A medida que las empresas implementan herramientas de ciberseguridad, acumulan múltiples alertas y detecciones de vulnerabilidades. Gestionar esta montaña de datos, incorporando numerosos falsos positivos, para extraer información verdaderamente relevante se ha convertido en un reto clave para el departamento de TI y/o el departamento encargado de la ciberseguridad. Es esta estructuración de la gestión de la vulnerabilidad la que ilustra a CNP Assurances, un grupo especializado en seguros de vida que gestiona 36.000 millones de euros en fondos a través de 25 filiales en todo el mundo. Hasta hace poco, la empresa, miembro del grupo CDC, agregaba alertas en Excel. “En junio de 2022, creamos un Centro de Operación de Vulnerabilidades, integrado por 5 personas. Pero dedicaron mucho tiempo a hacer un seguimiento de los equipos encargados de remediar las vulnerabilidades detectadas”, afirma Estelle Tchigique-Boyer, CISO de este grupo de unas 5.000 personas. “Y nos encontramos ante la necesidad de ampliar esta gestión de la vulnerabilidad a nuestras filiales”, continúa el directivo, que habló durante un taller en los Assises de la Sécurité 2023 (Mónaco, del 11 al 13 de octubre). En otras palabras, habíamos alcanzado los límites de nuestro proceso existente. »

Para el CISO, este proceso existente adolecía de cuatro defectos en particular. En primer lugar, la falta de visibilidad, con prioridades y formatos no armonizados y una priorización realizada únicamente con criterios técnicos. Por tanto, una insuficiente implicación de las profesiones. Una forma de desánimo para los equipos, ante el volumen de información que deben procesar los programas de detección. Y, finalmente, una falta de capitalización del trabajo realizado, debido a la ausencia de un panel de control y a compartir el origen de las debilidades del software.

Índice
  1. Combina criterios técnicos y profesionales
  2. De 30.000 vulnerabilidades a 145

Combina criterios técnicos y profesionales

De ahí el deseo del CNP de dotarse de una herramienta que permita priorizar las vulnerabilidades en función de los riesgos, teniendo en cuenta la criticidad de las aplicaciones en cuestión. “El objetivo era volver sólo a las profesiones más importantes”, indica Estelle Tchigique-Boyer. Para los equipos centrales, esta herramienta también debe proporcionar visibilidad de las actividades de remediación de las filiales. Para lograr esta ambición, la empresa avanza hacia un pozo de datos, alimentado automáticamente por alertas de herramientas de seguridad, que ofrece una visión centralizada y en tiempo real, al tiempo que tiene la capacidad de implementar un enfoque filial por filial. . Por este motivo, la compañía de seguros de vida optó por la solución de Hackuity, una editorial especializada de Lyon. “Sobre todo, la herramienta ofreció numerosos conectores a las soluciones francesas que ya utilizamos y permitió implementar un enfoque de criticidad que combina criterios técnicos y comerciales”, señala el CISO.

Iniciado en julio de 2022, el proyecto se centra inicialmente en la integración del historial, con trabajos de transformación de datos consolidados en Excel. "Tuvimos problemas con información faltante, como categorías o atributos", explica Sébastien Vaivre, jefe del Centro de Operaciones de Vulnerabilidad (VOC). Al mismo tiempo, CNP está implementando sus primeros conectores que permiten cargar datos automáticamente en el lago de datos. Sigue una tediosa fase de enriquecimiento de este inventario, que permite caracterizar las aplicaciones, con perfiles de riesgo asociados a cada una de ellas (como los criterios DIC, de disponibilidad, integridad y confidencialidad), y calcular los indicadores. Puntuación de riesgo real asociada a vulnerabilidades. Específicas para la plataforma Hackuity, estas puntuaciones compuestas combinan indicadores técnicos, inteligencia sobre amenazas y evaluación de la criticidad de las aplicaciones. Al mismo tiempo, el CNP aborda la modelización de los perímetros de las aplicaciones, permitiendo asociar reglas a los activos informáticos y adaptar en consecuencia los derechos de acceso. Sólo al final de este trabajo en profundidad la herramienta podrá convertirse en el único canal de intercambio sobre soluciones y producir informes que permitan a los equipos responsables de la ciberseguridad seguir los avances en este ámbito. “La plataforma se abrió a las filiales en el verano de 2023 y tenemos previsto consolidar los resultados de las pruebas de penetración locales realizadas por estas últimas”, explica Sébastien Vaivre.

De 30.000 vulnerabilidades a 145

Para los equipos cibernéticos del grupo, este despliegue es una oportunidad de repatriar datos a los que no tenían acceso anteriormente. “Por ejemplo, los escaneos de vulnerabilidades de una filial que reportan 35.000 vulnerabilidades asociadas a una puntuación CVSS (Common Vulnerability Scoring System, sistema estandarizado de puntuación de vulnerabilidades, nota del editor), incluidas 20.000 prioritarias, ilustra el jefe de la VOC. Con el True Risk Score (TRS), este total se reduce a 1.500 vulnerabilidades prioritarias, sin siquiera tener en cuenta la criticidad de las diferentes aplicaciones afectadas. »Y, como indica Sébastien Vaivre, la plataforma ofrece la posibilidad de agregar grupos de vulnerabilidades por tipo de remediación, para así realizar una nueva clasificación teniendo en cuenta la explotabilidad de las fallas. “Con este nuevo paso, bajamos a 145 vulnerabilidades prioritarias, sin tener en cuenta aún la criticidad de las aplicaciones y las medidas de seguridad que las rodean. »

Esta capacidad de reducir en proporciones razonables el número de remediaciones a realizar resulta esencial para Estelle Tchigique-Boyer. “Se pueden comunicar a los profesionales 145 vulnerabilidades que deben corregirse”, observa. Aunque, para Stéphane Vaivre, lograr este resultado requiere un gran esfuerzo para asumir el sistema existente, incluidas las operaciones manuales. “Y también debemos ser capaces de calificar la criticidad empresarial de los recursos y desarrollar guiones para definir el alcance de una división o de un país”, especifica. Si el CNP indica que completó la implementación del proceso de gestión de vulnerabilidades y su apertura a las filiales, aún debe finalizar el trabajo para crear bien los datos y priorizar los riesgos.