, el 14% dijo que estaban por debajo del promedio y el 8% dijo que estaban en el 10% excellent. «Las personas que piensan que están por encima del promedio tienden a estar por encima del promedio», dijo Edwards. «Me sorprendió lo bien que la gente conocía sus propios programas».

Contenido relacionado:

Kelly Sheridan es la Editora de own de Darkish Reading through, donde se enfoca en noticias y análisis de seguridad cibernética. Ella es una periodista de tecnología de negocios que previamente reportó para InformationWeek, donde cubrió Microsoft, y Insurance policy & Engineering, donde cubrió asuntos financieros … Ver biografía completa

Más tips





Enlace a la noticia original