Vulnerabilidades de las organizaciones y estrategias de mitigación proactiva

Advertorial – contenido pagado por AIG

Por Vanessa Álvarez Colina, AIG

Hoy en día, la acelerada digitalización empresarial ha ampliado las vulnerabilidades de las organizaciones, y la mayoría de estas se encuentran en activos orientados a la Internet. Por lo tanto, los posibles autores de estas amenazas, con sólo escanear los sistemas, pueden descubrir los que son más vulnerables y susceptibles de ataque.

¿A qué nos referimos cuando hablamos de vulnerabilidades en el entorno de sistemas?

Una vulnerabilidad es una falla o debilidad en un sistema de tecnología de información (TI), procedimiento de seguridad, diseño, implementación o control interno, que podría activarse accidental o intencionalmente y que daría lugar a un evento de seguridad. Mantener los sistemas y las aplicaciones actualizadas con parches de seguridad es una de las tareas más críticas que enfrenta un departamento de TI. Dos tipos de vulnerabilidades representan un riesgo para las organizaciones:

• Una vulnerabilidad de día cero en un sistema o dispositivo es aquella que se desarrolla antes de que el proveedor descubra cómo solucionarla. Por lo general, actores de estados-nación son los que atacan estas vulnerabilidades.
• En 2021 las vulnerabilidades sin parches fueron los vectores de ataque más prominentes explotados por grupos de ransomware y actores de amenazas. Además, hubo un aumento de 33% (https://go.cyware.com/ransomware-spotlight-report-2022) en los ataques causados por la explotación de vulnerabilidades de software sin parches, lo que representa el 44% de los ataques de ransomware (https://www.ibm.com/security/data-breach/threat-intelligence).

Estas vulnerabilidades sin parches representan una mayor amenaza para las organizaciones que las de día cero porque los ciberdelincuentes comunes y corrientes se dirigen a las organizaciones en masa.

¿Las vulnerabilidades representarán un problema grave para las organizaciones? ¿A cuántos incidentes se enfrentan?

• La base de datos de US-CERT Vulnerability Database, centro de investigación y desarrollo financiado con fondos federales, registró 18,376 vulnerabilidades en 2021, un aumento de11% con respecto a 2018 (https://nvd.nist.gov/vuln/search).
• Los atacantes con pocas habilidades técnicas pueden explotar el 90% de todas las vulnerabilidades que se descubrieron en 2021. Las que no requieren interacción del usuario representaron el 61% del volumen total (https://www.redscan.com/news/nist-nvd-analysis-2021-record-vulnerabilities).
• Los atacantes explotan habitualmente 703 vulnerabilidades (https://www.cisa.gov/known-exploited-vulnerabilities-catalog).

¿Por qué hay tantas vulnerabilidades sin parchear, lo que a su vez aumenta el riesgo de la organización?

Según los equipos operativos de TI:

• El alto volumen de vulnerabilidades a las que se enfrentan y la falta de recursos dificultan mantenerse al día en la aplicación de parches.
• La falta de visibilidad de todos los activos afectados y la relevancia de esos activos para el negocio crea dificultades para priorizar lo que necesita ser parcheado.
• La coordinación con otras áreas para implementar una solución suele demorar un promedio de 12 días adicionales, aumentando los riesgos y costos.

Según las unidades de negocio:

• Un proceso de parcheo de vulnerabilidades eficiente y efectivo requiere invertir tiempo y recursos que no generan valor porque durante el proceso de corrección estos pueden causar una interrupción en el servicio del negocio.
• La falta de estrategias en el proceso de gestión de vulnerabilidades provoca un aumento anual de costos de 21% en las grandes organizaciones (https://media.bitpipe.com/io_15x/io_152272/item_2184126/ponemon-state-of-vulnerability-response-.pdf).

Por lo tanto, las estrategias para el proceso de gestión de vulnerabilidades deben evolucionar de un enfoque reactivo a uno proactivo. Considere los siguientes factores, según corresponda, para su institución:

• Según los Known Exploited Vulnerabilities, de la Agencia Federal de Seguridad de Infraestructura y Ciberseguridad, CISA por sus siglas en inglés, priorice la aplicación de parches en función de la clasificación del nivel crítico de la vulnerabilidad o parchee proactivamente las vulnerabilidades que los actores de amenazas están explotando activamente. Las vulnerabilidades citadas en la lista anterior, y encontradas en activos orientados a la Internet, idealmente deberían corregirse dentro de las 24 horas.
• Utilice la automatización de procesos para aumentar la eficiencia. Herramientas como SOAR (Security Orchestration, Automation, and Response) pueden ayudar en este esfuerzo.
• Haga un inventario de todos los activos de hardware y software para ayudar a mejorar la visualización de activos y las vulnerabilidades asociadas.
• Aumente la frecuencia del escaneo proactivo de activos.
• Alerte a las unidades de negocio sobre la importancia de este proceso para prevenir ciberataques.

Vanessa Álvarez Colina es asesora de riesgo cibernético en AIG.

• Contenido desarrollado por AIG. Sin Comillas no ha participado en la redacción del artículo.