Es ampliamente reconocido que la puntuación CVSS no es una métrica suficiente para obtener una verdadera vista del riesgo que enfrenta una organización debido a sus vulnerabilidades de seguridad. Si bien sirve de base para comenzar el proceso de priorización, hay muchos otros factores que deben considerarse con el fin de establecer una verdadera puntuación de riesgo técnico. Con el conocimiento contextual correcto, las organizaciones pueden evaluar las vulnerabilidades que representan el mayor riesgo y reducir en un alto porcentaje la evaluación manual de priorizar las amenazas. Por ejemplo, una vulnerabilidad clasificada como crítica basándose solamente en el puntaje de CVSS, solo puede representar un riesgo medio para una organización cuando se tienen otras fuentes adicionales de información tales como:

1. La explotabilidad o valor del activo

2. El impacto empresarial de un compromiso para una cierta vulnerabilidad

3. Correlación entre la vulnerabilidad y la disponibilidad de explotaciones públicas

4. Las amenazas reales, los ataques dirigidos y el malware que utilizan activamente las vulnerabilidades detectadas

5. Nivel actual de popularidad de una vulnerabilidad

Hoy en día, la priorización de las vulnerabilidades sigue siendo un proceso de evaluación enteramente manual que requiere de mucho tiempo y debe ser realizado por analistas de seguridad con un alto nivel de conocimiento. Cuando se piensa en los recursos involucrados en la priorización de las amenazas, el tiempo real para la remediación es mucho más largo. Por ejemplo, muchos estudios indican que las organizaciones necesitan 30 días o más para remediar una vulnerabilidad, y esto sólo es el tiempo que demora la creación del flujo de trabajo de abrir y cerrar un ticket. Existe el intervalo de tiempo entre el momento en que se ejecuta un análisis de vulnerabilidades y se abre un ticket y dependiendo del proceso de una organización, esto podría agregar días, semanas e incluso meses al proceso de remediación.

La comprensión contextual es el primer paso para mejorar y reducir el tiempo del proceso de remediación, ya que ayuda a que las organizaciones reduzcan los resultados de la exploración de vulnerabilidades para centrarse en las amenazas más críticas. Las herramientas de seguridad que pueden priorizar la predicción de amenazas ofrecen muchos beneficios a las organizaciones que luchan con qué hacer después de detectar la multitud de vulnerabilidades en el entorno de TI. Si las organizaciones saben en qué enfocarse, la ventana de exposición y el riesgo de que se presente el robo de información se reducen de manera substancial.

Nessus Professional de Tenable

Veamos el caso de Nessus Professional por ejemplo, que es una herramienta que solo realiza escaneo de vulnerabilidades y ofrece solamente listas de las vulnerabilidades de un equipo, pero no es capaz de decirnos cuales son las más críticas y cuáles son las que hay que arreglar primero. Esto es un trabajo enteramente manual que un analista experimentado de seguridad tienen que realizar.

En cambio, productos como Security Center Continuos View (SCCV) que incluyen técnicas de aprendizaje automático y otras de inteligencia artificial para poder asignar a cada vulnerabilidad su nivel de riesgo apropiado tomando en cuenta múltiples fuentes de información, permiten automatizar la labor del analista experto de seguridad y reducir de forma drástica el tiempo que se demora en remediar una vulnerabilidad.

Los invitamos a participar de una demostración de Security Center Continuos View para que puedan visualizar como esta herramienta ayuda a las empresas a ser más eficaces en el control y monitoreo continuo de vulnerabilidades, el riesgo y la mitigación.

Por favor registrarse en: https://attendee.gotowebinar.com/rt/2900455975515674628