Una guía para identificar y priorizar vulnerabilidades
El análisis e identificación de riesgos de seguridad es una parte integral del acta constitutiva de seguridad de cualquier empresa. Pero antes de que pueda identificar los riesgos para su empresa, debe identificar qué tecnología y servicios utiliza su empresa. Tener un inventario de activos o servicios permitirá que su equipo de seguridad identifique las pruebas de penetración y los análisis que se deben realizar.
Primero, plantéese algunas preguntas básicas:
- ¿Mi empresa opera en un entorno de nube pública (por ejemplo, AWS, GCP)?
- ¿Qué proveedores, o productos y software de código abierto utilizamos?
- ¿Qué sistemas operativos utilizamos actualmente?
Una vez que haya respondido a estas preguntas (¡y muchas más!), podrá elegir las herramientas adecuadas para el trabajo.
Análisis de vulnerabilidad
Los análisis de vulnerabilidad son herramientas que ayudan a identificar vulnerabilidades en componentes como aplicaciones, infraestructura y redes a través de análisis automatizados. Cada activo se analiza en busca de posibles vulnerabilidades, como el uso de un componente que tiene un CVE asociado, un archivo no deseado expuesto en Internet o el uso de credenciales predeterminadas. Algunos analizadores permiten al usuario configurar un conjunto de reglas que ayudan a establecer el límite del análisis y el tipo de análisis que se va a realizar.
Hay dos métodos principales para realizar análisis: análisis con credenciales y análisis sin credenciales.
Los análisis autenticados implican un análisis completo dentro del entorno. En este enfoque, las herramientas de análisis tienen acceso privilegiado a través de una cuenta de servicio o un agente instalado en el activo para explorar el entorno en busca de vulnerabilidades. Al realizar un examen exhaustivo de los activos, los análisis autenticados, o con credenciales, pueden descubrir configuraciones débiles y vulnerabilidades.
Por otro lado, los análisis sin credenciales no requieren ninguna autenticación para acceder al recurso que se analiza. En comparación con los análisis autenticados, los análisis sin credenciales proporcionan hallazgos menos detallados ya que el analizador carece de una visión integral del entorno. Estos análisis los suelen utilizar los evaluadores de intrusión, investigadores y atacantes, para comprender los riesgos externos que presenta el activo.
Al usar análisis autenticados, y sin credenciales, las organizaciones pueden obtener información valiosa sobre las vulnerabilidades presentes en sus entornos, lo que les permite tomar decisiones informadas para mejorar las medidas de seguridad.
Si bien los resultados de un análisis de vulnerabilidades ofrecen información útil y brindan una estrategia de seguridad de alto nivel del sistema, una prueba de penetración incluye un análisis exhaustivo de los riesgos de seguridad que se presentan en el entorno.
Pruebas de penetración
Otro enfoque eficaz para identificar vulnerabilidades en el entorno es realizar una prueba de penetración (pentest). En este proceso, un ingeniero de seguridad realiza un ataque contra el sistema para descubrir las vulnerabilidades y los posibles exploits. Para crear un escenario de ataque cibernético realista, el probador de penetración puede incluso simular las tácticas, técnicas y procedimientos (TTP) empleados por los auténticos hackers.
Las empresas a menudo contratan a un proveedor externo para realizar pruebas de penetración, ya que los resultados más valiosos se logran cuando una persona que no está familiarizada con el entorno realiza una prueba de penetración.
Esto se conoce como prueba de pen test externa. Pero, hoy en día, hay más empresas que tienen sus propios equipos de seguridad ofensiva para realizar una prueba de penetración o pentest interna. Tanto las pruebas de penetración internas como las externas son extremadamente útiles, ya que sus dos casos de uso cubren a un atacante dentro y fuera de la red, respectivamente.
Una prueba de penetración consta de siete pasos principales:
- Compromiso previo
- Recopilación de inteligencia de código abierto o de reconocimiento (OSINT)
- Análisis y descubrimiento
- Evaluación de vulnerabilidad (obtención de acceso)
- Vulneración (mantenimiento del acceso)
- Posterior a la vulneración, informes y análisis de riesgos
- Corrección
Después de completar la prueba, se genera un informe que incluye todas las vulnerabilidades que se han encontrado, junto con su evaluación de riesgos y detalles sobre las correcciones. Esto ayuda a las organizaciones a abordar los problemas y reforzar su seguridad en el entorno.
Priorización de hallazgos
Una vez que haya identificado qué vulnerabilidades están presentes en su entorno a través del análisis automático y las pruebas de penetración, el siguiente paso es corregir la vulnerabilidad para reducir el perfil de riesgo de su empresa. Es posible que esté pensando "Tengo una lista de miles de vulnerabilidades, ¿cómo podría priorizarlas todas?" ¡La buena noticia es que usted no tiene que hacerlo! Si bien podría centrarse en lo que dicen las herramientas sobre la gravedad de la vulnerabilidad, es más efectivo dar prioridad en función del impacto de la vulnerabilidad en su negocio. Esto supone identificar qué servicios, entornos y productos son más críticos para su negocio: ¿Este servicio o producto está orientado al cliente? ¿Contiene datos de clientes? ¿Causará una pérdida de ingresos significativa si hay tiempo de inactividad?
Si combina el impacto en el negocio con la gravedad de la vulnerabilidad, podrá crear una lista priorizada de las vulnerabilidades que debe corregir, comenzando con la vulnerabilidad y los servicios más críticos, ¡convirtiendo esa lista de miles en cientos o incluso menos!