infosecurity vip 18 aÑos de excelencia - priorización … · 2019-03-20 · entendiendo el modelo...
TRANSCRIPT
Priorización Predictiva Centrarse en lo mas Importante
Jorge Garcia - Territory Sales Manager, CACMoises Acevedo - Regional Channel SE, LATAM
2
The END of Vulnerability Management
PRIORIZACIÓN PREDICTIVA
• Aplicación de “Data Science” a la gestión de vulnerabilidad
• Notable ahorro de Tiempo/Recursos
• Incluido en Tenable.sc & Tenable.io – sin costo adicional (T.io mas adelante, posiblemente Abril 2019)
LAS CUATRO PREGUNTAS CLAVE
?
¿Donde estamos
expuestos?
¿Donde nos centramos, basándonos en el riesgo?
?
¿Cuanto reducimos la
exposición con el tiempo?
?
¿Cómo nos comparamos?
?
CENTRESE EN LO IMPORTANTE
5Inteligencia de AmenazaConocimiento sobre que vulnerabilidad esta siendo utilizada activamente por los atacantes
Clasificación de VulnsLa criticidad, facilidad de explotación y vectores de ataques asociados con la falla.
Resultados InvestigativosLa ciencia detrás de los datos apoya el análisis de sobre 100,000 vulnerabilidades para diferenciar entre lo real y lo teórico 97%
Reducción en vulnerabilidades a ser mitigadas, con algún impacto
en la superficie de ataquePREDICTIVA
PRIORIZACIÓN
ENTENDIENDO EL MODELO YCIENCIA DE LOS DATOS
150 diferentes aspectos en 7 categorías▪ Patrones Históricos
▪ CVSS
▪ NVD
▪ Hostilidad actual
▪ Software Vulnerable
▪ Código de Exploit
▪ Fuentes de pasadas amenazas
Sobre 109,000 vulnerabilidades monitoreadas
Pronostico; probabilidad de explotación en futuro cercano
Actualizado diariamente
ALGUNOS ASPECTOS QUE APOYAN ESTE MODELO
PARTE DE LO CONSIDERADO EN ESTE MODELO
• CVE Age
• No. Words in NVD Description
• Days Since NVD Last Modified
• Number of References
• CVSS v3 Base Score
• CVSS v3 Exploitability Score
• CVSS v3 Impact Score
• Total Affected Software
• CWE
• Distinct days with cyber exploits
• Days since last cyber exploit
• Total cyber exploit events
• Days since first cyber exploit
• Days since last cyber attack
• Days since last ExploitDB entry
• Days since first ExploitDB entry
• Days since last Metasploit entry
• Total ExploitDB entries
• Total Metasploit entries
TERMINOLOGÍA• Predictive Prioritization:
Es el proceso de re-priorizar vulnerabilidades basado en la probabilidad de que serán usadas durante un ataque.
• Vulnerability Priority Rating (VPR): El resultado del proceso de Predictive Prioritization. VPR es el numero que indica la prioridad en remediación (0 hasta 10, donde 10 es la severidad mas alta) de una vulnerabilidad particular.
VULNERABILIDADES DIVULGADAS EN EL 2018
7%de las vulnerabilidades
tuvieron un Exploitfacilitado
63%de las vulnerabilidades
descubiertas, obtuvieron una métrica de CVSS 7+
12%son las únicas que
obtuvieron una métrica en el 2017 de CVSS 9+
16,500
EL PAJAR SE ESTA HACIENDO MAS GRANDEDIFICULTA ENCONTRAR LA AGUJA
- Pocas vulnerabilidades
son explotadas
- 1,500 vulnerabilidades
con un Exploit facilitado
- 28 vulnerabilidades
explotables a la
semana.
Vulnerability Intelligence ReportTenable Research: https://www.tenable.com/cyber-exposure/vulnerability-intelligence
COMPARATIVO CVSSV2 / V3
DONDE TODO SE CONSIDERA IMPORTANTE –REALMENTE “NADA LO ES”
59% es High o Critical
Vulnerability Intelligence ReportTenable Research: https://www.tenable.com/cyber-exposure/vulnerability-intelligence
¿Por que Priorización Predictiva?
CVSS v3 VPR
59% Alto o Crítico 3% Alto o Crítico
Marco del VPR: ¿Como funciona?
DESARROLLO DEL DATO DE AMENAZA
16
CENTRADOS EN EL 3%
65.912
47.933
35.988
13.674 13.282
24.569
16.679
1.118 388 1780
20.000
40.000
60.000
80.000
> 5 > 6 > 7 > 8 >9
CV
E C
ou
nt
CVSS Predictive Prioritization
3%
Vulnerability Priority Rating
CALCULO DE VPR - 70 DIAS ANTES DEL CVSS
CVSS
VPR
Una falla en el Kernel de Linux
PREDICCION DEL IMPACTO SIN CVSS
Ejemplo #1: CVE – 2017-0199
Impact Exploitability Total
CVSSv3 5.9 1.8 7.8
Impact Threat Total
Predictive Prioritization
5.9 4.0 9.9
• Malware creado• Ampliamente usado en “spear
phishing”
https://www.secalliance.com/...
https://gbhackers.com/...
Ejemplo #2: CVE – 2017-10141
Impact Exploitability Total
CVSSv3 4.2 3.9 8.2
Impact Threat Total
Predictive Prioritization
4.2 0.0 4.2
Ninguna evidencia o indicarores de:• Exploracion• Presençia en Exploit Kits /
Databases
CVSS > VPR: MAS LOW/MEDIUM – MENOS HIGH/CRITICAL
PRIORIZACIÓN PREDICTIVA
PREGUNTAS &RESPUESTAS
Muchas Gracias!
www.tenable.com