Hola a todos, en esta serie de entrada venimos con un tema nuevo el cual es muy importante en la tareas de un analista de ciberseguridad, es un tema importante y un tanto delicado debido a que una vulnerabilidad no es cualquier cosa que podamos tomar muy a la ligera, si no más bien es algo delicado y sensible, sin más que agregar, comenzamos:
Fundamentos Absolutos de Gestión de vulnerabilidades.
Problema real que resuelve la Gestión de Vulnerabilidades
En ciberseguridad un activo no se compromete por arte de magia o así por que si, un activo es comprometido por que:
- Existe una debilidad técnica
- La debilidad no fue identificada o no fue atendida
- Un actor de amenaza la explotó
¡La gestión de vulnerabilidades existe para romper la cadena antes del ataque!
Cadena típica de un incidente
- Software Vulnerable
- Vulnerabilidad conocida públicamente
- Falta de parcheo / mala configuración
- Explotación
- Incidente de seguridad
💡 Tu como analista debes detener la cadena en los pasos del 1-3
Conceptos clave (son el pan de cada día)
VULNERABILIDAD
Debilidad en un sistema, proceso o configuración que puede se explotada.
Ejemplos:
- Apache sin parchear
- SMB expuesto innecesariamente
- Contraseña débil
- Permisos excesivos
AMENAZA
Actor o evento con capacidad de explotar una vulnerabilidad
Ejemplos
- Ransomware
- Atacante externo
- Malware automatizado
RIESGO
Probabilidad de que una amenaza explote una vulnerabilidad y cause impacto
Formula conceptual:
Riesgo = Vulnerabilidad + Amenaza + Impacto
EXPOSICIÓN
Qué tan accesible está la vulnerabilidad
Ejemplo
- Vulnerabilidad critica es un servidor interno no es igual a vulnerabilidad expuesta a internet.
Vulnerabilidades NO son incidentes
📢 Importante para ti Analista
- Vulnerabilidad : Condición previa
- Incidente: Explotación exitosa
La gestión de vulnerabilidades es preventiva, el SOC es reactivo y preventivo
¿Por qué NO basta con escanear?
“Yo pensaba que con solo escanear ya estaba gestionando vulnerabilidades” → Es incorrecto
Un escaneo solo:
- Detecta
- Enumera
- Sugiere
La Gestión implica:
- Contexto
- Priorización
- Decisión
- Comunicación
- Seguimiento
💡 Un escaneo no entiende el Negocio, tu si debes hacerlo.
Tu rol como analista en este proceso
NO eres: El sysadmin que parchea, El pentester que explota, El gerente que decide
Tu eres: El puente entre el Riesgo, Impacto al negocio, Equipos operativos.
Tus responsabilidades: Interpretar hallazgos, Priorizar, Recomendar acciones,Dar seguimiento, Medir mejora.
🧠 Ejemplo Simple (Mentalidad Analista)
A continuación presento un ejemplo para analizar y cuestionarte tu como analista, es un ejemplo básico pero ayuda a comprender lo aprendido.
Escenario:
- Servidor Windows con CVSS 9.8
- Servicio vulnerable
- Servidor interno
- Sin acceso desde internet
Preguntas correctas:
- ¿Qué función cumple?
- ¿Está segmentado?
- ¿Quien puede acceder?
- ¿Existe exploit activo?
- ¿Impacta un proceso crítico?
❌ Errores comunes en este nivel
- Confundir vulnerabilidad con amenaza
- Creer que CVSS es igual a prioridad absoluta
- Pensar solo en lo técnico
- Ignorar el contexto organizacional
📋 Checklist de aprendizaje
Este es un pequeño check en el cual te propongo 6 preguntas a responder de acuerdo al contenido de la entrada, son fáciles pero te ayudan a comprender el tema.
🟢 Explica con tus propias palabras que es una vulnerabilidad
🟢 Diferenciar vulnerabilidad, amenaza y riesgo
🟢 Explicar porque un escáner no es suficiente
🟢 ¿Puede existir una vulnerabilidad sin amenaza?
🟢¿Puede existir una amenaza sin vulnerabilidad?
🟢¿Qué es más peligroso: una vulnerabilidad crítica interna o una media expuesta a Internet?
Conclusión
Para terminar esta entrada, después de todo lo aprendido vas a ser capaz de:
- Entender qué problema resuelve la gestión de vulnerabilidades
- Diferenciar conceptos que suelen confundirse
- Pensar como analista, no como escáner
- Explicar el tema a alguien no técnico (habilidad clave)
Si la gestión de vulnerabilidades pensabas que era solo escanear, no lo es, es más que eso, implica criterio y responsabilidad.
Sigamos dando seguimiento en la próxima entrada, esto solo fue una intro.
Rojo Security 