Seguridad

No todos los CVE merecen un ejercicio de fuego: concéntrese en lo que es explotable

Se publicaron más de 40,000 nuevas vulnerabilidades (CVE) solo en 2024. Más del 60% de ellos fueron etiquetados como “altos” o “críticas”. Parece aterrador, por supuesto, pero ¿cuántos de ellos realmente ponen en peligro su entorno?

No tanto como puedas pensar.

Sistemas de notación como la gravedad de los CVS de la gravedad de los CVS en función de los factores técnicos. Pero no conocen su red, sus pedidos o la forma en que endureció los activos clave. Este es un problema. Porque sin contexto, los equipos pasan demasiado tiempo persiguiendo errores aterradores que ya pueden bloquearse y que se pierden la tranquilidad que no lo son.

Esta publicación descompone por qué la priorización tradicional de la vulnerabilidad a menudo te hace engañar y cómo un mejor enfoque, validación de exposiciónAyudar a los equipos a concentrarse en Que es realmente utilizable.

¿Cuál es el problema de las vulnerabilidades “críticas”?

Comencemos con las cifras. La divulgación de vulnerabilidad aumentó un 38% el año pasado. Y muchas herramientas, escáneres, plataformas de corrección y paneles siempre las clasifican por puntajes CVSS o EPSS Gross.

Pero aquí está la cosa: estos son solo puntajes globales. Esto significa que, debido a que la vulnerabilidad marca un 9.8 en el papel, no significa que tenga un impacto crítico en su ambiente. Su firewall, EDR, IPS / ID o segmentación ya podría detener el frío de una hazaña. Mientras tanto, ¿este problema de gravedad “media” enterrada en la lista? Podría ser una bomba de tiempo.

También está la velocidad del armamento. A principios de 2024, más de la mitad de las vulnerabilidades explotadas se transformaron en hazañas de trabajo poco después de la divulgación pública. Los atacantes se mueven rápidamente, a menudo más rápido de lo que los defensores no pueden reaccionar. Y aunque las nuevas vulnerabilidades llegan a los titulares, muchas violaciones siempre son solo defectos más antiguos que ya sabemos, pero que no nos hemos corregido a tiempo.

Lo que tenemos aquí no es un problema de descubrimiento es un problema de priorización.

Por qué el puntaje tradicional es corto

Descompone el funcionamiento de los sistemas habituales.

  • (Le) CVSS Le brinda un lado de gravedad basado en requisitos de acceso, privilegios e impacto potencial.

  • EPSS predice la probabilidad de operar mediante el uso de señales de amenaza externas.

  • CISA KEV Las banderas conocidas han explotado vulnerabilidades.

¿Útil? Por supuesto, en términos a gran escala, sí. Pero tan útiles como son, en teoría, estos sistemas no saben Tu específico ambiente.

No pueden decir si su IPS bloquea la hazaña, si el activo está aislado o si el sistema lo ha hecho. Por lo tanto, tratan todas las redes de la misma manera, lo que puede conducir fácilmente a perder tiempo y recursos en malas correcciones debido a una sensación de Falso de emergencia.

Reemplace las conjeturas con la prueba.

Vea cómo PICU valida sus riesgos contra ataques reales y enfoca tus esfuerzos en las exposiciones que realmente tienes que reparar.

Pide tu demostración

¿Cuál es la validación de la exposición?

La validación de la exposición devuelve el proceso. En lugar de adivinar cuán mala podría ser la vulnerabilidad, pruebas Si es realmente explotable en su entorno real.

Es como ejecutar simulaciones de ataque seguras y controladas, usando el mundo real del mundo real, para ver si toda la cadena de asesinato de la campaña operativa funciona en usted. Si tus pedidos lo detienen, genial. De lo contrario, ahora sabes qué reparar.

El objetivo es simple: reemplace las hipótesis con prueba. De esta manera, puede resolver las vulnerabilidades que más importan, primero.

Tecnología detrás: Pense de bajo + automatizado

La validación de la exposición se basa en dos tipos de herramientas seguras y no destructivas.

  1. Violación y simulación de ataque (bajo):: BAS realiza escenarios de ataque continuo utilizando tácticas conocidas y comportamientos de software malicioso en la naturaleza. Considérelos como una forma de verificar si su EDR, SIEM y su firewall atrapan lo que se supone que deben, contra las amenazas conocidas y emergentes.

  2. Prueba de penetración automatizada: Esta técnica imita las acciones de un atacante que ya tiene acceso a su entorno, probando cuán lejos podrían llegar, una vez dentro. Esto incluye movimiento lateral, privilegios de escalada, acceso a información de identificación e intentos de alcanzar objetivos confidenciales como administradores de dominios. También libera a tu equipo rojo para concentrarse en caminos de ataque más complejos, creativos o críticos.

Al trabajar juntas, estas herramientas ayudan a sus equipos a comprender lo que los atacantes podrían En realidad Haga su red, no solo lo que podría ser teóricamente posible.

Cuando una puntuación de 9.4 CVSS no es crítica

Veamos cómo funciona en la práctica. Digamos que un escáner señala una vulnerabilidad con un puntaje CVSS de 9.4. Parece serio. Pero la validación de la exposición lo pone a prueba.

Primer paso: ¿hay una hazaña pública?
Sí. Hay prueba del concepto disponible. Pero no es el plug-and-play. Se necesitan habilidades técnicas y condiciones específicas para tener éxito. Esto hace que esta vulnerabilidad sea menos crítica de lo que parece primero, y el riesgo se ajusta para reflejar esto. Esto solo deja caer la puntuación a 8.7.

Siguiente: ¿Pueden sus defensas detenerlo?
Ahora es el momento de verificar su batería de seguridad: controles en la nube, protecciones de red, herramientas de punto de terminación y reglas SIEM. Si estos detectan o ya bloquean el ataque, el riesgo disminuye considerablemente.

En este caso, su solución de violación y simulación de ataque muestra que sus controles existentes hacen su trabajo, lo que reduce el puntaje VULN a 6.0.

Última verificación: ¿es importante el sistema?
Los activos vulnerables no son críticos. No contiene datos confidenciales y no tiene impacto en las operaciones básicas. En este espíritu, el puntaje vuelve a caer, esta vez en 2.4.

En este escenario, el escáner casi gritó que tenía una vulnerabilidad con un puntaje de 9.4 y era esencial prestarle una atención seria. Sin embargo, en su entorno real, este vulne sería bloqueado y detectado, lo que le permitiría administrar vulnerabilidades mucho más críticas para su organización. Esto es lo que hace la validación de la exposición. Diferancia los riesgos reales del ruido, lo que le permite reparar lo que importa y pasar de lo que no.

Una forma más inteligente de priorizar

Solución de validación de exposición a la seguridad de PICUS (EXV) Ayude a los equipos a superar los puntajes en la superficie y a concentrarse en lo que es real.

Combinamos la gestión de la superficie de los ataques, la simulación de violación y ataque y los peents automatizados para ver si una vulnerabilidad puede ser explotada en su entorno real.

Luego, calcula una puntuación de riesgo que refleja las condiciones reales, no solo las hipótesis lo peor. Este puntaje tiene en cuenta tres factores clave:

  1. ¿La vulnerabilidad es realmente utilizable?

  2. ¿Sus pedidos existentes ya lo bloquean?

  3. ¿Es el sistema afectado importante para su organización y sus operaciones diarias?

Armado con este contexto, sus equipos ya no tienen que cazar cada alerta de alta severidad. Obtiene una lista clara y manejable de exposiciones probadas para su negocio y su entorno con mucho menos ruido.

Resultados de la tierra

Cuando los equipos dejan de contar con los puntajes CVSS crudos y comienzan a validar las exposiciones, comienzan a ver los resultados de inmediato.

Como picus, vimos organizaciones cortando su El número de vulnerabilidad crítica de más de la mitad, del 63% al 10%. Mismo entorno. Mismas herramientas. El único cambio fue verificar lo que realmente podría explotarse.

Este cambio ahorra horas de corrección, elimina el ruido y, sobre todo, permite a los equipos de seguridad centrarse de manera más efectiva en las amenazas reales y dejar de cazar fantasmas de manera efectiva.

En lugar de inundar flujos de trabajo con cientos de resultados de alta severidad, los equipos obtienen una lista limpia y específica de lo que realmente importa. Menos tiempo dedicado a discutir sobre prioridades. Más tiempo para resolver problemas reales.

La validación transforma la gestión de vulnerabilidad en algo alcanzable. Te mueves más rápido, desperdicias menos y protege lo que realmente importa.

Reflexiones finales

No necesitas reparar todo. Solo necesita reparar lo que es real.

La validación de la exposición ayuda a los equipos a exceder los puntajes de gravedad sin procesar y comenzar a tomar decisiones basadas en datos.

El resultado? Mejor jerarquía, defensas más fuertes y una organización más segura.

Obtenga más información sobre Solución de validación de exposición a la seguridad de PICUS (EXV).

Patrocinado y escrito por Seguridad de la imagen.

También puede interesarte

Seguridad

Gpuhammer: la nueva variante de ataque de Rowhammer degrada los modelos AI en las GPU de NVIDIA

2 meses ago
morelljuanjose@gmail.com
Seguridad

Los piratas explotan el defecto crítico de RCE en el servidor FTP Wing

2 meses ago
morelljuanjose@gmail.com
Seguridad

Más de 600 aplicaciones de Laravel expuestas a la ejecución del código remoto debido a la fuga de APP_Keys en GitHub

2 meses ago
morelljuanjose@gmail.com

No te lo pierdas

NFT

NFTs en Latinoamérica 2025: US$ 35.9 M en ingresos y salto del 33% en gaming, RWA y fidelización

Fondeos

Fintech para empresas: el acceso al financiamiento digital en Argentina

Regulación

Regulaciones Fintech en Argentina: Crecimiento del 11.7% en startups y desafíos pendientes hacia 2035

Startups

PaySend Priitatines Latam Expansión con TevisaUnivision Partnerser

Exit mobile version