90 minuti con activos vulnerables

10 de mayo de 2022

En ciberseguridad, cuando hacemos referencia a vulnerabilidades estamos hablando de debilidades en un sistema que permite a los atacantes comprometer la confidencialidad, integridad y disponibilidad de estos y la información y servicios soportados. Es decir, activos vulnerables.

Aunque no siempre es así, las vulnerabilidades se pueden atribuir al resultado de fallos en el diseño del sistema, que provoca que su desarrollo no se realice de acuerdo con las mejores prácticas relacionadas con la seguridad. En otras ocasiones son el resultado de las limitaciones tecnológicas porque, como todos conocemos, no existe un sistema 100% seguro.

Sabemos que existe un mercado muy potente de venta de exploits de vulnerabilidades para el que no tenemos aún solución, pero una correcta gestión de vulnerabilidades conocidas disminuye el tiempo de exposición ante posibles ataques y minimiza el riesgo de ser atacados a través de vectores de ataque conocidos.

Muchos de los casos más conocidos que están haciéndose públicos en estas fechas, y otros muchos que no salen a la luz, aprovechan esas vulnerabilidades que ya tienen solución y que las organizaciones no han corregido.

En casi todas las situaciones, un ciberatacante realiza su actuación en diferentes etapas:

Reconocimiento: es una fase en la que el atacante busca información sobre el objetivo, recurriendo habitualmente a fuentes públicas.
Preparación: donde el atacante prepara el artefacto que va a distribuir aplicando determinadas tácticas, técnicas y procedimientos.
Distribución: el atacante localiza un vector de ataque, habitualmente basado en el error humano.
Explotación: habitualmente basado en explotar una vulnerabilidad o una mala configuración de los sistemas que permita escalado de privilegios dentro del sistema comprometido.
Instalación: con el objetivo principal de lograr persistencia y camuflarse para evitar ser detectado y realizar el movimiento lateral dentro de la organización para comprometer otros sistemas más atractivos para el atacante.
Control: habitualmente con el objetivo de exfiltrar, secuestrar o destruir información.
Finalmente solicitar un rescate.

Es por esto por lo que la automatización y la alerta temprana de los activos vulnerables entran a jugar un papel esencial en la gestión de la ciberseguridad. La automatización permite detectar y responder de forma más efectiva a las amenazas conocidas. Es la forma más eficaz de disminuir la superficie de exposición.

… son molto longo

Los atacantes emplean métodos cada vez más sofisticados y diseñan nuevos ataques difíciles de detectar. Además, los sistemas de seguridad procesan cantidades ingentes de datos procedentes de multitud de fuentes que el humano es incapaz de procesar.

El creciente número de amenazas, añadido a un número limitado de recursos humanos dedicados a seguridad, provocan que en la actualidad se tarde más de 3 meses en descubrir una amenaza oculta en los sistemas.

Sin embargo, ¿cómo va un analista o un administrador de seguridad a tomar decisiones acertadas sobre una alerta si no dispone de toda la información necesaria?

Los analistas deben contar con el contexto que rodea a una alerta para decidir qué acciones tomar y el proceso manual de obtención de la información de toda la infraestructura de una organización puede durar días, semanas o incluso meses. Solo un dato: en el año 2021, se publicaron casi 22 mil vulnerabilidades, más de 60 al día.

¿Y si fuéramos capaces de detectar los activos vulnerables y alertar en tiempo real?

Si somos capaces de romper la barrera entre el mundo ITAM y la ciberseguridad, lo habremos conseguido.

Mientras los fabricantes de software y sistemas operativos identifican y versionan productos sin un criterio estandarizado, en el campo de la ciberseguridad esto lleva resuelto varios años. La estandarización en el campo de vulnerabilidades lleva ya tiempo normalizado, MITRE ha sido la responsable de realizar este trabajo.

El análisis y correlación de toda la información en tiempo real es la solución, pero sabemos que es inviable el disponer de escáneres de vulnerabilidades analizando permanentemente todos nuestros activos. Técnica y financieramente es muy complicado que una organización esté dispuesta a desplegar y mantener toda esa infraestructura. Además, desde la visión estratégica y prestación de servicios, es inviable exponer nuestros sistemas a una potencial perdida de rendimiento 0 incluso provocar una parada en el negocio.

Actualmente, la solución está en trabajar con información permanentemente recopilada y actualizada sin tener que interactuar con los sistemas en producción.

Con la base de conocimiento que puede aportar el descubrimiento y la correcta gestión de activos, todo el inventario de dispositivos, sistemas operativos, productos, su correspondencia con la nomenclatura estandarizada de seguridad (CPE) y la más amplia base de datos de vulnerabilidades y productos se puede tener una visión muy avanzada del estado de la seguridad de cualquier organización.

Una vez conocida cual es la vulnerabilidad que afecta a nuestros sistemas de información, estaremos en disposición para su gestión, alineando las decisiones al nivel de apetito del riesgo que estamos dispuestos a asumir.