¿Cómo va su programa de gestión de vulnerabilidades? ¿Es efectivo? ¿Un éxito? Seamos honestos, sin las métricas o análisis correctos, ¿cómo puedes saber qué tan bien lo estás haciendo, progresando o si estás obteniendo retorno de la inversión? Si no estás midiendo, ¿cómo sabes que está funcionando?
E incluso si está midiendo, generar informes defectuosos o centrarse en métricas equivocadas puede crear puntos ciegos y dificultar la comunicación de cualquier riesgo al resto de la empresa.
Entonces, ¿cómo sabes en qué concentrarte? Higiene cibernética, cobertura de escaneo, tiempo promedio de reparación, gravedad de la vulnerabilidad, tasas de remediación, exposición a la vulnerabilidad… la lista es interminable. Cada herramienta del mercado ofrece diferentes métricas, por lo que puede resultar difícil saber qué es importante.
Este artículo le ayudará a identificar y definir las métricas clave que necesita para realizar un seguimiento del estado de su programa de gestión de vulnerabilidades y del progreso que ha realizado, de modo que pueda crear informes listos para auditoría que:
- Demuestre su postura de seguridad
- Cumpla con los puntos de referencia y los SLA de corrección de vulnerabilidades
- Ayude a pasar auditorías y cumplimiento
- Demostrar el retorno de la inversión en herramientas de seguridad
- Simplifique el análisis de riesgos
- Priorizar la asignación de recursos
Por qué es necesario medir la gestión de vulnerabilidades
Las métricas desempeñan un papel fundamental a la hora de medir la eficacia de su vulnerabilidad y gestión de la superficie de ataque. Medir la rapidez con la que encuentra, prioriza y corrige fallas significa que puede monitorear y optimizar continuamente su seguridad.
Con los análisis adecuados, puede ver qué problemas son más críticos, priorizar qué solucionar primero y medir el progreso de sus esfuerzos. En última instancia, las métricas correctas le permiten tomar decisiones adecuadamente informadas, de modo que esté asignando los recursos a los lugares correctos.
La cantidad de vulnerabilidades encontradas es siempre un buen punto de partida, pero no dice mucho de forma aislada: sin priorización, asesoramiento y progreso, ¿por dónde empezar? Encontrar, priorizar y solucionar sus vulnerabilidades más críticas es mucho más importante para sus operaciones comerciales y la seguridad de sus datos que simplemente encontrar todas las vulnerabilidades.
La priorización inteligente y el filtrado del ruido son importantes porque pasar por alto amenazas de seguridad genuinas es muy fácil cuando estás abrumado por información no esencial. Los resultados inteligentes facilitan su trabajo al priorizar los problemas que tienen un impacto real en su seguridad, sin sobrecargarlo con debilidades irrelevantes.
Por ejemplo, sus sistemas conectados a Internet son los objetivos más fáciles para los piratas informáticos. Dar prioridad a los problemas que lo dejan expuesto hace que sea más fácil minimizar la superficie de ataque. Herramientas como Intruso facilite la gestión de vulnerabilidades incluso para los no expertos, explicando los riesgos reales y proporcionando consejos de solución en un lenguaje fácil de entender. Pero más allá de la priorización, ¿qué más debería o podría medir?
 |
| Un ejemplo de la página del informe de gestión de vulnerabilidades de Intruder |
5 métricas principales para cada programa de gestión de vulnerabilidades
Cobertura de escaneo
¿Qué estás rastreando y escaneando? La cobertura de escaneo incluye todos los activos que está cubriendo y análisis de todos los activos y aplicaciones críticos para el negocio, y el tipo de autenticación ofrecida (por ejemplo, basada en nombre de usuario y contraseña, o no autenticada).
A medida que su superficie de ataque evoluciona, cambia y crece con el tiempo, es importante monitorear cualquier cambio en lo que está cubierto y en su entorno de TI, como los puertos y servicios abiertos recientemente. Un escáner moderno detectará implementaciones que quizás no conocía y evitará que sus datos confidenciales queden expuestos inadvertidamente. También debe monitorear sus sistemas en la nube para detectar cambios, descubrir nuevos activos y sincronizar automáticamente sus IP o nombres de host con integraciones en la nube.
Tiempo promedio para arreglar
El tiempo que le toma a su equipo corregir sus vulnerabilidades críticas revela qué tan receptivo es su equipo cuando reacciona a los resultados de cualquier vulnerabilidad reportada. Esto debería ser constantemente bajo, ya que el equipo de seguridad es responsable de resolver los problemas y transmitir el mensaje y los planes de acción para la remediación a la gerencia. También debe basarse en su SLA predefinido. La gravedad de la vulnerabilidad debe tener un período de tiempo relativo o absoluto correspondiente para la planificación y remediación.
Puntuación de riesgo
Su escáner calcula automáticamente la gravedad de cada problema, generalmente Crítico, Alto o Medio. Si decide no parchear un grupo o un específico de vulnerabilidades dentro de un período de tiempo específico, esto es una aceptación del riesgo. Con Intruder puedes posponer un problema si estás dispuesto a aceptar el riesgo y existen factores atenuantes.
Por ejemplo, cuando se está preparando para una auditoría SOC2 o ISO y puede ver un riesgo crítico, es posible que esté dispuesto a aceptarlo porque el recurso necesario para solucionarlo no está justificado por el nivel real de riesgo o el impacto potencial en el negocio. Por supuesto, cuando se trata de informes, es posible que su CTO quiera saber cuántos problemas se están posponiendo y por qué.
Asuntos
Este es el punto desde que una vulnerabilidad se hace pública hasta haber escaneado todos los objetivos y detectar cualquier problema. Esencialmente, qué tan rápido se detectan las vulnerabilidades en su superficie de ataque, para poder corregirlas y reducir la ventana de oportunidad para un atacante.
¿Qué significa esto en la práctica? Si su superficie de ataque aumenta, es posible que le lleve más tiempo escanear todo de forma exhaustiva y que su tiempo medio de detección también pueda aumentar. Por el contrario, si su tiempo medio de detección se mantiene estable o disminuye, está utilizando sus recursos de manera efectiva. Si empiezas a ver lo contrario, deberías preguntarte ¿por qué tardas más en detectar las cosas? Y si la respuesta es que la superficie de ataque se ha disparado, tal vez necesite invertir más en sus herramientas y equipo de seguridad.
Medir el progreso
La priorización (o resultados inteligentes) es importante para ayudarle a decidir qué solucionar primero, debido a su impacto potencial en su negocio. El intruso filtra el ruido y ayuda a reducir los falsos positivos, que es una métrica clave a seguir porque una vez que se reduce la cantidad de ruido, puede retroceder y concentrarse en la métrica más importante: el tiempo promedio para solucionarlo.
¿Porque es esto importante? Porque cuando encuentra un problema, desea poder solucionarlo lo más rápido posible. Herramientas como Intruder utilizan múltiples motores de escaneo para interpretar el resultado y priorizar los resultados según el contexto, para que pueda ahorrar tiempo y concentrarse en lo que realmente importa.
 |
| Cuando se identifica una nueva vulnerabilidad que podría afectar críticamente a sus sistemas, Intruder iniciará automáticamente un análisis |
Monitoreo de la superficie de ataque
Esto le ayuda a ver el porcentaje de activos que están protegidos en su superficie de ataque, descubiertos o no descubiertos. A medida que su equipo crea nuevas aplicaciones, el escáner de vulnerabilidades debe verificar cuándo está expuesto un nuevo servicio, para que pueda evitar que los datos queden expuestos sin darse cuenta. Los escáneres modernos monitorean sus sistemas en la nube en busca de cambios, encuentran nuevos activos y sincronizan sus IP o nombres de host con sus integraciones.
¿Porque es esto importante? Su superficie de ataque inevitablemente evolucionará con el tiempo, desde puertos abiertos hasta la creación de nuevas instancias en la nube; debe monitorear estos cambios para minimizar su exposición. Ahí es donde entra en juego nuestro descubrimiento de superficie de ataque. La cantidad de nuevos servicios descubiertos durante el período de tiempo especificado le ayuda a comprender si su superficie de ataque está creciendo (ya sea intencionalmente o no).
Por qué son importantes estas métricas
Las herramientas modernas de gestión de la superficie de ataque, como Intruder, miden lo que más importa. Ayudan a proporcionar informes para las partes interesadas y el cumplimiento de las vulnerabilidades priorizadas e integraciones con sus herramientas de seguimiento de problemas. Puede ver qué es vulnerable y obtener las prioridades, soluciones, conocimientos y automatización exactos que necesita para gestionar su riesgo cibernético. Si quieres ver Intruder en acción puedes solicitar una demostración o probarlo por gratis por 14 días.