¿Cómo es la herramienta ideal de gestión de vulnerabilidades?

Las herramientas de gestión de vulnerabilidades constituyen una categoría amplia y extensa, pero todas tienen el mismo objetivo: ayudar a las organizaciones a minimizar el riesgo que suponen las vulnerabilidades informáticas cotidianas. Aunque cada herramienta ofrece un conjunto de funciones diferentes, existen cualidades comunes y deseadas.

En este artículo, esbozamos lo que las herramientas de gestión de vulnerabilidades pueden hacer por su organización y señalamos algunas de las cualidades que debería buscar en una herramienta de gestión de vulnerabilidades, teniendo en cuenta los resultados de nuestra reciente encuesta TuxCare.

Contenido:

1. Introducción a la gestión de vulnerabilidades
2. La gestión de vulnerabilidades como conjunto de herramientas
3. Las capacidades que encontrará comúnmente en las herramientas de gestión de vulnerabilidades
4. Características que deberían estar presentes en la herramienta de gestión de vulnerabilidades ideal
5. La automatización es el núcleo de una buena herramienta de vulnerabilidad

Introducción a la gestión de vulnerabilidades 

Las vulnerabilidades forman parte del panorama tecnológico desde hace décadas. Los errores o fallos de diseño en el software y el hardware hacen que los sistemas sean vulnerables a la explotación por parte de agentes malintencionados.

Al gestionar las vulnerabilidades, los equipos de seguridad intentan eliminarlas, es decir, eliminar la posibilidad de que las amenazas las exploten. Hay diferentes formas de eliminar una vulnerabilidad, dependiendo de la causa raíz. La corrección puede consistir en aplicar un parche para eliminar un fallo en el software, por ejemplo, o cambiar la configuración de un sistema para cerrar un riesgo de seguridad.

En el pasado, los administradores de sistemas podían gestionar estas vulnerabilidades caso por caso, pero el número de vulnerabilidades se disparó hasta el punto de que la gestión manual de vulnerabilidades simplemente no es una opción hoy en día.

A modo de ejemplo, a principios de la década de 1990, la Base Nacional de Datos sobre Vulnerabilidades (NVD) sólo recibía información sobre un puñado de vulnerabilidades. Sin embargo, en 2020 se hace evidente que este número tiende a 20.000 informes por año. Cada año, miles de nuevas vulnerabilidades completan el vasto catálogo existente.

Es imposible protegerse manualmente contra un volumen tan grande de vulnerabilidades, por lo que se necesitan herramientas para automatizar el proceso. La gestión de vulnerabilidades también pretende hacer que el proceso sea más eficaz, garantizando que sólo se señalen las vulnerabilidades que supongan un riesgo real y proporcionando una forma de priorizar las vulnerabilidades en función del nivel de amenaza.

Gestión de vulnerabilidades como conjunto de herramientas

La complejidad del entorno informático empresarial actual significa que no existe una única herramienta de gestión de vulnerabilidades que gestione todos los tipos de vulnerabilidades en todo su parque informático, aunque algunas herramientas actúan esencialmente como "suites", combinando una amplia gama de capacidades de gestión de vulnerabilidades en un único lugar.

La elección de las herramientas adecuadas le ayudará a llevar a cabo operaciones de gestión de vulnerabilidades más eficientes, garantizando una seguridad más estricta y reduciendo al mismo tiempo la carga de trabajo de su personal.

Por ejemplo, la mayoría de las organizaciones necesitarán un escáner de vulnerabilidades de red para garantizar que la seguridad de la red está a la altura. Del mismo modo, necesitará una herramienta que supervise sus aplicaciones de terceros en busca de vulnerabilidades y que le sugiera el mejor camino a seguir. Otra serie de herramientas ofrecen una visión general de la exposición a vulnerabilidades mediante cuadros de mando, que llegan incluso a combinar los resultados de varias herramientas de gestión de vulnerabilidades en un único lugar.

Capacidades que encontrará habitualmente en las herramientas de gestión de vulnerabilidades

Una buena solución de gestión de vulnerabilidades debería ser capaz de lograr tres objetivos - y apoyar estos objetivos con automatización. En primer lugar, su herramienta debe ser capaz de detectar vulnerabilidades en la superficie de ataque que está diseñada para escanear. A continuación, debe entregar un informe y priorizar estas vulnerabilidades para su remediación: no todas las vulnerabilidades requieren una acción urgente.

Por último, su solución debe ayudarle a corregir las vulnerabilidades: en lugar de exigir a su equipo que corrija manualmente las vulnerabilidades, su conjunto de herramientas de vulnerabilidad debe automatizar muchas de estas tareas.

Para lograr esta combinación de objetivos se requiere una serie de capacidades, cada una de ellas dirigida a un subconjunto específico de su infraestructura de TI: redes, aplicaciones, nube.

Proporcionamos una lista de ejemplo de las capacidades que debe buscar y es poco probable que encuentre todas las siguientes capacidades en una sola herramienta de gestión de vulnerabilidades. Sin embargo, una vez que haya construido un arsenal que incluya un par de las mejores herramientas en el mercado, debería encontrar que está cubierto para la mayoría de las siguientes características:

• Elaborar un inventario. Es imposible proteger lo que no se conoce. Podría decirse que uno de los aspectos más importantes de un conjunto de herramientas de gestión de vulnerabilidades es la capacidad de crear un inventario de sus dispositivos, aplicaciones, servicios y redes. También debería ayudarle a gestionar este inventario, añadiendo y eliminando activos según sea necesario.
• Capacidades de escaneado in situ. La razón original para desplegar herramientas de gestión de vulnerabilidades era la capacidad de escaneado. En otras palabras, la herramienta escanea la superficie de la amenaza. Ya se trate de hosts, incluidos puntos finales y servidores, aplicaciones y servicios, o redes. A continuación, la herramienta genera un informe con las vulnerabilidades encontradas. Dependiendo de lo que se analice, estos análisis pueden ser manuales o automáticos.
• Enumeración de parches. Como parte de la evaluación de vulnerabilidades, su conjunto de herramientas debe incluir la capacidad de evaluar el nivel de aplicación de parches en toda el área que está escaneando. Determina qué nivel de software se está ejecutando y describe qué parches son necesarios para actualizar la aplicación o el servicio.
• Pruebas de penetración activas. Su conjunto de herramientas de gestión de vulnerabilidades también debe incluir la capacidad de realizar pruebas de penetración. Aunque las pruebas de penetración requieren pasos manuales, una herramienta capaz en su arsenal de gestión de vulnerabilidades ayudará a las capacidades de pruebas de penetración.
• Creación automática de tickets. Las herramientas más avanzadas asignarán automáticamente vulnerabilidades para su corrección, creando tickets internos que proporcionen tareas procesables que los administradores de sistemas y sus asistentes puedan utilizar para realizar tareas de forma productiva y garantizar que las vulnerabilidades se tratan de forma coherente.
• Seguimiento, supervisión, registro. La gestión de vulnerabilidades requiere muchos recursos y es fácil que los equipos pierdan de vista el gran volumen de tareas a las que se enfrentan. En su conjunto de herramientas de gestión de vulnerabilidades debe tener una herramienta que le permita rastrear, monitorear y registrar los requisitos de gestión de vulnerabilidades.

Estas son solo algunas de las capacidades prácticas que debería esperar de sus herramientas de gestión de vulnerabilidades, pero los requisitos de TI exclusivos de su organización plantearán sin duda exigencias únicas a la gestión de vulnerabilidades.

Características que debe tener la herramienta ideal de gestión de vulnerabilidades

La anterior es una buena lista de características técnicas, pero, en nuestra reciente encuesta sobre el estado de la gestión de vulnerabilidades en la empresalos encuestados señalaron las características que a los usuarios les gustaría ver en el software de gestión de vulnerabilidades, muchas de las cuales se centran en los aspectos más prácticos de la gestión de vulnerabilidades.

• Lanzamiento rápido y directo de parches. Nuestros encuestados sugirieron que querían ver una reacción rápida a los nuevos CVE. En otras palabras, la herramienta de gestión de vulnerabilidades ideal debe desplegar parches tan rápido como se publiquen, o incluso proporcionar un parche personalizado para garantizar una respuesta rápida. La aplicación de parches en directo, es decir, la capacidad de aplicar parches sin reiniciar un servicio, también era una característica deseada.
• Informes completos y automatizados. Aunque la mayoría de las herramientas de gestión de vulnerabilidades ofrecen cierto nivel de informes, nuestros encuestados sugirieron que los usuarios no estaban satisfechos con el nivel de informes proporcionados. Los usuarios quieren ver informes amplios y exhaustivos que ofrezcan información real, e informes automatizados.
• Registro exhaustivo. Las herramientas con capacidad de corrección automática realizarán inevitablemente cambios en sus sistemas. Un registro exhaustivo que describa estos cambios puede ayudar a los administradores de sistemas a depurar errores en caso de que algo vaya mal.
• Impacto limitado en los recursos del sistema. Nuestra encuesta también reveló que los usuarios de herramientas de gestión de vulnerabilidades siguen preocupados por el impacto que estas herramientas tienen en los recursos del sistema, y que las mejores herramientas tendrán un impacto mínimo en los recursos del sistema.
• Despliegues escalonados. Otra de las características solicitadas por los encuestados fue la aplicación por fases, en la que una herramienta de seguridad permite a los administradores de sistemas aplicar parches de forma selectiva. En primer lugar, para comprobar que un parche no interrumpe las operaciones y, a continuación, para aplicar los parches por fases con el fin de minimizar el riesgo de interrupción generalizada.
• Detección de correcciones retroactivas. Por último, uno de los encuestados deseaba poder detectar las correcciones que se han aplicado pero cuyo número de versión no se ha actualizado. Estas correcciones "retrocedidas" pueden dar lugar a falsos positivos de una herramienta de gestión de vulnerabilidades, a menos que la herramienta sepa cómo detectar una corrección retrocedida.

A esta lista podemos añadir algunos puntos más. En general, esperamos que una herramienta eficaz de gestión de vulnerabilidades ofrezca altos niveles de automatización. Mientras que el escaneo y la detección automatizados están en su lugar en la mayoría de las herramientas, también nos gustaría ver más automatización cuando se trata de mitigación: desde la priorización automatizada de vulnerabilidades hasta el parcheo automatizado.

Por último, dado el continuo tira y afloja entre operaciones seguras y operaciones disponibles, nos gustaría ver un mayor esfuerzo por equilibrar la disponibilidad y la continuidad con las prerrogativas de seguridad.

La automatización es el núcleo de una buena herramienta de vulnerabilidad

Las herramientas de gestión de vulnerabilidades son una piedra angular de su arsenal de ciberseguridad. Mitigar las vulnerabilidades reduce las oportunidades de que los atacantes aprovechen las lagunas en sus defensas de ciberseguridad.

Cuanto más se pueda automatizar, más tiempo tendrán libre los equipos de seguridad para dedicarse a medidas de ciberseguridad más estratégicas. Sin embargo, la automatización no debe tener como precio la opacidad: una buena herramienta debe ser transparente en su funcionamiento.

Puede leer nuestro informe completo sobre el estado de la gestión de vulnerabilidades en la empresa aquí. ¿Quiere saber más sobre cómo la aplicación de parches en tiempo real puede ayudarle a automatizar sus operaciones de seguridad? Consulte la página del producto TuxCare página de producto de live patching.