Cada mes, el Instituto Nacional de Estándares y Tecnología (NIST) agrega más de 2,000 nuevas vulnerabilidades de seguridad al Base de datos nacional de debilidades. Los equipos de seguridad no necesitan rastrear todas estas vulnerabilidades, pero sí necesitan una forma de identificar y resolver las que representan una amenaza potencial para sus sistemas. eso es lo que gestión de vulnerabilidades el ciclo de vida es para.

El ciclo de vida de la gestión de vulnerabilidades es un proceso continuo para descubrir, priorizar y abordar las vulnerabilidades en los activos de TI de una empresa.

Una ronda típica del ciclo de vida tiene cinco etapas:

1. Inventario de activos y evaluación de vulnerabilidades. 
2. Priorización de vulnerabilidades.
3. Resolución de vulnerabilidades.
4. Verificación y seguimiento.
5. Reporting y mejora.

El ciclo de vida de la gestión de vulnerabilidades permite a las organizaciones mejorar la postura de seguridad adoptando un enfoque más estratégico para la gestión de vulnerabilidades. En lugar de reaccionar ante nuevas vulnerabilidades a medida que aparecen, los equipos de seguridad buscan activamente fallas en sus sistemas. Las organizaciones pueden identificar las vulnerabilidades más críticas e implementar protecciones antes de que ataquen los actores de amenazas.

¿Por qué es importante el ciclo de vida de la gestión de vulnerabilidades?

Una vulnerabilidad es cualquier debilidad de seguridad en la estructura, función o implementación de una red o activo que los piratas informáticos puede explotar para perjudicar a una empresa. 

Las vulnerabilidades pueden surgir de fallas fundamentales en la construcción de un activo. Tal fue el caso del infame Vulnerabilidad Log4J, donde los errores de codificación en un popular Java biblioteca permitió a los piratas informáticos ejecutar de forma remota el malware en las computadoras de las víctimas. Otras vulnerabilidades son causadas por errores humanos, como un depósito de almacenamiento en la nube mal configurado que expone datos confidenciales a la Internet pública.

Toda vulnerabilidad es un riesgo para las organizaciones. Según IBM Índice de inteligencia de amenazas de X-Force, la explotación de vulnerabilidades es la segunda más común ciberataque vector. X-Force también descubrió que la cantidad de nuevas vulnerabilidades aumenta cada año, con 23,964 2022 registradas solo en XNUMX.

Los piratas informáticos tienen una reserva cada vez mayor de vulnerabilidades a su disposición. En respuesta, las empresas han hecho de la gestión de vulnerabilidades un componente clave de su gestión del riesgo cibernético estrategias. El ciclo de vida de la gestión de vulnerabilidades ofrece un modelo formal para programas efectivos de gestión de vulnerabilidades en un panorama de ciberamenazas en constante cambio. Al adoptar el ciclo de vida, las organizaciones pueden ver algunos de los siguientes beneficios:

• Detección y resolución proactiva de vulnerabilidades: Las empresas a menudo no conocen sus vulnerabilidades hasta que los piratas informáticos las explotan. El ciclo de vida de la gestión de vulnerabilidades se basa en el monitoreo continuo para que los equipos de seguridad puedan encontrar vulnerabilidades antes que los adversarios.
• Asignación estratégica de recursos: Cada año se descubren decenas de miles de nuevas vulnerabilidades, pero solo unas pocas son relevantes para una organización. El ciclo de vida de la gestión de vulnerabilidades ayuda a las empresas a identificar las vulnerabilidades más críticas en sus redes y priorizar los mayores riesgos para su corrección.
• Un proceso de gestión de vulnerabilidades más consistente: El ciclo de vida de la gestión de vulnerabilidades brinda a los equipos de seguridad un proceso repetible a seguir, desde el descubrimiento de vulnerabilidades hasta la remediación y más allá. Un proceso más consistente produce resultados más consistentes y permite a las empresas automatizar flujos de trabajo clave como inventario de activos, evaluación de vulnerabilidades y manejo de parches.

Etapas del ciclo de vida de la gestión de vulnerabilidades

Pueden surgir nuevas vulnerabilidades en una red en cualquier momento, por lo que el ciclo de vida de la gestión de vulnerabilidades es un ciclo continuo en lugar de una serie de eventos distintos. Cada ronda del ciclo de vida alimenta directamente a la siguiente. Una sola ronda generalmente contiene las siguientes etapas: 

Etapa 0: Planificación y trabajo previo

Técnicamente, la planificación y el trabajo previo ocurren antes del ciclo de vida de gestión de vulnerabilidades, de ahí la designación de "Etapa 0". Durante esta etapa, la organización resuelve los detalles críticos del proceso de gestión de vulnerabilidades, incluidos los siguientes:

• Qué partes interesadas estarán involucradas y los roles que tendrán
• Recursos—incluyendo personas, herramientas y financiamiento—disponibles para la gestión de vulnerabilidades
• Pautas generales para priorizar y responder a las vulnerabilidades
• Métricas para medir el éxito del programa

Las organizaciones no pasan por esta etapa antes de cada ronda del ciclo de vida. Por lo general, una empresa lleva a cabo una extensa fase de planificación y trabajo previo antes de lanzar un programa formal de gestión de vulnerabilidades. Cuando se implementa un programa, las partes interesadas revisan periódicamente la planificación y el trabajo previo para actualizar sus pautas y estrategias generales según sea necesario. 

Etapa 1: Descubrimiento de activos y evaluación de vulnerabilidades

El ciclo de vida formal de la gestión de vulnerabilidades comienza con un inventario de activos: un catálogo de todo el hardware y software en la red de la organización. El inventario incluye aplicaciones y puntos finales sancionados oficialmente y cualquier ser la sombra de IT activos que los empleados usan sin aprobación. 

Dado que periódicamente se agregan nuevos activos a las redes de la empresa, el inventario de activos se actualiza antes de cada ronda del ciclo de vida. Las empresas suelen utilizar herramientas de software como gestión de superficie de ataque plataformas para automatizar sus inventarios.  

Después de identificar los activos, el equipo de seguridad los evalúa en busca de vulnerabilidades. El equipo puede usar una combinación de herramientas y métodos, incluidos escáneres de vulnerabilidad automatizados, manuales pruebas de penetración y externo inteligencia de amenazas de la comunidad de ciberseguridad.

La evaluación de cada activo durante cada ronda del ciclo de vida sería onerosa, por lo que los equipos de seguridad suelen trabajar en lotes. Cada ronda del ciclo de vida se enfoca en un grupo específico de activos, y los grupos de activos más críticos reciben escaneos con mayor frecuencia. Algunas herramientas avanzadas de escaneo de vulnerabilidades evalúan continuamente todos los activos de la red en tiempo real, lo que permite que el equipo de seguridad adopte un enfoque aún más dinámico para el descubrimiento de vulnerabilidades. 

Etapa 2: Priorización de vulnerabilidades

El equipo de seguridad prioriza las vulnerabilidades que encontró en la etapa de evaluación. La priorización garantiza que el equipo aborde primero las vulnerabilidades más críticas. Esta etapa también ayuda al equipo a evitar invertir tiempo y recursos en vulnerabilidades de bajo riesgo. 

Para priorizar las vulnerabilidades, el equipo considera estos criterios:

• Calificaciones de criticidad de inteligencia de amenazas externas: Esto puede incluir la lista de MITRE de Common Vulnerabilities and Exposures (CVE) o de Sistema de puntuación de vulnerabilidad común (CVSS).
• Criticidad de los activos: Una vulnerabilidad no crítica en un activo crítico a menudo recibe mayor prioridad que una vulnerabilidad crítica en un activo menos importante. 
• Impacto potencial: El equipo de seguridad sopesa lo que podría suceder si los piratas informáticos explotaran una vulnerabilidad en particular, incluidos los efectos en las operaciones comerciales, las pérdidas financieras y cualquier posibilidad de acción legal.
• Probabilidad de explotación: El equipo de seguridad presta más atención a las vulnerabilidades con exploits conocidos que los piratas informáticos utilizan activamente en la naturaleza.
• Falsos positivos: El equipo de seguridad se asegura de que las vulnerabilidades realmente existan antes de dedicarles recursos. 

Etapa 3: Resolución de vulnerabilidades

El equipo de seguridad trabaja a través de la lista de vulnerabilidades priorizadas, desde la más crítica hasta la menos crítica. Las organizaciones tienen tres opciones para abordar las vulnerabilidades:

1. Remediación: Abordar completamente una vulnerabilidad para que ya no pueda ser explotada, como parchear un error del sistema operativo, corregir una configuración incorrecta o eliminar un activo vulnerable de la red. La remediación no siempre es factible. Para algunas vulnerabilidades, las correcciones completas no están disponibles en el momento del descubrimiento (p. ej., vulnerabilidades de día cero). Para otras vulnerabilidades, la remediación requeriría demasiados recursos.  
2. Mitigación: Hacer que una vulnerabilidad sea más difícil de explotar o disminuir el impacto de la explotación sin eliminar la vulnerabilidad por completo. Por ejemplo, agregar medidas más estrictas de autenticación y autorización a una aplicación web dificultaría que los piratas informáticos secuestraran cuentas. elaboración planes de respuesta a incidentes porque las vulnerabilidades identificadas pueden suavizar el golpe de los ciberataques. Los equipos de seguridad generalmente eligen mitigar cuando la remediación es imposible o prohibitivamente costosa. 
3. Aceptación: Algunas vulnerabilidades tienen un impacto tan bajo o es poco probable que se exploten que solucionarlas no sería rentable. En estos casos, la organización puede optar por aceptar la vulnerabilidad. 

Etapa 4: Verificación y seguimiento

Para verificar que los esfuerzos de mitigación y remediación funcionaron según lo previsto, el equipo de seguridad vuelve a escanear y probar los activos en los que acaba de trabajar. Estas auditorías tienen dos propósitos principales: determinar si el equipo de seguridad abordó con éxito todas las vulnerabilidades conocidas y garantizar que la mitigación y la reparación no introdujeron ningún problema nuevo.

Como parte de esta etapa de reevaluación, el equipo de seguridad también monitorea la red de manera más amplia. El equipo busca nuevas vulnerabilidades desde el último análisis, mitigaciones antiguas que se han vuelto obsoletas u otros cambios que puedan requerir acción. Todos estos hallazgos ayudan a informar la siguiente ronda del ciclo de vida.

Etapa 5: Informes y mejora

El equipo de seguridad documenta la actividad de la ronda más reciente del ciclo de vida, incluidas las vulnerabilidades encontradas, los pasos de resolución tomados y los resultados. Estos informes se comparten con las partes interesadas relevantes, incluidos ejecutivos, propietarios de activos, departamentos de cumplimiento y otros. 

El equipo de seguridad también reflexiona sobre cómo fue la ronda más reciente del ciclo de vida. El equipo puede analizar métricas clave como el tiempo medio de detección (MTTD), el tiempo medio de respuesta (MTTR), el número total de vulnerabilidades críticas y las tasas de recurrencia de vulnerabilidades. Mediante el seguimiento de estas métricas a lo largo del tiempo, el equipo de seguridad puede establecer una línea de base para el rendimiento del programa de gestión de vulnerabilidades e identificar oportunidades para mejorar el programa a lo largo del tiempo. Las lecciones aprendidas de una ronda del ciclo de vida pueden hacer que la próxima ronda sea más efectiva.

Explore las soluciones de gestión de vulnerabilidades

La gestión de vulnerabilidades es una tarea compleja. Incluso con un ciclo de vida formal, los equipos de seguridad pueden sentir que están buscando agujas en un pajar mientras intentan rastrear vulnerabilidades en redes corporativas masivas. 

IBM X-Force® Red puede ayudar a agilizar el proceso. El equipo X-Force® Red ofrece una completa servicios de gestión de vulnerabilidades, trabajar con organizaciones para identificar activos críticos, descubrir vulnerabilidades de alto riesgo, remediar completamente las debilidades y aplicar contramedidas efectivas.

Más información sobre los servicios de gestión de vulnerabilidades de IBM X-Force® Red

IBM Security® QRadar® Suite puede respaldar aún más a los equipos de seguridad con recursos limitados con una solución modernizada de detección y respuesta a amenazas. QRadar Suite integra productos de seguridad de punto final, gestión de registros, SIEM y SOAR dentro de una interfaz de usuario común, e incorpora automatización empresarial e IA para ayudar a los analistas de seguridad a aumentar la productividad y trabajar de forma más eficaz en todas las tecnologías.

Explorar IBM Security QRadar Suite