CIS Control 3: Gestión continua de vulnerabilidades

Adquiera, evalúe y actúe continuamente sobre la nueva información para identificar vulnerabilidades, remediar y minimizar la ventana de oportunidad para los atacantes.

Cada año se revelan miles de nuevas vulnerabilidades de software, cada una de ellas representa una oportunidad potencial para que los hacker irrumpan en nuestras redes. Por eso las organizaciones deben saber en todo momento qué las vulnerabilidades están presentes en sus activos de TI; comprender el nivel de riesgo que cada uno lleva; y planificar y priorizar la remediación de los activos de TI afectados.
Este control dirige a las organizaciones a gestionar las vulnerabilidades para que puedan “inmunizar” sus activos de TI contra los ciberataques más comunes: ataques oportunistas diseñados para explotar vulnerabilidades comunes y divulgadas.

Recomendaciones:

Ejecute herramientas automatizadas de escaneo de vulnerabilidades en todos los sistemas en la red semanalmente o con mayor frecuencia y entregar listas priorizadas de las vulnerabilidades más críticas para cada administrador del sistema responsable, junto con las puntuaciones de riesgo.
Utilice herramientas de escaneo de vulnerabilidad que busquen vulnerabilidades basadas en código como las descritas por Common Vulnerabiliies and Exposures (CVE) y vulnerabilidades basadas en la configuración, como las descritas por Common Configuration Enumeration Project.
Correlacionar los registros de eventos con la información de los análisis de vulnerabilidades para cumplir dos objetivos:

  • En primer lugar, el propio personal debe verificar que la actividad del las herramientas de análisis de vulnerabilidades habituales se registran en sí.
  • En segundo lugar, el personal debe poder correlacionar el ataque eventos de detección con resultados previos de escaneo de vulnerabilidades para determinar si el exploit dado se utilizó contra un objetivo conocido por ser vulnerable.

Herramientas que pueden ayudar

Claramente para este control existen ciertas herramientas dedicadas a cumplir con este objetivo, tales como Tenable y Qualys.
Adicionalmente existen otras, que pueden dar una vision mas general, sin ser intensivas, como ese el caso de Security Scorecard y otras, como Genians, que sin ser tan profundas en el análisis, obtienen las vulnerabilidades de la CVE para limitar el acceso a recursos.

  1. Qualys

Qualys Vulnerability Management (VM) le brinda visibilidad global e inmediata de dónde sus sistemas de TI pueden ser vulnerables a las últimas amenazas y cómo protegerlas. Eso le ayuda a proteger continuamente su infraestructura de TI, para que su organización pueda resistir ataques que buscan explotar sistemas sin parches y configurados incorrectamente.
Qualys VM asigna tickets de reparación, gestiona excepciones, enumera los parches necesarios para cada host, se integra con los sistemas de ticketing de TI existentes y genera informes para ayudar a impulsar la corrección de las vulnerabilidades encontradas.

  1. Tenable

Tenable puede ejecutar análisis de vulnerabilidades automatizados contra todos los sistemas de la red semanalmente o de forma más frecuente, incluso de forma continua durante Vigilancia de máxima seguridad.
Paneles de control de Tenable, informes y alertas mantendrán informados a los administradores del sistema de las vulnerabilidades más críticas y su relativa amenaza a activos específicos en su red.

  1. Genians

Genians permite a través de su algoritmo patentado DPI (Device Platform Intelligence) tener un registro de las vulnerabilidades basadas en código CVE. Para poder posteriormente permitir el acceso de estos dispositivos a las redes empresariales.

  1. Security Scorecard

Security scorecard puede chequear algunas vulnerabilidades expuestas tales como:

  • SSH Software Supports Vulnerable Protocol
  • SSH Supports Weak Cipher
  • SSH Supports Weak MAC
  • High Severity Vulnerabilities Found in Last Observation
  • High Severity CVEs Patching Cadence
  • Medium Severity Vulnerabilities Found in Last Observation
  • Medium Severity CVEs Patching Cadence
  • Low Severity Vulnerabilities Found in Last Observation
  • Low Severity CVEs Patching Cadence
  • Malware Events, Last Day
  • Malware Events, Last 30 Days
  • Malware Events, Last Year
  • High Severity Content Management System vulnerabilities identified
  • Medium Severity Content Management System vulnerabilities identified
  • Low Severity Content Management System vulnerabilities identified
  1. Netskope

Cloud Security Posture Management (CSPM-CSA) y SaaS Security Posture Management (SSPM) son dos soluciones de la plataforma de Netskope orientadas a ejercer gobierno y postura de seguridad sobre recursos de infraestructura en nube publica, asi como en aplicaciones nube bajo el modelo de SaaS.  De esta forma, es posible detectar recurrentemente configuraciones indebidas o brechas de seguridad en estos activos asociados a falencias en la implementación de buenas practicas de seguridad y controles asociados a estandares, normativas o regulaciones como ISO 27000, SOC2, NIST 800-53 entre otros.