El estudio de las vulnerabilidades en el tiempo es esencial, éstas cambian y diversifican. Inicialmente, el fabricante o proveedor lanza un parche sin que se hayan conocido ataques o exploits. Posteriormente aparecen informes y noticias de un exploit que aprovecha la vulnerabilidad que motivó el parche. Es la primera referencia sobre ésta. Suelen ser publicados por los investigadores que la descubrieron. En pocas semanas los hacker tratan de explotar la vulnerabilidad antes que los parches comiencen a instalarse globalmente. A la vez, se crean herramientas para probar la eficacia del parche.
Esta cadena de acontecimientos aumenta el riesgo en general de nuestros sistemas y organización.
Estos son algunos de los factores de riesgo de la vulnerabilidad en los que se debe profundizar. Están relacionados con el conocimiento del ciclo de vida:
¿Cómo se identifica y describe la vulnerabilidad?
- ¿Dónde y quién la ha publicado?
- ¿Cuándo se descubrió?
- ¿Cuándo se ha explotado?
- ¿Cuándo se publicó el parche?
- ¿Cuándo se aprovechó por primera vez la vulnerabilidad en los ataques?
- ¿Es difícil de explotar?, ¿Qué elementos adicionales se necesitan?
- ¿Está disponible el código para realizar pruebas?
- ¿Existe un software comercial que solucione la vulnerabilidad? O por el contrario ¿hay que desarrollar uno específico?
- ¿Cuáles son los requisitos previos para explotar la vulnerabilidad?
- ¿La vulnerabilidad está siendo utilizada actualmente en ataques?
- ¿Los ataques son dirigidos o generalizados?, si son dirigidos ¿persiguen algún objetivo concreto?
Conocer las vulnerabilidades no es suficiente, hay que revisar los activos que pueden ser afectado.
- ¿Cuán crítico es el activo para el servicio?, ¿y para el negocio en su conjunto?
- ¿Qué tipo de información guarda?
- ¿Está en la infraestructura crítica?
- ¿Forma parte de algún proceso crítico del negocio?
Cuando se han identificado las vulnerabilidades, ¿cómo se pueden relacionar con la configuración de nuestros activos?, ¿éstos cumplen las condiciones descritas en las vulnerabilidades?
Ahora podemos reflexionar ¿Cómo estamos de expuestos al riesgo con estas informaciones?
Tenemos las siguientes tareas pendientes:
- Corregir nuestra exposición al riesgo hacia un conocimiento más preciso.
- Redactar informes más detallados a la administración de la exposición al riesgo en el momento actual. Estos informes deben ir acompañados de la valoración de las medidas de reducción del riesgo.
Podemos concluir que siempre hay que estar pendiente de las vulnerabilidades y los parches, aunque haya pasado tiempo desde su descubrimiento y resolución. Nuestra exposición al riesgo cambia y evoluciona conforme lo hacen aquellas amenazas que puedan beneficiarse de las vulnerabilidades . Las amenazas es esconden agazapadas en los rincones de los sistemas esperando su momento.
L.F.Real