Conozca el puntaje: explicación de la exposición a vulnerabilidades

En esta publicación, explico los diversos factores en el cálculo del puntaje de exposición a vulnerabilidades (VES) de Illumio, que permite a las organizaciones combinar las mediciones de puntaje de vulnerabilidad estándar de la industria con el contexto de su propio entorno único. El VES también ayuda a los profesionales de seguridad a priorizar los controles de seguridad para minimizar la exposición de la superficie de ataque y el impacto potencial de las vulnerabilidades.

¿Qué es la exposición?

La exposición en el contexto de la ciberseguridad generalmente se define por la "superficie de ataque". Aquí hay una definición que usa OWASP :

La superficie de ataque describe todos los diferentes puntos en los que un atacante podría ingresar a un sistema y donde podría obtener datos.

El VES de Illumio está directamente alineado con esa definición. En pocas palabras, la exposición es un intento de cuantificar la suma de los "agujeros" o los diferentes puntos desde los que un atacante puede intentar ingresar a un sistema a través de la red.

Digamos, por ejemplo, que tiene un portal de socios, una carga de trabajo que ejecuta una aplicación sitio web en el puerto 443. Siguiendo el principio de privilegios mínimos, es posible que tenga acceso limitado a esa aplicación sitio web a solo tres socios externos. En este ejemplo, el puntaje de exposición para esa aplicación es 3. Si bien esto parece obvio, muy a menudo las organizaciones no tienen este nivel de conocimiento o visibilidad de su exposición este-oeste aplicación por aplicación, y mucho menos las ramificaciones del agregado de estas exposiciones en su entorno.

¿Qué es un puntaje de vulnerabilidad?

El VES de Illumio emplea el estándar abierto de la industria, el Sistema de Puntaje de Vulnerabilidades Comunes (CVSS) aceptado por la comunidad, originalmente iniciado por el Consejo Asesor Nacional de Infraestructura (NIAC). La adopción de un estándar de la industria nos permite interoperar con muchas soluciones de seguridad existentes, incluidos los proveedores de gestión de vulnerabilidades , así como proporcionar un puntaje aceptado por la más amplia gama de profesionales de la seguridad.

Los puntajes de vulnerabilidad son comunes en la mayoría de las soluciones de gestión de vulnerabilidades y generalmente se evalúan y asignan por carga de trabajo. Por ejemplo, la carga de trabajo A tiene cinco vulnerabilidades. El puntaje de vulnerabilidad podría ser el promedio combinado de los puntajes CVSS de esos cinco. Si bien esta es una métrica valiosa para comprender la vulnerabilidad potencial de una sola carga de trabajo de forma aislada, omite algunos detalles importantes para comprender qué tan realmente vulnerable es esa carga de trabajo en un entorno en tiempo real.

Implementación de la microsegmentación para mitigar el riesgo asociado con las vulnerabilidades

Para comprender cuán vulnerable es algo, debe observar múltiples factores. Una vulnerabilidad solo es realmente un riesgo si está expuesta en su entorno y puede ser explotada.

Para un ejemplo simple, consideremos una sola carga de trabajo con una sola vulnerabilidad crítica. Debido a que se califica como gravedad "crítica", puede ser altamente explotable. La recomendación típica de un equipo de seguridad podría ser: "¡Tenemos que parchearlo!". Pero consideremos cuántas otras cargas de trabajo pueden conectarse a esa carga de trabajo y potencialmente explotar esa vulnerabilidad. Examinemos también los puertos de red que están expuestos como parte de esa vulnerabilidad. Como suele ser el caso en las redes planas, la carga de trabajo estará bien conectada a muchas otras cargas de trabajo.

Es posible que no sea factible aplicar parches a esa vulnerabilidad en individua, ya sea porque aún no existe un parche o debido a los requisitos y restricciones en torno al tiempo de actividad de producción, las ventanas de cambio y los SLA. En tales casos, podemos usar la microsegmentación para reducir la cantidad de cargas de trabajo que pueden conectarse a esa carga de trabajo vulnerable y al puerto vulnerable específico.

La microsegmentación se convierte en un control de mitigación de riesgos al:

• Reducir los vectores de ataque a la carga de trabajo.
• Reducir la "exposición" de la carga de trabajo.
• Reducir el riesgo de que la vulnerabilidad en esa carga de trabajo pueda ser realmente explotada, aunque la vulnerabilidad sea "Crítica" y no se pueda parchear actualmente.
  

¿Qué es el puntaje de exposición a vulnerabilidades?

El VES de Illumio es un medio para controlar tanto la "explotabilidad" de una vulnerabilidad (generalmente representada por el puntaje CVSS), como la "accesibilidad" real de la carga de trabajo vulnerable a través de vectores de ataque en su entorno, lo que estuvimos llamando "exposición".

Ahora para las matemáticas reales. El VES se calcula multiplicando un puntaje de vulnerabilidad escalada (CVSS) por una medición de exposición escalada para un servicio determinado, donde s y p son factores de escala para ayudar a escalar el logaritmo esas mediciones, que es una técnica matemática común cuando hay un amplio rango de valores:

VES = s(CVSS) * p(medición de la exposición)

Como mencioné en mi artículo de Forbes sobre las lecciones de seguridad empresarial obtenidas del MVP de la NBA, Steph Curry, esta medición proporciona una forma para que un profesional de la seguridad comprenda la vulnerabilidad y la información relacionada con las amenazas en el contexto de entornos segmentados.

Específicamente, las soluciones tradicionales de gestión de vulnerabilidades emplean calificaciones de Crítico, Alto, Medio, Bajo e Información para categorizar las vulnerabilidades y ayudar a priorizar los esfuerzos de mitigación. Crítico y drogado reciben atención inmediata, como deberían. Sin embargo, hay una gran cantidad de vulnerabilidades medias que no se priorizan y eventualmente se acumulan en un retraso significativo que no pasó desapercibido para los creadores de malware.  

Las vulnerabilidades críticas a menudo son altamente explotables (bajo costo para el atacante), pero solo por un corto periodo de tiempo porque los equipos de seguridad se mueven rápidamente para parchear o encontrar otras formas de eliminar la exposición. Los atacantes, siempre buscando un nuevo ángulo, apuntan cada vez más a vulnerabilidades medias que a menudo se pierden en el ruido y permanecen sin parches durante periodos de tiempo más largos, un objetivo mucho más efectivo para la violación. Pueden considerar un poco más "caros" de explotar (mayor barrera de entrada, por así decirlo), pero el hecho de que estarán disponibles más tiempo que las vulnerabilidades críticas y altas los hace mucho más atractivos para atacar cuando el atacante calcula el ROI contra su inversión.

El propósito y la recompensa

El VES hace que sea mucho más fácil para una organización combinar el puntaje CVSS de las mejores prácticas de la industria con factores que son únicos para el entorno de cada cliente. Los equipos de seguridad pueden priorizar mejor su estrategia de mitigación en función de la exposición de la vulnerabilidad en su entorno único. Por ejemplo, una vulnerabilidad de alta gravedad podría perder prioridad porque la exposición se redujo considerablemente mediante controles de microsegmentación. O podría haber una vulnerabilidad media que debería priorizar en la parte superior de la lista dada la exposición con una gran cantidad de rutas de ataque potenciales en ese servicio vulnerable.

El VES es posible porque entendemos de manera única el mapa , cómo se conecta y se comunica su entorno, y superponemos información de vulnerabilidad en la parte superior del mapa para ayudar a los equipos de seguridad a visualizar y priorizar la mitigación del riesgo de vulnerabilidades en su entorno. Esto se convierte en una herramienta extremadamente poderosa, no solo para los equipos de seguridad, sino también para otros, como los propietarios de aplicaciones y los ejecutivos, que necesitan comprender ese riesgo y mitigarlo o aceptarlo en el contexto de un riesgo empresarial más amplio.