Tras casi una década de cifras relativamente estables, se ha producido un repunte espectacular en el número de vulnerabilidades y exposiciones comunes (CVE) de nueva aparición, pasando de algo menos de 6.500 en 2016 a más de 14.700 en 2017. Desde entonces, el número no ha hecho más que aumentar de forma exponencial. Los hackers éticos de HackerOne identificaron lapequeña cantidad de 65.000 vulnerabilidades el año pasado. Según estos hackers, el rápido ritmo de la transformación digital ha sobrepasado las medidas de seguridad, lo que ha provocado un aumento de los informes sobre vulnerabilidades, con un incremento de los errores de configuración y las autorizaciones indebidas del 150% y el 45% respectivamente.

En la era de la interconexión, las vulnerabilidades de los sistemas son un talón de Aquiles potencial para las organizaciones. Las crecientes superficies de ataque, la reducción de los presupuestos y la escasez de expertos en seguridad, sitúan a las empresas en una posición peligrosa. Aunque todavía no es un escenario apocalíptico, sí es una llamada de atención. Si las organizaciones toman las medidas proactivas adecuadas, las vulnerabilidades podrán remediarse rápidamente, los errores de configuración podrán detectarse antes y podrán implantarse mecanismos de autenticación seguros, lo que reducirá significativamente la probabilidad de éxito de los ataques.

Los desafíos de la gestión de vulnerabilidades

Dado que las vulnerabilidades no parcheadas fueron el segundo vector de ataque más común en 2022, la gestión proactiva de vulnerabilidades debe ser un componente crítico de la resistencia de las organizaciones. Las medidas reactivas, que solo abordan las vulnerabilidades después de que hayan sido explotadas, son en gran medida ineficaces y pueden dar lugar a costosas intrusiones. La única manera de avanzar es adoptar un enfoque proactivo, que no se limite a identificar los puntos débiles, sino que corrija las vulnerabilidades antes de que se conviertan en puntos de entrada para los actores de amenazas.

A pesar de su importancia, las organizaciones se enfrentan habitualmente a diversos desafíos en la gestión de vulnerabilidades. El enorme volumen de vulnerabilidades existente y la falta de recursos dedicados, hacen que sea difícil mantenerse al día. La complejidad de los entornos informáticos, construidos a partir de una red de sistemas, software y redes, dificulta la visibilidad. Además, las vulnerabilidades suelen abarcar varios sistemas y aplicaciones, dificultando las tareas de remediación. Y los parches pueden introducir nuevas vulnerabilidades o provocar interrupciones del sistema y tiempos de inactividad. Pero, sean cuales sean los desafíos, las empresas deben dar prioridad a la gestión y corrección de las vulnerabilidades para evitar convertirse en una estadística.

Pasos para remediar las vulnerabilidades

La remediación de vulnerabilidades es el proceso consistente en corregir o mitigar las vulnerabilidades de los sistemas o el software. Puede llevarse a cabo mediante un proceso de cuatro pasos utilizando las herramientas adecuadas.     

Paso 1: Mapeo de la superficie de ataque a través de un programa de gestión de vulnerabilidades

Comprender su entorno es la primera línea de defensa. Una solución integral de gestión de vulnerabilidades le permitirá elaborar un mapa de su entorno digital e identificar todos los activos visibles y ocultos.

Es conveniente adoptar un enfoque de «giro a la izquierda» que traslade las comprobaciones de seguridad a las fases más tempranas del ciclo de desarrollo. Elija una solución que analice continuamente los entornos en busca de vulnerabilidades conocidas y emplee distintos métodos de análisis en función de la fase del ciclo de vida de cada producto y del tipo de entorno. Debe incluir una herramienta de pruebas de «caja blanca», como las pruebas estáticas de seguridad de las aplicaciones (SAST), para examinar el código fuente en busca de problemas de seguridad durante la fase de desarrollo. Así mismo, conviene utilizar una herramienta de «caja negra», como las pruebas dinámicas de seguridad de las aplicaciones (DAST), para comprobar las aplicaciones en ejecución durante las fases de prueba y preparación, y una herramienta de autoprotección de aplicaciones en tiempo de ejecución (RASP) para identificar las vulnerabilidades en tiempo real en los entornos de producción.

Paso 2: Comprenda sus riesgos y establezca prioridades

No todas las vulnerabilidades son iguales, y no todas necesitan ser corregidas. A la hora de priorizar las vulnerabilidades, hay que tener en cuenta el nivel de amenaza, el impacto potencial en las actividades de la empresa, la sensibilidad de los datos afectados y el cumplimiento de la normativa.

Para optimizar las tareas de corrección, necesitará un análisis automatizado y una investigación manual. Las herramientas de pruebas de penetración identificarán los falsos positivos, reduciendo el número de vulnerabilidades que debe tener en cuenta, mientras que su plataforma de gestión de vulnerabilidades le ayudará a comprender el riesgo de cada vulnerabilidad asignándole una puntuación mediante el sistema de puntuación de vulnerabilidades comunes (CVSS).

Asegúrese de que la inteligencia sobre amenazas esté integrada en sus procesos de gestión de vulnerabilidades, ya que es crucial a la hora de establecer prioridades. La inteligencia sobre amenazas permite identificar las vulnerabilidades que los actores de amenazas están explotando activamente, evaluar si hay exploits disponibles públicamente para vulnerabilidades conocidas, vincular vulnerabilidades a TTPs de actores de amenazas y proporcionar información sobre las amenazas más relevantes para el sector al que pertenece una organización.

Paso 3: Parchear, reforzar y verificar su entorno
La gestión de parches es el pilar fundamental de la corrección de vulnerabilidades; sin embargo, implica una planificación, evaluación y ejecución meticulosas en consonancia con las políticas de su organización.

Revise las acciones recomendadas por su sistema de gestión de vulnerabilidades, pero tenga en cuenta también los requisitos particulares de su empresa. En última instancia, hay tres formas de tratar las vulnerabilidades:

• Remediación – Esto hace referencia a corregir o parchear completamente una vulnerabilidad.
• Mitigación – Esto reduce el impacto de la vulnerabilidad cambiando la configuración o aplicando controles compensatorios. Puede ser necesaria si no hay ningún parche disponible o si es posible que la aplicación de parches pudiera provocar tiempos de inactividad durante periodos críticos para la empresa.
• Aceptación – Puede no ser necesaria ninguna acción para las vulnerabilidades de baja gravedad, las que no se encuentran en entornos activos o las que han quedado obsoletas debido a otras configuraciones ajustadas.

Tras aplicar los parches y reforzar el entorno configurando los sistemas de forma segura, realice pruebas exhaustivas para asegurarse de que los cambios no introducen consecuencias no deseadas. Este proceso iterativo de aplicación de parches, refuerzo y verificación es esencial para cualquier estrategia de corrección de vulnerabilidades.

Paso 4: Establecer una supervisión ininterrumpida de todos los sistemas y entornos

La defensa proactiva requiere un compromiso continuo. Realice una evaluación periódica y continua de las vulnerabilidades para conocer la eficacia de su programa. Revise los informes de su solución de gestión de vulnerabilidades para conocer qué tácticas de corrección solucionaron las vulnerabilidades con el menor esfuerzo, supervise las tendencias en materia de vulnerabilidades de su red y asegúrese de que su empresa mantiene el cumplimiento de los requisitos normativos.

La supervisión continua es igualmente importante. Proporciona detección de amenazas en tiempo real para que las actividades sospechosas puedan identificarse con prontitud y abordarse con rapidez. Las herramientas de gestión de eventos e información de seguridad (SIEM) analizan en tiempo real las alertas de seguridad generadas por las aplicaciones y el hardware de la red, al tiempo que reducen eficazmente los falsos positivos y las avalanchas de alertas. Un sistema de detección de intrusos (IDS) añade una capa de seguridad adicional al supervisar y analizar el tráfico de la red en busca de indicios de actividades maliciosas.

El tiempo medio de reparación (MTTR) y su importancia

A la hora de evaluar la eficacia de un programa de gestión de vulnerabilidades, las organizaciones deben hacer un seguimiento de su tiempo medio de reparación (MTTR), una métrica que cuantifica el tiempo medio que se tarda en solucionar una vulnerabilidad una vez identificada. Un MTTR más bajo es indicativo de una estrategia de ciberseguridad más eficiente y con mayor capacidad de respuesta.

Los responsables de seguridad pueden mejorar su MTTR fomentando una cultura de colaboración y comunicación dentro de sus equipos técnicos, automatizando los procesos de exploración y corrección de vulnerabilidades, estableciendo criterios claros de priorización de vulnerabilidades en función de su gravedad e impacto potencial, invirtiendo en las herramientas y tecnologías de seguridad adecuadas y manteniendo una cadencia regular de evaluaciones de vulnerabilidades y pruebas de penetración.

Los enfoques proactivos contra las amenazas

La naturaleza cambiante de las amenazas exige que la gestión de vulnerabilidades sea continua, iterativa y se nutra de fuentes actualizadas de inteligencia sobre amenazas. La diferencia radica en la intención: uno busca fortalecer las vulnerabilidades, el otro explotarlas en el instante en que la empresa deja de prestar atención o baja la guardia.

Al adoptar un enfoque proactivo de la gestión de vulnerabilidades y la supervisión continua, las empresas pueden minimizar su superficie de ataque, reducir el tiempo medio de reparación, fortalecer sus infraestructuras digitales y mantenerse un paso por delante de los adversarios.