El proceso de administración de vulnerabilidades general consiste en determinar un inventario de activos críticos de la organización, a través de un proceso interno de evaluación de riesgo, sobre el cual se realizarán pruebas de penetración y se ejecutarán escaneos de vulnerabilidades, para así obtener un inventario de vulnerabilidades. La idea es priorizar la remediación de las vulnerabilidades con base en algún indicador de criticidad o impacto.
Es común encontrar que los procesos de análisis y remediación de vulnerabilidades de algunas organizaciones no cumplen con su cometido.
En ocasiones nos encontramos con inventarios enormes de vulnerabilidades, y áreas de TI extenuadas que rara vez logran tener el tiempo y recursos para corregirlas.
¿Por qué este proceso no funciona?
Tradicionalmente una forma de entender a la infraestructura de TI, es visualizarla como un castillo con una muralla a su alrededor, o como la bóveda de un banco, en donde hay bienes o valores que deseamos proteger.
Al utilizar este modelo mental, contra la infraestructura de TI tradicional de las empresas, generalmente se realizan las siguientes suposiciones:
- Existe un control centralizado de las infraestructuras, aplicaciones.
- Hay una frontera claramente definida entre los elementos externos e internos de la infraestructura.
- Están bien identificados los elementos que deben ser protegidos como: información, bases de datos, redes internas, equipos, aplicaciones, usuarios, ubicaciones físicas.
- Existen puntos de control o (Firewalls), que permiten decidir que entra y que sale.
- Existen áreas o redes seguras, en donde se pueden colocar equipos, bases de datos sensibles.
- Existen responsables bien definidos sobre quien puede introducir nuevas tecnologías o servicios, o puede crear nuevas aplicaciones.
- La superficie de ataque puede ser visualizada como aquellos puntos en la muralla que pueden ser atacados desde fuera del perímetro.
Las vulnerabilidades son grietas en la muralla que protege a la organización.
Pero la realidad es muy diferente. La superficie de ataques en una empresa actualmente es compleja, no hay una frontera definida entre los elementos internos y externos. Los activos cambian constantemente, y existen interdependencias con proveedores de servicios. No todos los elementos de la infraestructura están bajo el control de las áreas de TI.
La consideración de que un equipo es seguro o confiable, sólo por estar ubicado en una red o segmento determinado, es riesgoso.
Algunos retos de seguridad de las empresas actuales son:
- Las aplicaciones SaaS.
Como consecuencia de las iniciativas de transformación digital, la presencia o huella digital de las empresas y su superficie de ataque se ha incrementado.
Las organizaciones ahora disponen de un gran número de soluciones SaaS, que van desde plataformas de colaboración y ofimática hasta aplicaciones especializadas de ERP o CRM.
Cada vez más, el contacto entre los empleados, las organizaciones y los clientes se realiza a través aplicaciones SaaS, y servicios en la nube, que pueden accederse a través de internet desde prácticamente cualquier dispositivo y lugar en el mundo, incrementando la posibilidad de que usuarios no autorizados accedan a la información, o que accidentalmente se publique información sensible.
- El uso de dispositivos IoT
Otro elemento que ahora ha incrementado la exposición a ataques es el uso cada vez mayor de dispositivos IoT.
Los dispositivos IoT probablemente son una de las tecnologías con mayor crecimiento y versatilidad, en aplicaciones domésticas y empresariales.
La diversidad de dispositivos, y su omnipresencia, presentan retos de seguridad como:
- Usuarios pueden instalarlos sin la revisión o autorización de áreas de TI, lo que hace muy difícil mantener un inventario actualizado
- El Firmware y Software se actualiza con poca frecuencia
- Servicios inseguros ejecutándose en el dispositivo
- Contraseñas débiles embebidas
- APIs inseguros
- Falta de mecanismos seguros de actualización
- Uso de componentes desactualizados
- Transferencias inseguras de información
- La IT Invisible o Shadow IT
Consiste en todas las aplicaciones que son utilizadas o desarrolladas por los usuarios, sin la revisión o consentimiento de las áreas TI o de seguridad de la organización. Los usuarios usan Shadow IT, es porque consideran que pueden trabajar de forma más eficiente, e interactuar fácilmente con otros empleados.
Iniciativas como “Traiga o use su propio dispositivo” permiten a los empleados utilizar sus propios teléfonos inteligentes o computadoras; si no se toman las medidas de prevención suficientes, estos programas favorecen un aumento en el uso de aplicaciones de Shadow IT, que a su vez incrementa la superficie de ataques incrementando también la posibilidad de fugas e inconsistencias en la información,
- Información de contexto disponible en redes sociales, Deep & Dark Web.
Contraseñas y usuarios filtrados, pueden ser usados en ataques exitosos. Cada día son más frecuentes los ataques dirigidos. La información disponible en redes sociales, y fuentes Deep & Dark Web, permiten que un ataque dirigido sea más creíble por una víctima.
Cyber Threat Exposure management
Una nueva propuesta esta apareciendo en la comunidad para resolver abordar esta problemática.
Hay que reconocer que la superficie de ataque está en constante crecimiento, no es estática y esta compuesta de muchos mas elementos que solo aquellos que las áreas de TI pueden controlar. Si no se toma en cuenta esta superficie de ataque ampliada, activos o recursos que pudieran considerarse de baja o media prioridad pueden ser la entrada a ataques.
Y por otro lado también hay tomar en consideración que no siempre es necesario remediar el 100% de las vulnerabilidades y que las medidas de protección que cada organización ha dispuesto, y la correcta evaluación del impacto de ataques nos sirve para priorizar y depurar el numero de remediaciones que deben ejecutarse.
Algunos elementos que un plan de monitoreo de amenazas debe tomar en cuenta son:
- Cuente con un inventario de activos que incluya la infraestructura administrada por TI, así como aquella que TI no tiene control, como aplicaciones SaaS, aplicaciones Shadow IT, dispositivos IoT e información de fuentes externas como Deep & Dark web. Entre otros.
2. El inventario de activos debe ser depurado, mapeando los activos descubiertos contra los servicios y activos críticos para la organización.
3. Análisis de vulnerabilidades tiene que incluir información adicional como la evaluación de la postura de seguridad de aplicaciones SaaS, errores en la configuración, permisos excesivos de usuarios, etc.
4. Priorizar y depurar el inventario de las vulnerabilidades. considerando que no necesariamente todas las vulnerabilidades deben ser corregidas. Tomando en cuenta factores como la urgencia de la remediación, el grado de exposición, la criticidad de los activos, si existen medidas de control compensatorias, el posible impacto y costo de la remedición, etc.
5. Utilizar pruebas de penetración, herramientas de simulación de ataques (BAS), y ejercicios de read teaming, para verificar si la priorización realizada fue correcta, y que no existen vulnerabilidades explotables que hayan sido eliminadas en los pasos anteriores, pero que si puedan tener un impacto en la organización.
6. Diseñar y ejecutar un plan de remediación.