Ciberseguridad
ciber seguro
febrero 21, 2025
La gestion de vulnerabilidades es una actividad de nunca acabar, los equipo de trabajo deben estar atentos a la identificacion de nuevas debilidades en todos los recursos del ecosistema, como aplicaciones web, servidores, estaciones de trabajo, software de terceros, etc. Es un desafio y podria ser obstáculo aparentemente insuperable para las empresas.
Muchos desafios se encuentran al lidiar con una gran cantidad de nuevas vulnerabilidades descubiertas cada año, nuevos registros de CVEs (Common vulnerabilities and exposures) en multiples componentes como aplicaciones propias, librerias de terceros, entornos en la nube y nuevas tecnologias. Al mismo tiempo hay que identificar el contexto para hacer uan evaluacion de riesgo y saber por donde iniciar, en que trabajar y remediar primero, que podria causarnos un mayor impacto si alguna amenaza llega a materializarse.
Una buena idea es priorizar las vulnerabilidades más críticas basado en el contexto y conocimiento del entorno y los recursos tecnologicos. Para darle un poco mas de inteligencia a esta gestion, algunos fabricantes aprovechan el analisis continuo de datos con información de vulnerabilidades, bases de conocimiento y reportes de inteligencia de amenazas de multiples fuentes, que ayudan a tener una vision general de nuevas amenazas, explotaciones y movimientos de los actores de amenaza. Esto permite tener una analisis mas amplio para tomar decisiones rápidas de priorización, que tratar de correr detras de cada nuevo CVE, sin un detalle mas profundo.
Por ejemplo, solo en esta primera mitad del año 2024, se va a superar el numero de 30.000 CVEs publicados. Para complicar más las cosas, se tan viendo más vulnerabiliades de componentes, bibliotecas y lenguaje subyacentes. Esto se traduce en que las empresas no están trabajando en rmediar solo una aplicacion o sistema, sino que están intentando remediar todas las aplicaciones y sistemas que utilizan el componente vulnerable afectado.
El catálogo de vulnerabilidades explotadas conocidas (KEV) de CISA, se ha convertido en un recurso valioso que permite ver y tener un enfoque particular en las vulnerabilidades que han sido explotadas en entornos reales (exploitation in the wild). El riesgo asociado con estas vulnerabilidades se ha convertido en un punto de referencia util para los equipos de investigación, rastrear como cubrir y remediar estas vulnerabilidades. “CISA mantiene una fuente confiable de vulnerabilidades que han sido explotadas en empresas. Las organizaciones deben utilizar el catálogo KEV como insumo para su marco de priorización de gestión de vulnerabilidades”
Una vulnerabilidades se podría definir como debilidad o error en la operación, diseño o implementación de sistemas. Puede ser software, hardware, procedimental o una debilidad de las personas. Estas son identificadas todos los años, se les asgina un valor unico llamado CVE y tambien se tienen sistemas de medicion comunes, que permiten verificar su nivel de criticidad como es CVSS, que va en la version 4.
Aqui mostramos algunas de las vulnerabilidades comunes:
Razones de la existencia de vulnerabilidades
Aprovechando los datos de contexto y actividades de ciberamenazas se puede tomar accion de forma efectiva, consultando varias fuentes de informacion, ya que hay un retraso importante en la actualizacion de las fuentes oficiales como por ejemplo, la base de datos nacional de vulnerabilidades (NVD), donde muchas autoridades de numeracion de CVE (CNA) estan reportando nuevas vulnerabilidades. Estos proveedores, investigadores, CERTs y demas, estan autorizados por el programa CVE para asignar numeros unicos identificadores CVE a las vulnerabilidades y publicar los registros dentro de sus propios alcances específicos de cobertura.
Dato curioso: Estos son algunos de los unicos CNAs autorizados que hay en Latinoamerica:
Esta inteligencia realiza el analisis de informacion y se representa en diferentes categorías de riesgo de vulnerabilidades, para destacar las que tienen el nivel más alto de amenazas y de prioridad. Estas categorías se basan en puntos de datos que alimentan la base de datos de vulnerabilidades de fabricantes (como Tanable referente en este articulo) e impulsan nuestras las decisiones de calificación de riesgos.
Las categorías incluyen:
Amenazas emergentes: conjunto de vulnerabilidades que los equipos de respuesta monitorean activamente
VPR: una puntuación numérica para ingresar y clasificar rápidamente, basado el contexto detrás
Ransomware: asociadas con este tipo de amenaza, en las principales aplicaciones empresariales, ya que particularmente son peligrosos para cualquier organización
Enfocarse en cualquiera de estas categorías objetivo puede reducir significativamente la cantidad de CVE a seguir. Aproximadamente 250.000 CVEs se han publicado y esto se vuelve mucho más manejable cuando se habla de un contexto y la relacion con el riesgo dentro de cada organizacion.
Estas capacidades permiten a los equipos desarrollar estrategias de gestión de vulnerabilidades que sean medibles y reflejen el riesgo del mundo real. La mayoría de los gráficos de vulnerabilidades terminan pareciendo una línea exponencial que va creciendo, por que la cantidad de vulnerabilidades nuevas que ingresan, terminan superando la cantidad de vulnerabilidades que se solucionan de manera continua.
La priorización y la operacion de las vulnerabilidades ha sido durante mucho tiempo un gran desafío, la gran cantidad que se publican cada año, se podria traducir en que los equipos simplemente no pueden seguir el ritmo y la falta de un contexto para la priorización, un desafio. Una enorme cantidad de trabajo y esfuerzo que no es suficiente.
La evaluación de la vulnerabilidad es un examen en profundidad de la capacidad de un sistema o aplicación, incluidos los procedimientos y controles de seguridad actuales, para soportar la explotación y de paso, identificar debilidades presentes. Los datos obtenidos de la evaluacion se pueden resumir:
Esta evaluacion se realiza de multiples formas, no unicamente con el uso de herramientas automatizadas de escaneo, tambien,se puede hacer de forma manual, escuchado trafico, de manera interna o externa; como podemos ver a continuacion.
| Tipo de evaluacion | Descripcion | |
| Interno | Evalua la infraestructura desde el interior para descubrir vulnerabilidades | |
| Externo | Analiza los recursos desde la perspectiva de atacante, para descubrir puntos debiles en sistemas que le dan la cara a internet o son accesibles desde redes externas | |
| Activo | Se utilizan herramientas con interaccion directa, como escaneadores de red, para encontrar hosts, servicios y vulnerabilidades | |
| Pasivo | Se usan herramientas para escuchar el tráfico de red (sniffing), para descubrir sistemas operativos, servicios de red, puertos y vulnerabilidades presentes. Sin tener una interaccion directa con los recursos | |
| Basado en host | Se realiza una verificacion o auditoria de las configuraciones del sistema, para dispostivos finales que puede incluir cuentas de usuarios, sistemas de archivos, registro, softare instalado, etc. Para evaluar la posibilidad de compromiso | |
| Aplicacion | Prueba todos los elementos del la infraestructura o compoenetes de una aplicacaion, para identificar malas practicas, controles de seguridad o vulnerabilidades web | |
| Red inalambrica | Determina la presencia de vulnerabilidades en redes inalámbricas |
En ciberseguridad en linea tenemos un servicio de gestion y analisis de vulnerabilidades, disponible para las empresas y profesionales que esten interesados, usamos herramientas tanto open source, como licenciadas, con precios competitivos para servicios prestados por profesionales y especialistas de la ciberseguridad. Si quieres mas informacion: https://ciberseguridadenlinea.com/pages/consultoria
Puedes escribirnos a: [email protected], [email protected]
Autor: Daniel Espinosa
Linkedin – https://www.linkedin.com/in/danielespinosaleal/
Referencias:
https://www.tenable.com/blog/turning-data-into-action-intelligence-driven-vulnerability-management
https://www.cisa.gov/known-exploited-vulnerabilities-catalog
