¿Cuáles son los factores que debemos tomar en cuenta para poder atender y mitigar las vulnerabilidades que realmente son críticas?



Imagen: Zdzisław Beksiński


Por Víctor Ruiz, fundador de SILIKN, Instructor Certificado en Ciberseguridad — CSCT™, EC-Council Ethical Hacking Essentials (EHE) Certified, Ethical Hacking Certified Associate (EHCA) y líder del Capítulo Querétaro de la Fundación OWASP.


Es un hecho: vulnerabilidades como Log4j nos hacen reflexionar acerca de la relevancia de atender a tiempo este tipo de eventos. Gracias a que hay diferentes organizaciones que enfrentan de manera eficiente el tema de las vulnerabilidades, es posible la generación de beneficios para el sector empresarial global, especialmente porque se enfatiza en la aplicación de parches, una acción fundamental para la ciberseguridad dentro de las empresas y gobiernos.

A medida que la divulgación pública de vulnerabilidades se vuelve más común para los investigadores, los proveedores y la comunidad de seguridad en general, ¿Cuáles son los factores que debemos tomar en cuenta para poder atender y mitigar las vulnerabilidades que realmente son críticas?

Para los expertos en seguridad es imperativo determinar cuándo algo es crítico y cuándo es un problema que se ha exagerado, pues de acuerdo con un análisis del sector, por ejemplo, la vulnerabilidad Log4j podría haber afectado al 73.6% de las organizaciones a nivel mundial, por lo cual fue denominada como una vulnerabilidad endémica por la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos.

Algunos meses después, se reveló la vulnerabilidad de Text4Shell, haciendo pensar a los investigadores que podría tratarse del próximo Log4Shell. No obstante, se pudo demostrar que esta vulnerabilidad tenía un impacto mucho menor y era mucho menos grave.

Y este puede llegar a ser un reto: comunicar de forma eficiente el impacto real que puede presentar una vulnerabilidad determinada y que, al final del día, puede tener repercusiones directas en las organizaciones que invierten en tecnología y personal para poder atender todas las vulnerabilidades — aparentemente críticas — que se presentan.

Otro ejemplo es la vulnerabilidad en OpenSSL revelada en diciembre de 2022, la cual generó mucha atención debido a la ubicuidad de OpenSSL dentro de muchos productos para permitir la seguridad de la capa de transporte (TLS). Esto podría haber sido exagerado debido a la última vulnerabilidad significativa en el tema de software — que data de 2014 — : Heartbleed. Teniendo en cuenta esto, cuando se anunció que el nivel de gravedad de la nueva vulnerabilidad era crítico, las organizaciones estaban comprensiblemente preocupadas.

Pero la vulnerabilidad de OpenSSL resultó también no ser crítica, pues los dos CVE (vulnerabilidades y exposiciones comunes) que presentaba, se degradaron de crítico a alto. Y además, esto terminó siendo una distracción porque en realidad condujo a que una vulnerabilidad de ConnectWise — mucho más compleja — pasara casi inadvertida, ya que dicha vulnerabilidad tenía el potencial de ser más dañina, impactando alrededor de 5000 servidores en diferentes partes del mundo.

Otro punto importante: comunicar el riesgo y las vulnerabilidades siempre tendrá que ser un esfuerzo colaborativo porque sucede en muchos entornos. Las organizaciones los publican en sus propios sitios web y foros; el gobierno emite boletines y la comunidad de ciberseguridad es particularmente activa en las redes sociales.

Sin embargo, a menudo, existe una brecha educativa entre los investigadores técnicos de seguridad, los profesionales de tecnología de información y la comunidad empresarial en general. Esta desconexión da como resultado que las organizaciones no sepan los pasos correctos a seguir cuando se divulga públicamente una vulnerabilidad.

Lo que es fundamental, es poder revisar sitios como el del Common Vulnerability Scoring System que proporciona una medida cualitativa de la gravedad de las vulnerabilidades de seguridad cibernética, con calificaciones que pueden variar de 0 a 10. Este sitio es un recurso que puede ayudarnos a comparar la vulnerabilidad en cuestión con la tasa de movimiento en los canales de comunicación de las comunidades. Apoyarse en datos y números concretos puede ayudar a garantizar que prestemos atención a lo que realmente importa.

Existen otros modelos de puntuación de riesgo para ayudar a las organizaciones a priorizar las vulnerabilidades, por ejemplo, el Coalition Exploit Scoring System (CESS) ayuda a las organizaciones a priorizar la mitigación de vulnerabilidades. CESS está impulsado por un conjunto de modelos de aprendizaje automático que asignan puntajes de gravedad a las vulnerabilidades en función de múltiples características (la descripción, las menciones sociales, los datos de incidentes, la explotación y la similitud con las vulnerabilidades anteriores) y mide el potencial y la probabilidad de que los atacantes realmente puedan explotar el CVE. Con esto, las organizaciones pueden priorizar las respuestas y los recursos según su nivel de amenaza.

De igual forma, los proveedores deben garantizar que los clientes tengan una fuente confiable, ya sea comunicando puntajes de gravedad de vulnerabilidad o brindando una perspectiva equilibrada con consejos claros de mitigación y actualizaciones. La gestión de vulnerabilidades es doble y la responsabilidad de resolver los problemas recae tanto en el lado del proveedor — para comunicarlos adecuadamente — , como en el lado de la organización — para parchearlos de manera eficiente — .

Todas las organizaciones tienen su propia responsabilidad en lo que respecta a la respuesta a incidentes y la gestión de vulnerabilidades. Dedicar tiempo a educar sobre los tecnicismos de cómo funciona una vulnerabilidad y la exposición potencial en torno a las vulnerabilidades de las tecnologías, a menudo es de gran ayuda para detectar problemas antes de que comiencen. Por ello, contar con los recursos adecuados puede garantizar que estemos preparados para nuevos desafíos de seguridad sin distraernos con vulnerabilidades que no son críticas.

Para mayor información, visite: https://www.silikn.com/