Una evaluación de vulnerabilidad, también conocida como evaluación de vulnerabilidades de seguridad, es una evaluación holística de los riesgos relacionados con la vulnerabilidad dentro de un entorno híbrido y de TI. En el caso de los entornos en la nube, la evaluación de vulnerabilidades abarcaría activos como cargas de trabajo de IA, máquinas virtuales, contenedores, bases de datos, servicios PaaS y datos.
Hay decenas de miles de vulnerabilidades que podrían estar anidando silenciosamente en su entorno de nube mientras lee esto. (Aquí son algunos ejemplos recientes). Eso incluye Errores de configuración, TI en la sombra, controles de acceso deficientes, visibilidad incompleta, API inseguras, exposición de la red y más. Las vulnerabilidades están en todas partes. Da miedo, ¿verdad?
La buena noticia es que no todas las vulnerabilidades son igual de peligrosas. De hecho, es posible que algunos de ellos no le importen en absoluto a su empresa. Ese es el mayor dolor de cabeza de la gestión y las evaluaciones de vulnerabilidades en la actualidad: demasiadas alertas y demasiado ruido, lo que resulta en CloudSec abrumados y frustrados, analistas de vulnerabilidades y Equipos SOC. El problema con demasiadas alertas es que las vulnerabilidades que son realmente peligrosas para su negocio se pierden en una larga lista.
Es por eso que, en esta publicación de blog, analizaremos las evaluaciones de vulnerabilidades que pueden ayudarlo a encontrar y corregir vulnerabilidades críticas, creadas para la nube.
The Vulnerability Management Buyer's Guide
Download this guide to get a RFP template to help you evaluate your vulnerability management vendor.
Download NowCómo llevar a cabo una evaluación de vulnerabilidades
Esta es una guía paso a paso práctica para realizar evaluaciones de vulnerabilidad. Recuerde que el objetivo aquí es eliminar el ruido para identificar los riesgos críticos para el negocio o las vulnerabilidades que realmente importan.
Paso 1: Sentar las bases
Si desea realizar buenas evaluaciones de vulnerabilidad, debe comenzar con un poco de preparación y desarrollo de estrategias. De lo contrario, sus evaluaciones de vulnerabilidad pueden carecer de claridad y enfoque entre las crecientes partes interesadas en el desarrollo y la TI.
Estas son algunas formas sencillas de sentar una base sólida:
Enumere los objetivos principales de su evaluación de vulnerabilidades.
Asigne sus CSP, servicios en la nube y Modelos de Responsabilidad Compartida Del código a la nube.
Vuelva a verificar sus obligaciones de cumplimiento de la nube.
Tome nota de sus datos fundamentales para la empresa.
Trabaje con otros equipos para que la evaluación y la corrección sean más colaborativas.
Seleccione las herramientas y los marcos adecuados para sus evaluaciones (más sobre esto pronto).
Paso 2: Crear un inventario completo de activos
No puede descubrir todas las vulnerabilidades críticas en su entorno de nube a menos que sepa qué activos tiene. Comience por crear un inventario completo de sus activos en la nube, desde bases de datos y contenedores hasta máquinas virtuales y dispositivos. Además, desarrolle un proceso para mantener su inventario de activos siempre actualizado. Por último, asegúrese de tener en cuenta a todos los usuarios (humanos y máquinas), terminales, dependencias, API y redes. No deje piedra sin remover durante este proceso, porque incluso un activo en la nube aparentemente sin importancia podría tener una ruta de ataque a datos confidenciales.
During this step, remember two things:
Cover your AI infrastructure and assets because they can be full of vulnerabilities.
Map your software development lifecycles because it’s important to discover and fix vulnerabilities during development and develop a strong application security posture.
Paso 3: Analice las vulnerabilidades con regularidad y automatícelas cuando sea posible
Ahora que tiene una imagen clara de sus entornos en la nube, es hora de resaltar dónde se esconden las vulnerabilidades. Comience por establecer los parámetros de las herramientas de evaluación de vulnerabilidades para definir el alcance de la evaluación. (Consejo profesional: ¡Nunca uses la configuración predeterminada!) Por parámetros, nos referimos a que es posible que desee jugar con las técnicas que está utilizando, como activas o pasivas Escaneo de vulnerabilidadesy automatizar los escaneos en consecuencia para ahorrar tiempo. Es posible que desee incluir un conjunto específico de activos o direcciones IP para analizar y desarrollar sus propios filtros o consultas.
A continuación, inicie sus herramientas de escaneo de vulnerabilidades. Asegúrese de contar con herramientas para el análisis de vulnerabilidades de la base de datos, el análisis de vulnerabilidades de la red y el análisis de vulnerabilidades de aplicaciones web. Además, asegúrese de que sus herramientas y escáneres de evaluación de vulnerabilidades basen sus capacidades en varias bases de datos y catálogos de vulnerabilidades conocidas. Piensa en la línea de la Catálogo CISA KEV, el NIST NVD, y el MITRE ATT&Base de conocimientos de CK.
En algunos casos, es posible que desee respaldar sus análisis de vulnerabilidades con pruebas de penetración más específicas. Estas pruebas pueden ayudar a eliminar vulnerabilidades complejas u ocultas en la nube.
Evaluación de vulnerabilidades vs. pruebas de penetración
Las evaluaciones de vulnerabilidad son una evaluación más amplia y de alto nivel de los riesgos y debilidades, mientras que las pruebas de penetración se centran en componentes o situaciones muy específicas. Es posible que desee usar ambos para cubrir todas las bases.
A diferencia de las evaluaciones de vulnerabilidades, que detectan vulnerabilidades en su entorno y mapean su superficie de ataque, las pruebas de penetración simulan un ataque del mundo real para revelar debilidades específicas y vectores de ataque (entradas). Las pruebas de penetración pueden ser una buena manera de completar sus evaluaciones de vulnerabilidad.
Paso 4: Priorizar las vulnerabilidades
Sus análisis de vulnerabilidades pueden revelar una larga lista de vulnerabilidades en su entorno, pero recuerde lo que dijimos anteriormente: no todas estas importan. Ninguna empresa tiene los recursos para eliminar todas las vulnerabilidades que encuentre, por lo que deberá comenzar a priorizar las vulnerabilidades en función de los niveles de riesgo de mayor a menor.
"Alto riesgo" puede significar diferentes cosas para diferentes organizaciones, así que concéntrese en los riesgos que pueden conducir a datos confidenciales como PHI, PCI, PII y secretos comerciales. Además, tenga en cuenta factores como la gravedad, la explotabilidad, el radio de explosión, la propiedad y si el activo comprometido es esencial para la misión. Estos son algunos recursos y normas públicas que pueden ayudar:
CVE (Vulnerabilidades y Exposiciones Comunes): Identifica vulnerabilidades
Sistema común de puntuación de vulnerabilidades (CVSS): Evalúa la gravedad de las vulnerabilidades
Sistema de puntuación de predicción de exploits (EPSS): Evalúa la probabilidad de que las vulnerabilidades sean explotadas
Paso 5: Analizar las vulnerabilidades y desarrollar estrategias de corrección
Aunque la corrección no es técnicamente una parte de las evaluaciones de vulnerabilidades, es importante comenzar a planificar cómo corregir las vulnerabilidades descubiertas. Como hemos visto, hay que empezar por las vulnerabilidades más críticas. Estudie la gravedad de cada vulnerabilidad y comprenda sus implicaciones en la infraestructura crítica de su negocio. Para facilitar la vida de los equipos de CloudSec, elimine los falsos positivos durante este paso.
Para cada vulnerabilidad crítica, asegúrese de que haya opciones de solución viables disponibles. Esto podría incluir la aplicación de parches a las aplicaciones obsoletas, el cambio de la configuración de los recursos mal configurados y el ajuste del tamaño de los permisos.
A medida que los equipos de CloudSec comienzan a corregir vulnerabilidades críticas, es importante realizar análisis de vulnerabilidades posteriores para validar la corrección. Es posible que se introduzcan nuevas vulnerabilidades durante la corrección, y es importante detectarlas temprano.
Paso 6: Informar, evaluar y mejorar
Has llegado a la etapa final del proceso. A continuación, le indicamos cómo terminarlo con una gran nota: recopile toda la documentación de las evaluaciones de vulnerabilidad. Utilice sus herramientas de gestión de vulnerabilidades para generar informes completos, ya que pueden ser muy importantes para las auditorías, la inteligencia de amenazas y el cumplimiento. Además, al igual que cualquier otra práctica de seguridad en la nube, debe iterar continuamente en su proceso de evaluación de vulnerabilidades. Recuerde: Con la gestión de vulnerabilidades en la nube, siempre hay margen de mejora.
Herramientas de evaluación de vulnerabilidades
¿No sabe qué herramientas de evaluación de vulnerabilidades utilizar? Aquí tienes 15 para empezar.
Abrir VAS: Una herramienta de escaneo de vulnerabilidades de código abierto
Aircrack-ng: Una suite para descubrir vulnerabilidades de red
Nmap: Un escáner para descubrir vulnerabilidades de red
Masscan: Otro escáner para descubrir vulnerabilidades de red
Clair: Un escáner de vulnerabilidades de contenedores
Uapití: Un escáner de vulnerabilidades centrado en aplicaciones web
Nikto: Un escáner de vulnerabilidades de servidor web
sqlmap: Una herramienta de pruebas de penetración
Arácnidos: Un escáner de vulnerabilidades de aplicaciones web
KICS: Un escáner de vulnerabilidades de código
Linis: Un escáner de vulnerabilidades de endpoints
Inspector de Amazon: Un escáner de vulnerabilidades de cargas de trabajo de AWS
SecuBat: Un escáner de vulnerabilidades web
Retire.js: Un escáner de vulnerabilidades de JavaScript
w3af: Un escáner de vulnerabilidades de aplicaciones web
Para obtener más información sobre estas herramientas de evaluación de vulnerabilidades y otras, consulte nuestras publicaciones de blog sobre Herramientas de gestión de vulnerabilidades de OSS y Escáneres de vulnerabilidades de OSS.
Plantilla de evaluación de vulnerabilidades
Este es un ejemplo de una plantilla útil de evaluación de vulnerabilidades de seguridad que cubre el tipo de vulnerabilidades del mundo real que encontrará durante sus evaluaciones. Esta plantilla de evaluación de vulnerabilidades también te da un pequeño vistazo a las maravillas de la gestión de vulnerabilidades de Wiz.
Así que supongamos que ha completado la fase de preparación con entusiasmo y está en el proceso de descubrimiento de activos. Al implementar Wiz, puede obtener un inventario completo de sus activos de TI y en la nube, como se ve aquí:
A continuación, es el momento de analizar estos recursos para encontrar qué vulnerabilidades pasan desapercibidas. Así es como se ve con Wiz.
Como puede ver, Wiz descubrirá vulnerabilidades y las priorizará en función de factores de riesgo específicos de la organización que llamamos "Combinaciones Tóxicas" de riesgo, derivadas de permutaciones de rutas de ataque, exposición a PII, exceso de permisos de administrador, etc.
Algunos ejemplos de riesgos críticos relacionados con vulnerabilidades podrían ser los siguientes:
Máquinas virtuales expuestas públicamente
Una API expuesta
Una vulnerabilidad crítica de omisión de autorización en Docker
Una base de datos mal configurada repleta de información personal confidencial
Para cada una de estas vulnerabilidades, Wiz proporciona una sólida guía de corrección, pero también le permite personalizar las correcciones si es necesario. Como se destaca en la figura 5, a veces una simple actualización a una versión más reciente puede transformar una vulnerabilidad crítica en un activo seguro.
Por último, vuelva a analizar sus entornos, valide las correcciones y trabaje en formas de hacer que sus evaluaciones de vulnerabilidades sean más efectivas y holísticas. Este enfoque permite detectar, evaluar y remediar las vulnerabilidades en toda la canalización del código a la nube.
Cómo Wiz puede apoyar las evaluaciones de vulnerabilidades
Si necesitas una potente herramienta nativa de la nube para realizar evaluaciones de vulnerabilidades, no busques más allá de Wiz. Con más de 120,000 vulnerabilidades en 40+ sistemas operativos, Wiz aprovecha el mundo'los mejores catálogos de vulnerabilidades en la nube y los combina con fuentes de inteligencia de amenazas e investigación de Wiz para descubrir vulnerabilidades ocultas (o mal priorizadas) en función del impacto comercial.
Con la implementación sin agentes y la priorización basada en el contexto, Wiz hace que la fatiga de alertas sea cosa del pasado. Al centrarse en los problemas críticos en función de los factores de riesgo de su empresa, Wiz ayuda a encontrar y solucionar los riesgos más potentes con un MTTR impresionante. Del código a la nube, Wiz's Gestión de vulnerabilidades Las capacidades son realmente del siguiente nivel.
Obtener una demostración ahora para ver cómo Wiz puede ayudar a aplicar la gestión de vulnerabilidades Prácticas recomendadas y realizar evaluaciones de vulnerabilidades de seguridad insuperables que mantengan su nube segura.
Uncover Vulnerabilities Across Your Clouds and Workloads
Learn why CISOs at the fastest growing companies choose Wiz to secure their cloud environments.