Comprender la superficie de ataque de su organización y priorizar los problemas permite minimizar el impacto y el riesgo ante un eventual ciberataque
Imagen: Zdzisław Beksiński
Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.
De acuerdo con un análisis de la unidad de investigación de SILIKN, los ciberatacantes están explotando las vulnerabilidades dentro de los primeros 10.3 minutos posteriores a su revelación.
Y esto deja un periodo sumamente corto para instalar los parches de seguridad, por lo cual las organizaciones deben ser — hoy más que nunca — pragmáticas cuando se trata de remediar vulnerabilidades, y especialmente cuando se trata de la priorización.
En este sentido, las organizaciones deben encontrar el equilibrio entre llevar a cabo suficiente diligencia debida antes de parchear y luego parchear lo más rápidamente posible para defenderse de las amenazas emergentes. Ante este escenario, se deben considerar algunas acciones para hacerlo de forma más eficiente:
Las superficies de ataque evolucionan y cambian constantemente a medida que se desarrollan nuevas aplicaciones, se retiran los sistemas antiguos y se registran nuevos activos. Además, cada vez más organizaciones se están moviendo hacia una infraestructura alojada en la nube, lo que cambia el riesgo y la responsabilidad de proteger esos activos. Por lo tanto, es esencial llevar a cabo evaluaciones continuas o periódicas para comprender qué sistemas están en riesgo.
Entonces, el primer paso sería mapear los tipos de activos tradicionales, aquellos que se asocian fácilmente con una organización y fáciles de monitorear, como dominios y direcciones IP.
Los tipos de activos menos tradicionales — como pueden ser los repositorios de GitHub — también proporcionan objetivos o información de alto valor para los atacantes. Además, es importante también considerar los escenarios de ataque menos obvios que pueden presentarse, debido a que los empleados trabajan desde casa y dependen de soluciones de acceso remoto y configuraciones de red doméstica.
También es importante comprender qué tecnologías se utilizan para identificar y comunicar cuáles son las vulnerabilidades relevantes para la organización. Por ejemplo, de cien vulnerabilidades difundidas en un mes, solo el 15% podría afectar las tecnologías y sistemas del negocio.
Una vez que las organizaciones tienen una buena comprensión de qué activos podrían estar en riesgo, se puede aplicar el contexto y la priorización a las vulnerabilidades que afectan a esos activos.
La inteligencia de amenazas se puede utilizar para determinar qué vulnerabilidades ya se están explotando activamente. Entonces, del ejemplo anterior, aunque solo el 15% de esas cien vulnerabilidades pueden afectar las tecnologías de la organización, solo el 6% de ese 15% se explota activamente. Por lo tanto, la lista de vulnerabilidades por las que debe haber preocupación y enfoque se reduce y es mucho más manejable.
También es crucial comprender las amenazas específicas para cada organización. Por ejemplo, si los ataques de ransomware son una amenaza particular para su negocio, considere los posibles vectores de acceso y priorice la corrección de los problemas relacionados.
Otro punto a considerar es remediar en función de la probabilidad de explotación. Por ejemplo, las vulnerabilidades más explotadas durante la primera mitad de 2022 se publicaron a fines de 2021, lo que demuestra que es más probable que se exploten las vulnerabilidades más populares.
Sin embargo, también puede funcionar al revés. Por ejemplo, cuando se publicó una vulnerabilidad que afectaba a Apache llamada Text4Shell, los medios de comunicación percibieron que la vulnerabilidad era mucho más grave de lo que resultó ser, en parte debido al nombre y a los efectos de Log4Shell. Los investigadores de seguridad tardaron en comunicar a las organizaciones que, de hecho, era mucho menos grave de lo que la mayoría de los medios de comunicación señalaban.
En un mundo ideal, si las organizaciones ya tienen un buen conocimiento de su superficie de ataque, pueden preparar de manera proactiva los sistemas afectados para la aplicación de parches.
Las organizaciones deberían considerar un cambio de mentalidad y mirar hacia la prevención de problemas mientras adoptan un enfoque de defensa en profundidad; concentrarse en minimizar el impacto y el riesgo al priorizar los activos que más importan. Esto se puede lograr al comprender la superficie de ataque de su organización y priorizar los problemas según el contexto y la relevancia.
Para más información, visite: https://www.silikn.com/