Gestión de los puntos vulnerables

La gestión de los puntos vulnerables es una práctica de seguridad de la TI que implica identificar, evaluar y solucionar las fallas de los dispositivos, las redes y las aplicaciones para reducir el riesgo de los ataques cibernéticos y los problemas de seguridad.

Los especialistas consideran que esta gestión es una parte importante de la automatización de la seguridad. Según lo define el Instituto Nacional de Estándares y Tecnología (NIST) de Estados Unidos, es una función necesaria del programa de supervisión permanente de la seguridad de la información denominado Information Security Continuous Monitoring (ISCM). 

Los puntos vulnerables se registran como puntos vulnerables y exposiciones comunes (CVE). Se trata de un sistema que utiliza el sector de la seguridad para catalogar las fallas que identifican los investigadores y los proveedores de TI. Debido a que surgen CVE todo el tiempo, la gestión de los puntos vulnerables es un proceso constante. Un programa destinado a dicha tarea permite que los equipos de seguridad automaticen sus procesos de detección y corrección de errores, lo cual incluye el análisis y la aplicación de parches.

MITRE Corporation se encarga de supervisar la lista de CVE con la financiación de la Agencia de Ciberseguridad y Seguridad de la Infraestructura (CISA), que forma parte del Departamento de Seguridad Nacional de Estados Unidos. Tanto los investigadores como los proveedores y miembros de la comunidad open source pueden enviar las fallas de seguridad que detecten para agregarlas a los CVE.

Los especialistas en seguridad no solo pueden conseguir información técnica sobre los puntos vulnerables en los CVE, sino también en la National Vulnerability Database (NVD) de los Estados Unidos, la CERT/CC Vulnerability Notes Database y otras fuentes, como las listas que elaboran los proveedores basándose en productos específicos.

Independientemente del sistema, los usuarios pueden utilizar los números de identificación de CVE para reconocer de manera confiable puntos vulnerables únicos y coordinar el desarrollo de soluciones y herramientas de seguridad.

El sistema Common Vulnerability Scoring System (CVSS) es un estándar del sector que permite puntuar los CVE. Aplica una fórmula que analiza una serie de factores relacionados con los puntos vulnerables, por ejemplo, si el posible ataque se puede llevar a cabo de forma remota, su grado de complejidad y si es necesario que el usuario tome medidas. El CVSS le asigna a cada CVE una puntuación base que va del 0 (nada de impacto) al 10 (el impacto más alto).

La puntuación por sí sola no constituye una evaluación integral del riesgo. Existen otros dos tipos de revisiones (temporal y del entorno) que pueden utilizarse para realizar un análisis de CVSS más completo. La revisión temporal agrega información acerca de las técnicas actuales para aprovecharse de los puntos vulnerables, la existencia de los ataques y la disponibilidad de parches o alternativas para solucionar el problema. Una revisión del entorno añade información específica de la empresa sobre los controles, sistemas o datos más importantes que podrían existir en el entorno del consumidor y que podrían alterar el impacto o la posibilidad de que un ataque que se lleve a cabo con éxito.

Los proveedores y los investigadores pueden utilizar otras escalas además de la puntuación CVSS. Por ejemplo, Red Hat Product Security utiliza una escala de gravedad de cuatro puntos para que los usuarios evalúen los problemas de seguridad. Esas clasificaciones son:

• Impacto grave: las fallas que un atacante remoto sin autenticar podría aprovechar para comprometer el sistema sin que sea necesaria la interacción de un usuario. 
• Impacto importante: fallas que pueden comprometer fácilmente la confidencialidad, la integridad o la disponibilidad de los recursos.
• Impacto moderado: fallas que pueden ser más difíciles de aprovechar, pero que de todas formas podrían comprometer la confidencialidad, la integridad o la disponibilidad de los recursos en ciertas circunstancias.
• Impacto bajo: todos los demás problemas que podrían afectar la seguridad, incluso los que requerirían que se dieran circunstancias poco probables para su aprovechamiento o los que traerían consecuencias mínimas si se llegaran a aprovechar.

A medida que aumenta la cantidad de puntos vulnerables y las empresas asignan más personas y recursos para las iniciativas de seguridad, es cada vez más importante priorizar el trabajo lo mejor posible. El uso de datos generales y poco precisos sobre los riesgos, como parte de un programa de gestión de puntos vulnerables, puede llevar a que ciertas fallas no se clasifiquen adecuadamente según su orden de prioridad, lo cual aumenta el riesgo de que no se aborde un problema grave por mucho tiempo.

La gestión de puntos vulnerables basada en los riesgos (RBVM) es un enfoque más nuevo que consiste en priorizar las medidas según el riesgo de las amenazas para una empresa en particular. Este enfoque tiene en cuenta los datos de los puntos vulnerables específicos de las partes interesadas, por ejemplo, la información sobre las amenazas, la probabilidad de aprovechamiento y la importancia para la empresa de los recursos afectados. Puede incluir las funciones de la inteligencia artificial y el aprendizaje automático para desarrollar puntuaciones de riesgo más precisas. Además, su objetivo es controlar los puntos vulnerables en tiempo real con el análisis permanente y automatizado.

La evaluación de los puntos vulnerables es un análisis de las medidas de seguridad de un sistema de TI para identificar las fallas. Esto incluye la recopilación de datos sobre un sistema y sus recursos, la revisión en busca de puntos vulnerables y la elaboración de informes que clasifiquen los hallazgos por riesgo e identifiquen métodos de mejora. Podemos pensar en esta evaluación como una auditoría interna y un análisis de toda la infraestructura para comprobar si hay problemas de seguridad. A pesar de que se puede programar como parte de un proceso regular, es básicamente un evento único que finaliza con una conclusión: un informe que representa una instantánea de un momento determinado. Esto se diferencia de la gestión de los puntos vulnerables en que esta última es una iniciativa permanente que se automatiza y se ejecuta constantemente.

Las funciones de esta gestión son permanentes, constantes y se superponen. De esta forma, los puntos vulnerables críticos pueden abordarse de forma temprana y rápida, lo cual aumenta la seguridad.

Red Hat es una empresa líder en sistemas de software open source que prioriza la transparencia y la responsabilidad para con los clientes y las comunidades. Brinda comunicados frecuentes sobre los puntos vulnerables y, en 2022, llegó a ser una de las empresas principales dentro del programa de CVE.

Además, Red Hat prepara a las empresas para que ejecuten, implementen y diseñen de manera más segura las aplicaciones de la nube. Descubra la mejor manera de detectar y gestionar los puntos vulnerables en los entornos de Kubernetes con Red Hat Advanced Cluster Security for Kubernetes.