PRIORIZACIÓN PREDICTIVA:

CÓMO CONCENTRARSE EN
LAS VULNERABILIDADES
QUE MÁS IMPORTAN
Contenido
Resumen ejecutivo 3

Por qué los esfuerzos tradicionales de gestión

de vulnerabilidades se quedan cortos 4

Aspectos importantes que debe saber sobre las puntuaciones de CVSS 4

La superficie de ataque se está expandiendo 5

Un solo activo de TI puede tener varias vulnerabilidades 6

El riesgo cibernético crea un riesgo de negocios real 6

Presentación de la Priorización predictiva 7

Cómo funciona la Priorización predictiva 8

Conclusión 9

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 2

Resumen ejecutivo
La ciberseguridad eficaz exige más tiempo y recursos que los que tienen los equipos
de ciberseguridad y de TI. Para hacer un uso eficaz de los recursos limitados, deben
priorizar las vulnerabilidades y evitar perder tiempo en actividades superfluas.

Identificar el subconjunto de vulnerabilidades que más importa es difícil cuando la

mayoría de las vulnerabilidades reveladas se han calificado como Altas o Críticas.
Una información más precisa permite un mejor uso del tiempo, el dinero y las personas.
Uso de la Priorización predictiva: un proceso para volver a priorizar las vulnerabilidades
en función de la probabilidad de que se aprovechen en un ataque cibernético.
Las organizaciones pueden mejorar drásticamente su eficiencia y eficacia de
reparación centrándose en las vulnerabilidades que más importan.

A medida que aumenta la cantidad de activos tecnológicos, proporcionar seguridad

a todos se vuelve más difícil. Esta complejidad en aumento crea vulnerabilidades que son
difíciles de identificar y reparar, ya que los profesionales de seguridad, a menudo, carecen
de una visibilidad fundamental de todos los activos en la superficie de ataque de la
organización. Incluso si tuvieran la visibilidad que necesitan, colocar parches en todas las
vulnerabilidades con recursos finitos sería extremadamente desafiante, si no imposible.

Las cifras son desalentadoras: se publicaron 15.038 vulnerabilidades nuevas en 2017

frente a 9.837 en 2016, lo que representa un aumento del 53 % en un solo año1. En 2018,
se publicaron 16.500 vulnerabilidades nuevas2. En promedio, las compañías encuentran
870 vulnerabilidades por día en 960 activos de TI3. Los equipos de ciberseguridad y TI no
tienen ni el tiempo ni los recursos para manejar todas las vulnerabilidades, por lo que la
necesidad de priorizar es obvia.

Este documento técnico explica por qué los esfuerzos tradicionales de priorización
de vulnerabilidades se quedan cortos y cómo puede ayudar la Priorización predictiva.
Con la Priorización predictiva, las organizaciones pueden esperar una reducción del 97 %
en la cantidad de vulnerabilidades Altas y Críticas en las que deben colocar parches.
Y, pueden concentrar sus esfuerzos en los problemas que representan el mayor riesgo
para su organización, al mismo tiempo que mejoran la eficiencia del escaso personal
de seguridad y los recursos presupuestarios.

1 Informe de inteligencia de
vulnerabilidades, Tenable Research, 2018

2 Base de Datos Nacional

de Vulnerabilidades (NVD)

3 Tenable Research

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 3

Por qué los esfuerzos tradicionales de gestión CVSS no
de vulnerabilidades se quedan cortos es una
métrica de
En un mundo perfecto, las organizaciones colocarían parches en todas las priorización
vulnerabilidades. Pero la cantidad de parches necesarios en todos los activos excede efectiva
los recursos de ciberseguridad y de TI, incluyendo el presupuesto y el capital humano. debido a lo
Más de 110.000 vulnerabilidades se han publicado en la Base de Datos Nacional de siguiente:
Vulnerabilidades (NVD) del NIST, algunas de las cuales datan de 1999. Sin embargo,
Le falta la granularidad
no todas esas vulnerabilidades han sido o serán explotadas. De hecho, muy pocas
para proporcionar una
vulnerabilidades se explotarán activamente. medida precisa de
criticidad basada en
Según la NVD, se revelaron 16.500 nuevas vulnerabilidades en 2018. Sin embargo, solo el riesgo real frente al
riesgo teórico.
el 7 % de estas vulnerabilidades tenía una explotabilidad pública disponible. Incluso
menos fueron aprovechadas por los atacantes, lo que significa que la gran mayoría de Proporciona un
estas vulnerabilidades representa solo un riesgo teórico. número relativamente
estático que no refleja
la actividad en tiempo
Para la mayoría de las organizaciones, la diferencia entre las vulnerabilidades que
real en el panorama de
podrían explotarse y las que probablemente se exploten se mide en miles, lo que hace amenazas.
que sea muy difícil priorizar qué vulnerabilidades se deben reparar primero, si es que
Califica a la mayoría de
se reparan. las vulnerabilidades
como Altas y Críticas.

Cuestiones importantes que debe saber sobre las puntuaciones de CVSS

CVSS es un medio estándar de la industria para evaluar la gravedad de las
vulnerabilidades de seguridad. El sistema de puntuación va del 0 al 10,
y 10 representa el nivel más alto de criticidad.

Los criterios de puntuación de CVSS cambiaron de CVSSv2 a CVSSv3, lo que impactó,

en gran medida, la distribución de las calificaciones de gravedad. De acuerdo con las
calificaciones de CVSSv3, el 60 % de las vulnerabilidades se consideran Altas o Críticas
en comparación con el 31 % de CVSSv2, como se muestra en la Figura 1.
16000

14000

12000

10000

8000

6000

4000

2000

0
Ninguna Baja Media Alta Crítica

CVSSv2 CVSSv3

Figura 1. CVE en general: clasificación CVSSv2 a CVSSv3

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 44

La superficie de ataque se está expandiendo.
La superficie de ataque de una organización son todos los puntos en los que un
atacante podría infiltrarse. Con la transformación digital, la superficie de ataque se ha
expandido más allá de los activos de TI tradicionales para incluir dispositivos móviles,
nube, contenedores, IoT y sistemas de control industrial (ICS). Vea la Figura 2. En pocas
palabras, más dispositivos generan más vulnerabilidades.

IoT industrial ICS/SCADA IoT empresarial

IoT

Nube Contenedor
Nube

Aplicación Máquina Dispositivo Computadora

web virtual móvil portátil

TI

Servidor Escritorio Infraestructura

de red

Figura 2. La transformación digital ha dado lugar a nuevos vectores de ataque

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 5

Las empresas son más diestras en el manejo de las vulnerabilidades tradicionales que
involucran servidores, computadoras de escritorio e infraestructura de red porque las
herramientas son las más maduras y familiares. La seguridad móvil sigue siendo un
reto en función del dispositivo, el sistema operativo y la diversidad del navegador; la
complejidad de la infraestructura; el diseño deficiente de la seguridad de aplicaciones;
y la falta general de higiene cibernética de los usuarios finales. Los activos en la
nube, incluyendo las máquinas virtuales y los contenedores, tienden a ser efímeros,
por lo que son difíciles de ver. Los ICS son anteriores a Internet, por lo que no se
crearon teniendo en cuenta la ciberseguridad. Y la IoT e IIoT están diseñadas para la

El 91 %
conectividad a Internet, pero no necesariamente para la ciberseguridad.

Un solo activo de TI puede tener varias vulnerabilidades

de las
Además de eso, cada activo de TI puede tener varias vulnerabilidades asociadas.
organizaciones
Por ejemplo, 5255 CVE están asociadas con el sistema operativo Windows 10 en
sufrieron
la NVD en el momento en que se redactó este documento.
un ataque
cibernético
El riesgo cibernético crea un riesgo de negocios real durante los
En resumen, colocar parches en todas las vulnerabilidades presentes en una
últimos dos años
organización es difícil por lo siguiente:

Los negocios carecen de la visibilidad que necesitan en todos sus activos

de tecnología.

Algunos activos tienen varias vulnerabilidades asociadas, por lo que la cantidad

total de vulnerabilidades es demasiado grande como para manejarla.

Hay muy pocos recursos de ciberseguridad y de TI disponibles para identificar

y colocar parches en todas las vulnerabilidades.

La incapacidad de colocar parches en todas las vulnerabilidades genera oportunidades

de explotación. Según un estudio realizado por el Ponemon Institute4, el 91 % de las
organizaciones han sufrido, al menos, un ataque cibernético perjudicial durante los
últimos dos años. El 60 % ha sido objeto de dos o más ataques cibernéticos.

4 Measuring & Managing the Cyber

Risks to Business Operations
(Medición y gestión de los riesgos
cibernéticos en las operaciones
de negocios), Ponemon Institute,
diciembre de 2018.
Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 6
Presentación de la Priorización predictiva
¿DÓNDE
La Priorización predictiva aborda la pregunta crítica que enfrenta cada organización:
DEBEMOS
“¿Dónde debemos priorizar?” Este nuevo proceso para el aprendizaje automático vuelve
a priorizar las vulnerabilidades en función de la probabilidad de que se aprovechen en
PRIORIZAR?
un ataque.

Información de Tenable Research

Análisis basados en la ciencia de

97 %
datos de más de 100.000
vulnerabilidades para diferenciar
entre los riesgos reales y teóricos que
plantean las vulnerabilidades.

Puntuación de vulnerabilidades
La criticidad, la facilidad de
Priorización
explotación y los vectores de ataque
asociados con la falla. predictiva de reducción en la cantidad de
vulnerabilidades Críticas y Altas
donde las organizaciones deben
Inteligencia de amenazas colocar parches
Información sobre las
vulnerabilidades que están siendo
explotadas activamente por
quienes generan amenazas
dirigidas y oportunistas.

Figura 3. La Priorización predictiva proporciona un proceso predictivo

basado en amenazas para la reparación de vulnerabilidades

Específicamente, la Priorización predictiva combina más de 150 fuentes de datos,

incluyendo los datos de vulnerabilidades de Tenable® y los datos de vulnerabilidades
y amenaza de terceros, y aprovecha un algoritmo de aprendizaje automático propio para
identificar las vulnerabilidades con la mayor probabilidad de explotabilidad en el futuro
a corto plazo.

El algoritmo analiza cada vulnerabilidad en la NVD para predecir la probabilidad de un

exploit para cada una. De esa manera, los profesionales de TI y ciberseguridad pueden
centrar sus esfuerzos en el 3 % de las vulnerabilidades que han sido, o probablemente
serán, explotadas.

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 7

De hecho, la Priorización predictiva diferencia tan bien entre los riesgos reales y teóricos
que las organizaciones pueden esperar reducir la cantidad de vulnerabilidades donde
deben colocar parches en un 97 %.

Cómo funciona la Priorización predictiva

La Priorización predictiva permite a las organizaciones concentrar sus esfuerzos en
función de las vulnerabilidades que tienen las siguientes características:

Tienen mayor probabilidad de explotabilidad.

Tendrán un gran impacto si se explotan.

La Priorización predictiva combina datos de varias fuentes, incluyendo las puntuaciones

familiares de CVSS. Cada fuente de datos se pondera en función de su capacidad
predictiva. El resultado de la Priorización predictiva es una Calificación de prioridad
de vulnerabilidad (VPR), que se logra al analizar 150 características de vulnerabilidad
distintas en siete categorías, que incluyen las siguientes:

Patrón de amenazas del pasado.

Fuente de amenazas del pasado.

Métricas de las vulnerabilidades.

Metadatos de las vulnerabilidades.

Hostilidad del pasado.

Proveedor afectado.

Disponibilidad de exploit utilizando datos de inteligencia de amenazas.

La Priorización predictiva asigna una

Calificación de VPR a cada vulnerabilidad.
La Priorización predictiva asigna una VPR a cada vulnerabilidad y actualiza la calificación a
diario. La VPR representa la probabilidad de que una vulnerabilidad determinada se explote
en el futuro a corto plazo. Al igual que el CVSS, la VPR usa una escala de puntos del 0 al 10.

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 8

En resumen, la Priorización predictiva ayuda a las organizaciones a reducir su riesgo
cibernético al ayudarlas a concentrarse en los problemas que deben mitigar primero: 60 %
Un 97 %
de reducción de
La Priorización predictiva agrega inteligencia de amenazas sofisticada, de modo que
las organizaciones puedan predecir qué vulnerabilidades se explotarán en el futuro
vulnerabilidades
a corto plazo.
Críticas y Altas.
La Priorización predictiva vuelve a calificar más de 111.000 vulnerabilidades distintas
cada 24 horas para alinear constantemente las VPR con el panorama cambiante
de amenazas.

La Priorización predictiva reduce la cantidad de vulnerabilidades Críticas y Altas en

que las organizaciones deben colocar parches en un 97 %.

Conclusión
La gestión de vulnerabilidades se ha vuelto más difícil a medida que aumenta la
cantidad de activos de TI de la compañía y sus vulnerabilidades asociadas. La colocación
de parches en todas las vulnerabilidades no es práctica debido a la limitación de los
recursos de ciberseguridad y de TI, por lo que las organizaciones deben priorizar sus
esfuerzos de reparación de vulnerabilidades para encontrar las agujas más peligrosas en
su pajar de vulnerabilidades.

La mayoría de las organizaciones priorizan las vulnerabilidades utilizando las

puntuaciones de CVSS. Sin embargo, más del 60 % de las vulnerabilidades se califican
como Críticas o Altas. La priorización debe ser más precisa.

La Priorización predictiva se basa en las puntuaciones de CVSS y agrega inteligencia

de amenazas y aprendizaje automático para hacer que las VPR sean más precisas que
las puntuaciones de CVSS solamente. Con la Priorización predictiva, las organizaciones
pueden asegurarse de que se están enfocando en las vulnerabilidades que son
peligrosas y que probablemente serán explotadas, y hacen el mejor uso de sus recursos
y aumentan el rendimiento de sus inversiones en gestión de riesgos.

“A medida que nuestra organización crece orgánicamente

y pasa de sistemas heredados a entornos en la nube, como
GCP, AWS y Microsoft Azure, nuestra superficie de ataque se
expande de forma rápida. Tuvimos una cantidad importante
de vulnerabilidades. Inicialmente se detectaron alrededor
de 250.000 vulnerabilidades, varias de las cuales se
clasificaron como críticas y explotables debido a algunas de
las aplicaciones heredadas. Es fundamental que mi equipo
i. Informe de inteligencia de
vulnerabilidades de Tenable

priorice, de manera eficaz, nuestras vulnerabilidades para

Research

reducir nuestro riesgo cibernético y estar por delante

ii. MITRE Corporation lleva a cabo el
mantenimiento de CVE

de las amenazas. Estoy entusiasmado con la hoja de ruta iii. Informe de inteligencia de

de los productos de Tenable y la eficiencia que la

vulnerabilidades de Tenable
Research

Priorización predictiva aportará a los esfuerzos de iv. Measuring & Managing the

priorización de mi equipo”. Cyber Risks to Business Operations

(Medición y Gestión de los Riesgos
Cibernéticos en las Operaciones
- Mike Koss, Jefe de Seguridad y Riesgo de TI, NBrown Group de Negocios), Ponemon Institute,
diciembre de 2018.

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 9

 La Priorización predictiva es una capacidad clave
dentro de la plataforma de Cyber Exposure, ya que
proporciona a los equipos de seguridad información
procesable para responder a la pregunta crítica:
¿Dónde debemos priorizar?

Está disponible hoy en Tenable.sc (anteriormente SecurityCenter) localmente y estará

en Tenable.io en la nube más adelante en 2019.

Vea a la Priorización predictiva en acción.

Solicite una demostración ahora.

Priorización predictiva: cómo concentrarse en las vulnerabilidades que más importan 10

7021 Columbia Gateway Drive
Suite 500
Columbia, MD 21046

Norteamérica +1 (410) 872-0555

www.tenable.com

02/10/19 V01

COPYRIGHT 2019 TENABLE, INC. TODOS LOS DERECHOS RESERVADOS. TENABLE, TENABLE.IO, TENABLE NETWORK SECURITY, NESSUS, SECURITYCENTER,
SECURITYCENTER CONTINUOUS VIEW Y LOG CORRELATION ENGINE SON MARCAS REGISTRADAS DE TENABLE, INC. TENABLE.SC, LUMIN, ASSURE Y THE
CYBER EXPOSURE COMPANY SON MARCAS REGISTRADAS DE TENABLE, INC. EL RESTO DE LOS PRODUCTOS O SERVICIOS SON MARCAS REGISTRADAS
DE SUS RESPECTIVOS PROPIETARIOS.