No todas las vulnerabilidades se crean igual

El preámbulo de la Declaración de Independencia de los Estados Unidos sostiene como verdad evidente que “que todos los hombres son creados iguales..." Bueno, eso es cierto para los humanos, pero no se aplica a las vulnerabilidades. Las organizaciones se verán rápidamente abrumadas si intentan tratar todas las vulnerabilidades por igual. Dado el gran volumen de vulnerabilidades, la ciberseguridad efectiva requiere la capacidad de ver las vulnerabilidades en el contexto adecuado y priorizarlas en consecuencia.

Definir "Vulnerabilidad"

Para empezar, las organizaciones necesitan establecer lo que significa decir que tienes una vulnerabilidad. Las vulnerabilidades suelen identificarse y definirse en un silo o vacío que no tiene en cuenta otros factores pertinentes. La realidad es que una vulnerabilidad es tan mala como la amenaza que la explota y el impacto potencial que podría tener su explotación.

Por ejemplo, una cerradura defectuosa en una puerta de entrada podría considerarse una vulnerabilidad. Existe el riesgo de que se produzca una entrada no autorizada como resultado de esta vulnerabilidad. Sin embargo, si no hay ladrones que aprovechen las puertas abiertas por la noche en su ciudad, tal vez arreglar su cerradura defectuosa no sea tan urgente como otros problemas que pueda tener. O si hay ladrones, pero la puerta es la de un almacén donde no hay nada, el impacto potencial es nulo. En cualquier caso, la cerradura de la puerta sigue siendo defectuosa, pero la criticidad de la "vulnerabilidad" depende del contexto.

Las organizaciones a menudo se centran en los números del CVSS (Common Vulnerability Scoring System) y del CVE (Common Vulnerabilities and Exposure) para clasificar o priorizar las vulnerabilidades, pero ninguno de los dos puede utilizarse por sí solo para gestionar eficazmente las vulnerabilidades.

El CVSS mide la gravedad de una vulnerabilidad pero no considera el riesgo. Representa el peor escenario posible de la magnitud del impacto o el daño si la vulnerabilidad se explota con éxito, pero no de lo plausible que sea que la explotación se produzca. La CVE es aún menos útil desde la perspectiva de la gestión de riesgos porque es sólo una convención de denominación para identificar vulnerabilidades únicas.

El contexto es clave para priorizar las vulnerabilidades

Una vulnerabilidad puede ser grave pero de bajo riesgo, o una vulnerabilidad puede ser de alto riesgo pero no grave. Los dos términos no son intercambiables, y es importante entender la diferencia.

Los equipos de seguridad informática tienden a centrarse en las vulnerabilidades más recientes, especialmente las de alta gravedad. Los atacantes, por otro lado, no necesariamente priorizan la severidad. No tienen nada que probar. Los atacantes generalmente se centran en la facilidad de explotación y el alto rendimiento de la inversión. Muchos ataques se dirigen a viejas vulnerabilidades para las que han existido parches durante meses o años, porque los atacantes pueden simplemente comprar una herramienta y automatizar el proceso de descubrimiento y explotación.

Teoría de juegos y gestión de vulnerabilidades

Una de las mayores falacias cuando se trata de la gestión de la vulnerabilidad es que es un juego de números. Muchas organizaciones tienen un enfoque sesgado, basado en la métrica, para la gestión de la vulnerabilidad, que crea la ilusión de progreso y éxito mientras deja a la empresa expuesta a un riesgo significativo.

Si se detectan 1.000 vulnerabilidades y el equipo de seguridad de TI logra parchear o mitigar 990 de ellas, han cerrado el 99% de las vulnerabilidades. A primera vista, parece impresionante, pero los atacantes sólo necesitan una vulnerabilidad. La verdadera pregunta es: ¿cuáles son las diez vulnerabilidades que quedan y cuál es el impacto potencial al que se enfrenta la organización si una de ellas se explota con éxito?

En lugar de ver la gestión de vulnerabilidades como un juego de números y medir el éxito en base a un porcentaje arbitrario del total, las organizaciones deberían ver la gestión de vulnerabilidades como una función de la teoría del juego. Hay una variedad de factores que hay que considerar para priorizar eficazmente las vulnerabilidades y mantener una gestión eficaz de las mismas. Los equipos de seguridad informática deben considerar y negociar múltiples factores -gravedad de las vulnerabilidades, criticidad de los activos, accesibilidad de los activos, controles de mitigación, impacto potencial, etc.- y pensar tácticamente en el oponente para desarrollar una estrategia exitosa.

La vigilancia continua es crucial

La última pieza de una estrategia efectiva de gestión de la vulnerabilidad es que tiene que ser continua. Ejecutar un escaneo de vulnerabilidades mensual, o incluso semanal, para identificar las vulnerabilidades que se deben abordar, sólo proporciona una instantánea de ese momento en el tiempo.

Los atacantes no trabajan con un horario semanal o mensual. Internet es global, y los atacantes trabajan las 24 horas del día, así que sus esfuerzos de gestión de vulnerabilidades tienen que estar funcionando 24/7.

Saber cómo se debe contextualizar las vulnerabilidades para enfocar los esfuerzos para remediarla y un sistema de monitorización continua son claves y le ayudarán a reducir su superficie de ataque y mejorar su posición respecto a la seguridad.

Raúl Benito, Territory Manager de Qualys para España y Portugal