CIS Control 7: Gestión Continua de Vulnerabilidades

El Centro para la Seguridad en Internet (CIS) proporciona Controles de Seguridad Críticos para ayudar a las organizaciones a mejorar la ciberseguridad. El Control 7 aborda la gestión continua de vulnerabilidades (este tema se trató anteriormente en CIS Control 3).

La gestión continua de vulnerabilidades es el proceso de identificar, priorizar, documentar y remediar los puntos débiles en un entorno de TI. La gestión de vulnerabilidades debe ser continua porque los datos sensibles están creciendo a un ritmo sin precedentes y los ataques están aumentando tanto en frecuencia como en sofisticación.

Este control describe 7 mejores prácticas que pueden ayudar a las organizaciones a minimizar los riesgos para sus recursos críticos de TI.

7.1. Establezca y mantenga un proceso de gestión de vulnerabilidades.

La primera medida de protección recomienda que las organizaciones creen un proceso de gestión de vulnerabilidades continuo y lo revisen anualmente o “cuando ocurran cambios significativos en la empresa que puedan impactar esta Salvaguarda.”

Un proceso continuo de gestión de vulnerabilidades debe constar de 4 componentes:

• Identificación. Las organizaciones necesitan identificar todo su código propio, aplicaciones de terceros, datos sensibles, componentes de código abierto y otros activos digitales, y luego identificar sus debilidades. Las herramientas de evaluación y escáneres pueden ayudar con este proceso, que debería repetirse tan poco como una vez a la semana o tan a menudo como varias veces al día, dependiendo de la tolerancia al riesgo de la organización, la complejidad del entorno de TI y otros factores.
• Evaluación. Todas las vulnerabilidades descubiertas deben ser evaluadas y priorizadas. Las métricas comunes para la evaluación continua de vulnerabilidades incluyen el Puntuación de gravedad de vulnerabilidad común (CVSS) de NIST, la facilidad de explotación por parte de un actor de amenazas, la dificultad de resolución, el impacto financiero de la explotación y los requisitos reglamentarios relacionados o estándares de la industria.
• Remediación. A continuación, la organización necesita parchear o abordar de otra manera las debilidades según su prioridad. La remediación a menudo se gestiona a través de una combinación de actualizaciones automáticas de los proveedores, soluciones de gestión de parches y técnicas manuales.
• Informes. Es importante documentar todas las vulnerabilidades identificadas, los resultados de la evaluación y el progreso hacia la remediación, junto con cualquier costo involucrado. Un informe adecuado agilizará los esfuerzos de remediación futuros, simplificará las presentaciones a ejecutivos y facilitará el cumplimiento.

7.2. Establecer y mantener un proceso de remediación.

Una vez que se ha establecido un proceso de gestión de vulnerabilidades, se debe establecer un proceso de remediación para especificar la respuesta de la organización cuando identifiquen la necesidad de actuar. El subcontrol 7.2 está diseñado para ayudar a las organizaciones a priorizar y secuenciar sus procesos de TI, con el CIS describiendo su propósito como:

“Establezca y mantenga una estrategia de remediación basada en el riesgo documentada en un proceso de remediación, con revisiones mensuales o más frecuentes.”

El proceso de remediación incorpora un conjunto de herramientas para resolver vulnerabilidades una vez que han sido identificadas. Las tácticas de remediación más utilizadas incluyen parches automáticos o manuales. El proceso de remediación de una empresa también puede incluir software de gestión de vulnerabilidades basada en riesgos (RBVM) para ayudar a las empresas a clasificar las posibles amenazas a las que se enfrentan, así como algoritmos avanzados de ciencia de datos y software de análisis predictivo para detener las amenazas antes de que sean expuestas.

7.3. Realice la gestión automatizada de parches del sistema operativo.

Los sistemas operativos son software fundamental, y los proveedores lanzan parches con frecuencia que abordan vulnerabilidades importantes. Para asegurar que las actualizaciones críticas se apliquen de manera oportuna, las organizaciones deben implementar un sistema automatizado que las aplique al menos mensualmente.

De manera más amplia, se requiere un marco de gestión de parches integral que tenga las siguientes capacidades:

• Recolección de información. Al escanear periódicamente los dispositivos, las organizaciones pueden identificar cuáles necesitan una actualización y pueden desplegar sus parches más pronto. Algunos softwares de gestión de parches automatizados también recopilan detalles del hardware y del usuario para proporcionar una imagen más clara del estado del endpoint.
• Descarga de parche. Descargar un parche es un proceso relativamente sencillo. La dificultad surge cuando una gran cantidad de dispositivos necesitan diferentes actualizaciones o la organización depende de muchos sistemas operativos distintos. Un software automatizado de gestión de parches debería poder manejar ambas situaciones sin problemas.
• Creación de paquetes. Un paquete consiste en todos los componentes necesarios para aplicar un parche. El software de gestión de parches automatizado debe ser capaz de crear paquetes de diferentes niveles de complejidad y con muchos tipos de componentes distintos.
• Distribución de parches. Para evitar frustrar a los usuarios y alterar los procesos empresariales, el software de gestión de parches debe poder programarse para iniciarse en momentos determinados y ejecutarse en segundo plano.
• Una vez aplicado un parche, las organizaciones deben recopilar información sobre qué dispositivos han sido actualizados y qué actualizaciones se utilizaron. El software de gestión de parches automatizado debe generar informes automáticos para que los equipos de TI puedan planificar los próximos pasos a seguir.

7.4. Realice la gestión automatizada de parches de aplicaciones.

Al igual que los sistemas operativos, muchas aplicaciones y plataformas necesitan mantenerse actualizadas con parches, los cuales deberían aplicarse al menos mensualmente. A menudo, la misma solución puede utilizarse para implementar parches tanto en sistemas operativos como en aplicaciones.

7.5. Realice escaneos automáticos de vulnerabilidades de los activos empresariales internos.

Las organizaciones deben escanear sus activos de TI en busca de vulnerabilidades al menos trimestralmente. CIS recomienda automatizar el proceso utilizando una herramienta de escaneo de vulnerabilidades compatible con SCAP. (SCAP proporciona estándares para escáneres y herramientas de remediación de vulnerabilidades.)

Los tipos de escaneos incluyen:

• Escaneos basados en red, que identifican vulnerabilidades en redes cableadas o inalámbricas. Esto se realiza localizando dispositivos y servidores no autorizados, y examinando las conexiones con socios comerciales para asegurar que sus sistemas y servicios estén seguros.
• Escaneos basados en el host, que evalúan puntos finales como hosts, servidores y estaciones de trabajo. Estos escaneos también examinan las configuraciones del sistema y el historial reciente de parches para encontrar vulnerabilidades.
• Escaneos de aplicaciones, que garantizan que las herramientas de software estén correctamente configuradas y actualizadas.
• Escaneos inalámbricos, que identifican puntos de acceso no autorizados y aseguran una configuración adecuada.
• Escaneos de bases de datos, que evalúan las bases de datos.

Los escaneos de vulnerabilidades pueden ser autenticados o no autenticados. Los escaneos autenticados permiten a los evaluadores iniciar sesión y buscar debilidades como usuarios autorizados. Los escaneos no autenticados permiten a los evaluadores hacerse pasar por intrusos que intentan vulnerar su propia red, ayudándoles a descubrir vulnerabilidades que un atacante encontraría. Ambos son útiles y deben implementarse como parte de una estrategia de gestión de vulnerabilidades continua.

7.6. Realice escaneos automáticos de vulnerabilidades de activos empresariales expuestos externamente.

Las organizaciones deben prestar especial atención a la detección de vulnerabilidades en datos sensibles y otros activos que están expuestos a usuarios externos, como a través de internet. CIS recomienda realizar escaneos de vulnerabilidades en activos expuestos externamente al menos mensualmente (en contraposición a trimestralmente para activos internos). Sin embargo, en ambos casos, se debe utilizar una herramienta de escaneo de vulnerabilidades automatizada y compatible con SCAP.

Algunas organizaciones tienen más activos digitales expuestos externamente de los que son conscientes. Asegúrate de que tus escaneos cubran todos los siguientes:

• Dispositivos
• Secretos comerciales
• Códigos de seguridad
• Sensores IoT
• Equipos de operación remota
• Presentaciones
• Información del cliente
• Routers para trabajo remoto

7.7. Remediar las vulnerabilidades detectadas.

El control 7.2 detalla cómo establecer y mantener un proceso para remediar vulnerabilidades. Recomienda realizar la remediación al menos mensualmente.

Cómo Netwrix puede ayudar

Implementar un proceso continuo de evaluación y remediación de vulnerabilidades puede ser un desafío. Las organizaciones a menudo descubren una gran cantidad de vulnerabilidades y luchan por remediarlas de manera oportuna.

Netwrix Change Tracker puede ayudar. Puede:

• Ayudarle a fortalecer sus sistemas críticos con plantillas de construcción personalizables de múltiples organismos de estándares, incluyendo CIS, DISA STIG y SCAP/OVAL.
• Verifique que sus archivos críticos del sistema sean auténticos rastreando todas las modificaciones a los mismos y facilitando la revisión de un historial completo de todos los cambios.
• Monitorear los cambios en la configuración del sistema y alertarle inmediatamente de cualquier modificación no planificada.
• Reduzca el tiempo y esfuerzo dedicados a la generación de informes de cumplimiento con más de 250 informes certificados por CIS que cubren NIST, PCI DSS, CMMC, STIG y NERC CIP.

FAQ

¿Qué es el escaneo continuo de vulnerabilidades?

Es el proceso de buscar y clasificar constantemente debilidades de seguridad en sistemas y software, incluyendo fallos conocidos, errores de programación y configuraciones incorrectas que podrían ser explotadas por atacantes.

¿En qué consiste el proceso de gestión de vulnerabilidades?

Un proceso continuo de gestión de vulnerabilidades debe constar de cuatro componentes:

• Identifique todos los activos de TI y escanéelos en busca de vulnerabilidades.
• Priorice las vulnerabilidades descubiertas basándose en factores como la probabilidad y el costo de explotación.
• Corrija o repare las debilidades detectadas.
• Documente las vulnerabilidades identificadas, los resultados de la evaluación y el progreso hacia la remediación, así como cualquier costo involucrado.