Nueva investigación: Estudio del costo global del ransomware. Vea qué le están costando las infracciones.
Obtener el informe
Blog
/
Ciberresiliencia

Conozca la puntuación: Explicación de la exposición a vulnerabilidades

PJ Kirner
,
Cofundador y Asesor
August 3, 2018
23 min. lectura

En este post, explico los diversos factores en el cálculo del Puntaje de Exposición a Vulnerabilidad (VES) de Illumio, que permite a las organizaciones combinar mediciones de puntuación de vulnerabilidades estándar de la industria con contexto de su propio entorno único. El VES también ayuda a los profesionales de seguridad a priorizar los controles de seguridad para minimizar la exposición de la superficie de ataque y el impacto potencial de las vulnerabilidades.

¿Qué es la exposición?

La exposición en el contexto de la ciberseguridad se define típicamente por la “superficie de ataque”. He aquí una definición que OAVISPA usos:

La superficie de ataque describe todos los diferentes puntos donde un atacante podría ingresar a un sistema y donde podría obtener datos.

El ILLUMIO VES está directamente alineado con esa definición. En pocas palabras, la exposición es un intento de cuantificar la suma de los “agujeros” o los diferentes puntos desde los cuales un atacante puede intentar ingresar a un sistema a través de la red.

Digamos, por ejemplo, que tiene un Partner Portal, una carga de trabajo que ejecuta una aplicación web en el puerto 443. Siguiendo el principio de privilegio mínimo, es posible que tenga acceso limitado a esa aplicación web a sólo tres asociados de negocios externos. En este ejemplo, la puntuación de exposición para esa aplicación es 3. Si bien esto parece obvio, muy a menudo las organizaciones no tienen este nivel de conciencia o visibilidad en su exposición este-oeste aplicación por aplicación, y mucho menos las ramificaciones del agregado de estas exposiciones en todo su entorno.

¿Qué es una puntuación de vulnerabilidad?

El VES de Illumino emplea el estándar abierto de la industria, el Common Vulnerability Scoring System (CVSS) aceptado por la comunidad, originalmente creado por el Consejo Consultivo Nacional de Infraestructura (NIAC). Adoptar un estándar de la industria nos permite interoperar con muchas soluciones de seguridad existentes, incluyendo administración de vulnerabilidades proveedores, además de proporcionar una puntuación que es aceptada por la más amplia gama de profesionales de seguridad.

Las puntuaciones de vulnerabilidad son comunes en la mayoría de las soluciones de administración de vulnerabilidades y, por lo general, se evalúan y asignan por carga de trabajo. Por ejemplo, la carga de trabajo A tiene cinco vulnerabilidades. El puntaje de vulnerabilidad podría ser el promedio combinado de los puntajes CVSS de esos cinco. Si bien esta es una métrica valiosa para comprender la vulnerabilidad potencial de una sola carga de trabajo de forma aislada, se pierde algunos detalles importantes para comprender qué tan verdaderamente vulnerable es esa carga de trabajo en un entorno en vivo.

Implementación de microsegmentación para mitigar el riesgo asociado con las vulnerabilidades

Para entender lo vulnerable que es algo, es necesario analizar múltiples factores. Una vulnerabilidad solo es verdaderamente un riesgo si está expuesta en su entorno y puede ser explotada.

Para un ejemplo simple, consideremos una sola carga de trabajo con una única vulnerabilidad crítica. Debido a que se puntúan como severidad “Crítica”, puede ser altamente explotable. La recomendación típica de un equipo de seguridad podría ser: “¡Tenemos que parchearlo!”. Pero consideremos cuántas otras cargas de trabajo pueden conectarse a esa carga de trabajo y explotar potencialmente esa vulnerabilidad. Examinemos también los puertos de red que están expuestos como parte de esa vulnerabilidad. Como suele ocurrir en las redes planas, la carga de trabajo estará bien conectada a muchas otras cargas de trabajo.

Es posible que no sea factible aplicar parches a esa vulnerabilidad en particular, ya sea porque aún no existe un parche o debido a los requerimientos y restricciones en cuanto al tiempo de actividad de producción, las ventanas de cambio y los SLAs. En tales casos, podemos usar la microsegmentación para reducir la cantidad de cargas de trabajo que pueden conectarse a esa carga de trabajo vulnerable y al puerto vulnerable específico.

Microsegmentación se convierte en un control de mitigación de riesgos mediante:

  • Reducir los vectores de ataque a la carga de trabajo.
  • Reducir la “exposición” de la carga de trabajo.
  • Reducir el riesgo de que la vulnerabilidad de esa carga de trabajo pueda realmente ser explotada, a pesar de que la vulnerabilidad es “Crítica” y actualmente no se puede parchear.

¿Cuál es la vulnerabilidad? Exposición ¿Puntuación?

El VES de Illumino es un medio para controlar tanto la “explotabilidad” de una vulnerabilidad (generalmente representada por la puntuación CVSS), como la “alcanzabilidad” real de la carga de trabajo vulnerable a través de vectores de ataque en su entorno, lo que hemos estado llamando “exposición”.

Ahora para las matemáticas reales. El VES se calcula multiplicando una puntuación de vulnerabilidad escalada (CVSS) por una medición de exposición escalada para un servicio determinado, donde s y p son factores de escala para ayudar al logaritmo a escalar esas mediciones, que es una técnica matemática común cuando hay un amplio rango de valores:

VES = s (CVSS) * p (medición de exposición)

Como mencioné en mi Artículo de Forbes en las lecciones de seguridad empresarial extraídas del MVP de la NBA Steph Curry, esta medición proporciona una manera para que un profesional de seguridad comprenda la vulnerabilidad y la información de amenazas relacionada en el contexto de entornos segmentados.

Específicamente, las soluciones tradicionales de administración de vulnerabilidades utilizan clasificaciones de Critical, Alto, Medio, Bajo e Info para categorizar las vulnerabilidades y ayudar a priorizar los esfuerzos de mitigación. Críticos y altos obtienen atención inmediata, como deberían. Sin embargo, hay una gran cantidad de vulnerabilidades medianas que no se priorizan y, finalmente, se convierten en un backlog significativo que no ha pasado desapercibido para los escritores de malware.

Las vulnerabilidades críticas suelen ser altamente explotables (bajo costo para el atacante), pero sólo por un corto período de tiempo porque los equipos de seguridad pasan rápidamente a aplicar parches o encuentran otras formas de eliminar la exposición. Los atacantes, que siempre buscan un nuevo ángulo, se dirigen cada vez más a vulnerabilidades medianas que a menudo se pierden en el ruido y permanecen sin parches durante períodos de tiempo más largos, un objetivo mucho más efectivo para violar. Pueden considerarse un poco más “caros” de explotar (mayor barrera de entrada, si se quiere), pero el hecho de que estarán disponibles más tiempo que las vulnerabilidades críticas y altas las hace mucho más atractivas para apuntar cuando el atacante calcula el ROI frente a su inversión.

El propósito y la coyunta

El VES hace que sea mucho más fácil para una organización combinar la puntuación CVSS de mejores prácticas de la industria con factores que son únicos para el entorno de cada cliente. Los equipos de seguridad pueden priorizar mejor su estrategia de mitigación en función de la exposición de la vulnerabilidad en su entorno único. Por ejemplo, una vulnerabilidad de alta gravedad podría ser despriorizada porque la exposición ha sido muy grande reducido por controles de microsegmentación. O podría haber una vulnerabilidad media que debería priorizarse en la parte superior de la lista dada la exposición con un número masivo de posibles rutas de ataque en ese servicio vulnerable.

El VES es posible porque nosotros de manera única entender el mapa — cómo se conecta y se comunica su entorno, y superponer información de vulnerabilidad en la parte superior del mapa para ayudar a los equipos de seguridad a visualizar y priorizar la mitigación del riesgo de vulnerabilidades en su entorno. Esto se convierte en una herramienta extremadamente poderosa, no solo para los equipos de seguridad sino para otros como propietarios de aplicaciones y ejecutivos que necesitan comprender ese riesgo y mitigarlo o aceptarlo en el contexto de un riesgo comercial más amplio.

Temas relacionados

No se han encontrado artículos.

Artículos relacionados

Nuestras historias favoritas de Zero Trust de enero de 2024
Ciberresiliencia

Nuestras historias favoritas de Zero Trust de enero de 2024

Obtenga un resumen de las noticias Zero Trust de este mes, incluyendo por qué construir resiliencia y confianza será un punto de referencia crítico para el negocio en 2024.

Leer más
Cargas útiles y balizas de malware: cómo comienzan las comunicaciones maliciosas
Ciberresiliencia

Cargas útiles y balizas de malware: cómo comienzan las comunicaciones maliciosas

Las balizas de malware son la forma en que un atacante puede ejecutar malware a través de un script. Reconocer ellos ayuda a desarrollar estrategias de detección y contención.

Leer más
Las directivas de seguridad NIS2 y DORA de la UE: lo que necesita saber
Ciberresiliencia

Las directivas de seguridad NIS2 y DORA de la UE: lo que necesita saber

Conozca las 3 formas en que la Segmentación de Confianza Cero de Illumio puede ayudar a lograr el cumplimiento de NIS2 y DORA.

Leer más
Más lecciones de seguridad empresarial de Steph Curry: Cuando algo sale mal
Ciberresiliencia

Más lecciones de seguridad empresarial de Steph Curry: Cuando algo sale mal

Los equipos de seguridad tienen que tomar decisiones como esta sobre la marcha todo el tiempo, y cuantos más datos tengan acceso sobre la situación, mejores decisiones podrán tomar.

Leer más

Assume Breach.
Minimize Impact.
Increase Resilience.

Ready to learn more about Zero Trust Segmentation?

Más información