Los sistemas financieros son cada vez más abiertos e interconectados. Al mismo tiempo, surgen nuevas vulnerabilidades de software casi a diario. Algunas vulnerabilidades son causadas por errores internos o mala configuración. Otros se deben a paquetes de código abierto comprometidos ocultos en lo profundo de la cadena de suministro de software. Cualquiera que sea el origen, disminuir su número e impacto es un desafío formidable, una empresa plagada de tareas que consumen mucho tiempo y auditorías manuales.
Pero existe un gran incentivo para que las instituciones financieras aborden este desafío. El típico caso de fraude pasa desapercibido durante 12 meses y provoca una pérdida media de $117.000. Las pérdidas por robo de identidad, un subconjunto de fraude o fraude de inversión pueden crecer rápidamente a un impacto de millones de dólares.
El escaneo de vulnerabilidades automatizado es un método para ayudar a descubrir vulnerabilidades y remediarlas de manera oportuna. Es adecuado para todas las industrias, pero especialmente para las instituciones financieras, que deben mantener la información confidencial a salvo de actores maliciosos. A continuación, exploraremos superficialmente qué es el análisis automatizado de vulnerabilidades dentro de software financiero, consideraremos cómo funciona y presentaremos algunas herramientas que ayudarán a realizar el trabajo, así como algunas buenas prácticas recomendadas.
¿Quiénes son los proveedores más importantes en ciberseguridad? Haga clic aquí para ver la lista de los 10 principales en ciberseguridad de Acceleration Economy, seleccionada por nuestro experto equipo de analistas profesionales.
El estado de las vulnerabilidades
Los sistemas de software actuales están llenos de vulnerabilidades potenciales. Una preocupación creciente son las amenazas que surgen de las muchas dependencias que componen las aplicaciones modernas. Por ejemplo, la lista de los 10 principales riesgos de código abierto de OWASP describe algunas de las principales vulnerabilidades dentro de los paquetes populares de código abierto. Las vulnerabilidades conocidas se documentan públicamente como vulnerabilidades y exposiciones comunes (CVE) y pueden persistir sin parches dentro de un sistema de software. Un pirata informático también puede intentar comprometer un paquete legítimo o usar la errata para insertar código malicioso en un sistema.
Además de los riesgos de dependencia, las vulnerabilidades pueden estar dentro de la red como infraestructura mal configurada o entornos de nube inseguros. Las API ocultas o zombis representan otra amenaza, ya que los puntos finales a menudo se exponen accidentalmente o se dejan sin mantenimiento.
Las implicaciones de estas amenazas en un entorno financiero pueden ser nefastas. Algunas vulnerabilidades, como la infame vulnerabilidad Log4j , pueden permitir que un pirata informático ejecute código malicioso de forma remota dentro de un sistema de software. Tal vulnerabilidad podría aprovecharse para extraer datos confidenciales, como números de tarjetas de crédito, números de seguro social, inicios de sesión o cuentas bancarias. Con las credenciales correctas, las apropiaciones de cuentas en un sistema financiero pueden conducir a la transferencia ilícita de fondos o al robo de identidad, por mencionar dos ejemplos de alto impacto.
Beneficios de la detección automática de vulnerabilidades
La auditoría manual de la superficie de software en expansión es un desafío, ya que los equipos de desarrolladores deben supervisar un número creciente de paquetes de software y bibliotecas de códigos. Estos componentes evolucionan con el tiempo y pueden presentarse vulnerabilidades desconocidas, que pueden tardar incontables horas en descubrirse a mano.
Como tal, la implementación de la detección automática de vulnerabilidades se ha vuelto necesaria para mantenerse al día con el aluvión casi interminable de vulnerabilidades que surgen en todo el ecosistema de software. Las herramientas de detección de vulnerabilidades automatizadas pueden escanear continuamente el software contra una base de datos de vulnerabilidades actualizada periódicamente. Estos sistemas de escaneo pueden tener como objetivo la red interna o los sistemas externos expuestos a Internet; también pueden usar solicitudes autenticadas o no autenticadas para realizar pruebas de penetración de diferentes maneras.
La detección automática de vulnerabilidades puede mejorar la estabilidad y la integridad de los sistemas financieros de otras formas, como limitar el riesgo de que terceros detecten vulnerabilidades de día cero. Al utilizar más automatización e inteligencia artificial (IA), las empresas de servicios financieros pueden mantener sus sistemas protegidos en medio de plazos cada vez mayores y un personal reducido. A continuación se describen algunos otros beneficios:
- Mayor velocidad y precisión de detección. Puede ser un desafío mantener el software y actualizar las dependencias con regularidad. Como tal, es fácil que las nuevas vulnerabilidades pasen desapercibidas. La automatización del proceso de descubrimiento es fundamental para acelerar el tiempo de detección.
- Remediación de vía rápida. Cuando ocurre un incidente, los consumidores quieren una resolución rápida. La detección automática de vulnerabilidades puede acelerar el tiempo de resolución de incidentes. Muchas herramientas asignan una puntuación de riesgo para las vulnerabilidades, lo que ayuda a los profesionales de la seguridad a priorizar sus acciones.
- Trazabilidad y rendición de cuentas mejoradas. Los sistemas de detección de vulnerabilidades pueden identificar errores y sugerir los siguientes pasos junto con consejos útiles para remediarlo; algunos incluso pueden generar nuevos parches automáticamente. En general, esto mejora en gran medida la responsabilidad y ayuda a mitigar las vulnerabilidades antes de que se exploten en realidad.
- Privacidad y protección de datos mejorada. Mantenerse a la vanguardia de las nuevas vulnerabilidades limita el tiempo que quedan expuestas. Una estrategia continua de gestión de vulnerabilidades puede aumentar el cumplimiento de las normas, mejorar en gran medida la confianza del cliente y prevenir el fraude.
Consejos para gestionar vulnerabilidades
Una desventaja de la detección automática de vulnerabilidades es que estos sistemas pueden producir falsos positivos y fatiga de notificaciones. Esto lleva al agotamiento de los seguimientos requeridos y ofusca las vulnerabilidades reales de alto riesgo.
Por lo tanto, al abordar las vulnerabilidades a medida que surgen, es una buena práctica comenzar por abordar la fruta madura. Estos incluyen objetivos populares fácilmente explotables con puntajes de alto riesgo. Pero, también es esencial identificar los artículos costosos para garantizar que también estén protegidos adecuadamente. A continuación, será necesario simplificar los procedimientos de mitigación para garantizar que estas vulnerabilidades no solo se detecten sino que se aborden con prontitud.
Innumerables proveedores brindan soluciones de gestión y detección de vulnerabilidades, incluidos Invicti, Tines, Kenna, Astra, Crashtest Security Suite y otros. La lista también incluye tres proveedores en nuestra lista de los 10 mejores habilitadores de ciberseguridad: Fortinet, Palo Alto Networks y Trend Micro.
Los proveedores de servicios en la nube también tienen herramientas integradas de detección de vulnerabilidades, como Amazon Inspector, que puede escanear las cargas de trabajo de AWS en busca de vulnerabilidades de software. También hay herramientas de escaneo de vulnerabilidades automatizadas de código abierto a considerar, que incluyen OWASP Zap, NMAP y OpenVAS.
Cuando busque herramientas, considere aquellas que utilizan una amplia base de datos CVE y aquellas que se integran bien en sistemas preexistentes, como repositorios de códigos y sistemas de gestión de casos. Es útil considerar herramientas que reduzcan el ruido de los falsos positivos; algunas lo hacen evitando alertas duplicadas y priorizando los riesgos con rangos de gravedad. Las herramientas también deben ofrecer información de remediación y funciones de actualización automática siempre que sea posible.
Pensamientos finales: Disminución de la exposición al riesgo
Los sistemas financieros son un objetivo frecuente de los ataques. Pueden estar sujetos a ransomware, fuga de datos, cryptojacking y otros riesgos. Como tal, es crucial para los profesionales de seguridad que trabajan en finanzas mejorar su inteligencia de ciber-amenazas y cubrir todos los agujeros posibles.
Hemos cubierto algunos métodos para automatizar el proceso de detección de vulnerabilidades. Sin embargo la automatización también se puede aprovechar de otras maneras para beneficiar a los sistemas financieros, como escanear automáticamente las solicitudes web con el objetivo de identificar comportamientos sospechosos. Descubrir este abuso desde el principio es importante para ayudar a proteger los datos financieros de alto riesgo. El escaneo de contenedores de sistemas o aplicaciones -como Docker- también es útil para descubrir vulnerabilidades conocidas dentro de las propias imágenes de los contenedores. Otros usos de la automatización y la IA incluyen pruebas continuas de seguridad y mejora de los procesos de autenticación.
Cabe señalar que no todas las filtraciones y preocupaciones sobre la privacidad de los datos surgen de vulnerabilidades complejas del código fuente. Algunos son mucho más simples, pero aún representan una seria amenaza. Las tácticas de ingeniería social como los ataques de phishing, por ejemplo, pueden ser difíciles de proteger, ya que involucran a terceros que trabajan fuera de su sistema y engañan a los usuarios para que proporcionen sus credenciales. Para los servicios financieros, un pirata informático puede intentar imitar una pantalla de inicio de sesión de banca en línea para capturar credenciales. Por lo tanto, comunicar los riesgos a los usuarios finales es tan importante como conservar una huella tecnológica reforzada.
La detección automática de vulnerabilidades es parte integral de un marco de seguridad cibernética más fuerte. Ayude a los ingenieros a pensar como piratas informáticos y a disminuir la postura de riesgo general de sus sistemas. Si estas prácticas continuas de escaneo de seguridad se incorporan a las estrategias de software del sistema financiero, el resultado final es una infraestructura más segura que es menos propensa a la fuga de datos financieros, el fraude y las multas reglamentarias.
Autor: Bill Doerrfeld
Artículo original aquí
