La gestión de vulnerabilidades no es solo un juego de números



Los atacantes trabajan las 24 horas del día, los 7 días de la semana, por lo que debes estar atento las 24 horas. Tiempo para un poco de teoría de juegos.

Las organizaciones se verán rápidamente abrumadas si intentan tratar todas las vulnerabilidades por igual. Dado el gran volumen de vulnerabilidades, los recursos limitados y los objetivos variables entre los equipos involucrados, la ciberseguridad efectiva requiere la capacidad de ver las vulnerabilidades en el contexto adecuado y priorizarlas en consecuencia para el tratamiento, ya sea para remediar o mitigar o aceptar el riesgo.

Redefiniendo «Vulnerabilidad»
Para empezar, las organizaciones deben establecer qué significa decir que tienen una vulnerabilidad. Las vulnerabilidades a menudo se definen e interpretan en un silo o vacío que no tiene en cuenta otros factores relevantes como la disponibilidad de exploits, actores de amenazas, motivación, etcetera. Por lo tanto, la realidad es que una vulnerabilidad es tan mala como la amenaza que la explota y impacto potencial que un exploit exitoso podría tener en una organización o negocio.

Las organizaciones a menudo se centran en los números CVSS (Typical Vulnerability Scoring Procedure) y CVE (Frequent Vulnerabilities and Exposure) para clasificar o priorizar las vulnerabilidades, pero ninguno de los dos puede ser utilizado por sí mismo para gestionar las vulnerabilidades de manera efectiva.

CVSS mide la gravedad de una vulnerabilidad pero no considera el riesgo. Representa el peor de los casos del alcance del impacto o daño si la vulnerabilidad se explota con éxito, pero no cuán plausible es que ocurra la explotación. El CVE es aún menos útil desde una perspectiva de gestión de riesgos porque es solo una convención de nombres o biblioteca para identificar vulnerabilidades únicas.

El contexto es clave para priorizar vulnerabilidades
Una vulnerabilidad puede ser grave pero de bajo riesgo, o una vulnerabilidad puede ser de alto riesgo pero no grave. Los dos términos no son intercambiables, y es importante entender la diferencia.

Los equipos de seguridad de TI tienden a centrarse en las vulnerabilidades más recientes, especialmente las vulnerabilidades de alta gravedad. Los atacantes, por otro lado, no necesariamente priorizan según la gravedad. No tienen nada que demostrar. Los atacantes generalmente se centran en la facilidad de explotación y el alto retorno de la inversión. Muchos ataques apuntan a vulnerabilidades antiguas para las cuales los parches han existido durante meses o años porque los atacantes pueden simplemente comprar un exploit, o hacer uso de una herramienta de exploit existente y automatizar el proceso de descubrimiento y explotación. Los atacantes tienden a adoptar un enfoque industrializado para lanzar ataques.

Teoría de juegos y gestión de vulnerabilidades
Una de las falacias más grandes cuando se trata de la gestión de vulnerabilidades es que es un juego de números. Muchas organizaciones tienen un enfoque sesgado e impulsado por la métrica para la gestión de vulnerabilidades que crea la ilusión de progreso y éxito mientras deja a la empresa expuesta a un riesgo significativo.

Si se detectan 1,000 vulnerabilidades y el equipo de seguridad de TI logra parchar (o reparar) o mitigar 990 de ellas, han cerrado el 99% de las vulnerabilidades. A primera vista, eso suena impresionante, pero los atacantes solo necesitan una vulnerabilidad explotable para ingresar a la pink empresarial. Las preguntas reales son: ¿Cuáles son las 10 vulnerabilidades que quedan y cuál es el impacto potencial que enfrenta la organización si una de ellas es explotada con éxito?

En lugar de ver la gestión de vulnerabilidades como un juego de números y medir el éxito en función de un porcentaje arbitrario del total de vulnerabilidades detectadas, las organizaciones deberían ver la gestión de vulnerabilidades como una función de la teoría de juegos.

¿Qué quiero decir con eso? La teoría de juegos utiliza la teoría de la elección racional junto con supuestos del conocimiento del adversario para predecir decisiones que maximicen la utilidad. Permite a alguien predecir las estrategias de sus oponentes. Aplicar la teoría de juegos a la gestión de vulnerabilidades es una estrategia más efectiva y práctica que solo contar las vulnerabilidades.

Hay una variedad de factores a considerar para priorizar efectivamente las vulnerabilidades y mantener una gestión efectiva de vulnerabilidades. Los equipos de seguridad de TI deben considerar y negociar múltiples factores: gravedad de la vulnerabilidad, criticidad de los activos, accesibilidad de los activos, controles de mitigación, impacto potencial, etcetera. y pensar tácticamente sobre el oponente para desarrollar una estrategia exitosa.

La vigilancia continua es very important
La pieza closing de una estrategia efectiva de gestión de vulnerabilidades es que tiene que ser continua. La ejecución de un análisis de vulnerabilidades mensual, o incluso semanal, para identificar las vulnerabilidades que se deben abordar solo proporciona una instantánea de ese momento en el tiempo.

Los atacantes no trabajan en un horario semanal o mensual. Online es world-wide y son las 10 a.m. en algún lugar todo el tiempo. Los atacantes trabajan las 24 horas, por lo que sus esfuerzos de gestión de vulnerabilidades deben estar atentos las 24 horas, los 7 días de la semana.

Tener una comprensión de cómo considerar el contexto al priorizar los esfuerzos de corrección de vulnerabilidades, una estrategia basada en la teoría de juegos en lugar de tratar la gestión de vulnerabilidades como un juego de números puros y un sistema de monitoreo continuo de vulnerabilidades lo ayudará a reducir su superficie de ataque y mejorar su postura de seguridad .

Contenido relacionado:

Prateek Bhajanka (CISA, CEH) es vicepresidente de gestión de productos, donde es responsable de la definición del producto, la hoja de ruta, el marketing y la estrategia para la oferta de productos VMDR. Tiene una amplia experiencia en el dominio de la seguridad, donde ha desempeñado roles en todos los ámbitos, … Ver biografía completa

Más suggestions





Enlace a la noticia original