¿Cómo sabes si estás listo para iniciar un programa de divulgación de vulnerabilidades (VDP)? Antes de implementar un VDP, debes realizar evaluaciones importantes. Estas evaluaciones ayudan a identificar brechas en la infraestructura y preparan al equipo para la transmisión de informes de errores entrantes. Un VDP correctamente implementado aporta un flujo constante de informes. Si tu equipo no está listo para la carga de trabajo adicional, el nuevo programa podría tener un impacto negativo en lugar de mejorar la seguridad. Evaluar el programa de seguridad para identificar y abordar las brechas puede ser muy útil para aumentar tu capacidad de controlar la capacidad de procesamiento de un VDP. Responder de inmediato a las vulnerabilidades informadas puede mejorar tu relación con la comunidad de hackeos, lo que da como resultado un programa más saludable.
Higiene de seguridad básica
Sin importar la madurez de la seguridad de tu organización o los recursos disponibles, evaluar el estado actual de la seguridad es la mejor manera de identificar las brechas. A continuación, analizaremos la identificación de posibles brechas en las áreas clave que se suelen pasar por alto, como la búsqueda y corrección de errores, el análisis de la causa raíz, la detección y la respuesta, y la cultura de seguridad.
Cómo encontrar errores
Cuando te prepares para lanzar un VDP, es importante evaluar los métodos que usa tu equipo para identificar las vulnerabilidades en el entorno. Como parte de la evaluación y preparación para el inicio de un VDP, se debe realizar un esfuerzo inicial a fin de encontrar y corregir las vulnerabilidades.
De lo contrario, se podría generar un gran aumento en los informes de vulnerabilidad cuando se lance el VDP, lo que podría abrumar a tu equipo. La configuración de un proceso básico de análisis de vulnerabilidades y revisión de seguridad permitirá que tu organización establezca procesos sólidos para manejar los problemas de seguridad. Cuando comiences el VDP, estarás mejor preparado para controlar los informes de vulnerabilidad entrantes.
Corrección de errores
Además de encontrar vulnerabilidades, necesitarás procesos y recursos bien definidos para garantizar que estas se solucionen de manera oportuna . El simple hecho de encontrar errores no es suficiente; la seguridad solo mejora cuando se corrigen. ¿Cuentas con procesos y recursos para la administración de vulnerabilidades? ¿Cómo es la cultura en tu organización en lo que respecta a la seguridad? ¿Se considera al equipo de seguridad como detractores, obstáculos, la espina del lado de la ingeniería? ¿O se te considera un socio colaborador? ¿Cómo priorizas la solución de vulnerabilidades? ¿Tienes una nomenclatura y comprensión comunes sobre la gravedad y los cronogramas de solución? ¿Qué tan fácil o difícil es encontrar un propietario para solucionar una vulnerabilidad identificada? ¿Haces un seguimiento de las métricas en torno a las vulnerabilidades identificadas, incluido el tiempo de corrección? ¿Tu organización tiene un inventario de recursos o es un sueño lejano en el futuro? De nuevo, si te sientes bien con esto y comprendes bien cómo garantizar que los errores graves se solucionen con rapidez, tienes una relación sólida con los equipos y las personas responsables de corregir las vulnerabilidades y cuentas con los recursos necesarios para procesar los flujos entrantes de errores de seguridad sin problemas, por el buen camino. De lo contrario, te proporcionaremos orientación para implementar un programa de administración de vulnerabilidades exitoso en el siguiente capítulo. En cualquier caso, es recomendable que implementes prácticas sólidas de administración de vulnerabilidades para poder manejar el nuevo flujo de errores que recibirás de tu VDP y asegurarte de poder responder a las vulnerabilidades identificadas y abordarlas de manera oportuna.
Análisis de la causa raíz
Más allá del trabajo operativo de encontrar y corregir errores por única vez, ¿realizas análisis de la causa raíz (RCA) de los problemas y también identificas las causas sistémicas de la introducción de vulnerabilidades en tu entorno? Es muy bueno poder encontrar y corregir errores rápidamente. Sin embargo, cuando se trate de ejecutar un VDP correcto, primero debes poder determinar cómo aparecen estos errores. Esto puede presentarse de diferentes formas, por ejemplo:
- Identificar cómo se introdujo una vulnerabilidad de seguridad de la aplicación.
- ¿Los desarrolladores usan bibliotecas y frameworks comunes que reducen el riesgo de vulnerabilidades que se introducen?
- Análisis de datos e identificación de tendencias.
- ¿Te das cuenta de que la infraestructura administrada por un equipo en particular nunca recibe actualizaciones de seguridad?
- Incidentes de seguridad o violaciones de la seguridad.
- Realiza un análisis post mortem con todas las partes relacionadas para analizar qué sucedió y por qué, y aprender de ello, de modo que no cometas los mismos errores en el futuro.
Si no realizas el RCA, se puede desperdiciar un gran esfuerzo procesando varios informes de errores similares del VDP. Si inicias un programa de recompensas por detección de vulnerabilidades en el futuro, la falta de RCA también tendrá un impacto financiero en tu organización. En el siguiente capítulo, veremos consejos más específicos sobre cómo implementar procesos de RCA y una cultura post mortem.
Detección y respuesta
Invitar a investigadores externos a hackear tus recursos afectará tus mecanismos de detección y respuesta. Si tienes sistemas de detección/prevención de intrusiones, te recomendamos que consideres qué tipos de pruebas deseas que realicen los investigadores de seguridad. ¿Crearán excepciones para que encuentren vulnerabilidades “detrás” de estos sistemas de defensa automatizados? Si diez investigadores comienzan a ejecutar análisis de vulnerabilidades en tus recursos externos a las 2:00 a.m. un sábado, ¿se activarán las alarmas para que tu equipo de seguridad? ¿Cómo puedes identificar las pruebas de tráfico legítimo de los investigadores de seguridad y un posible ataque real contra los sistemas? ¿Sabes cómo aprovechar los datos generados por los investigadores de seguridad que realizan pruebas en tus sistemas? Si un investigador de seguridad intenta adivinar nombres de usuario y contraseñas por la fuerza, ¿podría bloquear a usuarios reales? Antes de comenzar un VDP, debes considerar todos estos aspectos. Debes asegurarte de haber establecido expectativas claras con los investigadores de seguridad en términos de qué tipos de pruebas son correctas y cuáles no, y determinar cómo configurar tus mecanismos de detección y respuesta existentes. En el siguiente capítulo, se profundizará en cómo abordar esto.
Cultura de seguridad
La cultura dentro de tu organización tiene un gran impacto en tu capacidad para iniciar y mantener un VDP exitoso. Es bueno dar un paso atrás y comprender quiénes son las partes interesadas clave que deberán estar de acuerdo con esta iniciativa y cuál es su relación existente con el equipo de seguridad de la información. Según las diversas partes interesadas relevantes y cómo esperas que manejen la propuesta de iniciar un programa de divulgación de vulnerabilidades, deberás identificar métodos y materiales para persuadirlos de aceptar este concepto. Es posible que una parte interesada clave que no esté de acuerdo podría impedir que un VDP comience.