Optimización de sus esfuerzos esenciales de gestión de vulnerabilidades

Los sistemas interconectados dispares y ahora los empleados remotos en todo el mundo aumentan nuestra exposición y oportunidad para el delito cibernético. Los equipos de seguridad aquí en Australia, particularmente en los departamentos del gobierno federal y estatal australiano, luchan continuamente contra los vientos en contra para adoptar y mantener los consejos y requisitos dados por el Centro Australiano de Seguridad Cibernética (ACSC) en forma de ISM Essential Eight.

Las conversaciones recientes que tuvimos con las agencias sobre la reducción del costo y el esfuerzo de la higiene de seguridad pusieron de relieve los desafíos continuos en torno a los parches de aplicaciones y sistemas operativos, y otras prácticas "fundamentales" que los equipos de seguridad luchan por sacar de abajo. A pesar del acceso a tecnologías maduras que detectan y asesoran sobre cómo mantener actualizados los sistemas y las aplicaciones COTS, y un programa de sprint diseñado para ayudar a los NCCE a mejorar su madurez de los Ocho Esenciales, quedan preguntas sobre si las ramificaciones de los hallazgos de la gestión de vulnerabilidades se comprenden completamente y dónde gastar el esfuerzo de los recursos ya limitados para obtener el mayor retorno en la mitigación de riesgos.

La gestión de vulnerabilidades es, por supuesto, una práctica clave en el arsenal de todos los equipos de seguridad y debería ser la base de cualquier estrategia de defensa, lo que se hace evidente por su inclusión en el Top 4 original de 2011 y su continua relevancia en el Essential 8 ampliado. Sin embargo, debido a la creciente complejidad de la infraestructura, las arquitecturas de aplicaciones y las vulnerabilidades de software, las agencias no pueden o les resulta cada vez más difícil parchear todas las vulnerabilidades en los plazos descritos, a menudo paralizadas en la implementación de parches por temor a romper sus aplicaciones o interrumpir la productividad.

Dado que el nivel de cumplimiento de INFOSEC-4 documentado en el Reporte de Cumplimiento del Marco de Política de Seguridad Proactiva (PSPF) del Gobierno Australiano (relacionado con la seguridad cibernética y del sistema de TIC, incluidas las Estrategias para mitigar los incidentes de seguridad cibernética) sigue siendo el más bajo de los 36 requisitos obligatorios, y apenas mejora con respecto a los años anteriores, algunos quizás se consideren afortunados de que "el Gobierno Federal considere solo exigir los Ocho Esenciales cuando la madurez de la seguridad aumentó".

Los temas comunes de nuestras recientes conversaciones con las agencias incluyen:

• El volumen de software y sistemas, y la cadencia o ausencia de parches necesarios, especialmente para el software producido internamente
• Priorización con la comprensión de que no todo siempre será parcheado
• La inevitabilidad de aceptar vulnerabilidades de riesgo sin una apreciación completa de su impacto

Aquí hay tres áreas clave en las que centrar y donde las soluciones integradas pueden ayudar.

1. Vuelva a priorizar en función de la exposición, no solo de la criticidad

La tradición y la naturaleza nos dicen que apuntemos primero a lo que percibimos como "más crítico". A pesar de tener excelentes herramientas de detección y sistemas de puntaje que reflejan la criticidad de las vulnerabilidades conocidas, no consideran la conectividad de una carga de trabajo en relación con otras cargas de trabajo en un entorno. Los sistemas con menos volumen o vulnerabilidades potencialmente de menor rango que se pasan por alto solo por la criticidad, que son más accesibles y conectados, pueden dejar a una agencia abierta a ataques. Tener un enfoque basado en el volumen, el más reciente y primero para la gestión de vulnerabilidades, y simplemente progresar a través de sistemas que parecen iguales en número y clasificación de problemas identificados, no abordará primero la mayor oportunidad de explotación. En todo caso, solo crea la ilusión de progreso y éxito mientras deja a la agencia expuesta a un riesgo significativo.

Una forma de ayudar a mantener una superficie de ataque mínima y obtener el retorno de sus esfuerzos de aplicación de parches es reordenar la lista de prioridades en función de la "exposición". Vea las vulnerabilidades en un contexto más amplio, donde la accesibilidad de la vulnerabilidad y la conectividad del sistema juegan un papel vital en si se atiende primero. Vincular la herramienta de análisis de vulnerabilidades elegida con los flujos de tráfico en tiempo real dentro de su centro de datos ayuda a los equipos de seguridad y operaciones de TI a priorizar las decisiones de seguridad y aplicación de parches a aquellos sistemas con las puntajes de exposición más altas.

2. Vías visualizadas hacia la vulnerabilidad

Sin una comprensión o visualización de cómo se podría alcanzar una vulnerabilidad, o cómo se podría aprovechar para acceder a otros sistemas confidenciales dentro de su entorno, los equipos de seguridad y aplicaciones a menudo terminan evaluando la necesidad o el cronograma para aplicar parches en aislamiento. Debido a que están volando a ciegas, no pueden apreciar los efectos ascendentes y descendentes de sus decisiones. Esto es particularmente impactante cuando se elige aceptar el riesgo en una aplicación que interactúa con otras.

No apreciar el contexto más amplio o, de hecho, la efectividad de los controles adoptados probablemente contribuyó a los datos presentados en el Reporte de Cumplimiento de PSPF, donde el cumplimiento de INFOSEC-3 "implementar políticas y procedimientos para la clasificación de seguridad y el control de protección de los activos de información" disminuyó en más del cinco por ciento al dar de las deficiencias en esta área.

La visualización capaz de trazar las vías que un atacante podría usar potencialmente armará a los equipos de seguridad con la información necesaria para garantizar que las decisiones no se tomen sin tener en cuenta los sistemas interconectados. Pueden centrar en evaluar con precisión el impacto que tiene una vulnerabilidad en el ecosistema más amplio, apreciando de antemano el nivel de "exposición" que se tiene a la explotación de tales vulnerabilidades latentes y cerciorando que primero se tomen las soluciones más impactantes.

3. Opción de mitigar sin acceso inmediato al parche

Los parches no están necesariamente disponibles cuando los necesita. Los cambios de producción se congelan impiden su implementación inmediata o, como suele ser el caso, los equipos de proyecto no pueden volver a ser comisionados para volver a trabajar en el software producido a medida. De hecho, los ciclos dedicados a preparar y probar los parches para que no afecten negativamente a la disponibilidad de los servicios empresariales se convierten en el verdadero inhibidor para los equipos de seguridad sobrecargados, no en la implementación en sí. Los equipos corren el riesgo de quedar vulnerables hasta que puedan parchear y no tienen sensores para alertar si se detecta tráfico en un servicio vulnerable.

Los últimos niveles de madurez de ACSC prescriben objetivos para la duración de la implementación de parches específicamente para sistemas de riesgo extremo. Aunque las agencias deberían apuntar al Nivel 3 y un objetivo de parches de 48 horas, es posible que muchos parches ni siquiera alcancen el objetivo de 1 mes de Nivel 1, y los sistemas de menor riesgo no estarán bajo los mismos niveles de escrutinio. Como tal, habrá ventanas de exposición independientemente de dónde se encuentre en la escala de madurez. Aunque puede sentir empantanado en los fundamentos con riesgo de exposición a través de sistemas sin parches, se puede introducir de manera eficiente el control de qué tan lejos y a lo ancho van las madrigueras del conejo detrás de lo que se rompe para minimizar este riesgo.

La microsegmentación , si se hace bien, se puede movilizar rápidamente para actuar como el control de compensación subyacente, lo que le permite ganar ese tiempo demasiado valioso. Si el tráfico se conecta a un puerto con una vulnerabilidad conocida, las alertas para informar al centro de operaciones de seguridad (SOC) aceleran los procesos de respuesta y, mejor aún, las políticas de segmentación aplicadas eliminarían o restringirían el acceso a ellos sin interrumpir las aplicaciones. Aislar los servicios vulnerables del resto de la red evita que las amenazas se muevan lateralmente y satisface sus requisitos de cumplimiento hasta que se apliquen los parches.

Como demostraron los eventos globales actuales y los incidentes de infracción, es vital rastrear y comprender el alcance de una amenaza, el aislamiento preventivo y garantizar que existan controles para "prevenir" la propagación o el impacto de un incidente que explote las vulnerabilidades existentes en su centro de datos. Especialmente cuando las alternativas de "cura" son difíciles de probar y aplicar de manera oportuna.

Para obtener más información sobre Illumio, consulte cómo estamos ayudando a optimizar los regímenes de gestión de vulnerabilidades y permitiendo que los equipos de seguridad salgan de la carga de los fundamentos.