En abril, la comunidad de ciberseguridad contuvo la respiración mientras el programa de Vulnerabilidades y Exposiciones Comunes (CVE) se sumía en una crisis existencial. Al final, un respiro de última hora salvó la situación.
Si bien los CVE no abarcan la totalidad de los problemas de seguridad de la red, siguen siendo un componente crucial que debe monitorearse en un programa de seguridad. Durante los últimos 25 años, el programa CVE se ha convertido en un recurso crucial, compartido y global que ayuda a los defensores de TI a mantener a sus usuarios seguros, y es importante que esta labor continúe.
Pero no es momento de celebrar. El modelo de gestión de vulnerabilidades tal como lo conocemos está fundamentalmente roto, ya que los CVE explotados representan solo una fracción del total de exposiciones empresariales. La mayoría de las herramientas tradicionales de gestión de exposiciones no abarcan todo el panorama, ya sea porque solo tienen visibilidad de un pequeño subconjunto de vulnerabilidades, porque no pueden ver todos los activos empresariales, o porque ambas cosas. Los defensores de la red necesitan un nuevo enfoque, y con urgencia.
¿Por qué es tan difícil gestionar la exposición?
Su trabajo se está volviendo más difícil debido a una confluencia de factores. Gran parte de ello se debe al tamaño y la complejidad de la superficie de ataque corporativa. Dependiendo de la organización, podría abarcar desde servidores y ordenadores locales hasta portátiles y smartphones que trabajan de forma remota, contenedores en la nube pública, dispositivos edge y tecnología operativa (OT).
Esto por sí solo representa un gran desafío de visibilidad, no solo porque los activos están ampliamente distribuidos, sino también porque, en entornos nativos de la nube, son dinámicos y efímeros.
Mientras tanto, los actores de amenazas se están profesionalizando con mayor determinación.
El problema con los CVE
Una gestión eficaz de la exposición será clave para garantizar que las organizaciones se mantengan a la vanguardia en los próximos años. Sin embargo, las herramientas y los métodos que muchas de ellas utilizan presentan deficiencias fundamentales, ya que no representan la totalidad de las vulnerabilidades/exposiciones existentes. Existen configuraciones incorrectas, problemas de segmentación, activos internos expuestos y otros problemas que serán explotados por los actores de amenazas.
Solo un tercio de las filtraciones de datos evaluadas por Verizon durante el último año se relacionaron con vulnerabilidades explotadas conocidas. E incluso si los CVE representaran la totalidad de las exposiciones, solo un pequeño porcentaje se explota de forma activa (el 0,5 %), según cifras citadas por el NIST.
Una mayor oportunidad para los atacantes surge del hecho de que las herramientas tradicionales no cubren todos los activos distribuidos en una superficie de ataque corporativa típica. Lo desconocido y lo inmanejable incluye no solo la TI en la sombra, sino también la tecnología operativa (TO), los dispositivos IoT y un sinnúmero de otros entornos donde las soluciones basadas en agentes y credenciales no son viables.
Otra ventaja para los actores de amenazas (y un impedimento para los defensores de la red) es la complejidad a menudo subestimada de los sistemas de puntuación CVE y su dependencia final de expertos que los utilizan de manera efectiva para clasificar y priorizar los problemas solucionables.
El Sistema de puntuación de vulnerabilidades común (CVSS), el Sistema de puntuación de predicción de exploits (EPSS) y el marco de categorización de vulnerabilidades específicas de las partes interesadas (SSVC) tienen algo que decir sobre la priorización, pero ninguno cuenta la historia completa, lo que lleva a una posible sobrecarga de alertas para equipos que ya están sobrecargados.
Asegurar toda la superficie de ataque
Para protegerse de la exposición al riesgo de la superficie de ataque, los equipos de seguridad y TI deben ir más allá de los enfoques basados en agentes y mucho más allá de los CVE. Al combinar el escaneo activo, el descubrimiento pasivo y las integraciones de API, es posible obtener una visibilidad completa de las superficies de ataque internas y externas, incluyendo dispositivos de TI en la sombra y activos potencialmente no gestionados, como los endpoints de OT e IoT.
A continuación, se trata de extraer la mayor cantidad posible de datos contextuales mediante tecnología de huellas dactilares para perfilar cada activo: qué servicios utiliza, quién es el propietario, si no tiene parches o está mal configurado, a qué está conectado, etc. Cuanto más profundo sea el análisis, más preciso será el perfil. La combinación de técnicas de recopilación de información, como la identificación precisa a nivel de sistema con interrogaciones personalizadas para el siguiente paso, que cubren las contraseñas predeterminadas específicas de esos dispositivos no administrados, permite a los defensores crear con rapidez y precisión perfiles completos y prácticos de la «materia oscura» de sus redes. Esto, en última instancia, proporcionará información detallada sobre exposiciones que, de otro modo, podrían permanecer en el misterio, como la falta de controles de seguridad, el software obsoleto y los activos de alto riesgo conectados a otras redes y dispositivos.
Ante todo, es fundamental centrarse en la simplicidad y la información basada en datos. Esto implica consolidar estas capacidades de vanguardia en una única plataforma capaz de utilizar información basada en riesgos para generar alertas priorizadas sobre las exposiciones.
Fuente y redacción: helpnetsecurity.com
