RAPID7

Hoy en día un equipo de seguridad necesita mantener una política manual y/o automática que permita aplicar “Visibilidad” sobre las superficies de ataques digitales que posee la organización, generalmente esta labor desgasta a los Analistas de Seguridad ya que abarca una amplia variedad de segmentos de red a interpretar, aplicaciones de negocios en centros de datos y en plataformas basadas en la nube provistas generalmente por terceros.

Considerando que no siempre existe una colaboración adecuada entre departamentos, se necesita trabajar en una metodología simple y centralizada con los grupos de operaciones de Tecnologías de la Información y los proveedores implicados en los procesos de negocios de tal manera gestionar y responder de manera oportuna a los riesgos que estas vulnerabilidades exponen. (Aceptar, Rechazar, Reducir y Externalizar, entre otras características)

Los grupos de respuesta a incidentes, analistas de seguridad y operaciones de TI están saturados con más alertas de operación y vulnerabilidades de las que posiblemente puedan investigar y remediar en un corto plazo. Hoy en día tener un equipo de decenas de analistas no garantiza poder mitigar los riesgos de la organización, inicialmente el problema radica en establecer una correcta metodología y clasificación del riesgo. Considerando que el proceso debe ser sistemático, eficiente y en ventanas de tiempo reducidas es donde se debe ser asertivo en varias características del entorno.

Lograr identificar el universo de activos es donde se encuentra la mayor complejidad del proceso, principalmente las organizaciones no suelen saber a ciencia cierta la totalidad de sus activos por lo que basar un proceso de riesgo es sumamente complejo en primera instancia, sin embargo, asociando los activos de información a los entornos donde estos pertenecen (Áreas, Personas y/o Proveedores) suelen simplificar bastantes los alineamientos de clasificación y otorgan una base de donde escalar de manera confiable.

En un escenario estándar es posible identificar miles de vulnerabilidades en todo el ecosistema de la organización, una parte desmotivante y compleja es gestionar y/o asignar los hallazgos técnicos ya que en su mayoría corresponden a Vulnerabilidades Criticas y requieren una remediación inmediata. Durante este proceso, las áreas de Gestión de Riesgo no tienen una dirección concreta, etapas de medición y reportes simples para saber desde donde comienza y termina cada proyecto de mitigación.

Es necesario centralizar de manera manual y/o automática la totalidad de las Vulnerabilidades y establecer un “Plan de Mitigación de Riesgos” asociados al estándar de CVSS (Common Vulnerability Scoring System), sin embargo, establecer un sistema automático de riesgos es favorable para evitar un desgaste manual en la interpretación de vectores de ataques. ¿Si debemos hacer siempre la misma tarea, porque no automatizar? Probablemente se esté preguntando, ¿Qué hay de malo con CVSS? ¿Porque aumentar las clasificaciones CVSS de alto nivel? Hoy en día existe un nuevo estándar único (Rapid7) que provee el algoritmo de riesgo real considerando las métricas CVSS como un factor común pero no determinante, básicamente se obtiene como resultado el valor exacto de ponderación que es basada en los parámetros de Exposición, Explotabilidad, Vector de Acceso, Complejidad de Acceso y Requisitos de Autenticación, Kits de Malwares, Ranking de Explotabilidad y el tiempo de vigencia del fallo.

Existen varios factores técnicos que deben ser considerados, sin embargo, existen algunos concejos que deben estar presentes de manera transversal.

• Creación de una Política y/o Procedimiento que garantice que un “Análisis de Vulnerabilidades” es ejecutado de manera mensual, trimestral, semestral o anual sobre las superficies digitales de operación virtual.
• Definir una metodología propia y/o terceros que permita integrar tecnología para auditar procesos tecnológicos de manera sistemática y a través de una línea de tiempo.