Random Access Noticias

Noticias de tecnología, Innovación, Celulares, Gaming, eSports y más.

El arte de priorizar vulnerabilidades

Juan Morell011 minutos
El arte de priorizar vulnerabilidades

COMENTARIO

El trabajo de los defensores de la ciberseguridad continúa evolucionando. La gran cantidad de software y aplicaciones dentro del entorno de TI de una organización ha aumentado la superficie de ataque y, por lo tanto, la cantidad de vulnerabilidades. Según el Verizon “Informe de investigación de vulneración de datos de 2024” «El 14% de las infracciones implicaron la explotación de vulnerabilidades como primer paso para acceder, casi el triple que la cifra del informe del año pasado».

Con el aumento de la explotación de vulnerabilidades, la priorización puede resultar difícil y llevar mucho tiempo si no se tiene un plan claro. Las consecuencias de incidentes a gran escala, como Log4j y el MOVER infringirhan tenido impactos duraderos en el mundo de la ciberseguridad. Sin embargo, los defensores de la ciberseguridad pueden aprender de estas experiencias.

Consideraciones clave para la evaluación de vulnerabilidad

El primer paso de la evaluación de vulnerabilidad refleja los conceptos básicos de la comprensión lectora: comprender quién, qué, cuándo, dónde y por qué:

OMS: ¿Quién discute las vulnerabilidades? Preste atención a sus pares, expertos de la industria y avisos gubernamentales. Tenga en cuenta que hablar sobre vulnerabilidad en las redes sociales y foros en línea puede incluir alarmismo e hipérbole.

Qué: Después de identificar una vulnerabilidad, analice su explotabilidad. Determine si es explotable a través de una red o requiere acceso local, o si el código de explotación es público.

Cuando: El tiempo es crucial. Sepa cuándo se reveló la vulnerabilidad y si fue explotada de manera salvaje.

O: Sepa dónde está la vulnerabilidad en su entorno, lo que puede influir en el impacto de la explotación. Verifique si aparece en una lista de materiales de software (SBOM) o en un aviso del proveedor, ya que esto puede guiar sus esfuerzos de solución.

Si hay una solución disponible, determine si causará tiempo de inactividad y si está sujeto a un acuerdo de nivel de servicio. Si decide no aplicar el parche o si no hay ningún parche disponible, busque orientación de mitigación para minimizar el riesgo.

Para qué: Comprender cómo la vulnerabilidad se alinea con las tendencias recientes en el comportamiento del adversario. También, Puntuaciones de vulnerabilidad comunes Y Explotar puntuaciones de predicción puede informar el establecimiento de prioridades, pero no debe considerarse el único factor al evaluar las vulnerabilidades.

Aprenda de incidentes a gran escala

MOVER

Una excelente manera de combatir las vulnerabilidades es aprender del pasado. Por ejemplo, cuando el Transferencia MOVEit vulnerabilidad Apareció en 2023, los primeros signos sugieren un potencial de explotación masiva. El grupo cibercriminal detrás de la infracción era conocido por atacar vulnerabilidades en el software de transferencia de archivos para realizar ataques tipo spray y oración que se basaban en la exfiltración de datos sin cifrado para llegar a más víctimas. Al final, más de 2.700 organizaciones y 95,8 millones de personas se vieron afectadas por esta violación, según una empresa de ciberseguridad. Emsisoftenseñando tres cosas al mundo de la ciberseguridad:

  1. El comportamiento de un adversario puede influir en la probabilidad de explotación. Una vulnerabilidad crítica en un dispositivo de transferencia de archivos fue aún más urgente en 2023 debido a las estrategias empleadas por los ciberdelincuentes.

  2. Las vulnerabilidades de día cero con baja complejidad de ataque tienen mayor prioridad. Los ataques comenzaron días antes de que se revelara públicamente la vulnerabilidad de MOVEit y un vector de ataque permitió la filtración de datos directamente desde la aplicación MOVEit. Una advertencia aquí es que no todas las vulnerabilidades de día cero son una alta prioridad; Hay otros factores a considerar, como la complejidad del ataque.

  3. Las vulnerabilidades con efectos en cascada en toda la cadena de suministro son prioridades críticas. Algunas organizaciones se vieron afectadas por la infracción porque el subcontratista de su proveedor utilizó MOVEit Transfer.

Log4j

El incidente de Log4j de 2021 destaca los desafíos de identificar componentes de software vulnerables en su entorno. Esta vulnerabilidad era de alta prioridad por varias razones:

  1. Podría usarse de forma remota.

  2. Se filtró públicamente antes de que estuviera disponible un parche.

  3. Código de explotación publicado en línea.

  4. Como la biblioteca Log4j es popular entre los desarrolladores de Java, se ha integrado en miles de paquetes de software y millones de sistemas en todo el mundo.

Muchas organizaciones han tenido dificultades para identificar dónde estaba presente Log4j en su entorno porque estos componentes de código abierto no siempre se enumeran fácilmente. Los inventarios de activos precisos y la adopción generalizada de SBOM (que es esencialmente una lista de ingredientes de componentes de software) pueden contribuir en gran medida a mejorar la forma en que las organizaciones identifican y responden a vulnerabilidades futuras.

Conozca la puntuación de vulnerabilidad

Los defensores de la ciberseguridad tienen a su disposición una serie de bases de datos de vulnerabilidades y marcos de puntuación, como los de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA). Catálogo de vulnerabilidades explotadas conocidas (KEV) y el Base de datos nacional de vulnerabilidad (NVD). A medida que las organizaciones maduran y perfeccionan su programa de gestión de vulnerabilidades, pueden comenzar a implementar pasos adicionales, como el monitoreo continuo, la automatización y la integración de herramientas de gestión de vulnerabilidades con bases de datos de gestión de configuración (CMDB) para mejorar la detección y la corrección.

En el futuro, es posible que veamos a los proveedores de software adoptar una seguro por diseño filosofía que se apropia más de los resultados de seguridad del cliente. Esto podría verse influenciado por futuras regulaciones, una mayor responsabilidad de los administradores de seguridad y la pérdida de confianza de los clientes. También podríamos ver nuevos casos de uso de tecnologías emergentes, como el aprendizaje automático y la inteligencia artificial, para ayudar a acelerar y guiar el proceso de priorización de vulnerabilidades, manteniendo al mismo tiempo un enfoque humano involucrado. Mientras tanto, podemos anticipar un número cada vez mayor de vulnerabilidades emergentes, lo que pone de relieve la necesidad de una estrategia de priorización eficaz.

Noticias relacionadas