La importancia de la gestión de vulnerabilidades - Eadic

La importancia de la gestión de vulnerabilidades

1. Vulnerabilidades

 

Según el sitio de CVE www.cve.org “Common Vulnerabilities and Exposures”, una vulnerabilidad es una falla en un componente de Software, firmware, hardware o servicio que resulta de una debilidad que puede explotarse.

Causando un impacto negativo en la confidencialidad, integridad o disponibilidad de un componente o componentes afectados.

El número de vulnerabilidades ha ido creciendo de manera casi que exponencial según podemos ver en la siguiente gráfica.

 

Vulnerabilidades
Vulnerabilidades por año con datos de www.cve.org

 

2. CVE

 

El CVE es un programa fundado en 1999 y mantenido por la corporación MITRE.

Cuya misión es identificar, definir y catalogar las vulnerabilidades de seguridad cibernética divulgadas públicamente.

Hay un Registro CVE para cada vulnerabilidad que se conoce como CVE-ID.

A los grandes fabricantes les asignan una serie de CVE para sus productos (Microsoft, Oracle, RedHat, entre otros).

 

– Características

 

Las características de un CVE son:

  • Se pueda solucionar de forma independiente.
  • El proveedor afectado las confirme o las documente.
  • Afecten a una misma base de Código.

 

3. Aumento de vulnerabilidades

 

El aumento en el número de vulnerabilidades descubiertas por año, obedece a la concientización de los aspectos de seguridad de las plataformas de las organizaciones, el incremento en el número de sistemas en las mismas, las capacidades de las herramientas de evaluación y gestión de vulnerabilidades, y la interacción entre diferentes fabricantes y arquitecturas de las mismas soluciones (On premise, Cloud).

Este escenario genera un ambiente en donde se deben identificar y tratar múltiples vulnerabilidades de manera efectiva.

 

– ISO 27001

 

Por otra parte, las organizaciones alineadas con las buenas prácticas y estándares de seguridad como ISO 27001 “A.12.6 Gestión de vulnerabilidad Técnica”, deberían contar con un proceso definido y documentado de gestión de vulnerabilidades técnicas.

Las cuales les permita con alguna herramienta automatizada identificar y valorar la criticidad de las vulnerabilidades que tiene su plataforma.

Esto con el fin de usar esta información para definir un plan repetible y verificable de remediación de las mismas, para lo cual se deberían priorizar de acuerdo con los activos que sean críticos en la organización y por la clasificación de las mismas según el CVE.

En suma, las organizaciones deberán entonces contar con un proceso sólido y maduro de gestión de vulnerabilidades y tenerlo lo suficientemente afinado para poder atender este creciente número de vulnerabilidades de manera adecuada.

Adicionalmente contar con soluciones que ayuden inclusive a realizar parchado “virtual” de sus plataformas, ayudará a reducir el riesgo mientras se da el ciclo de parchado de sus sistemas y minimizará el riesgo de que sufran la explotación de alguna de las miles de vulnerabilidades con que cuenta los activos de la organización.

 

Autor: Alexander Larrahondo, docente del Curso de Desarrollo Seguro Operaciones en la Seguridad de la Información y las Comunicaciones

 

 

Compartir

Compartir en facebook
Compartir en twitter
Compartir en linkedin

Contenido seleccionado para ti

Suscríbete a nuestro boletín

Recibe directamente en tu correo las últimas noticias y actualizaciones de eadic.

Ir arriba