La ciencia y la tecnología detrás de la gestión de vulnerabilidades ha cambiado mucho en poco tiempo. Cuando se implementaron originalmente, las empresas de gestión de vulnerabilidades actuaron casi como proveedores de antivirus en el sentido de que intentaron que sus escáneres descubrieran tantas amenazas potenciales como fuera posible. Incluso se jactarían de ser capaces de detectar más vulnerabilidades ocultas en bancos de pruebas que sus competidores.

El problema con esa lógica es que, a diferencia de los virus y otros tipos de malware, las vulnerabilidades solo son potencialmente un problema. Para que una vulnerabilidad sea verdaderamente peligrosa, debe ser accesible para un atacante y relativamente fácil de explotar. Por lo tanto, una vulnerabilidad que se encuentra en un recurso interno no es una gran amenaza potencial, ni tampoco una que requiera componentes adicionales, como el acceso seguro a otros servicios de red. Saber qué es realmente peligroso es importante para que pueda planificar qué arreglar ahora y qué posponer para más tarde o incluso ignorar.

También es útil categorizar las vulnerabilidades en función de sus impactos potenciales en caso de que se exploten. Esto incluye la gravedad potencial del exploit, como eliminar una base de datos completa en lugar de bloquear a un solo usuario, y el valor de los recursos afectados. Tener su sitio web público desfigurado es vergonzoso, pero el robo de datos confidenciales puede ser crítico.

Los mejores programas de gestión de vulnerabilidades deben agregar contexto a los análisis. Algunos incluso ofrecen correcciones automáticas, capacitación o asistencia preventiva mediante inteligencia artificial (IA). También es importante comprender los estándares de cumplimiento, los mandatos legales y las mejores prácticas que se aplican a la organización que inicia el escaneo. Con potencialmente miles de vulnerabilidades ocultas en cualquier red empresarial grande, es la única manera de priorizar las correcciones de manera confiable.

Los siguientes seis productos superan los límites de al menos un aspecto de la gestión de vulnerabilidades.

Kenna Security Vulnerability Management

La plataforma Kenna Security Vulnerability Management fue una de las primeras en incorporar datos de amenazas en tiempo real en la gestión de vulnerabilidades hace varios años. Desde entonces, la plataforma se ha ido expandiendo para incluir más fuentes de amenazas, incluida una que la compañía administra específicamente en función de las redes de sus clientes. También ha agregado soporte para más escáneres de vulnerabilidades y hoy en día funciona con casi todo el mundo en el mercado.

Kenna no hace ningún escaneo por sí misma. En su lugar, proporciona programas de conectores que le permiten ingerir datos de casi cualquier escáner de vulnerabilidades, incluidos los de Tripwire, Qualys, McAfee y CheckMarx. La plataforma en sí se implementa como un servicio, con clientes que inician sesión en un portal en la nube para verificar su información y dar permiso a Kenna para obtener información sobre la red que está protegiendo.

La idea detrás de Kenna es que recopila las muchas alertas de vulnerabilidad enviadas por los escáneres y luego las compara con los datos de amenazas en tiempo real. Puede vincular una vulnerabilidad descubierta a una campaña de amenazas activa que la está explotando y priorizar una solución rápida. Las vulnerabilidades que se explotan en el mundo se elevan automáticamente en prioridad, por lo que los defensores pueden solucionar los problemas más peligrosos antes de que los atacantes los descubran y exploten.

La plataforma hace un buen trabajo explicando por qué existen vulnerabilidades en una red protegida y da consejos sobre cómo solucionarlas. Puede priorizar los defectos descubiertos en función de los activos que podrían afectar y la gravedad del problema. Esa es una buena característica, pero la priorización de vulnerabilidades basada en campañas de amenazas activas es el as en el agujero que hace que la plataforma de Kenna sea una de las mejores para resaltar problemas críticos que deben solucionarse primero.

Flexera Vulnerability Manager

Mientras que muchos gestores de vulnerabilidades se concentran en las aplicaciones y el código que una empresa desarrolla por sí misma, la plataforma Flexera se preocupa más por los programas de software de terceros que casi todas las empresas utilizan para realizar negocios. En la mayoría de los casos, la corrección de una vulnerabilidad en el software comprado o con licencia se realiza mediante la aplicación de un parche. Para una empresa, eso puede convertirse en un gran problema, especialmente si tienen que desconectar miles de sistemas o servicios críticos para aplicar el parche. Incluso es posible que, debido a la estrecha integración del software en estos días, la solución de un problema pueda crear muchos otros.

El software de gestión de vulnerabilidades de Flexera Software ayuda con este problema creando un proceso seguro de gestión de parches en toda una empresa. Puede encontrar vulnerabilidades en software de terceros y asesorar a los administradores sobre la gravedad de la amenaza potencial. Puede haber poco que ganar en poner un parche masivo a miles de usuarios para corregir una vulnerabilidad menor, o para parchear una característica que no está instalada o utilizada por la organización protegida. Flexera puede ayudar a tomar esas decisiones proporcionando contexto y luego implementando el parche cuando sea necesario.

También se puede usar para anclar un sistema de administración de parches automatizado al corregir vulnerabilidades cuando sea necesario de manera que no perjudique las operaciones. Por último, puede generar informes personalizados sobre la gestión de vulnerabilidades y parches, y también sobre cómo una organización cumple con los marcos, las leyes y las mejores prácticas pertinentes.

Tenable.io

Tenable es bien conocido en la industria por crear paneles de seguridad para cualquier entorno. Traen la misma tecnología de diagnóstico a su programa de gestión de vulnerabilidades, Tenable.io. Esta plataforma se gestiona en la nube, por lo que ocupa poco espacio dentro de una organización protegida. Utiliza una combinación de agentes de escaneo activos, monitoreo pasivo y conectores en la nube para buscar vulnerabilidades. Tenable.io a continuación, aplica el aprendizaje automático, la ciencia de datos y la IA para predecir qué correcciones deben hacerse primero antes de que un atacante pueda explotarlas.

Una de las mayores fortalezas de Tenable.io es el hecho de que utiliza tanto el panel de control como sus informes personalizados para mostrar vulnerabilidades de una manera que cualquiera pueda entender. Ya sea que alguien sea un desarrollador, parte del equipo de operaciones o un miembro de la seguridad de TI, puede comprender fácilmente las advertencias generadas por Tenable.io. En cierto modo, Tenable.io proporciona gestión de vulnerabilidades a todo el mundo sin necesidad de formación o conocimientos especializados.

ZeroNorth

Incluir ZeroNorth en un resumen de programas de gestión de vulnerabilidades puede parecer un poco extraño, ya que la plataforma en realidad no escanea nada por sí misma. En su lugar, fue diseñado para consolidar otros escáneres de vulnerabilidades y ayudar a compensar sus deficiencias. Dada la cantidad imposible de vulnerabilidades a las que se enfrentan la mayoría de las grandes empresas, se trata de una herramienta que demostrará rápidamente su utilidad.

ZeroNorth se implementa como un servicio, con usuarios que inician sesión en una plataforma web segura para monitorear su entorno. Conectar varios escáneres de nuestra red de pruebas a la plataforma ZeroNorth fue fácil, y nos pusimos en marcha en un abrir y cerrar de ojos. Por supuesto, necesita tener escáneres de vulnerabilidades en su entorno para comenzar a obtener datos con ZeroNorth, pero puede manejar datos provenientes de cualquier parte de la red, desde el entorno de desarrollo hasta la producción. Si no tiene escáneres, la plataforma ofrece una forma sencilla de agregar escáneres de código abierto o comerciales a su entorno, que luego se conectan automáticamente con la plataforma.

La plataforma ZeroNorth hace mucho trabajo consolidando y analizando los datos procedentes de los escáneres. Una característica interesante es que puede mostrar cómo las vulnerabilidades están relacionadas e incluso dependen unas de otras. Por ejemplo, si bien un análisis en bruto puede revelar 20 vulnerabilidades nuevas, la mayoría de las veces no le dirá que 19 de ellas existen debido a la primera falla. ZeroNorth lo hará. Luego, al corregir solo una vulnerabilidad, puede eliminar otras 20 de su red. En nuestra red de pruebas, cada vulnerabilidad que ZeroNorth recomendó corregir eliminó un promedio de otras 14 vulnerabilidades.

También hace un gran trabajo de seguimiento de quién creó recursos vulnerables y quién los administra. Por supuesto, puede informar de todos sus hallazgos a los administradores y a su consola central, pero también puede enviar alertas y correcciones recomendadas a los propietarios de aplicaciones. De esta manera, las personas más responsables de una aplicación vulnerable, y probablemente las más preocupadas por corregir cualquier problema, pueden comenzar a trabajar de inmediato en una solución.

También hace un buen trabajo de monitoreo de los escáneres de vulnerabilidades. Por ejemplo, le dirá si a un escáner le falta una vulnerabilidad crítica que otros están descubriendo. De esta manera, puede saber si su inversión en escáneres de vulnerabilidades específicas está dando sus frutos. Como tal, ZeroNorth sería una adición muy valiosa para cualquier organización que intente domar el diluvio de alertas de expansión de escáneres o mejorar su precisión de escaneo con nuevas políticas o herramientas.

ThreadFix

Una de las plataformas de gestión de vulnerabilidades más conocidas, ThreadFix centraliza los datos de prueba de una variedad de fuentes en un solo lugar y con un panel de control. Puede ingerir resultados de escaneo en formatos como SAST, DAST, IAST y Análisis de Composición de Software (SCA).

No solo puede recopilar y cotejar resultados, sino que también los desglosa y proporciona ayuda para analizar vulnerabilidades y priorizar correcciones. Lo hace de maneras avanzadas que son raras para los administradores de vulnerabilidades. Por ejemplo, puede des-engañar y correlacionar entre vulnerabilidades a nivel de aplicación y debilidades de seguridad que están arraigadas en la propia infraestructura. Poder separar distinciones críticas como esa puede ayudar a los equipos de TI a adaptar correcciones de vulnerabilidades específicas sin romper nada nuevo en el proceso.

Además de equilibrar y coordinar los resultados de múltiples escáneres de vulnerabilidades comerciales y de código abierto, ThreadFix también puede ayudar a automatizar el proceso de escaneo y corrección de vulnerabilidades al optimizar el flujo de back-end entre los equipos de seguridad y desarrollo. El hecho de que pueda actuar en tiempo real lo convierte en una herramienta perfecta para implementar en un entorno DevSecOps, donde los desarrolladores pueden asumir la responsabilidad de crear código seguro desde el principio. ThreadFix puede encontrar vulnerabilidades a medida que se generan y ayudar a los desarrolladores a solucionarlas antes de que se acerquen a un entorno de producción.

ThreadFix también puede cuantificar las actividades de resolución de vulnerabilidades y el tiempo que lleva corregir los errores descubiertos. Con estos datos, los equipos de seguridad pueden tener una mejor idea de sus ventanas de vulnerabilidad reales, mientras que la administración puede ver si la situación está mejorando con el tiempo y cómo.

Infection Monkey

El programa Infection Monkey de Guardicore podría considerarse otra opción extraña para un resumen de vulnerabilidades, pero el nivel de detalle que proporciona con respecto a los fallos de seguridad y vulnerabilidades lo hace valioso para casi cualquier organización. También es gratis, con código fuente modificable, por lo que no tiene nada que perder al probarlo.

Infection Monkey es una gran herramienta porque no solo identifica vulnerabilidades, sino que muestra exactamente cómo un atacante podría explotarlas potencialmente. Puede emplear el programa para comprobar si hay agujeros de seguridad en entornos Windows, Linux, OpenStack, vSphere, Amazon Web Services, Azure, OpenStack y Google Cloud Platform. Debido a que también se proporciona el código fuente basado en Python, los usuarios también pueden configurarlo para que funcione en cualquier entorno propietario o único.

El programa utiliza ataques y técnicas reales que Guardicore actualiza y actualiza constantemente. De hecho, técnicamente no es una simulación porque en realidad está atacando una red. Simplemente no tiene una carga maliciosa. Si sus herramientas de seguridad existentes pueden detener a Infection Monkey, tanto mejor, porque significa que cualquier vulnerabilidad escondida detrás de esa defensa podría considerarse una prioridad baja.

El valor real llega cuando Infection Monkey irrumpe con éxito, lo que puede tardar desde unos minutos hasta muchas horas, dependiendo de la complejidad de la red atacada. Una vez que encuentra una debilidad y la explota, el programa registra cada paso que tomó en el camino, incluidas las vulnerabilidades que explotó y las defensas que se eludieron o engañaron.

Si está mirando una lista de miles de vulnerabilidades, use Infection Monkey para averiguar cuáles son explotables por los atacantes. Luego, pásalos primero y despliega al mono una vez más para revisar tu trabajo.