Cómo utilizar la inteligencia de vulnerabilidades para priorizar la gestión de vulnerabilidades

La inteligencia de vulnerabilidades, definida como inteligencia de amenazas aplicada específicamente a la información de vulnerabilidades como las vulnerabilidades y exposiciones comunes, resuelve un problema muy real en la gestión de vulnerabilidades. Cuando se priorizan las vulnerabilidades de manera convencional, como los sistemas comunes de puntuación de vulnerabilidades, el 70-80% de las vulnerabilidades en su red "requerirán acción" casi de inmediato. Esto no es una carga de trabajo sostenible y es una de las principales razones por las que los programas de gestión de vulnerabilidades fracasan. Una mejor solución a este problema es utilizar la inteligencia de vulnerabilidades para ayudar en la priorización de las acciones de remediación.

Hay muchos productos de inteligencia de amenazas en el mercado disponibles a través de canales de datos que usted puede correlacionar por sí mismo. Puede integrar estos en su escáner de vulnerabilidades o en un producto de agregación que enriquece los datos de otros escáneres y proporciona capacidades de búsqueda, tablero de control, informes u otras capacidades. La mayoría de los profesionales de seguridad preferirían tener casi cualquier producto de inteligencia de vulnerabilidades en el mercado en lugar de simplemente basarse en CVSS.

Sin embargo, hay algunos factores diferenciadores clave a considerar al buscar herramientas de inteligencia de vulnerabilidades, ya que no toda la inteligencia de vulnerabilidades es igual. Veamos tres atributos de una inteligencia de vulnerabilidades de calidad.

Índice de Contenido
  1. Principales 3 consejos para identificar una inteligencia de vulnerabilidades de calidad
    1. Va más allá de los datos de explotación y considera los datos de brechas
    2. Proporciona datos y análisis que respalden por qué es importante
    3. El análisis responde a las “cinco W”
  2. Evaluación de la inteligencia de amenazas de vulnerabilidad

Principales 3 consejos para identificar una inteligencia de vulnerabilidades de calidad

Cómo utilizar la inteligencia de vulnerabilidades para priorizar la gestión de vulnerabilidades - Seguridad | Imagen 1 Newsmatic

Va más allá de los datos de explotación y considera los datos de brechas

Si su inteligencia de vulnerabilidades se limita a decirle si existen exploits en el mundo real, sin decirle nada sobre qué tan populares o confiables son esos exploits, su programa tendrá menos éxito. Un flujo de inteligencia de vulnerabilidades de calidad o un producto tendrá algunos ejemplos de vulnerabilidades explotables que, sin embargo, representan un riesgo bajo.

¿Cómo puede ser una vulnerabilidad explotable y de bajo riesgo? Las razones varían. A veces, los exploits disponibles son difíciles de usar, no son muy confiables o generan mucho ruido. Al evaluar un flujo o producto de inteligencia de vulnerabilidades, es importante no solo mirar lo que tienen que decir sobre vulnerabilidades famosas como MS08-067 o Heartbleed. Busque algunos ejemplos que su escáner identifique como explotables, pero que el flujo clasifique como de bajo riesgo.

Si su flujo no tiene ninguno de esos casos, no está considerando si la vulnerabilidad aparece en los datos de las brechas y, por lo tanto, no es más útil que lo que hemos sido capaces de obtener de un escáner desde principios de la década de 2010.

Protección antivirus en línea: McAfee Clinic lleva la seguridad de tu PC al siguiente nivel

Los datos de las brechas son mucho más útiles que los datos de explotación. Si los actores de amenazas han explotado con éxito una vulnerabilidad determinada en una brecha reciente, es lógico pensar que es más probable que intenten utilizar esa misma vulnerabilidad contra usted.

Proporciona datos y análisis que respalden por qué es importante

Hace años, marqué cierta vulnerabilidad como un riesgo principal basado en un producto de inteligencia de vulnerabilidades que estaba utilizando en ese momento. La actualización era fácil, pero un miembro de la organización de TI vio una brecha y decidió aprovecharla.

Era una vulnerabilidad de divulgación de información. Se levantó y dijo: "Red Hat dice que esta vulnerabilidad tiene baja gravedad. ¿Me estás diciendo que eres más inteligente que Red Hat?"

Desafortunadamente, todo en lo que me basaba eran algunos atributos del proveedor de inteligencia de vulnerabilidades. Uno de sus fuentes lo había visto en datos de brechas, pero no había ningún análisis más allá de eso: ni siquiera el nombre de la fuente. Red Hat presentó un caso más sólido.

La mejor respuesta a este tipo de argumentos es tener un buen análisis disponible de manera sobria. Una buena inteligencia de vulnerabilidades construye un fuerte caso sobre por qué clasificaron una vulnerabilidad de la manera en que lo hicieron, qué mitigaciones o controles compensatorios pueden estar disponibles y brinda a un profesional de seguridad competente suficiente información como para tomar una decisión racional o hacer una recomendación, no solo con iconografía, sino con palabras concretas.

El análisis responde a las “cinco W”

Un análisis de calidad intenta responder tantas de las preguntas clásicas, como quién, qué, cuándo, dónde, por qué y cómo, como sea posible. Apliquemos estas preguntas a la inteligencia de vulnerabilidades:

Cómo proteger tu computadora de los virus: métodos y consejos
  • ¿Quién está utilizando la vulnerabilidad y/o quién descubrió la actividad?
  • ¿Qué kits de malware se aprovechan de la vulnerabilidad y/o qué está logrando el actor de amenazas al utilizar la vulnerabilidad?
  • ¿Cuándo comenzaron a surgir evidencias de la actividad?
  • ¿Dónde están enfocados?
  • ¿Por qué más es esta vulnerabilidad notable?
  • ¿Cómo funciona el ataque?

Cuando se presenta cualquier vulnerabilidad al azar en su flujo de inteligencia de vulnerabilidades o producto, cuanto menos respuestas tenga el análisis a estas o preguntas similares, menor debería ser su calificación. Si es una vulnerabilidad crítica según su evaluación, debería poder responder cuatro o cinco de esas preguntas, o algo muy similar a ellas.

Si su flujo o producto de inteligencia de vulnerabilidades no puede responder cuatro o cinco de esas preguntas sobre algo que considere crítico, no es un flujo de calidad. Los proveedores deberían poder hablar sobre cómo funciona el ataque y ofrecer alguna evidencia de alguna actividad en torno a la vulnerabilidad.

Evaluación de la inteligencia de amenazas de vulnerabilidad

La mente humana es algo complicada. Solemos darle siete veces más peso a las críticas que a los elogios. Si el flujo de inteligencia de vulnerabilidades es correcto el 87.5% de las veces, parecerá más bien un 50%. Tenga esto en cuenta al evaluar un flujo de inteligencia de vulnerabilidades, o cualquier otro producto de seguridad.

También debemos ser honestos con nosotros mismos. En el momento de escribir esto, había más de 188,000 CVEs conocidos. Simplemente no es práctico para la mayoría de las organizaciones analizar y evaluar cada uno de ellos por sí mismas. Y, si no lo ha notado, actualmente hay escasez de buenos remediadores y buenos analistas de seguridad en la fuerza laboral. Comprar un buen producto de inteligencia de vulnerabilidades es una manera inteligente de maximizar sus recursos humanos internos. Los equipas con la información y ellos pueden utilizar esa información para trabajar de manera más productiva y eficaz.

¡Defiéndete! Protege tu seguridad en línea contra amenazas críticas

En Newsmatic nos especializamos en tecnología de vanguardia, contamos con los artículos mas novedosos sobre Seguridad, allí encontraras muchos artículos similares a Cómo utilizar la inteligencia de vulnerabilidades para priorizar la gestión de vulnerabilidades , tenemos lo ultimo en tecnología 2023.

Artículos Relacionados

Subir

Utilizamos cookies para mejorar su experiencia de navegación, mostrarle anuncios o contenidos personalizados y analizar nuestro tráfico. Al hacer clic en “Aceptar todo” usted da su consentimiento a nuestro uso de las cookies.