Diego Andrés Campos Benavides.

Business Development Manager Cybersecurity

diego.campos@bghtechpartner.com

CCIE Security, CISSP, CISM, CEH, LA 27001, CSX, COBIT

Durante varios años hemos venido evangelizando a nuestros clientes sobre la importancia de reducir la brecha entre seguridad y la operación, como un componente fundamental de una estrategia de ciber seguridad.

 

Sin embargo, prácticamente fue hasta mayo de 2017 con el ataque de “WannaCry”, donde muchas organizaciones empezaron a entender la importancia de reducir la brecha entre la publicación de nuevos parches y el proceso de aplicarlos en los ambientes productivos, lo cual en promedio tomaba alrededor de 193 dias de acuerdo a estudios publicados por el fabricante BMC™.  Si analizamos estadísticas puntuales, encontramos el ataque de “WannaCry”, el cual inició el viernes 12 de mayo de 2017, explotando una vulnerabilidad de Microsoft™, cuyo parche había sido liberado en marzo de 2017, casi 2 meses antes que iniciara el ataque masivo.

 

Varias organizaciones a nivel mundial tuvieron un fin de semana muy atareado, aplicando las actualizaciones para cerrar la brecha que permitía a “WannaCry” expandirse lateralmente utilizando una estrategia bien conocida por los “worm” o gusanos que también lograron infecciones masivas como fue el caso de Slammer en 2003.

 

La pregunta que normalmente surge cuando se aborda el tema de SecOps es cómo lograr priorizar la gestión de cierre de brechas de seguridad, cuando de manera recurrente se publican parches de los diferentes sistemas operativos, aplicaciones, bases de datos, dispositivos móviles y en general sobre cualquier dispositivo que cuente con un sistema operativo, sobrecargando las areas de operaciones de las organizaciones a un punto donde les resulta prácticamente imposible cerrar todas las vulnerabilidades que se reportan continuamente.

Sobre este tema el fabricante Tenable™ publicó una estadística donde muestra que de 12.578 vulnerabilidades publicadas en 2017, 3.500 fueron categorizadas como críticas y solo 1.334 contaban con un código de explotación público.  Esto significa que si enfocamos nuestra atención en el 10% de las vulnerabilidades que realmente representan una mayor probabilidad e impacto (ciber riesgo) de ser explotadas, vamos a poder enfocar mucho mejor los esfuerzos de la operación que normalmente son recursos muy limitados en las organizaciones.

Si bien, 10% puede ser una reducción considerable en la cantidad de vulnerabilidades que debemos gestionar, es posible mejorar aun más el enfoque aplicando técnicas como VPR (Vulnerability Priority Rating) la cual combina técnicas de inteligencia artificial e inteligencia contra amenazas (threat Intelligence) para reducir este valor aproximadamente a un 3%, lo cual es mucho mas manejable para el equipo de operaciones.

Un paradigma con el que hemos convivido varios años los especialistas de ciberseguridad, es que “primero debemos cerrar las vulnerabilidades críticas, luego las altas y posteriormente las medias”, pero no necesariamente todas las vulnerabilidades críticas representan el mismo nivel de riesgo a diferentes organizaciones y deben ser tratadas con la misma prioridad, es probable que una vulnerabilidad alta o media pueda llegar a ser explotada más activamente que una vulnerabilidad crítica sobre un producto o aplicación puntual, por lo que aplicando técnicas como VPR podemos replantear el foco del equipo de operaciones de la pirámide de la izquierda a la pirámide de la derecha (ver imagen abajo) y concentrar los mayores esfuerzos en solo alrededor de un 3% de las vulnerabilidades detectadas.

Suscríbase a nuestro Newsletter de Seguridad



Si queremos llevar los procesos de SecOps a un siguiente nivel, debemos generar estrategias de automatización que permitan remediar las vulnerabilidades con un VPR más alto en cuestón de minutos u horas, esto lo podemos lograr con soluciones tipo SOAR (Security Orchestration Automation and Response) en las cuales fabricantes como Demisto™ pueden ser una excelente alternativa para reducir la carga operacional en casi un 80%, dejando solo un 20% a los procesos manuales de validación de funcionalidades en los sistemas y aplicaciones después del cierre de una vulnerabilidad, ya que procesos como la aplicación del parche y el “rollback” o marcha atrás se pueden llegar a automatizar en un 100%.

 

De esta forma, enfocando nuestra atención en alrededor del 3% de las vulnerabilidades con un nivel de automatización del 80% en los procesos de remediación, es posible reducir considerablemente la carga operativa y mejorar la ciber seguridad, reduciendo el ciber riesgo a un nivel que puede ser aceptable para muchas organizaciones (riesgo residual) y lo mejor de todo, de una manera costo/efectiva.

Suscríbase a nuestro Newsletter de Seguridad