Optimizar sus ocho esfuerzos esenciales de administración de vulnerabilidades

Los sistemas interconectados dispares y ahora los empleados remotos en todo el mundo aumentan nuestra exposición y oportunidad para el delito cibernético. Los equipos de seguridad aquí en Australia, particularmente en los departamentos del gobierno federal y estatal de Australia, luchan continuamente contra vientos en contra para adoptar y mantener el asesoramiento y los requisitos dados por el Centro Australiano de Seguridad Cibernética (ACSC) en forma de ISM Essential Ocho.

Las conversaciones recientes que hemos tenido con agencias sobre la reducción del costo y el esfuerzo de la higiene de la seguridad han puesto de relieve los continuos desafíos en torno al sistema operativo y la aplicación de parches, y otras prácticas “fundamentales” que los equipos de seguridad luchan por sacar de debajo. A pesar del acceso a tecnologías maduras que detectan y asesoran sobre cómo mantener actualizados los sistemas y las aplicaciones COTS, y un programa de sprint diseñado para ayudar a NCCE a mejorar su madurez Essential Eight, quedan dudas sobre si las ramificaciones de administración de vulnerabilidades los hallazgos se comprenden completamente y dónde invertir el esfuerzo de los recursos ya limitados para obtener el mayor retorno de la mitigación del riesgo.

La gestión de vulnerabilidades es, por supuesto, una práctica clave en el arsenal de cada equipo de seguridad y debe ser la base de cualquier estrategia de defensa, lo que se hace evidente por su inclusión en el Top 4 original de 2011 y su continua relevancia en el Essential 8 ampliado. Sin embargo, debido a la creciente complejidad de la infraestructura, las arquitecturas de aplicaciones y las vulnerabilidades de software, las agencias no pueden o encuentran cada vez más difícil parchear todas las vulnerabilidades en los plazos descritos, a menudo obstaculizadas en la implementación de parches debido al temor de romper sus aplicaciones o interrumpir la productividad.

Con el nivel de cumplimiento de INFOSEC-4 documentado en el Gobierno australiano Informe de cumplimiento de Proactive Security Policy Framework (PSPF) (en relación con la seguridad cibernética y de los sistemas de TIC, incluida Estrategias para Mitigar Incidentes de Seguridad Cibernética) permaneciendo el más bajo de todos los 36 requisitos obligatorios, y apenas mejorando con respecto a los años anteriores, algunos quizás se están considerando afortunados de que “el Gobierno Federal considerará sólo mandar al Ocho Esencial cuando la madurez de la ciberseguridad haya aumentado”.

Los temas comunes de nuestras discusiones recientes con agencias incluyen:

• El volumen de software y sistemas, y la cadencia o ausencia de los parches necesarios, especialmente para el software producido internamente
• Priorización con la comprensión de que no todo siempre se parcheará
• La inevitabilidad de aceptar riesgos de vulnerabilidad sin una apreciación completa de su impacto

Aquí hay tres áreas clave en las que enfocarse y donde las soluciones integradas pueden ayudar.

1. Repriorizar en función de la exposición, no únicamente de la criticidad

Tradición y naturaleza nos dicen que apuntemos primero a lo que percibimos como “lo más crítico”. A pesar de contar con excelentes herramientas de detección y sistemas de puntuación que reflejan la criticidad de las vulnerabilidades conocidas, no consideran la conectividad de una carga de trabajo en relación con otras cargas de trabajo en un entorno. Los sistemas con menos volumen o vulnerabilidades potencialmente de menor rango que se pasan por alto solo por la criticidad, que son más accesibles y están más conectados, pueden dejar a una agencia abierta a ataques. Tener un enfoque basado en el volumen y el enfoque más reciente para la administración de vulnerabilidades, y simplemente progresar a través de sistemas que parecen iguales en número y clasificación de problemas identificados, no abordará primero la mayor oportunidad de explotar. En todo caso, solo crea la ilusión de progreso y éxito mientras deja a la agencia expuesta a un riesgo significativo.

Una manera de ayudar a mantener una superficie de ataque mínima y obtener el retorno de sus esfuerzos de parches es reordenar la lista de prioridades en función de la “exposición”. Vea las vulnerabilidades en un contexto más amplio, donde la capacidad de acceso a la vulnerabilidad y la conectividad del sistema juegan un papel vital en si se ve primero. Vincular la herramienta de análisis de vulnerabilidades elegida con los flujos de tráfico en tiempo real dentro de su centro de datos ayuda a los equipos de seguridad y operaciones de TI a priorizar las decisiones de seguridad y parcheo para aquellos sistemas con el más alto nivel puntajes de exposición.

2. Vías visualizadas hacia la vulnerabilidad

Sin una comprensión o visualización de cómo se podría alcanzar una vulnerabilidad, o podría aprovecharse para acceder a otros sistemas sensibles dentro de su entorno, los equipos de seguridad y aplicaciones a menudo terminan evaluando la necesidad o el cronograma de aplicación de parches en silos. Debido a que están volando a ciegas, no pueden apreciar los efectos aguas arriba y aguas abajo de sus decisiones. Esto es particularmente impactante cuando se elige aceptar el riesgo en una aplicación que interactúa con otras.

No apreciar el contexto más amplio o efectivamente la efectividad de los controles adoptados probablemente haya contribuido a que los datos presentados en el Informe de Cumplimiento del PSPF, donde el cumplimiento de INFOSEC-3 “implementar políticas y procedimientos para la clasificación de seguridad y control protector de los activos de información” disminuyó en más de un cinco por ciento con la realización de deficiencias en esta materia.

Visualización capaz de mapear las vías que un atacante podría utilizar potencialmente, dotará a los equipos de seguridad de la información necesaria para garantizar que las decisiones no se tomen sin tener en cuenta los sistemas interconectados. Pueden enfocarse en evaluar con precisión el impacto que una vulnerabilidad tiene en el ecosistema más amplio, apreciando de antemano el nivel de “exposición” que uno tiene a la explotación de tales vulnerabilidades latentes y asegurando que primero se tomen las remediaciones más impactantes.

3. Opción de mitigación sin acceso inmediato al parche

Los parches no están necesariamente disponibles cuando los necesita. Las congelaciones de los cambios de producción impiden su implementación inmediata o, como suele ser el caso, los equipos de proyecto no pueden volver a ponerse en servicio para reelaborar el software producido a medida. De hecho, los ciclos dedicados a preparar y probar los parches para que no afecten negativamente la disponibilidad del servicio del negocio se convierten en el verdadero inhibidor para los equipos de seguridad extendidos, no la implementación real en sí. Los equipos corren el riesgo de quedar vulnerables hasta que puedan parchear y no tengan sensores para alertar si se detecta tráfico a un servicio vulnerable.

Lo último Niveles de madurez ACSC prescribir objetivos para las duraciones de implementación de parches específicamente para sistemas de riesgo extremo. Aunque las agencias deberían estar apuntando al Nivel 3 y a un objetivo de parches de 48 horas, es posible que muchos parches ni siquiera cumplan con el objetivo de 1 mes de Nivel 1, y los sistemas de menor riesgo no estarán bajo los mismos niveles de escrutinio. Como tal, habrá ventanas de exposición independientemente de dónde se encuentre en la escala de madurez. Aunque puede sentirse empantanado en los fundamentos con riesgo de exposición a través de sistemas sin parches, controlar qué tan lejos y ancho van los agujeros del conejo detrás de lo que se rompa puede introducirse de manera eficiente para minimizar este riesgo.

Microsegmentación si se hace bien, puede movilizarse rápidamente para actuar como el control compensador subyacente, lo que le permite ganar ese tiempo demasiado valioso. Si el tráfico se conecta a un puerto con una vulnerabilidad conocida, las alertas para informar al centro de operaciones de seguridad (SOC) aceleran los procesos de respuesta y, mejor aún, las políticas de segmentación aplicadas eliminarían o restringirían el acceso a ellas sin romper las aplicaciones. Aislar los servicios vulnerables del resto de la red evita que las amenazas se muevan lateralmente y satisface sus requerimientos de cumplimiento de normas hasta que se aplican los parches.

Como han demostrado los eventos globales actuales y los incidentes de violación, el seguimiento y la comprensión del alcance de una amenaza, el aislamiento preventivo y la garantía de que se implementen controles para “prevenir” la propagación o el impacto de un incidente que explote las vulnerabilidades existentes en su centro de datos es vital. Especialmente cuando las alternativas de “cura” son difíciles de probar y aplicar de manera oportuna.

Para obtener más información sobre Illumio, consulte cómo estamos ayudando a optimizar los regímenes de administración de vulnerabilidades y permitiendo a los equipos de seguridad salir de la carga de los fundamentos.