En una encuesta realizada por CRA Business Intelligence, casi la mitad de los encuestados (45%) dijeron que están muy o extremadamente preocupados por las vulnerabilidades en los próximos 12 meses.

Con la expansión de las superficies de ataque y el aumento del volumen de vulnerabilidades, las organizaciones deben adoptar una postura más agresiva y proactiva hacia la gestión de vulnerabilidades.

Sigue leyendo para aprender qué es la gestión de vulnerabilidades, qué pasos están involucrados en el proceso y cómo puedes implementar un robusto programa de gestión de vulnerabilidades que aproveche la automatización.

¿Qué es la gestión de vulnerabilidades?

La gestión de vulnerabilidades es un proceso que las organizaciones utilizan para identificar, analizar y gestionar vulnerabilidades dentro de su entorno operativo.

Las vulnerabilidades son debilidades en los sistemas, plataformas, infraestructura o incluso en las personas y procesos que pueden ser explotadas por actores de amenazas, haciendo que una organización completa o cualquiera de sus partes sea susceptible a ataques.

Ejemplos de vulnerabilidades incluyen:

• Código inseguro
• Software sin parches
• Configuraciones erróneas en la nube
• Falta de encriptación
• Autenticación predeterminada
• Falta de conciencia y capacitación en seguridad
• Controles internos inadecuados
• Políticas débiles o ausentes

¿Por qué es importante la gestión de vulnerabilidades?

La gestión de vulnerabilidades es un aspecto importante en la gestión de riesgos. Evaluar el entorno en busca de vulnerabilidades técnicas y operativas ayudará a planificar y determinar la implementación adecuada de controles de mitigación.

Las actividades de gestión de vulnerabilidades como descubrir, categorizar y priorizar vulnerabilidades, gestionar la exposición a las vulnerabilidades descubiertas y analizar la causa raíz de las vulnerabilidades, son increíblemente importantes. La gestión de vulnerabilidades puede ayudar a una organización a desarrollar una comprensión integral de su perfil de riesgo, comprender qué controles deben implementarse para la mitigación de riesgos y prevenir vulnerabilidades repetitivas.

Por lo tanto, la gestión de vulnerabilidades es una parte importante del programa de seguridad y cumplimiento general de una organización.

¿Qué es un programa de gestión de vulnerabilidades?

Un programa de gestión de vulnerabilidades es un programa que una empresa adopta para identificar, monitorear y remediar vulnerabilidades en su entorno operativo. El programa debe definir claramente el proceso, la estructura y el alcance de la gestión de vulnerabilidades, así como las responsabilidades y expectativas de quienes son responsables de la gestión del programa, así como de todos los demás dentro de la organización.

Un robusto programa de gestión de vulnerabilidades puede ayudar a las organizaciones a:

• Priorizar las vulnerabilidades en función del riesgo y la exposición
• Prevenir la introducción de vulnerabilidades conocidas
• Mantener el cumplimiento de estándares y regulaciones de seguridad
• Minimizar la superficie total de ataque
• Comprender y mejorar su postura de seguridad

Para lograr todo esto, el programa debe incluir varios aspectos, incluidos el análisis de vulnerabilidades, la gestión de activos, la gestión de parches, la monitorización continua y las soluciones automatizadas.

A continuación, echaremos un vistazo más de cerca a estos aspectos y su papel en el proceso de gestión de vulnerabilidades.

6 pasos del proceso de gestión de vulnerabilidades

Para mantenerse al día con las amenazas y tecnologías emergentes, la gestión de vulnerabilidades debe ser un proceso continuo.

A continuación, cubriremos algunos de los pasos en el proceso de gestión de vulnerabilidades utilizando ideas del seminario web Secureframe Expert Insights, con la participación del experto en cumplimiento de Secureframe, Marc Rubbinaccio, y la experta en pruebas de penetración, Jenny Goldschmidt de Red Sentry.

Para conocer todos sus consejos sobre cómo simplificar la gestión de vulnerabilidades y las pruebas de penetración en particular, vea la repetición del video a pedido.

1. Inventario

Es imposible entender cómo volverse seguro cuando no sabes qué deberías estar protegiendo en primer lugar. 

Entonces, el primer paso en cualquier proceso de gestión de vulnerabilidades es inventariar y entender los activos dentro de su entorno. Primero pregúntese qué es importante para su organización. ¿Es información de salud protegida (PHI)? ¿O algún otro tipo de datos sensibles del cliente?

Documentar qué datos o activos se consideran increíblemente sensibles o críticos versus lo que podría considerarse público es el primer paso para comprender sus activos. El siguiente paso sería mapear cómo estos datos y activos se almacenan, transmiten y procesan en todo su entorno y documentar este flujo en un diagrama. Finalmente, debe documentar todos los sistemas, recursos, personal y servicios que pueden afectar la seguridad de estos datos.

2. Configuración

Una vez que sus activos y recursos están contabilizados, es hora de protegerlos.

Primero, verifique si se utilizaron estándares de configuración cuando se implementaron estos recursos. Los estándares de configuración son las mejores prácticas básicas de seguridad al configurar servidores, redes, bases de datos y la mayoría de los recursos. Estos estándares generalmente son construidos por el proveedor o a través de las mejores prácticas de la industria, como los puntos de referencia CIS. Utilizar estándares de configuración es un control clave para todos los marcos de cumplimiento que soporta Secureframe, y le permite tener la confianza de que los recursos que está implementando serán seguros antes de ponerlos en producción.  

Los estándares de configuración son solo el primer paso para asegurar los recursos. Implementar antimalware, parches de seguridad continuos, y registro y monitoreo también son críticos para garantizar que sus recursos y su entorno en su totalidad estén protegidos contra vulnerabilidades. 

3. Escaneo de vulnerabilidades, DAST y SAST

Para encontrar y priorizar tantas vulnerabilidades como sea posible, considere usar una combinación de las técnicas y herramientas de escaneo detalladas a continuación. 

Escaneo de vulnerabilidades

Ahora que sus recursos y entorno han sido implementados utilizando estándares de configuración básicos y mejores prácticas de seguridad, como parches frecuentes y controles de seguridad multifacéticos, es hora de probar continuamente estos controles de seguridad a través del escaneo de vulnerabilidades.  

El escaneo de vulnerabilidades es un requisito importante para marcos de cumplimiento como SOC 2, ISO 27001 y PCI DSS. Cada marco de cumplimiento requiere escaneos de vulnerabilidades internos y externos regulares (generalmente trimestrales). 

El escaneo de vulnerabilidades de infraestructura interna implica ejecutar una herramienta de escaneo de vulnerabilidades, como Nessus u OpenVAS, en una máquina virtual o estación de trabajo con acceso a su entorno interno y escanear todos los dispositivos de red, servidores y recursos en busca de vulnerabilidades, como vulnerabilidades y exposiciones comunes divulgadas (CVE) y sistemas operativos y software desactualizados.

Lo mismo aplica para cualquier recurso expuesto externamente. Utilice una estación de trabajo que ejecute estas herramientas y escanee sus recursos públicos. Tenga en cuenta que, si necesita cumplir con PCI DSS, este escaneo de infraestructura externa debe ser realizado por un escáner aprobado por el consejo PCI DSS o ASV.

Si está utilizando un proveedor de servicios en la nube, es probable que este proveedor ofrezca un servicio que puede utilizar para realizar el escaneo de vulnerabilidades de infraestructura, como AWS Inspector o Azure Defender for Cloud.  

Escanear su infraestructura subyacente probablemente no sea suficiente para asegurar que está descubriendo todas las vulnerabilidades críticas dentro de su entorno en su totalidad o para cumplir con los requisitos de escaneo de vulnerabilidades de los marcos de cumplimiento.

Escaneo DAST

Si proporciona una aplicación o API orientada al público, estos servicios también deberán ser escaneados en profundidad. Utilizando herramientas de prueba de seguridad de aplicaciones dinámicas (DAST) como SOOS o Netsparker, puede simplemente ingresar su dominio público y credenciales para la autenticación, luego estos escáneres rastrearán su aplicación para encontrar todos los directorios, campos de entrada y funciones. También escanearán en busca de las 10 principales vulnerabilidades de OWASP, incluidas las de inyección, control de acceso roto y fuga de datos sensibles.

Escaneo SAST

Otro aspecto de la protección de las aplicaciones contra vulnerabilidades es implementar el escaneo de seguridad dentro del proceso de revisión de código. Puede hacerlo utilizando herramientas de prueba de seguridad de aplicaciones estáticas (SAST) como Sudoviz o SonarQube. Revisarán su repositorio de código y código fuente antes de que usted implemente los cambios de código en producción. Esto le ayudará a evitar que se liberen problemas de seguridad críticos y vulnerabilidades en su aplicación. Se recomienda encarecidamente una combinación de escaneo DAST y SAST para proteger sus aplicaciones en producción.

4. Evaluación de riesgos

Otro paso crítico en el proceso de gestión de vulnerabilidades es determinar el riesgo de su solución y servicio en su conjunto. Para ello, debe completar una evaluación de riesgos anualmente. Esto también es un requisito de cumplimiento.

Para completar una evaluación de riesgos, debe utilizar un marco de gestión de riesgos como el NIST 800-37. O, si es cliente de Secureframe, puede completar nuestro cuestionario de evaluación de riesgos.

La evaluación y gestión de riesgos implica:

• Documentar y rastrear riesgos
• Determinar quién es responsable de la gestión de riesgos
• Determinar el impacto en la seguridad que estos riesgos suponen para su organización
• Tener un plan para remediar o mitigar estos riesgos

5. Capacitación de empleados

El siguiente paso es enfocar sus esfuerzos de seguridad en lo que probablemente sea su activo más vulnerable: empleados y personal.

El phishing y otros tipos de ataques de ingeniería social siguen siendo una de las formas más frecuentes en que se roba información sensible. Es por eso que la mayoría de los marcos de cumplimiento requieren algún tipo de capacitación en concientización sobre seguridad.

Algunos marcos como PCI DSS requieren capacitación específica basada en los datos que las organizaciones respaldan, así como capacitación específica relacionada con la función laboral real para los usuarios. Por ejemplo, los desarrolladores de software deben completar una capacitación sobre código seguro relacionada con las mejores prácticas de codificación y vulnerabilidades comunes, como las que se encuentran en el OWASP Top Ten.

Marcos como FedRAMP van aún más lejos y requieren un compromiso de ingeniería social, como una campaña de phishing por correo electrónico, como parte de una prueba de penetración, de la cual hablaremos a continuación.

6. Pruebas de penetración

Ahora, la mejor manera de asegurarse de que todo lo anterior esté correctamente implementado sería que un hacker ético capacitado intente quebrantar todos esos controles de seguridad. Ahí es donde entran en juego las pruebas de penetración.

Las pruebas de penetración son la prueba de los estándares de configuración de una organización, el escaneo de vulnerabilidades, la gestión de riesgos y la capacitación sobre concientización en seguridad. Esto debe ser realizado por un probador de penetración calificado. Este es un profesional que ha sido certificado para realizar pruebas de penetración por órganos certificadores como Offensive Security, SANS o eLearnSecurity, o un profesional con experiencia realizando pruebas de penetración.

El alcance de la prueba de penetración lo determina la organización y puede basarse en requisitos de cumplimiento. Marcos como SOC 2, ISO 27001 y PCI DSS requieren que se incluya lo siguiente en la prueba de penetración:

• sistemas que almacenan, transmiten y procesan datos sensibles
• sistemas críticos
• sistemas que se conectan al entorno de datos sensibles

Las pruebas de penetración generalmente implican una combinación de pruebas de caja gris y caja blanca. Caja gris significa que el probador tiene acceso a cierta información, como un rango específico de direcciones IP, dominios o una lista de personal a atacar. Estas pruebas se inician externamente sin acceso otorgado a sistemas o aplicaciones. El probador de penetración intentará encontrar vulnerabilidades y realizar exploitaciones para obtener acceso a los sistemas desde internet o exfiltrar datos.

Una vez agotadas las pruebas de caja gris, el probador utilizará credenciales otorgadas para realizar pruebas desde dentro de redes y aplicaciones utilizando una variedad de accesos si hay diferentes niveles de privilegios. Utilizando este acceso, el probador tratará de escalar privilegios y descubrir vulnerabilidades en todo el entorno.

Los resultados de la prueba de penetración estarán en forma de un informe que describe la metodología de las pruebas de penetración, pruebas de concepto para todas las vulnerabilidades encontradas y orientación para la remediación.

Mejores prácticas de gestión de vulnerabilidades

Para asegurarte de que tu programa de gestión de vulnerabilidades esté configurado para el éxito, aquí hay algunas mejores prácticas a tener en cuenta:

• Usar automatización: La asignación de recursos es uno de los mayores desafíos que enfrentan las organizaciones al tratar de gestionar vulnerabilidades de manera efectiva. Las herramientas automatizadas de escaneo de vulnerabilidades pueden ayudar a que la gestión de vulnerabilidades sea más efectiva y rápida mediante el escaneo automático de vulnerabilidades y exposiciones comunes y el monitoreo del estado de los activos de TI.
• Crear capacitación consistente en cumplimiento y seguridad dentro de tu propia organización: A menudo, las brechas de datos y seguridad ocurren por error humano, por lo que proporcionar educación continua en conciencia de seguridad puede ayudar a reducir el riesgo interno de que ocurra una brecha.
• Establecer una política de gestión de vulnerabilidades: Una política de gestión de vulnerabilidades define el enfoque de tu organización para la gestión de vulnerabilidades. Es esencial para mantener un proceso y procedimientos para implementar un programa de gestión de vulnerabilidades.

Plantilla de política de gestión de vulnerabilidades

Una política de gestión de vulnerabilidades define un enfoque para la gestión de vulnerabilidades para reducir los riesgos del sistema y los procesos para incorporar controles de seguridad. Para ayudarte a comenzar a crear una política para tu organización, hemos creado una plantilla personalizable que puedes descargar a continuación.

Cómo automatizar la gestión de vulnerabilidades

Automatizar el proceso de gestión de vulnerabilidades puede ayudar a su organización a ahorrar tiempo y responder más rápidamente a las amenazas.

La automatización se puede aplicar a varios aspectos de la gestión de vulnerabilidades, incluyendo:

• Inventario de activos: Una plataforma de automatización puede crear un inventario de todos sus activos en función de las integraciones que conecte a la plataforma y garantizar que los dispositivos de su personal, los activos en la nube de la empresa y los repositorios de control de versiones se mantengan.
• Escaneo de vulnerabilidades: Las plataformas de automatización extraen datos de CVE de múltiples integraciones conectadas, organizan las vulnerabilidades en un solo lugar y le alertan automáticamente cuando se descubren vulnerabilidades.
• Gestión de riesgos: Con una plataforma de automatización, puede configurar un registro de riesgos para rastrear los riesgos en un solo lugar. Esto se puede actualizar cuando su organización introduce nuevos servicios, desea incorporar hallazgos de auditorías internas y externas, o responder a cambios en el entorno empresarial o tecnológico.
• Pruebas y capacitación: Una plataforma de automatización le permite configurar notificaciones para tareas regulares requeridas a lo largo del año, incluyendo el escaneo de vulnerabilidades y las pruebas de penetración. También puede configurar recordatorios para que el personal complete la capacitación en concienciación sobre seguridad.
• Monitoreo continuo: Una plataforma de automatización puede monitorear continuamente sus controles de seguridad y su cumplimiento con los marcos regulatorios e industriales.

Al buscar un producto de gestión automatizada de vulnerabilidades, busque uno que ofrezca una plataforma fácil de usar además de un equipo de expertos en seguridad y cumplimiento que puedan guiar a su organización en cada paso del proceso de gestión de vulnerabilidades.

Cómo Secureframe puede ayudar a las empresas a gestionar vulnerabilidades

Secureframe ofrece una solución integral para que pueda gestionar y organizar todos los requisitos de su marco de cumplimiento en un solo lugar, incluyendo su programa de gestión de vulnerabilidades.

Con Secureframe puede:

• Integrar su plataforma en la nube y herramientas de desarrollo para ver todas sus vulnerabilidades de servicios como AWS Inspector y Github en un solo lugar.
• Completar un cuestionario de riesgos anualmente y establecer su registro de riesgos donde puede gestionar continuamente sus riesgos a lo largo del año.
• Recibir orientación en la aplicación sobre los controles de seguridad basados en los recursos específicos que está utilizando dentro de su entorno. Por ejemplo, si configura una integración con AWS, recibirá pruebas relacionadas con las mejores prácticas de seguridad contra los recursos que está utilizando dentro de su cuenta de AWS.
• Recibir orientación sobre las pruebas de Secureframe y respuestas a cualquier pregunta que pueda tener de los gestores de cumplimiento.
• Acceder a una red de socios de auditores y firmas de pruebas de penetración de confianza.

Aprender más sobre cómo Secureframe puede ayudarle a gestionar vulnerabilidades programando una demostración personalizada hoy mismo.