La reciente divulgación de una vulnerabilidad crítica de día cero sin parches (CVE-2023-20198) en el software IOS XE de Cisco ha puesto de relevancia las vulnerabilidades inherentes de las modernas infraestructuras de TI. Mientras las soluciones basadas en agentes se han vuelto populares entre las organizaciones que buscan reforzar su ciberseguridad, podríamos hacernos la siguiente pregunta: ¿es realmente suficiente con un enfoque basado en agentes? Sin duda, los agentes ofrecen información valiosa sobre la gestión de vulnerabilidades, pero no proporcionan una comprensión verdaderamente holística ni una evaluación de riesgos integral.
Actualmente, bajo explotación activa y agregada al inventario de la CISA (La Agencia de Seguridad de Infraestructura y Ciberseguridad de EEUU) esta nueva vulnerabilidad permite a atacantes no autorizados acceso remoto y con privilegios completos a los dispositivos afectados, dejándolos completamente bajo el control del atacante. El incidente resalta un punto crítico: si bien las herramientas de gestión de vulnerabilidades basadas en agentes son fundamentales para monitorizar y detectar amenazas potenciales en los dispositivos en los que están instaladas, no son una panacea. Porque si atendemos a los dispositivos de red, como el equipo de Cisco afectado, veremos que estos dispositivos a menudo no admiten agentes y, por lo tanto, podrían ser puntos ciegos en una estrategia de gestión de vulnerabilidades basada únicamente en ellos.
La velocidad a la que se pueden explotar estas vulnerabilidades de día cero pone de relieve asimismo la necesidad de un enfoque multidisciplinario para la gestión de vulnerabilidades. Si bien los agentes pueden proporcionar alertas casi en tiempo real, hay situaciones, como el caso actual de Cisco, en las que se necesitan intervenciones externas inmediatas, como desactivar una función, incluso antes de que se lance un parche oficial. Depender únicamente de soluciones basadas en agentes podría no garantizar una evaluación de riesgos completa, lo que subraya la necesidad de un enfoque multidisciplinar. Entre las razones más importantes se hallan:
- Restricciones en los endpoints: no todos los endpoints admiten o tienen agentes instalados, lo que genera posibles lagunas en la evaluación. Los dispositivos que no se conectan con frecuencia como servidores externos, también pueden evadir los análisis regulares. Por tanto, se hace necesario escanear estos dispositivos externamente para evitar vulnerabilidades.
- Complejidad de la infraestructura: muchos dispositivos de red, como routers, swithces, firewalls, dispositivos IoT y OT, no admiten agentes, lo que plantea posibles puntos ciegos en la evaluación de riesgos.
- Entornos virtuales y en la nube: las soluciones de un único agente pueden proporcionar solo una visión parcial de la infraestructura basada en la nube, especialmente cuando se trata de contenedores, funciones sin servidor y otras construcciones dinámicas nativas de la nube.
- Comprobaciones de configuración: las soluciones basadas en agentes son excelentes para comprobar vulnerabilidades, pero pueden ser menos efectivas para evaluar configuraciones erróneas, que pueden implicar los mismos riesgos que en el caso de vulnerabilidades conocidas.
- Exposiciones externas: los agentes son excelentes para evaluar el estado de un dispositivo desde su perspectiva. Sin embargo, es posible que no capturen cómo se ve el dispositivo desde una perspectiva externa, es decir, cómo se vería ante un atacante externo, por lo que las exploraciones externas periódicas son esenciales para llenar este vacío.
- Garantizar la redundancia para una defensa sólida: considerar un escudo de varias capas. Si bien en las arquitecturas de red modernas no se puede confiar únicamente en una única capa de seguridad, la gestión de vulnerabilidades se beneficia de una estrategia diversa. Fusionar datos de agentes con escaneos de red es útil para crear un sistema más sólido y redundante. Esto garantiza que se detecten y aborden las vulnerabilidades potenciales, sin importar lo ocultas que estén.
Ante la evolución de las ciberamenazas, las organizaciones necesitan una estrategia de seguridad que brinde una cobertura integral y ofrezca una visión de su ecosistema de TI, incluidos los activos on-premise, en la nube, móviles, OT e IoT. Recibir alertas en tiempo real también es esencial, ya que permite que las entidades sean proactivas en lugar de reactivas. Además, aprovechar la inteligencia avanzada sobre amenazas y el aprendizaje automático puede orientar el enfoque hacia las vulnerabilidades críticas, garantizando respuestas oportunas y eficientes.
Sin embargo, la verdadera clave es tener un enfoque verdaderamente unificado para la seguridad y el cumplimiento. No se trata sólo de detección; se trata de ejecutar acciones oportunas. Las soluciones de seguridad de una organización deberían poder implementar parches automáticamente, aislar dispositivos sospechosos y presentar una vista de panel consolidada para obtener una imagen clara del panorama de amenazas.
A la luz del incidente CVE-2023-20198, es evidente que las organizaciones se enfrentan a riesgos importantes y en constante evolución. La dependencia exclusiva de soluciones basadas en agentes puede pasar por alto vulnerabilidades en dispositivos y sistemas cruciales. Es esencial, por tanto, adoptar una estrategia integral de gestión de vulnerabilidades que incluya métodos con y sin agentes; Al aprovechar las fortalezas de diversos enfoques, las organizaciones pueden identificar vulnerabilidades y tomar medidas sólidas para frenar las amenazas potenciales. Una solución integral de ciberseguridad respalda a los agentes e incorpora escaneos de red, escaneos externos y escaneos pasivos. Este enfoque interdisciplinar ayuda a las organizaciones a mantener una postura proactiva ante un panorama de amenazas en continua evolución.