Desde el ruido hasta la acción: cómo el contexto transforma la gestión de vulnerabilidades
¿Cuáles son las trampas de tratar cada vulnerabilidad como “urgente”?
Veo que muchas organizaciones caen en la trampa de “parche todo ahora”, tratando cualquier retraso como una bomba de tiempo. Irónicamente, este sentido constante de urgencia puede hacer que sea un menos eficiente gestión de parches proceso.
Persiguiendo cada cVE como si fuera un día cero puede conducir rápidamente a alertar la fatiga, con equipos que se sienten entumecidos y quemados. Si todo es crítico, nada es, y luego fallas genuinamente severas se pierden en el ruido.
El contexto es nuestro antídoto. Los equipos necesitan saber por qué están priorizando una vulnerabilidad, en lugar de solo abordar cada problema entrante o siguiendo a ciegos los puntajes de riesgo.
Vicepresidente de estrategia, Hackuity.
Una estrategia de parcheo basada en el riesgo comienza definiendo “crítico” a través de su propia lente operativa, no solo puntajes genéricos. En los modelos tradicionales, los equipos a menudo persiguen altos números de CVSS o los últimos titulares de día cero, y luego se preguntan por qué los presupuestos explotan y nada se siente “hecho”.
Hay tres preguntas clave para ayudar a resolver esto: ¿qué activo se ve afectado, qué tan expuesto está y qué datos de explotación del mundo real existe?
Por ejemplo, una vulnerabilidad en un servidor de pagos orientado al cliente se ubica mucho más alto que uno en un cuadro de desarrollo aislado. Al superponer las puntuaciones de CVSS con inteligencia de amenazas, como las exploits de prueba de concepto o el arma activa, y etiquetar los activos por función comercial, volvemos a enfocar la verdadera urgencia.
Este modelo de puntuación híbrido reduce su cartera urgente a un nivel manejable para que los equipos puedan ejecutarse con confianza. Sin embargo, esto solo es posible si el trabajo se pone para establecer una conciencia situacional completa de antemano.
¿Cómo pueden las organizaciones lograr la priorización necesaria para una gestión efectiva de vulnerabilidad?
En mi experiencia, comienza con saber exactamente lo que tienes. Muchas empresas realmente luchan con esto porque tienen muchas herramientas y procesos diferentes que no se conectan juntos.
Por lo tanto, es esencial consolidar todas las salidas de escáner, sistemas de TI, servicios en la nubecódigo y superficies externas en un solo inventario. Sin esa vista unificada, la priorización es conjeturas.
A continuación, la capa en la inteligencia de amenazas se alimenta. Busque indicadores de explotación activa: código de prueba de concepto, vulnerabilidades de gusano o entradas en el conocido catálogo de vulnerabilidades de explotabilidad de CISA. De repente, una lista estática de CVE se convierte en un mapa dinámico del riesgo del mundo real.
Estos datos contextuales se pueden utilizar para informar un tablero central, lo que permite a los equipos filtrarse mediante crítica de activos, exposición y función comercial fácilmente. Esto simplifica para los equipos de gestión de vulnerabilidad para identificar las prioridades a través del ruido. Por ejemplo, puede etiquetar la producción bases de datos como “Nivel 1” y filtre por completo entornos de prueba de bajo riesgo.
Finalmente, haga del enriquecimiento un deporte de equipo. Los analistas de seguridad, los ingenieros de operaciones y los propietarios de aplicaciones deben validar y actualizar el contexto en función de sus campos. “Sí, ese servidor realmente ejecuta nuestro plataforma de comercio electrónico“, O” No, esa VM está programada para el desmantelamiento “, y así sucesivamente. Sin embargo, esta colaboración a menudo es un desafío debido a los equipos y prácticas fuertemente asilados.
Entonces, ¿cómo las empresas unen el silo entre los equipos de seguridad y operaciones durante la gestión de parches?
Los departamentos aislados pueden ser un problema real. Sin una comunicación clara, los equipos de VM pueden terminar siendo vistos como una irritación que se interpone en el camino de las operaciones, o de lo contrario se encuentran saltando a través de los aros para que las cosas funcionen.
Pinchar la división de seguridad -operaciones no es un problema tecnológico; Es un desafío de personas y procesos. Descubrí que comenzar pequeño crea impulso. Identifique un sistema no crítico y sea voluntario en su equipo de seguridad para ayudar a las operaciones a programar y implementar ese parche. Esa rápida victoria demuestra buena voluntad y muestra que eres un socio, no un obstáculo.
El lenguaje también es crucial para construir una relación. En lugar de “debe parchear de inmediato”, intente “hemos identificado un riesgo que podría interrumpir nómina de sueldos La próxima semana, ¿cómo puedo ayudar a programar una ventana de mantenimiento? Las solicitudes de enmarcado en torno a los servicios comerciales posicionan la seguridad como un habilitador.
Finalmente, codifica el colaboración. Establezca un Runbook compartido que describe roles, SLA y rutas de escalada. Automatice las transferencias de boletos entre herramientas para que ninguna solicitud caiga a través de las grietas. Cuando ambos equipos tienen expectativas claras y canales de comunicación, los parches se mueven más rápido y la fricción se derrite.
Fomentar una cultura más colaborativa entre los departamentos también hace que sea más fácil lograr la aceptación de C-suite. El contexto adicional se puede utilizar para informar informes concisos y centrados en el impacto, traducir el riesgo técnico en resultados como el tiempo de inactividad potencial, el cliente polvillo radiactivo o multas regulatorias. Este método no solo mejora los resultados de seguridad, sino que aumenta la confianza en la toma de decisiones del liderazgo de TI.
Mejore su capacitación de ciberseguridad con los mejores cursos de ciberseguridad en línea.
Este artículo fue producido como parte del canal de Insights Expert de TechRadarpro, donde presentamos las mejores y más brillantes mentes de la industria de la tecnología en la actualidad. Las opiniones expresadas aquí son las del autor y no son necesariamente las de TechRadarpro o Future PLC. Si está interesado en contribuir, obtenga más información aquí: https://www.techradar.com/news/submit-your-story-to-techradar-pro
