Cabecera blog ciberseguridad

Detectar vulnerabilidades emergentes antes de que sean explotadas

- Ciber 4 All Team

El caso de Log4Shell alertó sobre la necesidad de detectar vulnerabilidades emergentes críticas

Las empresas deben detectar vulnerabilidades emergentes que afectan a sus activos y anticiparse a las acciones de los ciberdelincuentes

En mayo, Barracuda, una empresa especializada en soluciones de seguridad para el correo y redes corporativos, hizo público que algunos de sus 200.000 clientes en todo el mundo fueron atacados mediante la explotación de una vulnerabilidad de día cero presente en su pasarela de seguridad del correo electrónico desde octubre de 2022. Los delincuentes aprovecharon esta vulnerabilidad desconocida para desplegar puertas traseras, ganar persistencia en los sistemas comprometidos y robar datos de empresas y administraciones.

Unas semanas antes, Google había lanzado una nueva versión de su navegador, Chrome, para parchear otra vulnerabilidad de día cero, explotada por actores hostiles para atacar a los usuarios de Chrome.
Estos casos evidencian los esfuerzos permanentes de los ciberdelincuentes por encontrar vulnerabilidades y la necesidad de que las compañías puedan detectar vulnerabilidades emergentes antes de que los agresores las explotan para lograr sus fines maliciosos.

¿Por qué son tan importantes las vulnerabilidades para las compañías? Como señala el National Institute of Standards and Technology (NIST), una vulnerabilidad es «una debilidad en la lógica computacional que se encuentra en componentes de software y hardware».

Este organismo público estadounidense, un referente en la investigación y creación de conocimiento en el terreno de la ciberseguridad, hace hincapié en que la explotación de una vulnerabilidad puede afectar a la confidencialidad, integridad y disponibilidad de los activos IT y los datos de las empresas, las administraciones públicas y la ciudadanía.

De ahí que la gestión de vulnerabilidades sea uno de los aspectos centrales de la estrategia de seguridad de cualquier compañía que disponga de activos IT. Y, dentro de dicha gestión, cada vez es más relevante la capacidad de detectar vulnerabilidades emergentes para prevenir su explotación y los efectos perniciosos de un incidente de seguridad.

A continuación, vamos a abordar cómo pueden las compañías detectar vulnerabilidades emergentes y prevenir los riesgos asociados a ellas.

1. Surcar un océano de más de 200.000 vulnerabilidades

Como ya hemos señalado en más de una ocasión, el número de vulnerabilidades que se detectan anualmente crece año a año. En 1999 se descubrieron 894 vulnerabilidades. El año pasado se batió el récord histórico, tras detectarse 25.227 nuevas vulnerabilidades. Este año ya se ha sobrepasado la barrera de las 200.000 vulnerabilidades conocidas.

El aumento exponencial de las vulnerabilidades es un proceso lógico, teniendo en cuenta que vivimos en un mundo cada vez más digitalizado. Todos los días ven la luz nuevos software, aplicaciones y dispositivos. De tal forma que el nivel de ciberexposición de las empresas, las instituciones y los usuarios se incrementa.

Antes mencionábamos que hace unas semanas Google parcheó una vulnerabilidad de día cero a la que estaba expuesto el navegador Chrome. Este hecho no es anecdótico. En el 2022, la multinacional parcheó 9 vulnerabilidades de día cero de su navegador. Y en el 2021, se parchearon hasta 15 vulnerabilidades.

Este escenario evidencia la importancia de detectar las vulnerabilidades emergentes y mitigarlas antes de que sean explotadas por actores hostiles para atacar a una organización y a sus clientes.

Llegados a este punto, es muy relevante mencionar que entre todo este caudal creciente de agujeros de seguridad afloran dos categorías de vulnerabilidades: las de día 0 y las de día 1. En el caso de las primeras, se trata de brechas descubiertas antes de que el proveedor sepa de su existencia. Debido precisamente a este desconocimiento, no existe un parche para corregir la vulnerabilidad, por lo que es muy probable que un eventual ataque tenga éxito.

En el caso de las vulnerabilidades de día 1, el fabricante sí ha publicado un parche para corregir el incidente, pero los ciberdelincuentes analizan las funcionalidades que han sido parcheadas para desarrollar exploits sobre sistemas que aun sigan siendo vulnerables porque no han sido actualizados.

2. Los ataques de cadena de suministro y el efecto dominó

Al incremento del número de vulnerabilidades y de los ataques que explotan vulnerabilidades de día cero y día 1, debemos sumar el auge de los ataques de cadena de suministro de software. Es decir, aquellos en los que se encuentra y explota una vulnerabilidad presente en un componente empleado en múltiples softwares y usado por numerosas empresas.

La concatenación de vulnerabilidades de día 0 y 1 y ataques de cadena de suministro ha dado lugar a crisis de seguridad como la protagonizada por la tristemente célebre Log4Shell, una vulnerabilidad que afectaba a la librería de software de código abierto Log4J, empleada por miles de aplicaciones y software empresarial Java en todo el mundo.

La explotación maliciosa de las vulnerabilidades Log4Shell (a la original se sumaron otras tres) desencadenó un efecto dominó que afectó a compañías globales de la importancia de Amazon, Apple, IBM, Tesla o Cisco.

En el desarrollo de software es esencial la utilización de componentes ya creados, que permiten agilizar el proceso y abaratar los costes. Disfrutar de estas ventajas debe ir unido a una concienciación mayor en lo relativo a las consecuencias de los ataques de cadena de suministro y el deber de implementar la seguridad en todo el ciclo de vida del software.

El caso de Log4Shell puso negro sobre blanco la necesidad de que las empresas cuenten con servicios de ciberseguridad que les permitan detectar vulnerabilidades emergentes críticas y que afecten a su infraestructura tecnológica, incluyendo todos los componentes de terceros, antes de que sean explotadas exitosamente por actores hostiles.

3. Gestionar las vulnerabilidades conocidas… y las emergentes

Como señalamos antes, la gestión de las vulnerabilidades es una de las actividades principales de las capas defensivas de una empresa. Dicha gestión debe llevarse a cabo a lo largo de todo su ciclo de vida y, para ello, ha de:

  • Descubrir vulnerabilidades que afecten a los activos de la empresa.
  • Analizar las vulnerabilidades.
  • Priorizar la remediación de los fallos de seguridad, en función del impacto de la explotación de las vulnerabilidades en el negocio.
  • Proponer medidas para remediar las debilidades encontradas.
  • Verificar que la mitigación de las vulnerabilidades se ha llevado a cabo con éxito.

A la hora de realizar una gestión de vulnerabilidades integral no solo se han de tener en cuenta las vulnerabilidades conocidas, es decir, aquellas que ya han sido publicadas en el pasado, sino que resulta crucial poder detectar vulnerabilidades emergentes que puedan afectar a los activos empresariales.

Aquí es donde entra en juego el servicio de vulnerabilidades emergentes, que se centra en analizar los activos de una compañía de forma continua para detectar cuáles están expuestos a vulnerabilidades críticas tanto de día cero como de día 1. Incidentes en definitiva que pueden desencadenar graves problemas de seguridad.

Detectar vulnerabilidades emergentes es un trabajo que necesita de una monitorización 24/7

4. ¿En qué consiste un servicio de vulnerabilidades emergentes 24/7?

El servicio de vulnerabilidades emergentes de Tarlogic Security realiza una monitorización proactiva del perímetro de los clientes para detectar vulnerabilidades emergentes a las que puedan estar expuestos sus activos IT. Para ello, los profesionales de ciberseguridad proceden a evaluar las nuevas vulnerabilidades descubiertas y que:

  • Pueden presentar un alto impacto y una afectación masiva
  • Se encuentran en el perímetro de la empresa que ha contratado el servicio de vulnerabilidades emergentes.

Para ello, el equipo encargado de detectar vulnerabilidades emergentes implementa cuatro actuaciones estratégicas:

  • Inventario. Los profesionales a cargo del servicio de vulnerabilidades emergentes deben realizar una monitorización continua del perímetro, con el objetivo de descubrir activos en él.
  • Detección proactiva. Para que las capacidades de detección proactiva sean óptimas, es necesario contar con el conocimiento y la experiencia de profesionales de diversas áreas: ciberseguridad, ciberinteligencia, Threat Hunting… La colaboración entre todos ellos facilita la tarea de detección temprana de nuevas vulnerabilidades.
  • Filtrado y análisis de las vulnerabilidades. Cuando se descubre una vulnerabilidad o se tiene constancia de su existencia tras su publicación, el equipo encargado de detectar vulnerabilidades emergentes debe analizar su nivel de impacto y comprobar su presencia en el perímetro de la empresa. No todas las vulnerabilidades presentan el mismo nivel de criticidad y, desde luego, no todas están presentes en el perímetro de una organización.
  • Notificación. Los profesionales avisan a la empresa de forma inmediata sobre si la vulnerabilidad emergente afecta o no a la infraestructura tecnológica de la organización.

Todas estas actividades se llevan a cabo de forma continua, las 24 horas del día y los siete días de la semana. De esta manera, la capacidad de detectar vulnerabilidades emergentes y tomar medidas para subsanarlas antes de que sean explotadas se caracteriza por la agilidad y la eficacia y sirve para prevenir incidentes de seguridad y sus consecuencias económicas, legales y reputacionales.

5. Los cinco beneficios de detectar vulnerabilidades emergentes y gestionarlas de forma integral

¿Qué consiguen las empresas que cuentan con un servicio para detectar vulnerabilidades emergentes 24/7?

A lo largo del artículo hemos ido apuntando algunos de los beneficios asociados a un monitoreo proactivo del perímetro de una compañía para detectar vulnerabilidades emergentes que puedan afectar a sus activos. A continuación, vamos a señalar cinco beneficios directos de disponer de un servicio de vulnerabilidades emergentes como el de Tarlogic Security, prestado por profesionales experimentados y al día con las novedades que se producen en un mundo tan cambiante como el de la ciberseguridad.

5.1. Reacción coordinada ante una vulnerabilidad de día cero o día 1

En la defensa de una empresa frente a las ciberamenazas entran en juego diversos equipos y profesionales. De ahí que la coordinación sea una cuestión de capital importancia a la hora de planificar las estrategias de seguridad y conseguir que sean eficaces.

Esta coordinación es aún más relevante a la hora de detectar vulnerabilidades emergentes y activar una respuesta eficiente ante ellas.

Por ello, un servicio de vulnerabilidades emergentes debe ser capaz de coordinar la reacción de una empresa cuando se publica una vulnerabilidad de día cero con un nivel de impacto elevado. Por supuesto, también en el caso de los incidentes de seguridad de día 1. De lo contrario, la gestión de la vulnerabilidad emergente será deficiente y caótica.

5.2. Análisis rápido y estandarizado

Más allá de coordinar las actuaciones que se deben poner en marcha para prevenir los riesgos asociados a una vulnerabilidad de día cero o de día 1, el equipo que realiza el servicio de vulnerabilidades emergentes ha de llevar a cabo un análisis rápido sobre el perímetro de la empresa.

Para ello, empleará un inventario actualizado de toda la infraestructura tecnológica empresarial y pondrá en marcha pruebas estandarizadas para comprobar si la vulnerabilidad descubierta puede o no afectar a la empresa y de qué forma puede ser explotada por actores hostiles para realizar un ataque exitoso.

Sin este análisis, que debe ser ágil, pero también preciso, no se puede diseñar e implementar una respuesta adecuada ante los riesgos asociados a una vulnerabilidad emergente.

5.3. Diseño, adaptación y verificación continua de las contramedidas

Si tras el análisis el equipo a cargo del servicio de vulnerabilidades emergentes concluye que una vulnerabilidad afecta a la infraestructura IT de la empresa, ¿qué se puede hacer?

  1. Definir las contramedidas adecuadas para mitigar la vulnerabilidad o reducir los riesgos asociados a ella.
  2. Actualizar constantemente la información disponible sobre la vulnerabilidad emergente y adaptar las contramedidas en función de los nuevos datos que se vayan disponiendo.

Tanto el diseño de contramedidas como su adaptación en función de la información disponible son actuaciones esenciales para prevenir la explotación de una vulnerabilidad y los riesgos asociados a esta actuación maliciosa.

Las empresas deben implementar estos servicios de vulnerabilidades en sus estrategias de ciberseguridad

Si una empresa no pone en marcha las acciones pertinentes para gestionar una vulnerabilidad que afecta a alguno de sus activos, corre el riesgo de sufrir un incidente de seguridad que dañe su modelo de negocio, su operatividad o ponga en jaque datos confidenciales empresariales y de sus clientes.

Asimismo, resulta de vital importancia que los profesionales desplieguen procedimientos y pruebas para verificar que las contramedidas que se han implementado funcionan adecuadamente.

5.4. Reducción de la superficie de exposición y cerrar la ventana de oportunidad

Detectar vulnerabilidades emergentes que afectan a los activos empresariales y poner en marcha contramedidas sirve para cumplir dos objetivos directamente relacionados:

  • Reducir la superficie de exposición de la empresa frente a las ciberamenazas.
  • Cerrar la ventana de oportunidad de los actores hostiles, que pueden aprovechar una vulnerabilidad para comprometer los activos empresariales, lanzar un ataque con éxito y cumplir con sus objetivos maliciosos: fraudes, extorsiones, destrucción y exfiltración de datos, paralización de la operatividad de la compañía…

El goteo de incidentes de seguridad asociados a la explotación de vulnerabilidades de día cero y de día 1 es continuo. En un mundo plenamente digitalizado como el nuestro, las compañías tienen que situar a la ciberseguridad en el centro de sus estrategias empresariales. Y ello conllevar disponer de la capacidad de detectar vulnerabilidades emergentes y poder gestionarlas de forma ágil e integral para cerrar el camino de los ciberdelincuentes hasta las entrañas de un negocio.

5.5. Anticipación frente a los actores hostiles

El último de los beneficios de detectar vulnerabilidades emergentes en el perímetro de una empresa y tomar medidas para responder ante ellas radica en la posibilidad de anticiparse a los actores hostiles. ¿En qué sentido?

Tras detectar vulnerabilidades emergentes que afectan a activos IT, los profesionales pueden analizar las tácticas, técnicas y procedimientos que pueden poner en marcha los grupos de ciberdelincuentes para explotar estas vulnerabilidades.

Esta capacidad de anticipación implica disponer de conocimientos y herramientas avanzados de ciberseguridad, ciberinteligencia y Threat Hunting. Puesto que no basta con estudiar la vulnerabilidad en cuestión, sino que es necesario comprender cuáles son las tácticas, técnicas y procedimientos de los actores maliciosos y qué rutas pueden emplear para explotar diversas vulnerabilidades y alcanzar sus objetivos.

Si una organización puede anticiparse a los delincuentes, aumentará su resiliencia frente a los ataques que aprovechan la explotación de vulnerabilidades de día cero para comprometer los activos empresariales.

6. S.T.A².R.S., una unidad especializada en investigar nuevas vulnerabilidades

El punto anterior nos permite observar la importancia de la innovación y la investigación en el ámbito de la ciberseguridad.

Los delincuentes diseñan constantemente herramientas y procedimientos para explotar vulnerabilidades de la infraestructura tecnológica de las empresas y las instituciones. De tal forma que los profesionales de la ciberseguridad también han de realizar un esfuerzo permanente para desentrañar los modus operandi de los actores maliciosos e incrementar la resiliencia de las organizaciones frente a los ciberataques.

Por eso, para optimizar la capacidad de detectar vulnerabilidades emergentes, analizarlas y ayudar a mitigarlas, Tarlogic cuenta con la unidad S.T.A2.R.S. Este equipo, conformado por especialistas en ciberseguridad con amplios conocimientos y una larga experiencia a sus espaldas, analiza de forma continua las vulnerabilidades emergentes, de cara a generar conocimiento que sea útil a la hora de detectar vulnerabilidades emergentes en los activos empresariales y mitigarlas.

Así, el trabajo de la unidad S.T.A2.R.S. enriquece tanto el servicio de gestión de vulnerabilidades como el servicio especializado en vulnerabilidades emergentes, para ayudar a las empresas a hacer frente a estas debilidades

Además, dentro de la apuesta de Tarlogic por la innovación y la transferencia de conocimiento, esta unidad especializada en detectar vulnerabilidades emergentes y estudiarlas en profundidad, publica análisis sobre nuevas vulnerabilidades críticas, que incluyen:

  • Descripción de la vulnerabilidad y para qué puede ser empleada por los actores hostiles.
  • Requisitos que deben cumplirse para que pueda ser explotada.
  • Nivel de criticidad basándose en el indicador CVSS.
  • Acciones para detectar la vulnerabilidad.
  • Procedimientos para mitigar la vulnerabilidad con la máxima celeridad y eficiencia.

En definitiva, detectar vulnerabilidades emergentes se ha convertido en una actividad estratégica para hacer frente al incremento de ataques que explotan vulnerabilidades e impactan en la cadena de suministro de software. El servicio de vulnerabilidades emergentes monitorea activamente el perímetro de las empresas para detectar vulnerabilidades que puedan afectar a sus activos tecnológicos.