GESTIÓN DE VULNERABILIDADES: un trabajo sucio... pero alguien tiene que hacerlo


La idea de externalizar una tarea especialmente difícil resulta bastante tentadora. ¿a quien no le gustaría desentenderse de la dura tarea de la Gestion de Vulnerabilidades (VM)?. Con el creciente número de parches, requerimientos de Normativas y Reguladores, y la complejidad creciente de los modelos de redes y pautas de amenazas, la gestión de las vulnerabilidades de dispositivos y sistemas se ha convertido en una tarea ardua para la mayoría de las empresas. Aunque podría parecer que la externalización de la Gestión de Vulnerabilidades no requiere mucho esfuerzo para las empresas clientes, el outsourcing de cualquier funcionalidad de la seguridad es una decisión mucho mas complicada que otras. Abajo vemos lo que el outsourcing de la Gestión de Vulnerabilidades implica y repasaremos los factores técnicos y no técnicos que las empresas deben considerar a la hora de evaluar las ventajas y costes asociados con la externalización de la Gestión de Vulnerabilidades.

Consideraciones Iniciales

Antes de contemplar el outsourcing de la Gestión de Vulnerabilidades, es importante entender lo que implica la Gestión de Vulnerabilidades. Dentro del contexto de la TI, no significa que abarque todo el espectro de vulnerabilidades potenciales de las empresas. La gestión de todas y cada una de las vulnerabilidades de una empresa tendría que incluir la vulnerabilidad asociada con actos criminales, o la entrada de nuevos competidores, o la vulnerabilidad de invertir tiempo y dinero en un producto mal concebido. Evidentemente, esto queda fuera

Cuando los profesionales de la TI hablan de la Gestión de Vulnerabilidades, casi siempre se refieren a la manera de identificar y remediar las amenazas sobre los recursos de TI. Esto implica la búsqueda de vulnerabilidades en el sistema operativo, en las aplicaciones, en las bases de datos y en otros recursos de la TI, cerrando posteriormente la ventana de riesgo mediante algún tipo de remedio, como la aplicación de un parche o realizando un cambio de configuración.

Aunque, cuidado con tomar las acciones equivocadas, porque ello podría derivar en una vulnerabilidad aún más importante para la empresa. Por ejemplo, si un vendedor de BBDD lanza un parche diseñado para arreglar una vulnerabilidad improbable y difícil de explotar, y el parche resulta ser problemático, todo ello podría hacer caer todos los servidores de la empresa. Respuestas automáticas fuera del sistema de gestión de incidencias y cambios pueden causar unos niveles inaceptables de riesgo. Controles de la reducción de riesgos, como probar el parche antes de aplicarlo al servidor de producción, puede ayudar a controlar el riesgo. También el control del riesgo se realiza al mantener el proceso de respuesta y remedio alineado con los procesos de aprobación y control de cambios corporativos.

Para cerrar el círculo, la mayoría de las empresas ponen en práctica la verificación y monitorización continua de su sistema de Gestión de las Vulnerabilidades y lo consiguen, en parte, compartiendo los datos recolectados y gestionados mediante los sistemas de gestión de las vulnerabilidades utilizando herramientas externas. Además de la integración con las soluciones de workflow y gestión de cambios, las herramientas para la gestión de las vulnerabilidades son capaces de compartir la información sobre eventos críticos con las herramientas para: la gestión de redes (NSM); gestión de eventos e información de seguridad (SIEM); para cuadros de mandos de cumplimiento regulatorio; y otros portales para la correlación y análisis de TI.

Servicios

A la hora de contemplar la posibilidad del outsourcing de la Gestión de las Vulnerabilidades, es aconsejable desglosar los tipos de servicios que proporciona un proveedor externo. Estos son algunos de los servicios más habituales:

Identificación de los activos. Existe un viejo lema que podría resultar apropiado en el mundo de la gestión de vulnerabilidades: "No puedes gestionar lo que no conoces." Docenas de vulnerabilidades se lanzan todos los días, pero muchas de ellas no son prioritarias para la red de su empresa. La única manera de saber cuáles son las vulnerabilidades que importan para su empresa y sus sistemas es saber exactamente qué dispositivos y sistemas tiene la empresa. También ayuda saber dónde se encuentran los sistemas. Muchos ataques se podrían evitar mediante el bloqueo de puertos; si un dispositivo se encuentra en una zona protegida y si todo el tráfico hacia esa zona se filtra, la vulnerabilidad podría ser mitigada. Los servicios para la identificación de activos escanean las redes y después producen listas detalladas identificando cuáles son los sistemas en la red, sus niveles de parches y configuración, y su situación dentro de la topología de la red.

• Identificación/evaluación de las vulnerabilidades. ¿Cuáles son las vulnerabilidades que aún son desconocidas? Parte del proceso de inteligencia de la compañía prestataria del servicio de gestión de vulnerabilidades es la capacidad de recolectar y diseminar todos los datos sobre las vulnerabilidades y parches. La información sobre vulnerabilidades puede proceder de una variedad de fuentes: fabricantes, informes, foros y listas de distribución, entre otros. El alcance de la información recolectada en la identificación de activos se evalúa y se compara con las vulnerabilidades conocidas. Después, la empresa prestataria del servicio puede avisar al cliente de cuales son los problemas y las acciones recomendadas.

• La solución y aplicación de parches. Actuar es una parte crítica de la gestión de vulnerabilidades, sin embargo ¿qué pasa cuando la solución se implementa a través del outsourcing? Podría significar que el outsourcer hace la llamada y actúa según considera necesario – cualquier cosa desde aplicar un parche hasta reconfigurar las reglas de control de acceso en un cortafuegos (firewall). Otra posibilidad es que el outsourcer puede integrar el workflow del cliente con su sistema de incidencias, de tal manera que el parche está listo para su despliegue, aunque la tarea del despliegue en sí lo realiza el propio cliente.

• Verificación de control y monitorización. Como la Gestión de vulnerabilidades se trata principalmente de cerrar las ventanas de exposición, es importante asegurar que existe la función de auditoría y verificación para comprobar que los cambios y parches hayan sido correctamente aplicados. También es importante saber quién aprobó el cambio y quién lo aplicó. Un outsourcer debería poder proporcionar al cliente un acceso detallado en tiempo real a las funciones de auditoría y verificación. Además, muchas organizaciones quieren tener acceso desde la red interna corporativa a los motores de gestión de eventos de la información de logs del proveedor de servicio. O mejor aún, acceder directamente al Portal de Servicio ( Incidentes, estado, estadísticas ) del propio outsourcer, particularizado incluso con distintas vistas para cada perfil involucrado en casa del cliente.

Arquitectura

Antes de seguir adelante con la externalización de la gestión de vulnerabilidades, las organizaciones deben tener en cuenta ciertos factores arquitectónicos importantes.

¿Utilizará el outsourcer unos escaneos internos, externos o ambos? Si los outsourcers sólo están escaneando desde fuera de la empresa (normalmente delante del firewall), entonces sólo podrán ver lo que ve un atacante externo. Aunque ésta información podría resultar interesante, existen unas vulnerabilidades dentro de las redes corporativas que no se deben ignorar.

Si se toma la decisión de permitir que el outsourcer coloque unos escaners internos en la red, hay que tener muy claro quién está a cargo de gestionar/operar dichos escaners y cómo los datos que se devuelven al outsourcer son protegidos. ¿Cuál es el nivel de confianza que tendrá el escáner sujeto al outsourcing dentro de las zonas corporativas de confianza? Si se coloca el escáner del outsourcer dentro de una zona restringida, ¿tendrán los responsables de esa zona un control apropiado sobre el escáner?

Por lo tanto, hay que considerar el alcance invasivo de los escaneos sobre la red. El escaneo se puede realizar mediante un agente o desde la red, con o sin unas credenciales. Un agente requiere que una parte de un código sea instalada en cada servidor o dispositivo a escanear. ¿Cómo acepta su empresa la instalación de una parte de un código por parte de un outsourcer en todos sus sistemas monitorizados? A muchas empresas no les gusta, y por tanto es posible que el outsourcer tenga que usar una solución de escaneo basada en la red. Aunque éstas soluciones son menos invasivas al no requerir ninguna instalación de código, podrían suponer un incremento en el tráfico de red dependiendo de la frecuencia con que escanean y la cantidad de mecanismos que se utilicen.

 
Además, el escaneo de la gestión de vulnerabilidades podría ser más o menos invasivo dependiendo de si se usan unas credenciales o no. Para los escaneos con credenciales, se proporciona al escáner algún tipo de credenciales válidas para que pueda entrar y autenticarse al sistema y buscar las vulnerabilidades como un usuario legítimo. Este tipo de escaneo puede encontrar más información, pero también es capaz de hacer que los sistemas caigan.
 


Algunos escaners intentan explotar las vulnerabilidades con o sin las credenciales, lo cual puede provocar una caída de sistema o servicio. Es aconsejable comprobar con el outsourcer el nivel adecuado de invasión para poder reducir al mínimo los cortes en el sistema.

Es importante tener en cuenta si la información recolectada por el outsourcer se puede usar con facilidad. El tener un montón de información almacenada en la empresa de servicio no sirve de mucho si no se puede acceder o comprender con facilidad. ¿Se muestran los datos del cuadro de mandos en tiempo real, o existe una demora considerable? Algunos outsourcers de la Gestión de vulnerabilidades proporcionan Portales y Cuadros de Mando que permiten al cliente tener la misma visibilidad para el estado actual de la red que sus propios técnicos del centro de operaciones de seguridad (SOC). Además, ¿se puede acceder a la información de manera segura con la autenticación y protección adecuada? Y ¿es posible exportar información a los sistemas y consolas del cliente como por ejemplo un SIEM u otra herramienta de correlación de eventos?

Responsabilidad y Auditabilidad

Cualquier empresa que está considerando externalizar la gestión de vulnerabilidades necesita mirar muy bien el tema de la responsabilidad y auditabilidad. Lo cierto es que la responsabilidad no se puede externalizar. Por eso se generan más responsabilidad de gestión y monitorización en la empresa que ha contratado con un outsourcer. Si hay una caída de un servidor crítico en el último trimestre del año, su departamento de TI será responsable, incluso si el servidor ha caído por culpa de un error cometido por el outsourcer de la gestión de las vulnerabilidades. Sobre cualquier información que se pierda o tiempo fuera de servicio que se ocasione, su departamento de TI se cargará con la responsabilidad.

También es necesario examinar el nivel de comunicación que uno quiere entre el equipo de TI y el outsourcer. La definición de contactos clave por parte de cada equipo para trabajar juntos puede incrementar el éxito del proceso de comunicación. Hay que hacer llamadas semanales para repasar todos los asuntos pendientes. El plan de comunicación debe embarcar también los procedimientos de escalado y de desastres; ¿Porqué y en qué momento debe el outsourcer contactar con los administradores internos? ¿Cuál es el proceso de escalado en su organización que el outsourcer debe utilizar para resolver el problema?

Al responder a todas éstas preguntas, es aconsejable ponerlo todo por escrito antes de contratar el servicio. Los acuerdos de nivel de servicio (los SLA) que son claros, concisos y que se pueden cumplir, pueden contribuir de manera decisiva a mantener la relación productiva. También ayuda tener una cláusula en el SLA sobre penalizaciones en el caso de que éste no cumpla los términos del acuerdo. Aunque la responsabilidad no se puede transferir, una parte de los costes del fallo sí se pueden recuperar del outsourcer en caso de un incidente de seguridad.

ROI

Es de notoria dificultad demostrar el ROI en relación con la seguridad. Lo que a menudo se mide es el coste de no ocurrencia de incidentes. Para la realización del ROI real es mejor centrarse en métricas, que son mesurables, en vez de estimaciones.

Para el outsourcing de la Gestión de Vulnerabilidades, es aconsejable estudiar cómo el servicio podría ahorrar personal a su organización. ¿Tiene usted empleados a tiempo completo actualmente a cargo del escaneo interno, la monitorización de las listas de vulnerabilidades y del despliegue de parches? Si es así, ¿a cuántas de éstas personas se podrían reasignar a otras tareas si la gestión de vulnerabilidades fuera mediante un outsourcer? No se debe olvidar que todavía hará falta personal para gestionar el outsourcer y también para supervisar la aprobación del escalado y gestión de cambios.

Muchas organizaciones están haciendo uso del outsourcing de la Gestión de vulnerabilidades para reducir la demanda de personal y de recursos. Las ventajas del outsourcing de la Gestión de Vulnerabilidades son muchas. Los requisitos globales de personal para la Gestión de Vulnerabilidades podrían descender según se va asignando las tareas al outsourcer y posteriormente se podrá reasignar los recursos internos a otros proyectos.

Sin embargo, la Gestión de Vulnerabilidades no es una decisión a tomar a la ligera. Para que sea un éxito, es aconsejable meditar las cuestiones y preocupaciones relacionadas con su organización y obtener las respuestas del outsourcer por escrito.

Hay que recordar que, aunque muchos de los requerimientos de recursos se podrán asignar al outsourcer, no se puede decir lo mismo para la responsabilidad. Alguien de su organización aún debe estar pendiente del outsourcer para asegurar que éste tome las medidas correctas a la hora de gestionar las vulnerabilidades. Si sus sistemas sufren un ataque porque no se aplicaron los parches o configuraciones correctas, ¿quién carga con la responsabilidad?

Es mejor meditar y estudiar el proceso y cómo funcionará de manera óptima para su organización, pero no cabe duda que la externalización de la Gestión de Vulnerabilidades es una de las alternativas más atractivas y económicas para obtener los niveles de Seguridad y Gestión de Riesgos deseados.

 

 

 GRUPO SIA


delivering value
acceso a web de Grupo SIA