La gestión de vulnerabilidades tiene un problema de datos



Los equipos de seguridad tienen una gran cantidad de datos, pero la mayoría carece del contexto necesario para mejorar los resultados de la corrección.

Hoy en día, los equipos de gestión de vulnerabilidades tienen tantos datos a mano que procesarlos y analizarlos lleva tanto tiempo como los esfuerzos de corrección. Esto ocurre en gran parte porque cada una de las muchas herramientas que se utilizan para remediar vulnerabilidades proporciona solo fragmentos de los datos necesarios para resolver las vulnerabilidades. A medida que los equipos de seguridad buscan duplicar la TI en la nube, los equipos de administración de vulnerabilidades están bajo presión para optimizar y escalar los procesos de remediación, lo que no puede suceder si analizan manualmente datos en silos en docenas de herramientas. Los equipos de remediación, desde el director de seguridad de la información (CISO) hacia abajo, necesitan mejores datos, no más.

El problema con los datos
Las herramientas de gestión de vulnerabilidades actuales recopilan datos básicos, como la cantidad de vulnerabilidades detectadas, los activos afectados o la gravedad técnica. Esto permite a los equipos de seguridad monitorear solo los elementos más correctivos de una campaña de reparación estas herramientas rara vez proporcionan el nivel de detalle correlacionado necesario para impulsar mejores resultados de remediación. Los equipos más maduros pueden usar hojas de cálculo o herramientas de inteligencia empresarial (BI) para rastrear métricas como la cantidad de vulnerabilidades anteriores que se han solucionado, las que aún existen y la cantidad de nuevas vulnerabilidades identificadas desde el último análisis.

Si bien esos datos son útiles, carecen de contexto y rara vez brindan una visión holística del programa de remediación. Por ejemplo, no alinea la ubicación de una vulnerabilidad con la unidad de negocio afectada, no informa el tiempo authentic necesario para corregir una vulnerabilidad ni proporciona información sobre las decisiones de priorización de vulnerabilidades. Este tipo de información granular es elementary para mejorar los resultados de la remediación.

Los datos que realmente necesitamos
Los equipos de seguridad necesitan datos que les ayuden a priorizar la corrección en función del riesgo empresarial, así como información que oriente e impulse la mejora del proceso. Los datos deberían ayudarlos a identificar los puntos débiles y reenfocar los esfuerzos de remediación para la tecnología de mayor riesgo que afecta las áreas comerciales más críticas.

Por ejemplo, si un escáner identifica una inyección SQL en la línea 7 o un parche necesario en la caja de Purple Hat, esa información no transmite el producto específico afectado, el propietario o la importancia comercial para la organización. ¿Una de esas vulnerabilidades representa un riesgo mayor para mantener las luces encendidas que la otra? ¿Cuál necesita atención inmediata si el equipo no puede solucionar ambos al mismo tiempo?

Otra consideración es la criticidad fluctuante de la tecnología afectada según el ciclo comercial de la empresa. Por ejemplo, muchos minoristas ven un mayor riesgo durante las temporadas de compras navideñas, mientras que las cadenas de supermercados introducen nuevos productos mensualmente que pueden hacer que las prioridades cambien en múltiples unidades comerciales y de TI. Para estas situaciones, los equipos necesitan mejores datos para facilitar la toma de decisiones basadas en las expectativas comerciales en tiempo serious.

A continuación, el equipo de remediación necesita comprender cómo una solución en individual podría afectar las operaciones. Si bien las herramientas de administración de vulnerabilidades rastrean el tiempo medio hasta la corrección, lo hacen basándose en escaneos semanales, que, nuevamente, carecen de contexto importante. ¿Qué vulnerabilidades notificadas la semana pasada se han solucionado? ¿Cuánto esfuerzo requirió cada uno? ¿Te tomó un día? ¿Cinco minutos? ¿Cinco días?

Estos datos también serían invaluables para los CISO. Los datos históricos que muestran qué plataformas toman más tiempo para parchear que otras, y por qué, pueden ayudarlos a identificar ineficiencias de procesos, falibilidad de productos y problemas de particular y la mejor manera de abordarlos.

¿Por qué es tan difícil de arreglar?
La barrera más grande para mejorar la corrección de vulnerabilidades es que los datos se almacenan en muchos sistemas diferentes: datos de vulnerabilidad en el escáner, datos de contexto empresarial en la foundation de datos de gestión de configuración o repositorio de activos o, peor aún, en la cabeza de las personas. Además, el equipo de seguridad puede implementar varias herramientas de administración de vulnerabilidades en diferentes equipos, para aquellos que escanean vulnerabilidades, equipos de inteligencia de amenazas, técnicos de operaciones de TI, etcetera.

El problema se agrava por el hecho de que las herramientas existentes no almacenan muchos puntos de datos. Por ejemplo, pocas organizaciones controlan la cantidad de tiempo que le toma al equipo de DevOps encontrar la vulnerabilidad, instalar el parche y verificar que funcionó. Cuando lo hacen, es aún más raro que canalicen esa información de regreso al programa de administración de vulnerabilidades.

Además, algunas herramientas de gestión de vulnerabilidades ignoran los puntos de datos que no están almacenados. Entonces, si un CISO pregunta cuántas vulnerabilidades se corrigieron en los últimos seis meses, los datos correspondientes no están disponibles en la mayoría de las herramientas de administración de vulnerabilidades.

¿Qué podemos hacer al respecto?
Ahora viene la parte difícil: crear los flujos de trabajo y los procesos necesarios para mejorar los resultados de la remediación. En primer lugar, el equipo de reparación de vulnerabilidades debe involucrar a los propietarios de las unidades de negocio, pidiéndoles que identifiquen las funciones comerciales críticas y las relaciones entre los activos. Alinee la función comercial con los productos de tecnología de apoyo, luego evalúe la importancia de cada activo y vuelva a vincularlo al programa de administración de vulnerabilidades.

A continuación, los equipos de seguridad deben reclutar socios de los equipos de operaciones de TI y DevOps para ayudar a coordinar y colaborar en los esfuerzos de remediación. Esas relaciones serán clave para la capacidad de seguridad de mejorar los procesos de remediación, según sea necesario, con el tiempo.

Este tipo de colaboración no es fácil, intuitivo o históricamente obligatorio, por lo que los líderes del equipo de seguridad deben buscar formas de llevar a estos jugadores a la mesa a través de equipos de ataque de funciones cruzadas, entrenamiento y otros esfuerzos prácticos. Discuta qué datos se necesitan para avanzar, luego planifique cómo recopilar y utilizar esa información para desarrollar campañas de corrección de vulnerabilidades eficientes y proactivas.

Finalmente, recopilar, analizar y analizar esos datos de manera eficiente es clave para madurar los programas de corrección de vulnerabilidades. Ya sea que utilice hojas de cálculo o herramientas de BI, los equipos de remediación deben decidir qué métricas rastrear y establecer indicadores clave de rendimiento (KPI) razonables. La ejecución contra objetivos basados ​​en datos hace que sea mucho más fácil mantenerse en el camino correcto.

Este es un trabajo pesado, créame, lo sé. Pero el dolor es un gran motivador, y para los equipos de seguridad, pocas cosas son más dolorosas que una brecha que podría haberse evitado si hubieran parcheado el sistema explotado cuando salió el parche.

¿Suena familiar?

Tal Morgenstern aporta casi 20 años de experiencia en el desarrollo y diseño de productos de ciberseguridad a Vulcan Cyber: la experiencia que adquirió en el ejército israelí, la construcción de sistemas Elbit de vanguardia, el contratista de defensa más grande de Israel, y durante su mandato en varios … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first