Las vulnerabilidades constituyen el riesgo informático más crítico para las organizaciones. Y son los errores humanos el factor principal que las desencadena. Sucedió con el ataque masivo del ransomware WannaCry y la fuga de datos de Equifax.
En ambas situaciones, las gestiones inadecuadas de ITSCM fueron elementos determinantes para el éxito de los hackers.
Una vez que los códigos maliciosos entran en los sistemas , los equipos de TI pueden tardar más de lo deseado en responder si no cuentan con los recursos necesarios. Por esto, es imprescindible crear sinergias entre los softwares de monitoreo de vulnerabilidades y los modelos cuali-cuantitativos, como el análisis de riesgo informático.
A continuación, te presentamos los mejores KPIs para identificar vulnerabilidades. Puedes utilizar estas información para orientar mejor a tu equipo de ITSCM y encontrar puntos vulnerables con mayor facilidad.
Explotación de vulnerabilidades, el método favorito de los hackers
La explotación de vulnerabilidades es el método más común para irrumpir en las redes empresariales. Esta táctica sigue siendo una de las más efectivas a pesar de su longevidad en el mundo digital. Sin embargo, algunos departamentos de TI todavía parecen ser incapaces de mantener a los visitantes maliciosos fuera de sus sistemas.
Y es que los cibercriminales constantemente actualizan sus estrategias, mientras que los recursos de ciberseguridad de muchas empresas se vuelven obsoletos con el tiempo. Con esta ventaja, los atacantes se pueden infiltrar a las redes privadas a través de riesgos informáticos como sistemas operativos desactualizados, configuraciones predeterminadas, actividades de navegación personales y una mala higiene de permisos de administrador.
Aunque el enemigo parece imposible de derrotar, la solución es más sencilla de lo que parece. Debes atacar las vulnerabilidades críticas lo antes posible: reforzar las debilidades del tipo N-Day y automatizar el monitoreo de errores las 24 horas. Con esta batería de análisis puedes crear estrategias de ciberseguridad acertadas, sin despilfarrar presupuesto.
Toma en cuenta los siguientes indicadores para tomar acciones rápidas sobre tus sistemas.
Principales KPIs para medir vulnerabilidades en los sistemas
Detectar los riesgos informáticos requiere de datos medibles y de mucho razonamiento deductivo. Para este propósito se recomienda centrar los esfuerzos en responder las siguientes preguntas: ¿Quién tiene acceso legítimo a los sistemas?, ¿cuáles son los puntos críticos en la arquitectura digital? Y ¿Qué tipo de medidas de seguridad se implementan?
Puedes apoyarte en benchmarking de ciberseguridad para revisar todos estos aspectos. Existen diversos recursos que puedes aplicar, como: informes públicos de vulnerabilidades, auditorías automatizadas de infraestructura, registros de fallos y usabilidad; así como simulaciones read team. La implementación de un software de exposición cibernética es fundamental para optimizar los análisis de riesgo informático. Estos eliminan la sobrecarga de trabajo y agilizan los resultados.
Por otro lado, independientemente de la herramienta que uses para detectar vulnerabilidades, siempre verifica estos elementos:
# 1 Data transferida
Revisa la actividad de datos en la red corporativa. Los reportes de tráfico son esenciales para detectar amenazas tempranas y brechas de seguridad ocultas. Esto es especialmente útil en empresas que permiten la navegación libre en internet; los empleados de organizaciones con este perfil suelen descargar cualquier cantidad de archivos y navegan diariamente por diversos sitios web sin tener en cuenta los eventos dañinos.
Debes buscar cambios en los patrones de navegación, redireccionamientos sospechosos, flujo inadecuado de salida de información y la salud de los archivos. Los indicadores de data transferida no solo arrojan luces sobre el volumen del tráfico; también ofrece una visión holística sobre las acciones de los profesionales que pueden causar daños.
Con estos puntos clave puedes tomar medidas para cerrar las vulnerabilidades. Es recomendable restringir el uso de la red corporativa a ciertos sitios web riesgosos anteriormente visitados; y actualizar los sistemas de seguridad de cada computador conectado.
# 2 Actividades de terceros
Con el apoyo de integraciones IAM puedes monitorear las acciones en la red corporativa de los colaboradores externos. En este caso, debes identificar las actividades más arriesgadas y detectar mal uso de las credenciales. Busca accesos con protocolos de identificación erróneos, el volumen de data transferida, rastrea las modificaciones en los sistemas y los tiempos de los colaboradores en tu red.
Puedes recibir ataques desde partners con permisos especiales y que a su vez, cuentan con una mala higiene en sus sistemas.
Otro indicador importante de riesgo informático son los reportes de performance en equipos como: Puntos de Ventas, dispositivos de control industrial, IoT, entre otros.
# 3 Número de puertos de comunicación
Revisa la recepción de paquetes de tus puertos de comunicación. Busca tráfico de NetBIOS (es decir, UDP 137, UDP 138, TCP 135-139 y 445).
Los SSL de salida también son factores de riesgo que debes tener en cuenta; por eso, si la sesión se mantiene abierta por largos periodos de tiempo, probáblemente sea un indicador de tráfico bidireccional a través de un túnel SSL VPN.
De igual forma, observa la actividad de cualquier puerto que posibilite las conexiones remotas como TCP 22 (SSH), TCP 23 (telnet), TCP 3389 (RDP), TCP 20 y 21 (FTP).
# 4 Cumplimiento de políticas
Revisa el cumplimiento de políticas de seguridad del equipo de TI. Se sabe que muchas de las vulnerabilidades en los sistemas son causadas por los errores humanos. Por esta razón, identificar el nivel de cumplimiento es una buena forma de conocer cuáles son las debilidades operacionales del departamento. Al fin y al cabo, las personas son las responsables de la calidad de los sistemas.
Si estás en busca de una herramienta para optimizar tus análisis de riesgo informático, en GB Advisors recomendamos la Plataforma de Exposición Cibernética de Tenable. Nuestro partner líder en ciberseguridad para grandes empresas. Contáctanos para obtener la asesoría necesaria.