Más allá de la gestión de vulnerabilidades

  • Opinión

Raul Benito, Qualys

Dice Raúl Benito, Territory Account Manager de Qualys para España y Portugal, que para los equipos de seguridad, la gestión de las vulnerabilidades se ha ampliado a mucho más que la simple observación de los ordenadores de sobremesa y los sistemas operativos.

La gestión de vulnerabilidades sigue siendo una de las mejores maneras de mantenerse seguro. De acuerdo con el último informe sobre brechas de datos de Verizon, sólo alrededor de un seis por ciento de los ataques de hacking fueron causados por la explotación de vulnerabilidades. Por lo tanto, la aplicación efectiva de parches es una forma sencilla de evitar que los atacantes se metan en los sistemas informáticos.

Sin embargo, la gestión de vulnerabilidades continúa evolucionando en base a los nuevos sistemas de TI que se están implementando y a un rápido aumento de los escenarios de teletrabajo debido a la pandemia del Covid-19. Para los equipos de seguridad, la gestión de las vulnerabilidades se ha ampliado a mucho más que la simple observación de los ordenadores de sobremesa y los sistemas operativos. En lugar de ello, las empresas ahora tienen que lidiar con un gran porcentaje de sus usuarios que trabajan desde casa, se utilizan más servicios en la nube, contenedores de software y dispositivos de IoT que entran en la red corporativa. Con todos estos cambios, ¿cómo pueden los equipos de seguridad adelantarse a la curva de vulnerabilidad?

Más plataformas, más problemas

Uno de los mayores cambios para las empresas gira en torno al papel del software dentro de las organizaciones, y más específicamente de los contenedores. Los contenedores de software se utilizan para alojar todos los elementos específicos necesarios para la ejecución de una aplicación, y nada más. Este enfoque simplificado para alojar los componentes de las aplicaciones facilita la implementación de nuevos servicios y, en teoría, facilita el apoyo a los enfoques de desarrollo ágil.

Sin embargo, los contenedores no tienen establecido un modelo de seguridad por diseño predeterminado, y el proceso para mantenerlos actualizados y seguros es diferente al de los servidores más tradicionales o las máquinas virtuales. Esto significa que los equipos de seguridad tienen que llevar a cabo más escaneos y comprobaciones de los hosts de los contenedores, los repositorios y los entornos de ejecución en tiempo real. Esto puede llegar a consumir mucho tiempo, y se añade a la carga que los equipos de seguridad ya tienen.

Además, las empresas están haciendo más uso de los servicios en la nube para ejecutar sus aplicaciones. El seguimiento de los servicios y contenedores de la nube se hace más difícil ya que estas implementaciones pueden cambiar rápidamente en función de la demanda. Con cargas de trabajo efímeras como éstas, los enfoques tradicionales de gestión y escaneo de vulnerabilidades no serán adecuados. En su lugar, se necesita un enfoque más continuo.

El tercer gran cambio es el paso al teletrabajo. Mientras que nadie podría haber predicho el gran cambio causado por la pandemia del coronavirus, el aumento del trabajo móvil es una constante desde hace años. Hacer cumplir las normas de seguridad y garantizar que los parches se apliquen realmente en todas las máquinas y dispositivos será más difícil sin una planificación adecuada.

Cómo resolver los problemas

Para adelantarse al desafío de la vulnerabilidad, hay una serie de medidas que pueden facilitar el proceso. La primera es obtener una mejor visibilidad de todas las plataformas y activos de que se dispone. Esto puede abarcar desde los activos de TI tradicionales, como puestos de trabajo y servidores, hasta los dispositivos conectados a la red y las implementaciones de nube y contenedores. Se necesitará una mezcla de escaneo pasivo de la red, agentes en los dispositivos y escaneo de contenedores.

Una vez que se haya completado el inventario inicial, hay que mantenerlo actualizado, para lo que es necesario hacer un seguimiento de todos estos grupos diferentes de activos y mantener actualizados los datos sobre ellos, por muy rápido que cambien, por lo que es escaneo de vulnerabilidades debe ser continuo. Esta información debería captar los problemas de los activos efímeros, así como los de los activos críticos como la tecnología operativa o los sistemas de control industrial que cambian con muy poca frecuencia. Cualquiera que sea el lugar donde se encuentre, estos datos deberían mostrarle qué riesgos existen y a qué se debe dar prioridad.

Después de esto, se puede poner esos datos a disposición de un mejor uso dentro de los procesos y flujos de trabajo. Además de construir un enfoque específico para las prioridades de riesgo, se puede utilizar estos datos para informar a los diferentes equipos de toda la organización sobre los cambios y el impacto que han ocasionado. Al integrar esto en los flujos de trabajo estandarizados, es posible automatizar algunos de los pasos que requerirían tiempo del personal de seguridad para llevarlos a cabo. Igualmente, se puede ver cómo comunicar esta información a través de otros departamentos, como el de desarrollo de software, incrustando los datos del escaneo de vulnerabilidades de seguridad en sus herramientas y flujos de trabajo.

Por último, el cambio que se está produciendo tiene que formar parte del flujo de trabajo de múltiples equipos, no sólo de seguridad. Es más difícil hacer que el cambio ocurra cuando sólo es útil para un departamento. Para aquellos involucrados en el desarrollo de software, facilitar la realización de escaneos bajo demanda puede ayudar, de modo que los desarrolladores puedan detectar los posibles problemas por sí mismos en lugar de confiar en que el equipo de seguridad proporcione los informes. Idealmente, esta actividad puede automatizarse e incorporarse como estándar mediante la integración de herramientas de escaneo utilizando APIs.

Asegurando el futuro

Cambiar el enfoque de la gestión de vulnerabilidades implica un flujo de trabajo y una mentalidad muy diferentes. En lugar de escaneos estáticos y puntuales que muestran los problemas, las vulnerabilidades son constantemente descubiertas, priorizadas y remediadas. Esto pone una presión diferente en el equipo. Por lo tanto, es una buena idea desarrollar una nueva métrica para comprobar el éxito en torno a las respuestas de remediación.

Mirar tu Tiempo de Remediación (TTR) puede ayudar. TTR debería ser una forma de analizar cómo se están resolviendo los problemas, ya sean simples parches o proyectos más complejos que impliquen múltiples aplicaciones. En el caso de las aplicaciones que no se pueden remediar, también se pueden mirar los controles de compensación y la regularidad con la que se prueban y actualizan. Proporcionar un tablero o una visualización para esto también puede ayudar a hacer un seguimiento de cómo está respondiendo el equipo.

Para mejorar la seguridad y gestionar las vulnerabilidades de manera efectiva, es vital evolucionar y avanzar. El volumen de las vulnerabilidades de seguridad sigue aumentando año tras año: de 18.153 en 2018 y 18.938 en 2019 a más de 20.000 si el índice de revelación de vulnerabilidades continúa al ritmo actual, según los datos de la Base de Datos Nacional de Vulnerabilidad de los Estados Unidos. El seguimiento de todos estos problemas acumulativos es imposible de forma manual, pero el ritmo de exploración tendrá que ser continuo para seguir el ritmo de cambio. Será esencial ir más allá de la gestión de la vulnerabilidad y avanzar hacia una remediación más avanzada. Sólo si conseguimos una mejor comprensión podremos continuar mejorando.

Raúl Benito, Territory Account Manager de Qualys para España y Portugal