Puntuación de riesgos de las aplicaciones

En las aplicaciones de software actuales, el reto de preservar una posición de seguridad robusta no tiene que ver solo con la cantidad y el nivel de sofisticación de las ciberamenazas modernas. Una gran parte de estos retos se deben hoy en día a la complejidad de dichas aplicaciones. En lugar de ser uniformes y predecibles, las aplicaciones modernas se componen de miles (o incluso millones) de microservicios y bases de datos, lo que crea una gran superficie de ataque que cuenta con una cantidad de dependencias imposible de gestionar. Algo que solo añade a la complejidad del asunto es el hecho de que los equipos de desarrollo actualizan el código de las aplicaciones con frecuencia, y muchos de estos cambios pasan a la fase de producción sin revisiones de seguridad completas. El reto principal en el ámbito de la seguridad de las aplicaciones hoy en día es saber qué aspectos priorizar a la hora de plantear soluciones de forma efectiva.

En función de lo expuesto, la puntuación de riesgos se presenta como una herramienta fundamental. La puntuación de los riesgos de las aplicaciones consiste en evaluar las vulnerabilidades en función de su probabilidad, la facilidad con la que se pueden aprovechar y el posible impacto en la empresa. Al evaluar las vulnerabilidades desde esta perspectiva, los equipos de seguridad pueden priorizar de forma adecuada las iniciativas de mitigación y destinar los recursos apropiados a las áreas más relevantes.

En esta publicación, se explorarán los conceptos clave de la puntuación de riesgos de las aplicaciones. Se facilitará la comprensión de puntuación de riesgos, se abordará el papel del Sistema de puntuación de vulnerabilidades comunes (CVSS), junto con otros estándares de puntuación, y se tratará lo que significa incorporar el contexto de los flujos empresariales y de datos a la evaluación de riesgos. Por último, se indagará en la función de la gestión de la posición de seguridad de las aplicaciones (ASPM) en el proceso de puntuación y evaluación de los riesgos.

Conocer los riesgos en el contexto empresarial y técnico

En el mundo empresarial, el riesgos es un aspecto inevitable. Las empresas se enfrentan a la constante posibilidad de pérdidas de datos, clientes, fondos, reputación y propiedad intelectual. Para las empresas que desarrollan aplicaciones, este riesgo es incluso más grande debido a la naturaleza dinámica del software. Tanto los cambios y las actualizaciones frecuentes en el proceso de integración continua/entrega continua (IC/EC) como la agilidad del desarrollo abren paso a nuevas vulnerabilidades. Las aplicaciones nativas de la nube modernas complican aún más los posibles riesgos.

Para abordarlos, las empresas se sirven de la evaluación continua de los riesgos. Los equipos de seguridad se encargan de mitigar las amenazas que podrían afectar a las operaciones empresariales. Sin duda, la capacidad de priorización es la clave en este caso: al priorizar las amenazas, las organizaciones pueden destinar los recursos de forma más efectiva y asegurarse de que abordan los retos de seguridad más urgentes primero. ¿Pero cómo se determina esta priorización?

Las organizaciones necesitan entender las funciones empresariales de las aplicaciones que deben proteger, junto con los microservicios que las componen. Las siguientes preguntas pueden ayudar a determinar las áreas a las que más podrían afectar los riesgos:

1. ¿Qué función tiene (es decir, cuál es la función de cada microservicio y API a nivel empresarial)?
2. ¿Qué tipo de datos están en juego? ¿Qué microservicios y API se conectan a los datos confidenciales, o bien los procesan? Esto puede incluir la información de identificación personal (PII), datos del sector de tarjetas de pago (PCI) o información médica protegida (PHI).

Al evaluar el nivel de importancia de cada componente de aplicaciones y el nivel de confidencialidad de los datos en juego, una organización puede centrarse en las vulnerabilidades que suponen una amenaza real para la continuidad del negocio y las ventajas competitivas.

Las puntuaciones de CVSS ofrecen solo un análisis parcial del riesgo

El CVSS es un estándar ampliamente reconocido para la evaluación de la gravedad de las vulnerabilidades de seguridad en el ámbito del software. Las puntuaciones de CVSS, de la mano del Foro de respuesta ante incidentes y de equipos de seguridad (FIRST), se determinan mediante el análisis de los diferentes aspectos que presenta una vulnerabilidad para calcular el impacto que puede tener. Las puntuaciones oscilan entre 0 y 10:

• Gravedad baja (de 0 a 3,9): Presenta un riesgo mínimo para el que suele haber unas condiciones específicas a la hora de aprovecharlo.
• Gravedad media (de 4,0 a 6,9): Es más común y puede aprovecharse con más facilidad, pero no suele llevar a consecuencias graves.
• Gravedad alta (de 7,0 a 8,9): Una amenaza considerable que a menudo conlleva el acceso no autorizado a los sistemas afectados y la pérdida de control sobre ellos.
• Gravedad crítica (de 9,0 a 10,0): El tipo de vulnerabilidad más peligroso que suele desembocar en explotación masiva y tener efectos graves como la pérdida de datos, la inactividad del sistema o la total apropiación.

Las puntuaciones del CVSS suelen estar asociadas a las vulnerabilidades y exposiciones comunes (CVE). Por ejemplo, la base de datos nacional de vulnerabilidades de Estados Unidos (NVD) recoge las puntuaciones de todas las CVE que contiene.

Aunque las puntuaciones de CVSS permiten conocer la gravedad de las vulnerabilidades, resulta fundamental entender que el nivel de gravedad no es un indicio del grado de explotabilidad.

Medir el grado de explotabilidad y probabilidad

Para determinar cómo se puede aprovechar una vulnerabilidad, hace falta tener en cuenta si un componente cuenta con acceso a Internet, el uso que se le da (interno o externo) y si requiere la autenticación. Una vez que se determina la capacidad que tiene un adversario para llegar a una vulnerabilidad, la información adicional ayuda a determinar si los ciberdelincuentes atacan las vulnerabilidades.

Para conocer mejor el fenómeno de la explotabilidad, veamos el Sistema de puntuación de predicción de exploits (EPSS) y ExPRT.AI.

El EPSS, también dirigido por FIRST, proporciona una puntuación que indica la probabilidad de que se aproveche una vulnerabilidad. Por otro lado, ExPRT.AI determina qué vulnerabilidades aprovechan los adversarios en el mundo real. En conjunto, estas métricas permiten evaluar el riesgo de forma más exhaustiva que las puntuaciones aisladas del CVSS.

Al comprender las limitaciones de las puntuaciones del CVSS y, a la vez, integrar la arquitectura de aplicaciones, el EPSS y ExPRT.AI en los procesos de evaluación de riesgos, se logra un enfoque más detallado. Esta integración permite distinguir entre la gravedad de una vulnerabilidad y su explotabilidad en un entorno empresarial concreto. Sin embargo, la evaluación exhaustiva de los riesgos implica tener en cuenta otro factor aparte de la gravedad y la explotabilidad: la criticidad.

Tomar en consideración la criticidad empresarial

El riesgo que presenta una vulnerabilidad para una aplicación está también relacionado con el posible impacto en la empresa, lo que se conoce como criticidad empresarial. Para evaluar la criticidad empresarial, hace falta tener en cuenta los siguientes factores:

1. La función empresarial de cada microservicio y API a nivel de la arquitectura de aplicaciones
2. La confidencialidad de los flujos de datos

El hecho de que un componente procese los datos altamente confidenciales (PII, PHI o datos sujetos a los estándares de PCI) puede cambiar de forma considerable el nivel de criticidad de una vulnerabilidad que presente dicho componente. Este enfoque va más allá de una visión general de las vulnerabilidades, lo que posibilita una evaluación de riesgos más personalizada que refleja los aspectos únicos de cada organización.

Resulta bastante difícil localizar los flujos de datos confidenciales en las aplicaciones. En primer lugar, todas las bases de datos deben auditarse para determinar si contienen información confidencial. A continuación, el consumo de estos datos debe supervisarse en cada componente de la aplicación. A medida que los flujos de datos se vuelven más complejos, resulta muy difícil, o casi imposible, llevar a cabo este proceso de forma manual.

La integración del contexto empresarial y de flujos de datos en las evaluaciones de los riesgos garantiza que se prioricen las vulnerabilidades más críticas, lo que ajusta las iniciativas de ciberseguridad a la estrategia general de gestión de riesgos por parte de la organización.

ASPM y la puntuación de riesgos de las aplicaciones

ASPM es un enfoque exhaustivo para la protección de las aplicaciones de software. Engloba la puntuación basada en riesgos que sirve para identificar qué vulnerabilidades afectan en mayor medida a la aplicación y a la empresa, y determinar con qué prioridad debe resolverse cada una de ellas.

Las herramientas de ASPM emplean la puntuación basada en riesgos para determinar la prioridad que tiene cada vulnerabilidad. Este método implica analizar los tres factores que se han abordado en este artículo: la gravedad, la explotabilidad y la criticidad empresarial del componente de aplicación afectado.

Al adoptar un enfoque basado en riesgos, ASPM permite a las organizaciones destinar sus recursos a las amenazas más importantes y afianzar de este modo su posición de seguridad.

Conclusión

Un enfoque en el que se emplea la puntuación de riesgos de aplicaciones es fundamental para las organizaciones modernas que pretenden hacer frente a las ciberamenazas con la complejidad que presentan sus aplicaciones y el carácter distribuido de sus equipos. Para garantizar un uso de recursos tanto efectivo como eficiente, las organizaciones deben priorizar correctamente los riesgos a los que se enfrentan sus aplicaciones. Esto implica evaluar las vulnerabilidades en función de su gravedad (tomando en consideración la puntuación del CVSS), explotabilidad (tomando en consideración la arquitectura y ExPRT.AI) y criticidad empresarial.

CrowdStrike sigue reafirmando su protagonismo en el ámbito de la ciberseguridad con la adquisición de Bionic, la empresa pionera en materia de ASPM. Las empresas que ya usan la plataforma CrowdStrike Falcon® también podrán servirse de la visibilidad y la protección ante los riesgos completas que ofrece la solución puntera e integrada de ASPM de Bionic.

Para obtener más información sobre la plataforma Falcon, solicita una demo bajo demanda o ponte en contacto con nosotros hoy mismo.