Cuando una nueva vulnerabilidad es reportada se inicia una carrera contra el tiempo entre las distintas partes involucradas e interesadas. Si vamos al ámbito del software, por un lado, los desarrolladores de la aplicación vulnerable deben trabajar para crear los parches de seguridad necesarios, que permitan corregir la o las fallas y emitir las actualizaciones correspondientes.
Por otro lado, los atacantes interesados pueden iniciar el desarrollo de exploits junto con los códigos maliciosos que permitan aprovecharse de las debilidades identificadas; los usuarios y encargados de la seguridad deben implementar las actualizaciones o, en su defecto, utilizar medidas de seguridad compensatorias que permitan contener la amenaza mientras se desarrolla y aplica una solución definitiva.
En este contexto, el tiempo se vuelve un factor clave para reducir la ventana de exposición a posibles ataques, así como lo hace una adecuada gestión de vulnerabilidades, principalmente dentro de las organizaciones que pueden convertirse en un objetivo de ciberatacantes que buscan obtener algún beneficio. Y así como el tiempo no para, tampoco debe parar la búsqueda de un estado ideal de la seguridad, por lo que la evaluación continua de vulnerabilidades se vuelve una práctica altamente recomendable.
Limitantes y retos para la evaluación de vulnerabilidades
Resulta sencillo decir que se lleven a cabo evaluaciones constantes para conocer el estado de la seguridad. Sin embargo, esta actividad puede resultar compleja debido a distintos factores. En primer lugar, los encargados de la seguridad deben estar continuamente actualizados ante un flujo constante de información, que incluye datos sobre actualizaciones de software, nuevos parches de seguridad, boletines sobre nuevas vulnerabilidades o alertas de seguridad.
Se requieren de herramientas y software para tales propósitos, junto con el personal que pueda operarlas con las habilidades, conocimientos y experiencia necesarios. También se deben considerar otros recursos como el tiempo y el presupuesto suficiente. Además, es necesario definir criterios y escalas que permitan priorizar las vulnerabilidades identificadas, ya que seguramente algunas tendrán más importancia que otras, debido al riesgo que pueden representar para las operaciones críticas de un negocio.
A pesar de ello, la evaluación continua de vulnerabilidades es una actividad que no puede faltar en los esquemas actuales de seguridad.
Implementación y consideraciones de la evaluación constante de vulnerabilidades
Una manera rápida de implementar la evaluación continua de vulnerabilidades es a través del uso de escáneres automatizados, sobre un conjunto de objetivos que hayan sido previamente catalogados como críticos, con base en su importancia para las empresas. De la misma manera, pruebas manuales también pueden ser ejecutadas.
De forma paralela, contar con los registros o logs de los sistemas revisados se vuelve muy útil por dos razones:
- Si se trata de pruebas consideradas como ofensivas, los sistemas deberían registrar esta actividad anómala
- La información permite correlacionar si la detección de un ataque puede estar relacionado con el resultado de un escaneo de vulnerabilidades previo, que permita validar si algún exploit pudo haber sido utilizado contra un objetivo vulnerable. Las soluciones de información de seguridad y gestión de eventos (SIEM por sus siglas en inglés) son útiles para esta tarea.
También es importante considerar que las herramientas utilizadas para realizar los escaneos se encuentren actualizadas y consideren las vulnerabilidades de seguridad más relevantes al momento de su ejecución, ya que el uso de una solución desactualizada puede no bridar la información más importante sobre el estado de la seguridad.
Para los fines de corrección se pueden aplicar las herramientas para la gestión de parches y de actualización de sistemas operativos o software en general. Cuando se trata de sistemas críticos, es importante que antes de la aplicación directa sobre los sistemas de producción, puedan realizarse verificaciones sobre los ambientes de prueba correspondientes, de forma que la aplicación de una actualización no ponga en riesgo las operaciones.
Como ya lo mencionábamos, cuando no se cuente con las actualizaciones necesarias y la situación lo amerite, es necesario poner en práctica medidas de seguridad alternativas que permitan contener las amenazas mientras se desarrolla una solución definitiva. En esta actividad la aversión o propensión a los riesgos permite tomar las decisiones adecuadas.
De la misma manera, cuando una solución resulta más costosa que el activo que se desea proteger, puede resultar no tan factible su aplicación.
El propósito: avanzar hacia condiciones de seguridad ideales
El periodo de evaluación sin duda alguna puede variar en función de las necesidades, características y recursos de cada organización, así como de los tipos y cantidad de sistemas críticos. Sin embargo, esto no cambia el hecho de que se deban realizar las pruebas correspondientes de manera constante, y mientras menor sea el periodo de revisión y remediación, menor será la ventana de exposición a atacantes y amenazas. Claro está, siempre atendiendo las vulnerabilidades de mayor criticidad con una prioridad más alta.
Esta actividad es considerada por distintos marcos de trabajo especializados en seguridad informática. Por ejemplo, los controles de seguridad críticos (CSC) para la ciberdefensa posicionan la gestión de vulnerabilidades (que incluye su evaluación y remediación), como uno de los primeros controles a aplicar.
El propósito es contar con un conjunto de medidas que resultan efectivas para detectar, prevenir, responder o mitigar ciberataques, lo que puede lograrse considerando distintos aspectos para la evaluación de vulnerabilidades como la contratación de este tipo de servicios o el desarrollo con un equipo propio, un periodo establecido para su ejecución, actividades posteriores a las revisiones de seguridad, así como la explotación de vulnerabilidades en sistemas y en las personas, ya que no solamente pueden ser tecnológicas si consideramos a la Ingeniería Social.
Además, aunque la evaluación continua de vulnerabilidades puede representar una tarea compleja o quizá tediosa, se trata de una de las principales prácticas recomendadas por distintos marcos de control de seguridad, ya que permiten mitigar un conjunto importante de ataques y amenazas comunes.
Finalmente, esta actividad se alinea de forma directa con la idea de que la seguridad de la información es un proceso permanente, por lo cual, aunque en la realidad no sea posible evitar todos los riesgos, el propósito es trabajar todos los días en busca de alcanzar el estado de la seguridad ideal.