TRES COSAS QUE DEBE SABER

SOBRE LA PRIORIZACIÓN DE
VULNERABILIDADES
El panorama actual de gestión de vulnerabilidades 15.038
Si trabaja en ciberseguridad, ya sabe que la gestión de vulnerabilidades se está CVE en 2017
volviendo cada vez más compleja.

La cantidad de vulnerabilidades está elevándose y su gravedad aumenta. El Informe 53 %

de inteligencia de vulnerabilidades de Tenable Research arroja luz sobre las 15.038 de crecimiento
vulnerabilidades descubiertas en 2017, la mayoría de las cuales se clasificaron como en 2017 frente
altas o críticas en función de su gravedad con base en el Sistema de Puntuación de al 2016

16.500
Vulnerabilidades Comunes (CVSS), estándar del sector.

Críticas 12 % Bajas 2 %

CVE en 2018

2017
Altas 46 % Medias 40 %

Baja Media Alta Crítica

Y las tendencias de 2018 son aún más alarmantes:

según la Base de Datos Nacional de Vulnerabilidades
(NVD), se revelaron 16.500 nuevas vulnerabilidades.
A medida que crece la superficie de ataque de una organización, también lo hace el
volumen y la gravedad de las vulnerabilidades. Dada la creciente complejidad de la
infraestructura de TI, con las prácticas de DevOps, la nube, los contenedores y los
microservicios que se tornan más comunes, además de los dispositivos de IoT que
aumentan, la gestión de vulnerabilidades puede llegar a ser algo similar a trabajar
dentro de una olla a presión.

De acuerdo con una encuesta realizada en 2018 por el Ponemon Institute, solo el 29 % de
las organizaciones informan tener suficiente visibilidad de su superficie de ataque.

Tres cosas que debe saber sobre la priorización de vulnerabilidades 2

Además, las organizaciones se enfrentan a una escasez de recursos y talentos. El
El 58 %
DECLARA
58 % afirma que la escasez de personal calificado afecta su capacidad para escanear
las vulnerabilidades de manera oportuna y el 51 % está atascado debido a procesos
manuales y atrasos insuperables. que la
escasez de
Con una imagen insuficiente del panorama de vulnerabilidades de su organización y
personal
una escasez de recursos, ¿cómo puede escanear adecuadamente las vulnerabilidades
calificado afecta
y evaluar el riesgo cibernético, por no mencionar satisfacer a los altos directivos y a la
el escaneo
junta directiva que necesitan comprender el riesgo cibernético en términos relacionados
oportuno
con el negocio? (Es suficiente para hacer que le explote la cabeza a cualquiera).

Dado este panorama, la priorización se ha convertido en el desafío clave para los SOLO
profesionales de seguridad: es lo que distingue a las organizaciones de TI maduras y les el 29 %
brinda la ventaja competitiva que necesitan para mitigar el riesgo de manera eficaz en la de las
era actual de transformación digital. organizaciones
Las conjeturas, la intuición y la confianza en prácticas informan suficiente
manuales y obsoletas simplemente no lo eliminan. visibilidad hacia
la superficie
de ataque

Tres cosas que debe saber sobre la priorización de vulnerabilidades 3

Profundización en la importancia de la priorización
La mayoría de las organizaciones reconocen que es necesario un plan de priorización.
Sin un plan, usted se enfrentará a una cantidad vertiginosa de trabajo y básicamente
tomará decisiones casi aleatorias sobre qué reparar primero.

Pero, por supuesto, una incapacidad para priorizar eficazmente las vulnerabilidades
supone más que calcular mal cómo gastar su tiempo.

El informe Ponemon revela que el 91 % de las organizaciones han sufrido, al menos, un
ataque cibernético perjudicial durante los últimos dos años, lo que generó un tiempo de
inactividad significativo para la empresa, pérdida de información confidencial de clientes
El 91 %
o empleados, robo de información crítica para la compañía, o multas o demandas
de las
legales debido al incumplimiento.
organizaciones
sufrieron un
Sin embargo, reconocer la necesidad de un plan ciberataque
y diseñar adecuadamente uno no es lo mismo. durante los
últimos dos años
Es común que las organizaciones establezcan prioridades en función de la mejor opción
a corto plazo. Estos flujos de trabajo no son intrínsecamente malos, pero tienden a pasar
por alto los verdaderos riesgos para su compañía.
Por ejemplo:

Reparar cada vulnerabilidad con una puntuación de CVSS de 7 o más significa

que abordará algunas de las vulnerabilidades más críticas, pero pronto se verá
abrumado por la gran cantidad de riesgos. Si todo es siempre es una emergencia
crítica, nada lo será en realidad.

El reparar donde es más fácil colocar parches impulsa la productividad real

(y, a veces, imaginaria), pero pasa por alto lo importante: más fácil no significa
más probable.

Hacer frente a la amenaza más nueva primero puede parecer ventajoso,

especialmente cuando los CISO y los CIO están bajo la presión de los clientes, los
inversionistas o los medios de comunicación. Sin embargo, quedar atrapado en un
trabajo de reacción implica quitar tiempo y recursos a otro trabajo, a menudo, más
importante. Y la amenaza más reciente, por lo general, no es la más probable.

Sin embargo, no todo es miseria y desolación. Puede elaborar un plan de asignación de

prioridades eficaz, que tome una visión informada y centrada en el riesgo y proteja a su
organización de los ataques cibernéticos.

Tres cosas que debe saber sobre la priorización de vulnerabilidades 4

Un enfoque de 3 pasos para la gestión
de vulnerabilidades ¿QUÉ
DEBEMOS
Un plan de priorización exitoso le ayudará a responder: ¿Dónde debemos priorizar en
REPARAR
PRIMERO?
función del riesgo? ¿Qué vulnerabilidades son las más susceptibles de ser explotadas?
¿Qué debemos reparar primero?

Hemos reunido este enfoque de tres pasos para ayudar a impulsar una mejor toma de
decisiones, reducir la complejidad y, en última instancia, mitigar los riesgos cibernéticos.

Comience con las vulnerabilidades que están siendo explotadas activamente.

Todas las vulnerabilidades representan debilidades, pero las vulnerabilidades
explotables reflejan un riesgo real. Use una herramienta de gestión de
vulnerabilidades que incorpore inteligencia de amenazas para que pueda abordar
las vulnerabilidades que tienen exploits conocidas que circulan allá afuera.

Repare las vulnerabilidades que probablemente se explotarán durante las

próximas semanas. Los modelos predictivos proporcionan información sobre la
probabilidad de que una vulnerabilidad determinada se explote en función de
ciertas características (por ejemplo, patrones de amenazas anteriores, datos de
NVD e inteligencia de amenazas).

Aborde activos etiquetados como críticos. Vale la pena prestar atención a los
activos críticos, ya que un ataque contra ellos podría tener impactos a gran
escala en la compañía. Los activos abiertos a Internet deberían ser motivo de
especial preocupación.

Próximos pasos
El abordaje anterior reducirá drásticamente la lista de vulnerabilidades que debe reparar,
lo que le permite ganar estructura y control en una búsqueda que, de otra manera, estaría
cargada de incógnitas.

Y cuando pueda priorizar las vulnerabilidades, tendrá tiempo para concentrarse en

iniciativas aún más estratégicas, como evolucionar hacia un programa completo de
Cyber Exposure, a lo largo de tecnologías, sistemas y departamentos.

Con más previsibilidad, menos conjeturas y menos prácticas ad hoc, su organización estará
mejor protegida, y su trabajo será más sano, más gratificante y, nos atrevemos a decirlo,
divertido nuevamente.

Tenable está llevando la gestión de vulnerabilidades hacia

un nivel completamente nuevo con la Priorización predictiva.

Tres cosas que debe saber sobre la priorización de vulnerabilidades 5

La Priorización predictiva combina datos e inteligencia de amenazas en varias fuentes,
y los analiza con un algoritmo de ciencia de datos que utiliza aprendizaje automático
para anticipar la probabilidad de que quienes generan amenazas aprovechen
una vulnerabilidad.

Usted obtiene información en tiempo real que le ayuda a diferenciar entre riesgos
reales y teóricos, y una lista personalizada y priorizada de las vulnerabilidades que
deben solucionarse primero, lo que genera una reducción masiva del 97 % en la
cantidad de vulnerabilidades críticas y altas en las que debe colocar parches.

Enfóquese en los verdaderos

riesgos para su empresa.
La Priorización predictiva ahora está disponible para la nube o en una implementación local:

Nube: Inicie una prueba gratuita de Tenable.io

Local: Solicite una demostración de Tenable.sc

Tres cosas que debe saber sobre la priorización de vulnerabilidades 6

7021 Columbia Gateway Drive
Suite 500
Columbia, MD 21046

Norteamérica +1 (410) 872-0555

www.tenable.com

02/10/19 V01

COPYRIGHT 2019 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER,
SECURITYCENTER CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE
CYBER EXPOSURE COMPANY SON MARCAS REGISTRADAS DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS REGISTRADAS
DE SUS RESPECTIVOS PROPIETARIOS.