Ir al contenido principal

Gestión continua de vulnerabilidades



Gestión continua de vulnerabilidades
Adquirir, evaluar y tomar medidas continuamente sobre nueva información para identificar vulnerabilidades, remediar y minimizar la ventana de oportunidad para los atacantes.

¿Por qué es importante este control?

Para la defensa cibernética se debe operar en un flujo constante de nueva información: actualizaciones de software, parches, avisos de seguridad, boletines de amenazas, etc. Comprender y gestionar las vulnerabilidades se ha convertido en una actividad continua, que requiere tiempo, atención y recursos significativos.

Los atacantes tienen acceso a la misma información y pueden aprovechar las brechas entre la aparición de nuevo conocimiento y la corrección. Por ejemplo, cuando los investigadores informan sobre nuevas vulnerabilidades, se inicia una carrera entre todas las partes, que incluye: atacantes (para convertir en "arma", desplegar un ataque, explotar), vendedores (para desarrollar, implementar parches o firmas y actualizaciones) y defensores (para evaluar riesgo, prueba de compatibilidad de parches, instalación).

Las organizaciones que no buscan vulnerabilidades y abordan de manera proactiva las fallas detectadas se enfrentan una probabilidad significativa de que sus sistemas informáticos se vean comprometidos. Los defensores enfrentan desafíos particulares para escalar la remediación en toda una organización y priorizar las acciones con prioridades conflictivas y, en ocasiones, efectos secundarios inciertos.

Subcontrol Tipo de activo Función de seguridad Control Descripción
3.1 Aplicaciones Detectar Ejecutar herramientas de escaneo automatizados de vulnerabilidades Utilice una herramienta actualizada de escaneo de vulnerabilidades compatible con SCAP para escanear automáticamente todos los sistemas en la red de forma semanal o más frecuente para identificar todas las vulnerabilidades potenciales en los sistemas de la organización
3.2 Aplicaciones Detectar Realizar análisis de vulnerabilidades autenticados Realice escaneos de vulnerabilidades autenticados con agentes que se ejecutan localmente en cada sistema o con escáneres remotos que están configurados con derechos elevados en el sistema que se audita.
3.3 Aplicaciones Proteger Proteger las cuentas dedicadas a auditorías Utilice una cuenta dedicada al escaneo de vulnerabilidades autenticado, la cual no debe ser utilizada para otras tareas administrativas y que debe ser vinculada a máquinas específicas en direcciones IPs específicas.
3.4 Aplicaciones Preteger Implementar herramientas de gestión automatizada de parches del sistema operativo mplemente herramientas de actualización de software automatizadas para garantizar que los sistemas operativos cuenten con las actualizaciones de seguridad más recientes provistas por el proveedor del software.
3.5 Aplicaciones Proteger Implementar herramientas de gestión automatizada de parches de software Implemente herramientas de actualización de software automatizadas para garantizar que el software de terceros en todos los sistemas cuente con las actualizaciones de seguridad más recientes provistas por el proveedor del software
3.6 Aplicaciones responder Comparar escaneos de vulnerabilidades consecutivos Compare regularmente los resultados de escaneos de vulnerabilidades consecutivos para verificar que las vulnerabilidades se hayan remediado de manera oportuna.
3.7 Aplicaciones Responder Utilizar un proceso de calificación de riesgo Utilice un proceso de calificación de riesgo para priorizar la corrección de vulnerabilidades descubiertas.

Procedimientos y herramientas:


Existe una gran cantidad de herramientas de análisis de vulnerabilidades disponibles para evaluar la configuración de seguridad de los sistemas. También pueden resultar efectivos los servicios comerciales que utilizan dispositivos de escaneo gestionados remotamente. Para ayudar a estandarizar las definiciones de vulnerabilidades descubiertas en múltiples departamentos de una organización o incluso entre organizaciones, es preferible usar herramientas de análisis de vulnerabilidades que midan las fallas de seguridad y las mapeen a vulnerabilidades y problemas categorizados utilizando una o más de los siguientes esquemas o lenguajes de clasificación vulnerabilidades, configuración y plataformas, reconocidos por la industria: CVE, CCE, OVAL, CPE, CVSS y / o XCCDF.

Las herramientas avanzadas de análisis de vulnerabilidades pueden ser configuradas con credenciales de usuario para iniciar sesión en los sistemas escaneados y realizar escaneos más exhaustivos de lo que se puede lograr sin las credenciales de inicio de sesión. Sin embargo, la frecuencia de los escaneos debería aumentarse a medida que aumenta la diversidad de los sistemas de una organización, de modo a tener en cuenta los ciclos de parches variables de cada proveedor.

Además de las herramientas de escaneo que verifican las vulnerabilidades y las configuraciones incorrectas en la red, varias herramientas gratuitas y comerciales pueden evaluar las configuraciones de seguridad y las configuraciones de las máquinas locales en las que están instaladas. Dichas herramientas pueden proporcionar una visión granular sobre cambios no autorizados en la configuración o la introducción involuntaria de debilidades de seguridad por parte de los administradores.

Las organizaciones efectivas vinculan sus escáneres de vulnerabilidad con sistemas de ticketing de problemas que automáticamente monitorean e informan el progreso en la solución de problemas, y eso hace que las vulnerabilidades críticas no mitigadas sean visibles para los niveles superiores de administración para asegurar que los problemas se resuelvan.

Las herramientas de escaneo de vulnerabilidades más efectivas comparan los resultados del escaneo actual con escaneos previos para determinar cómo las vulnerabilidades en el entorno han cambiado con el tiempo. El personal de seguridad usa estas características para conocer las tendencias de vulnerabilidades de mes a mes.

A medida que las herramientas de exploración descubren las vulnerabilidades relacionadas con los sistemas no parchados, el personal de seguridad debe determinar y documentar la cantidad de tiempo que transcurre entre la publicación de un parche para el sistema y la ejecución del análisis de vulnerabilidad. Si esta ventana de tiempo excede los límites de tiempo de la organización para el despliegue del parche según su nivel de criticidad, el personal de seguridad debe notar el retraso y determinar si se documentó formalmente una desviación para el sistema y su parche. De lo contrario, el equipo de seguridad debería trabajar con los administradores para mejorar el proceso de parchado.

Además, algunas herramientas de parchado automático pueden no detectar o instalar ciertos parches debido a un error del proveedor o administrador. Debido a esto, todas las revisiones de parches deben conciliar los parches del sistema con una lista de parches que cada proveedor ha anunciado en su sitio web.

Comentarios

Entradas más populares de este blog

Introducción a los CIS controls

Introducción CIS Controls es un conjunto de acciones priorizadas que colectivamente forman un conjunto de mejores prácticas de defensa que mitigan los ataques más comunes contra sistemas y redes. Los Controles CIS son desarrollados por una comunidad de expertos en TI que aplican su experiencia de primera mano como defensores cibernéticos para crear estas mejores prácticas de seguridad aceptadas globalmente. Los expertos que desarrollan los Controles CIS provienen de una amplia gama de sectores que incluyen retail, fabricación, salud, educación, gobierno, defensa y otros. Estamos en un punto fascinante en la evolución de lo que ahora llamamos defensa cibernética. Pérdidas masivas de datos, robo de propiedad intelectual, violaciones de tarjetas de crédito, robo de identidad, amenazas a nuestra privacidad, denegación de servicio: se han convertido en una forma de vida para todos nosotros en el ciberespacio. Y, como defensores, tenemos acceso a una extraordinaria

Equipos Mikrotik [parte 2]

Gama Media En esta gama tenemos equipos con una fortaleza suficiente para una gran mayoría de soluciones para redes de casi 200 puntos de red. A continuación, veremos algunos modelos Routers Mikrotik de gama media: RB2011UiAS-2HnD-IN Este Router viene equipado con AP de 2.4Ghz, mas 10 puertos ethernet que de estos 5 son puertos Gibabit y los otros 5 son 10/100 asi también viene 1 puerto SFP, tiene un procesador de 600MHz con ram de 128MB, este equipo viene de fabrica con una licencia de RouterOS L5 con un costo que ronda desde los $2500 a los $3200. Si bien este equipo te ofrece la característica de tener un WiFi en tu router principal si de lo contrario no quisieras esta modalidad esta la opción de este equipo que no tiene el AP integrado que el modelo es RB2011UiAS-RM que los costos son similares si estas en una corporación donde ya se tenga bien definido tu red WiFi no es necesario comprar el RB2011UiAS-2HnD-IN ya que con este puedes cumplir con los requerimientos nece

Inventario de Software autorizados y no autorizados

Gestione activamente todo software en la red (inventario, seguimiento y corrección), de tal manera que solo software autorizado esté instalado y pueda ejecutarse, y que el software no autorizado y no gestionado sea encontrado y se prevenga su instalación y ejecución. ¿Por qué es importante este control? Los atacantes escanean continuamente a las organizaciones objetivo en busca de versiones vulnerables de software que pueden explotarse de forma remota. Algunos atacantes también distribuyen páginas web, archivos de documentos, archivos multimedia y otros contenidos hostiles a través de sus propias páginas web o sitios de terceros de confianza. Cuando las víctimas desprevenidas acceden a este contenido con un navegador vulnerable u otro programa del lado del cliente, los atacantes comprometen sus máquinas, a menudo instalando programas de puerta trasera y bots que le dan al atacante un control a largo plazo del sistema. Algunos atacantes sofisticados pueden usar exploits d