Definición de gestión de vulnerabilidades
En términos de Seguridad de la red, la gestión de vulnerabilidades (VM o Vulnerability Management) es el proceso continuo, y a menudo automatizado por terceros, de buscar, testear, analizar, clasificar y hacer un seguimiento de vulnerabilidades y ciberamenazas. Lo realiza un software de gestión de vulnerabilidades, a veces como parte de la Seguridad como servicio o de la gestión de vulnerabilidades como servicio (VMaaS).
VM puede considerarse un término general que incluye varios componentes, entre ellos escaneo de vulnerabilidades, evaluación de vulnerabilidades, gestión de ciberamenazas, gestión de ciberriesgos y gestión de la superficie de ataque. Tanto los escaneos de vulnerabilidades como las evaluaciones de vulnerabilidades son componentes críticos de la gestión de vulnerabilidades.
Escaneo de vulnerabilidades
El escaneo de vulnerabilidades se refiere al escaneo de todos los activos internos y externos para identificar las debilidades o vulnerabilidades de Seguridad. Proporciona los datos necesarios para evaluar la postura de Seguridad de los dispositivos y las redes.
Evaluación de vulnerabilidades
La evaluación de vulnerabilidades identifica, clasifica, cuantifica y prioriza las vulnerabilidades que existen en los ordenadores, aplicaciones y redes. Las evaluaciones de vulnerabilidades utilizan el escaneo de vulnerabilidades para identificarlas y, a continuación, utilizan los datos pertinentes para evaluar los riesgos que suponen para la organización.
Gestión de ciberamenazas
La gestión de ciberamenazas puede incluirse en la gestión de vulnerabilidades, pero va más allá de las vulnerabilidades. La gestión de ciberamenazas coordina la identificación y la respuesta a las amenazas para poder neutralizarlas eficazmente. Se diferencia del término Detección y Respuesta a las Amenazas (TDR o Threat Detection and Response), que se centra en la identificación y remediación de las amenazas dentro de una infraestructura de IT.
Gestión de ciberriesgos
La gestión de ciberriesgos (CRM o Cyber Risk Management ) identifica los riesgos que amenazan la Ciberseguridad de una organización. Esto incluye las vulnerabilidades y las amenazas, su explotabilidad y el impacto que la explotación puede tener en una organización. CRM tiene por objeto evaluar y gestionar la postura general de Ciberseguridad de una organización.
Gestión de la superficie de ataque
La gestión de la superficie de ataque (ASM o Attack Surface Management) consiste en el descubrimiento y la supervisión continuos de la Seguridad de cualquier activo digital externo que transmita y procese datos sensibles. La gestión de la superficie de ataque asegura las numerosas posibilidades de vulnerabilidad fuera de un firewall que los atacantes encuentran en su búsqueda de organizaciones vulnerables.
Beneficios de la gestión de vulnerabilidades
Un programa de gestión de vulnerabilidades exhaustivo y bien ejecutado permite reducir los riesgos y mitigar los daños a organizaciones de todos los tamaños en todas las industrias. Otros beneficios de la gestión de vulnerabilidades son:
- Visibilidad de la Seguridad en tiempo real en todos los activos
- Disponibilidad de reportes del programa de Seguridad
- Descubrimiento de las prioridades de formación de los desarrolladores para mitigar futuras vulnerabilidades
- Uso eficiente de los recursos de personal
- Cumplimiento de los protocolos de Seguridad
- Rápida remediación
Más que un escaneo de vulnerabilidades
Como se ha dicho, la gestión de vulnerabilidades (VM) abarca una serie de componentes, incluyendo el escaneo de vulnerabilidades y la evaluación de vulnerabilidades, que actúan juntos para proporcionar el máximo beneficio a la organización. El escaneo de vulnerabilidades por sí solo no es suficiente para un programa de Seguridad, dada la complejidad actual de la red y la expansión de los vectores de amenaza. Generar una lista de puntos débiles sin un contexto de riesgo no servirá para mucho. Los equipos de IT no pueden permitirse remediar vulnerabilidades que no tengan un impacto significativo en su postura de Seguridad.
Soluciones modernas de gestión de vulnerabilidades
La gestión de las redes cada vez más complejas de hoy en día requiere un enfoque moderno de gestión de vulnerabilidades que utilice el contexto de riesgo y la inteligencia de amenazas. La gestión de vulnerabilidades basada en riesgos se basa en el escaneo de vulnerabilidades mediante el uso de criterios acordados para clasificar, filtrar y priorizar las respuestas y la remediación para el equipo de IT de la empresa.
Los criterios acordados deben basarse en el contexto de riesgo relacionado con la empresa específica, su industria y las ciberamenazas actualmente conocidas y previstas (el panorama de amenazas). Al igual que la gestión de vulnerabilidades, la gestión de vulnerabilidades basada en riesgos es, idealmente, un proceso continuo y dinámico, respaldado por el aprendizaje automático, que puede predecir qué vulnerabilidades tienen más probabilidades de ser explotadas y permiten una remediación eficiente. La remediación inteligente es la única forma de evitar un enfoque ineficaz de golpear al azar en la gestión de vulnerabilidades.
Elección de una solución de gestión de vulnerabilidades
A medida que el panorama de amenazas continúa expandiéndose y los endpoints de la red proliferan, las empresas de todo el mundo deben elegir la mejor configuración para proteger sus activos digitales más importantes. Las vulnerabilidades no dejarán de aumentar. Un buen programa de gestión de vulnerabilidades debería:
Software de gestión de vulnerabilidades
Cada día se descubren nuevas vulnerabilidades. Considere la posibilidad de implementar un software de gestión de vulnerabilidades para mantener su sistema seguro. Digital Defense entiende los desafíos que supone mantener la Seguridad de su red. Nuestra plataforma SaaS (Software as a Service) exclusiva, Frontline.Cloud, puede ayudarle a proteger los activos críticos de su empresa. El uso de un software de gestión de vulnerabilidades puede ayudar a ofrecer un escaneo de alta calidad, resultados precisos y una configuración adecuada de los recursos que gestionan los activos de Seguridad de la información.
¿Por qué es necesaria la gestión de vulnerabilidades?
Una vulnerabilidad de la red representa una brecha de Seguridad que puede ser utilizada por los atacantes con fines maliciosos. Una amenaza de Seguridad puede explotar los sistemas para provocar una denegación de servicio o incluso robar información potencialmente sensible. Los atacantes siempre están buscando nuevas vulnerabilidades para explotarlas accediendo a las vulnerabilidades antiguas que pueden haber pasado desapercibidas. Disponer de un marco de gestión de vulnerabilidades puede ayudar a testear y gestionar nuevas vulnerabilidades con regularidad. Esto es crucial para prevenir brechas de Ciberseguridad.
¿Cuál es la diferencia entre gestión de vulnerabilidades, evaluación de vulnerabilidades, escaneo de vulnerabilidades y pentesting?
Hay algunos términos en el ámbito de la gestión de vulnerabilidades (VM) que pueden resultar confusos. En aras de la claridad, presentamos un resumen de cuatro términos y sus definiciones.
Gestión de vulnerabilidades
La gestión de vulnerabilidades (VM) es el proceso continuo y automatizado de buscar, probar, analizar y clasificar las amenazas a la Seguridad en las redes, los Sistemas Operativos y el software según el contexto de riesgo, para luego cerrar las vulnerabilidades y formar a los interesados para que se defiendan contra las brechas de Seguridad. Se trata de un amplio programa de escaneos, análisis, calificaciones, pruebas y remediaciones continuos.
Lo realiza un software de gestión de vulnerabilidades basado en la Cloud, a veces como parte de la Seguridad como servicio (SECaaS o Security-as-a-Service) o de la gestión de vulnerabilidades como servicio (VMaaS o Vulnerability-Management-as-a-Service). La gestión de vulnerabilidades como servicio (VMaaS) es un proceso organizado y continuo de descubrimiento, evaluación y corrección de vulnerabilidades en un entorno de red. VM es un término general que incluye los otros en esta página.
Evaluación de vulnerabilidades
La evaluación de vulnerabilidades es una actividad puntual, comparada con la naturaleza continua de VM, que descubre debilidades de Seguridad en los Sistemas Operativos, el software y/o los elementos de hardware evaluados. Las evaluaciones de vulnerabilidades suelen ser un proceso automatizado que puede durar días o incluso semanas. Esencialmente, una evaluación determinada es un compromiso que se lleva a cabo una vez. Una organización que recibe la información obtenida de una evaluación de vulnerabilidades probablemente tomará medidas basadas en los resultados. Por ejemplo, la organización puede correlacionar las vulnerabilidades identificadas con el conocimiento de la disponibilidad de exploits, la arquitectura de Seguridad y las amenazas del mundo real.
La organización probablemente también intentará remediar algunas de las vulnerabilidades identificadas y asignará las que se consideren críticas a su personal de Seguridad de IT. Aunque la realización de una evaluación única seguida de la adopción de las acciones mencionadas anteriormente son actividades críticas y son elementos de VM, si la organización se detiene en una evaluación única y no realiza evaluaciones de vulnerabilidades recurrentes, no se trata realmente de gestión de vulnerabilidades. VM es la evaluación continua y repetida de las vulnerabilidades.
Escaneo de vulnerabilidades
El escaneo de vulnerabilidades analiza todos los activos internos y externos, ya sean locales, basados en la nube o híbridos. El escaneo proporciona la información necesaria para evaluar la postura de Seguridad de los dispositivos conectados a las redes de una organización en todo el mundo mediante una IP individual o a nivel de la empresa. El escaneo debe incluir el hardware, las redes y las aplicaciones para ser eficaz. Los tipos de escaneo de vulnerabilidades incluyen:
- externo
- interno
- autorizado
- no autorizado
- integral
- limitado
Los escaneos de vulnerabilidades son diferentes del pentesting. El pentesting está diseñado para explotar activamente las debilidades para demostrar que son explotables. Los escaneos de vulnerabilidades sirven para identificar las vulnerabilidades y crear conciencia de ellas para poder mitigarlas.
Pentesting
El pentesting, también conocido como hackeo ético, es otra parte de la gestión de vulnerabilidades integral. A veces se confunde con el escaneo de vulnerabilidades, pero difiere en algunos aspectos. El escaneo suele ser automatizado y amplio: encuentra todas las vulnerabilidades. El pentesting, o test de penetración, suele ser una prueba manual realizada por un profesional de la Seguridad para encontrar y explotar una vulnerabilidad específica del sistema. Mientras que un escaneo de vulnerabilidades puede encontrar vulnerabilidades, el pentesting determina si una vulnerabilidad potencial es realmente explotable y si podría llegar a comprometer los datos.
Las organizaciones pueden utilizar los resultados para examinar el coste financiero, de recursos y de reputación de una posible brecha y, a continuación, planificar la remediación. El pentesting a veces forma parte de los acuerdos de Cumplimiento, como las normas del sector de las tarjetas de pago (PCI) que rigen las entidades que procesan pagos con tarjeta de crédito.
Vulnerabilidades vs. Amenazas vs. Riesgos
La Seguridad de la red consiste en identificar y remediar las vulnerabilidades de Seguridad, cuyo éxito depende en gran medida de la evaluación de riesgos y la identificación de amenazas. En muchos debates sobre Seguridad se utilizan indistintamente los términos vulnerabilidad, riesgo y amenaza. Pero en el entorno de la Ciberseguridad tienen significados muy diferentes.
Una vulnerabilidad, en pocas palabras, es una brecha en la Seguridad de la red de una empresa. Estas brechas de Seguridad pueden estar en cualquier lugar de la red, desde los servidores hasta las estaciones de trabajo, los smartphones o los dispositivos de IoT. Se trata de un punto débil conocido que podría ser explotado, la puerta por la que el atacante puede acceder. Entre las vulnerabilidades más comunes se encuentran los datos de los que no se hace una copia de Seguridad, una configuración de la nube poco segura, normas poco estrictas sobre el acceso a los datos y planes de recuperación de datos débiles o inexistentes. Los escaneos de vulnerabilidades identifican las vulnerabilidades del sistema, lo que hace que sea más fácil abordar una brecha de Seguridad.
Una amenaza es algo que puede explotar una vulnerabilidad. Es de lo que se defiende una organización. Una amenaza puede ser deliberada, como los virus y el malware, o involuntaria, como la pérdida de credenciales. Algunas de las principales amenazas según el Informe de investigaciones sobre filtraciones de datos de Verizon (DBIR) en 2020 incluían:
- denegación de servicio
- phishing
- entrega errónea de documentos y correo electrónico
- uso de credenciales robadas
A grandes rasgos, las amenazas pueden dividirse en cuatro categorías: estructuradas, no estructuradas, internas y externas. El panorama de las amenazas está en constante cambio, por lo que puede ser difícil saber lo que está por venir. Pero un equipo de Seguridad de IT sólido puede tomar medidas, como mantenerse al tanto de las amenazas existentes y en evolución, emplear un buen software de gestión de vulnerabilidades y realizar test de penetración basados en amenazas conocidas.
El riesgo es el posible daño que podría ocurrir si una amenaza explota una vulnerabilidad. Un riesgo podría ser:
- posible pérdida financiera
- pérdida o corrupción de datos
- daño a la reputación
- problemas legales y de Cumplimiento.
Cada empresa debería conocer su contexto de riesgos, que constituye la base de cómo abordar las vulnerabilidades de Seguridad conocidas. Todas las organizaciones se enfrentan a riesgos de Ciberseguridad, pero comprender los riesgos específicos a los que puede enfrentarse una compañía o empresa puede ayudar a priorizar la remediación.
Un buen programa de VM debe entender los riesgos de un cliente específico para encontrar y remediar las vulnerabilidades, lo que reduce la posibilidad de daños de amenazas nuevas y existentes.
Costos y Cumplimiento
Nadie quiere admitirlo, pero la mayoría de las empresas sufrirán algún tipo de brecha. Solo es cuestión de tiempo. Un programa sólido de gestión de vulnerabilidades puede reducir el costo de una brecha inevitable, al tiempo que reduce la frecuencia y la gravedad.
La brecha de Seguridad media en Estados Unidos en 2020 costó 8,6 millones de dólares, según el Informe sobre el costo de las filtraciones de información del Ponemon Institute. Normalmente, una organización tarda más de nueve meses en reconocer y detener una brecha. Reducir ese plazo en solo dos meses puede reducir los costes asociados en 1 millón de dólares. Los programas automatizados de VM que incluyen el testeo de los planes de respuesta pueden ahorrar otros 5 millones de dólares.
Una idea errónea común es que solo las empresas muy grandes deben preocuparse por la gestión de vulnerabilidades. Pero empresas de todos los tamaños pueden ser víctimas de vulnerabilidades explotadas. Alrededor del 30% de las brechas de Seguridad en 2019 involucraron a pequeñas empresas, según el Informe de investigaciones sobre filtraciones de datos de Verizon (DBIR) de 2020. E incluso pagan costos más elevados en relación con su tamaño. Las organizaciones con menos de 500 empleados pierden una media de 2,6 millones de dólares en una brecha, mientras que un solo incidente puede costar a las grandes empresas con 25.000 empleados o más por encima de los 5,5 millones de dólares.
La gestión de vulnerabilidades es importante en todas las industrias.
Aunque las brechas en el ámbito del sector salud tienen el costo medio más elevado, incluso las empresas inmobiliarias y agrícolas sufrieron incidentes de Seguridad, según el DBIR. Además de evitar el costo de un problema de Seguridad, la mayoría de las empresas quieren mantenerse en el lado correcto de las reglamentaciones. Las empresas de casi todos los sectores tienen que considerar cuestiones de Cumplimiento normativo. Las empresas sanitarias deben salvaguardar la información personal identificable (PII) como parte de la Ley de portabilidad y responsabilidad del seguro de salud (HIPAA). Las entidades que hacen negocios en Europa deben cumplir con el Reglamento General de Protección de Datos (RGPD o GDPR), y cualquiera en cualquier lugar que acepte pagos con tarjeta de crédito debe proteger los datos del titular de la tarjeta de acuerdo con las Normas de seguridad de datos de la industria de tarjetas de pago (PCI DSS).
Además de la preocupación por los costos y las cuestiones de Cumplimiento, todas las organizaciones, grandes y pequeñas, dependen de la confianza de sus clientes y socios. Más del 80% de las fugas de datos comprometieron información personal identificable de los clientes (PII), que es el tipo más común y más costoso de filtración de datos. La pérdida de Negocio debida a la desconfianza de los clientes y de los clientes potenciales, supuso 1,5 millones de dólares del costo por incidente. Esto supone aproximadamente el 40% del costo total medio de una violación de datos, según Ponemon.
La gestión de vulnerabilidades ayuda a allanar el camino para que las organizaciones logren el Cumplimiento de las normativas de Seguridad de forma eficiente, pero no se trata solo de eso. El uso de una solución moderna de VM garantiza que los puntos débiles más importantes de sus sistemas se aborden en primer lugar. De este modo, se maximizan los recursos de IT y su impacto en la postura general de Seguridad, con lo que se pueden evitar las costosas y perjudiciales infracciones, al tiempo que se cumplen las normativas.
Cómo Digital Defense ayuda en la gestión de vulnerabilidades
Aunque algunos líderes empresariales los consideran un lujo, los programas de gestión de vulnerabilidades son imprescindibles para que cualquier organización mantenga sus activos digitales seguros en todo momento. El riesgo de que una fuga de datos provoque el robo de activos como secretos comerciales, datos de tarjetas de crédito y otra información sensible es demasiado alto, por lo que se debe adoptar una postura proactiva en materia de Seguridad.
Digital Defense, de Fortra, es un proveedor líder de servicios de Seguridad que entiende la importancia de una adecuada evaluación de riesgos. Durante más de 20 años, ha proporcionado a sus clientes muchas soluciones SaaS (Software-as-a-Service, software como servicio) de alta calidad para la evaluación de vulnerabilidades y amenazas.
Esta línea de productos puede dar a su empresa la protección que necesita contra los ciberataques al tiempo que agiliza la gestión de la Seguridad gracias a sus funcionalidades:
- Descubrimiento y seguimiento de activos
- Evaluación de riesgos de Sistemas Operativos y aplicaciones web
- Evaluación de la amenaza de malware dirigido
- Funciones de aprendizaje automático que aprovechan la información sobre amenazas
- Escaneo sin agentes y basado en agentes
- Test de penetración para redes, aplicaciones móviles y aplicaciones web
- Gestión de Cumplimiento: uno de los proveedores de escaneo aprobados por PCI más veteranos del mundo.
Además, la plataforma Frontline.Cloud elimina prácticamente los falsos positivos asociados a las soluciones tradicionales de gestión de vulnerabilidades, al tiempo que automatiza el seguimiento de los activos dinámicos y transitorios, y prioriza los resultados en función de la criticidad para la empresa.
Vea Digital Defense en acción
Descubra como las soluciones Digital Defense pueden ayudar a su organización a implementar un programa avanzado de gestión de vulnerabilidades o mejorar el que ya tiene implementado.
Solicite una demostración en vivo y uno de nuestros representantes le mostrará sus principales funcionalidades y contestará todas sus preguntas.