Falta de una calificación aplicada a la realidad de la entidad.
¿Es realmente explotable una vulnerabilidad?
Visibilidad
Estamos viendo todas las vulnerabilidades que deberíamos ver?
Estamos midiendo correctamente el riesgo?
Gestión de Vulnerabilidades
¿Cómo lo solventamos?
Escaneo de vulnerabilidades:
Servidores y servicios.
Dispositivos no gestionados.
Vulnerabilidades de software
Vulnerabilidades de plataformas en computadores de usuario final.
Vulnerabilidades de código fuente de aplicaciones sensibles.
Información de contexto:
Calificación de terceros.
Países e industrias afectadas: ¿dónde se ha presentado explotación de la vulnerabilidad? ¿Se ha presentado en Ecuador o alguno de los países cercanos? ¿En qué industrias se ha presentado?
Vectores involucrados en el ataque:
Vector de ataque.
Complejidad del ataque.
Privilegios Requeridos?
Se requiere interacción de usuario?
El Impacto es alto dentro de la compañía?
¿Existen exploits disponibles?:
En fuentes abiertas o cerradas para explotar una vulnerabilidad específica. Buscamos en deep/dark web.
Hacking Simulation:
Validamos si realmente las vulnerabildiades son expltables para la realidad de la compañia.
Priorización de vulnerabilidades:
Ser parchadas.
No parchadas pero monitoreadas.
No parchadas e ingresan en un plan de parcheo de mediano y largo plazo según su criticidad, riesgo e importancia.
Monitoreo de vulnerabilidades:
Las vulnerabilidades serán monitoreadas de manera continua para validar su remediación, así mismo de manera recurrente (cada 6 meses), se realizarán pruebas de hacking simulation .
Monitoreo de Vulnerabilidades:
Las vulnerabilidades serán monitoreadas de manera continua para validar su remediación, así mismo de manera recurrente (cada 6 meses), se realizarán pruebas de hacking simulation .