Vulnerabilidades en producción

El NIST, acrónimo que significa National Institute of Standards and Technology es una entidad perteneciente a la administración estadounidense que se ocupa, entre otras cosas, de mantener una serie de estándares relacionados con la ciberseguridad. Es famoso el Framework de ciberseguridad del NIST que proporciona un marco para las tareas de Identificar, Proteger, Detectar, Responder y Recuperar. Actividades relacionadas con la protección de los sistemas de información, que actualmente se van ampliando hasta abarcar casi todos los elementos importantes en un negocio u organización.

El NIST es el encargado de mantener la NVD, National Vulnerabilities Database, que es la base de datos sobre vulnerabilidades de referencia en el mundo entero. Las vulnerabilidades se detallan, se cualifican y se clasifican con un identificador que contiene dos números separados por un guión. El primer número corresponde al año en que se descubrió la vulnerabilidad y el número tras el guión es un ordinal, es decir, el número de orden de la vulnerabilidad en relación a las demás descubiertas en ese mismo año, aunque a menudo se reservan números ordinales mientras dura la investigación de la vulnerabilidad con la intención de una publicación inminente.

Resultará ahora más sencillo deducir por qué la vulnerabilidad que aprovechaba el ataque Wannacry era conocida por 2017-0010. Fue incorporada a la NVD a finales de 2016  y el parche para solucionar la vulnerabilidad apareció a mediados de marzo de 2017, solamente unos días después de conocer el arsenal de la NSA. Esto nos puede dar una idea de cómo se gestionan las vulnerabilidades que se incorporan a la NVD y el significado de su identificador en relación al número de vulnerabilidades descubiertas y publicadas ese año. Bien, pues hoy he consultado la NVD con la intención de conocer el número de vulnerabilidades incluidas este año y la última incorporada, a 29 de Mayo es la CVE 2017-9217. Creo que esto explica por sí sólo a qué ritmo van apareciendo vulnerabilidades y a qué ritmo deberíamos solucionarlas.

Obviamente, las vulnerabilidades resultan ser de distinta consideración, y el riesgo de los sistemas que la tienen no se contextualiza en esta base de datos, por eso es necesario que alguien efectúe un análisis de riesgos y pueda determinar si una vulnerabilidad en un sistema resulta un gran motivo de preocupación o figura (poco o mucho) más abajo en la escala del miedo…

El paso previo a la aplicación de este análisis es descubrir. Y el descubrimiento de las vulnerabilidades lo realizan expertos en ciberseguridad con herramientas especializadas. Conocer qué vulnerabilidades tiene cada sistema es esencial para saber de qué vamos a morir… Bueno, en realidad el que vayamos a morir de algo depende de cómo se gestionen las vulnerabilidades y aquí es donde quería llegar.

Los sistemas vulnerables son sistemas en producción y en muchos casos los sistemas en producción se “protegen” a toda costa contra eventos que puedan interrumpir dicha producción. Por eso, la aplicación de los parches y actualizaciones se ignoran o se dejan en la bandeja de “pendientes” donde permanecen hasta que alguien pone el grito en el cielo a causa del riesgo que supone, o bien un evento como Wannacry, en el mejor de los casos, provoca un revuelo que obliga a actuar.

La tarea de los especialistas en ciberseguridad y riesgos en este servicio no solamente implican conocer los resultados de la búsqueda de vulnerabilidades y saber en qué medida suponen un riesgo para la organización, sino que además es preciso introducir las acciones a ejecutar en el proceso de gestión de cambios de la organización, y que las paradas para aplicar un parche se puedan realizar dentro de una ventana de servicio con toda la información necesaria sobre el riesgo del negocio, implicando a los responsables de la gestión de cambios y que además se incorporen dentro del proceso global de gestión de los sistemas. Solamente de esta manera, las vulnerabilidades dejarán de ser el objeto de un informe incómodo que se almacena en un cajón y se posterga hasta que aparece un Wannacry.

Los servicios de análisis y gestión de vulnerabilidades que venimos realizando permiten a nuestros clientes anticiparse a la aparición de ataques que explotan las vulnerabilidades y generan confianza puesto que están perfectamente recogidos y documentados en el proceso de gestión de cambios de la organización, con la información relevante para tomar decisiones y evitar problemas que puedan afectar al negocio.

SOGETI ofrece todos los recursos – a través de nuestros servicios de ciberseguridad – para proteger a tu empresa de los ciberataques y conseguir así los objetivos de negocio.

Juan-Carlos-Pascual

 

 

Juan Carlos Pascual (@JKPascual)

Autor: qanewsblog

Sogeti es una compañía tecnológica perteneciente al Grupo Capgemini y especialista en: Testing y Calidad de Software; Soluciones Microsoft y High Tech Consulting. En Sogeti entendemos la importancia de obtener el máximo valor empresarial de sus sistemas de IT, por ello somos líderes mundiales en Testing & QA. Somos creadores de las metodologías estándar del mercado: TMap® (Test Management Approach) y TPI® (Test Process Improvement). ¡Nuestro compromiso es el Testing!

Deja tu comentario

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s