IBM Software Enero de 2014

Thought Leadership White Paper

Cómo gestionar vulnerabilidades y

riesgos para la seguridad
Proteja sus activos críticos con un enfoque integrado y económico para evaluar la
vulnerabilidad y gestionar el riesgo
2 Cómo gestionar vulnerabilidades y riesgos para la seguridad
Índice
2 Introducción
2 Comprenda el entorno de las amenazas
4 Tome medidas de seguridad proactivas
5 Unifique recursos de seguridad con las soluciones
de IBM
6 Descubra el valor de la inteligencia en seguridad
8 Mejore la seguridad gestionando las
vulnerabilidades
10 Combine gestión de vulnerabilidades con gestión
del riesgo
11 Elimine la brecha entre la gestión del riesgo y la de
vulnerabilidades
11 Conclusión
12 Para más información
12 Acerca de las soluciones IBM Security
Introducción
Mientras las innovaciones tecnológicas mejoran nuestra vida diaria,
el crimen cibernético es cada vez mayor, con costos más altos que
nunca. Un estudio reciente observó que, en 2013, los costos anu-
ales de los ataques cibernéticos promediaron los 11,6 millones de
dólares por cada empresa grande, lo que constituye un aumento de
1
casi un 26 por ciento con respecto al año anterior. De hecho,
incluso las organizaciones más cuidadosas de su seguridad pueden
ser el blanco de los sofisticados hackers de la actualidad. Y el
impacto se puede extender más allá de los resultados finales. Las
brechas de seguridad pueden hacer que se pierda propiedad
intelectual, interrumpir operaciones críticas y dañar la imagen, la
marca y la reputación pública de una empresa.
Mientras tanto, los equipos de seguridad suelen adoptar enfoques
que son mayormente reactivos en lugar de proactivos: no es raro
que dediquen la mayor parte del tiempo (y presupuesto) a desple-
gar herramientas que solo pueden detectar y remediar brechas, en
lugar de examinar proactivamente y reforzar las defensas de
seguridad que ya están instaladas. Además, el personal se mantiene
ocupado en actividades tales como escaneo de vulnerabilidades que
ayudan a garantizar el cumplimiento legal pero que no tienen la
capacidad de agregar contexto a esos datos, por ejemplo, qué vul-
nerabilidades generan el mayor riesgo para la organización. Como
resultado, muchos productos de seguridad están diseñados para dar
soporte a tareas reactivas en lugar del objetivo más amplio de
detectar debilidades y comportamientos no autorizados para poder
estar un paso adelante de las amenazas.
Por suerte, las organizaciones actuales tienen una opción más
inteligente. Las últimas soluciones integradas de inteligencia en
seguridad utilizan automatización de avanzada para ahorrar mano
de obra y aportar más valor con los presupuestos de seguridad
(además de aumentar la eficiencia del personal de TI) y, al mismo
tiempo, reforzar su postura en materia de seguridad. Las orga-
nizaciones pueden automatizar la gestión de eventos de seguridad,
registros y flujos en la red. Asimismo, pueden comparar configura-
ciones de red para identificar proactivamente exposiciones de
seguridad, analizar reglas de firewalls, simular el impacto potencial
de un ataque y cuantificar el riesgo de las vulnerabilidades.
Este White Paper describe cómo las organizaciones pueden dedi-
carse a proteger activos de alto valor y brindar seguridad integrada,
escalable y rentable para todo el entorno de TI. Además, explica
cómo la plataforma correcta de inteligencia en seguridad puede
integrar análisis de vulnerabilidades, gestión del riesgo y soporte
para remediación (todo desde una única consola) a fin de identifi-
car proactivamente debilidades en la seguridad y minimizar los
riesgos potenciales dentro de una infraestructura dinámica.
Comprenda el entorno de las amenazas
Cada vez se divulgan más brechas de seguridad, gracias a la mayor
cantidad y gravedad de los ataques. El equipo de investigación y
desarrollo de IBM® X-Force® acaba de informar que la cantidad
total de incidentes de seguridad para 2013 estaba en camino de
2
superar las cifras de 2012. Además, las organizaciones que fueron
blanco de ataques en general desplegaban medidas de seguridad
básicas. Entonces, ¿por qué tienen éxito los ataques?
Por un lado, las soluciones de seguridad dispares a veces son sim-
plemente kits de herramientas. A menudo no tienen la capacidad
de realizar análisis en tiempo real de los flujos de la red, o de
 IBM Software 3

Vulnerability disclosures growth by year

10,000
9,000
8,000
7,000
6,000
5,000
4,000
3,000
2,000
1,000
0

2004

2006

2009
2000

2003

2008
2005
2002

2007
1999
1998
1996

2001

2010

2013
2012
1997

2011
2013 prediction of (first half doubled)

Source: “IBM X-Force 2013 Mid-Year Trend and Risk Report”

Según el informe de IBM X-Force, en el primer semestre de 2013 las vulnerabilidades que se divulgaron iban camino de superar la cantidad divulgada en
2012.2

agregar contexto al tráfico y topologías. Esto significa que los
equipos de seguridad de TI tienen una visibilidad limitada de lo
que realmente está sucediendo en la red. Los escaneos de vulnera-
bilidades pueden revelar cientos de miles (e incluso millones) de
exposiciones, y los administradores de seguridad suelen enfrentar
la tarea casi imposible de priorizar sus esfuerzos y luego mitigar y
emparchar las debilidades de manera manual. Para empeorar las
cosas, las amenazas a la seguridad siguen en aumento, los esfuerzos
en materia de cumplimiento no llegan demasiado lejos, y las orga-
nizaciones se ven perjudicadas por herramientas dispares e inefici-
entes para la gestión del riesgo y de las vulnerabilidades.
Las amenazas a la seguridad están en aumento
La cantidad de vulnerabilidades están creciendo exponencialmente
en los entornos dinámicos de hoy, mientras los ataques están
explotando esas vulnerabilidades más rápido que nunca, y con
mayor sofisticación y cautela. En los ataques denominados “del día
cero”, se crean explotaciones para vulnerabilidades que aún no
están emparchadas. De hecho, según X-Force, el 77 por ciento de
todas las vulnerabilidades sin emparchar tienen una explotación
3
pública disponible en el mismo día. Luego, además del tiempo
potencial que pasa desde que se divulgan las vulnerabilidades hasta
que el parche está disponible, las organizaciones necesitan tiempo
para determinar qué sistemas se ven afectados, priorizar su remedi-
ación y tomar medidas correctivas para emparchar esas máquinas.
Al mismo tiempo, los sofisticados atacantes de la actualidad son
cada vez más sigilosos. Por ejemplo, una investigación reciente
muestra que los atacantes pasan más tiempo en la red de la víctima
4
(243 días en promedio) antes de ser descubiertos. E incluso
después de que un incidente es remediado, muchos blancos son
atacados nuevamente. Para adelantarse a estas amenazas avanzadas,
los equipos de seguridad tienen que ser capaces de analizar flujos
de la red, detectar comportamientos anormales e identificar
patrones de actividades maliciosas. Deben tener en cuenta el con-
texto completo de los eventos de seguridad (reunidos a partir de
fuentes dispares) para ayudar a evitar que los atacantes causen
estragos.
Las actividades de cumplimiento no son suficientes
Muchas organizaciones despliegan únicamente la tecnología de
seguridad suficiente para cumplir con los requisitos de
cumplimiento relativos a su industria, como los siguientes:
Payment Card Industry Data Security Standard (PCI-DSS),
Health Insurance Portability and Accountability Act (HIPAA),
North American Electric Reliability Corporation (NERC),
Federal Energy Regulatory Commission (FERC) y Federal
 4 Cómo gestionar vulnerabilidades y riesgos para la seguridad
Information Security Management Act (FISMA). Además, pueden
tener que cumplir con sus propios requisitos corporativos en mate-
ria de seguridad.
Y sin embargo estas organizaciones a menudo se dan cuenta de
que probablemente no estén haciendo lo suficiente. En general
comprenden la importancia de la gestión del riesgo y las vulnera-
bilidades, pero simplemente no cuentan con las herramientas o el
personal adecuado para hacer un buen trabajo. Al desplegar solu-
ciones de seguridad tan solo para mantener el cumplimiento, las
organizaciones enfrentan los siguientes desafíos:
●● Falta de visibilidad: Las soluciones de seguridad aisladas y
desconectadas no ofrecen una visibilidad completa. Generan
resultados que deben ser conciliados, correlacionados e integra-
dos para poder ser de utilidad. Las organizaciones actuales
necesitan soluciones que sean fáciles de instalar, que brinden
valor rápidamente y que ofrezcan una visión consolidada del
entorno completo de TI, donde todo tipo de dispositivos son
susceptibles de ser atacados.
●● Información incoherente: Los procesos fragmentados a
menudo proporcionan información conflictiva o desactualizada
acerca de los parches, firmas y configuración de malware. Esto
puede hacer casi imposible elaborar informes de cumplimiento
precisos. Además, los distintos equipos en general son incapaces
de trabajar juntos para gestionar riesgos y vulnerabilidades
críticas, ya que no pueden dar soporte a la correlación y
priorización de eventos entre las distintas herramientas.
●● Aumento de costos: Las auditorías rutinarias de
cumplimiento con herramientas dispares pueden requerir más
personal, lo que se traduce en mayores costos. Las auditorías
con frecuencia deben ser repetidas para poder garantizar que se
analicen los hallazgos, lo que agrega costos, extiende los tiempos
de exposición y aumenta la vulnerabilidad de los sistemas que no
cumplen con los requisitos.
La necesidad de una gestión integrada del riesgo
Las organizaciones actuales se ven obligadas a gestionar productos
de seguridad de muchos proveedores distintos, usando diferentes
tipos de herramientas. Por ejemplo, pueden tener firewalls de
Cisco, Check Point y Juniper Networks, entre otras marcas. El
desafío consiste en poder gestionar el riesgo y el cumplimiento en
este entorno heterogéneo. Además, a medida que los puntos de
acceso se multiplican en toda la organización, también aumentan
los errores de configuración y las vulnerabilidades. Es esencial mit-
igar estos riesgos y mantenerse a la delantera de los atacantes, en
especial cuando los activos críticos con vulnerabilidades no empar-
chadas están expuestos a atacantes, tanto dentro como fuera del
perímetro de la red.
Con herramientas dispares y operaciones en silos, las organizacio-
nes son incapaces de reaccionar en tiempo real al cambiante
entorno de los riesgos. Las amenazas evolucionan constantemente,
y el entorno de la red cambia todo el tiempo. Pero muchos escá-
neres de vulnerabilidades y herramientas de gestión del riesgo fun-
cionan de manera aislada. No están integrados con un motor de
información de seguridad y gestión de eventos (SIEM) para cuan-
tificar (y reducir) los riesgos con analítica en tiempo real.
Por ejemplo, los errores de configuración del firewall son una
puerta de entrada para los atacantes, y las organizaciones se esfuer-
zan por resolver el riesgo. La capacidad de recolectar, centralizar,
normalizar y analizar automáticamente reglas del firewall para
detectar errores y debilidades es crítica. Las grandes empresas
pueden tener miles de firewalls, cada uno con miles de reglas.
Realizar análisis manuales de estas reglas puede ser una pérdida de
tiempo y dinero, ya que no suele dar resultado. Incluso en peque-
ños entornos, los análisis manuales pueden consumir preciados
recursos de TI que podrían dedicarse a actividades más estratégi-
cas. En cambio, las últimas soluciones de gestión del riesgo tam-
bién pueden modelar cambios de configuración de la red antes de
que se realicen y simular la posible diseminación de amenazas.
Tome medidas de seguridad proactivas
Para reducir el riesgo de explotaciones y de violaciones de
cumplimiento –además de reducir el costo de la mano de obra
manual y las soluciones aisladas e ineficientes– las organizaciones
necesitan un enfoque completo y proactivo con respecto a la
seguridad. En el planeta inteligente de hoy en día, los equipos de
seguridad deben pensar como un atacante con una mentalidad de
contra-inteligencia: tienen que dedicarse a gestionar vulnerabili-
dades en términos del riesgo para el negocio, y detener los ataques
antes de que ocurran.
En lugar de reaccionar a mandatos de cumplimiento o reportes de
ataques de alto perfil divulgados en los medios, las organizaciones
deben actuar proactivamente para:

●● Identificar y proteger los activos de alto valor (personas,
aplicaciones, datos y redes) que corren el riesgo de sufrir ataques
●● Comprender el comportamiento de base para sistemas y redes
●● Reunir y conservar evidencia
●● Detectar anomalías, analizar datos y remediar problemas
●● Evaluar la eficacia de las defensas de seguridad
●● Comprender, investigar y monitorear las conexiones de la red y
su topología
●● Comparar configuraciones de dispositivos de red, recuentos de
eventos y un historial de reglas
●● Simular ataques para mitigar el riesgo de manera proactiva
Con las últimas soluciones integradas en materia de inteligencia de
seguridad, las organizaciones pueden utilizar el monitoreo con-
tinuo y la resolución automatizada de problemas para ayudar a
mejorar sus medidas de seguridad. Estas soluciones pueden gen-
erar datos significativos a partir actividades vinculadas a personas,
datos, aplicaciones e infraestructura, y luego colocar todos los
datos dentro de un único repositorio. Además, las organizaciones
pueden aplicar analítica de avanzada para esos datos (ya sean datos
tradicionales de seguridad o big data no tradicionales y no estruc-
turados, como mensajes de e-mail) para conectar distintos eventos
entre sí, identificar actividades fuera de lo normal y remediar
automáticamente las amenazas a la seguridad que se descubran.
En la actualidad, la gran variedad de dispositivos para usuarios
finales, los sistemas dispares de back-end y la naturaleza dinámica
de las infraestructuras de TI presentan desafíos para las tecnologías
tradicionales de seguridad, que son los firewalls y los sistemas de
detección de intrusiones basados en firmas que bloquean las amen-
azas conocidas. Junto con una nueva generación de sofisticados
ataques que son difíciles de detectar y de evitar, las redes en con-
stante cambio de la actualidad requieren monitorear el entorno
completo en tiempo real. De hecho, las organizaciones que se
anticipan al futuro necesitan una analítica proactiva, predictiva y
automatizada para poder comprender patrones normales de uso a
fin de identificar rápidamente anomalías, actividades sospechosas y
otras tendencias amenazadoras para ayudar a evitar la pérdida de
datos y las interrupciones de servicio.
IBM Software 5
Unifique recursos de seguridad con las
soluciones de IBM
IBM ofrece soluciones integradas de seguridad que pueden consol-
idar información en todo su entorno para ayudarle a reforzar sus
medidas de seguridad, priorizar las actividades de seguridad y
ampliar el valor de sus inversiones en TI. Si bien hay muchas her-
ramientas de seguridad disponibles para que los equipos de seguri-
dad ejecuten evaluaciones de vulnerabilidades y riesgos, estas her-
ramientas a menudo no cuentan con la inteligencia, la
automatización y la integración que se necesita para que esas eval-
uaciones sean utilizables. Asimismo, los productos de seguridad de
IBM no solo se integran entre sí, sino también con otras solucio-
nes de terceros.
Un enfoque integrado para la seguridad puede ofrecer importante
ventajas, entre ellas:
●● Visibilidad en tiempo real: Para ayudar a proteger todo el
entorno de TI, un enfoque integrado ofrece a los administra-
dores de seguridad la visibilidad completa y en tiempo real que
necesitan sobre el estado de seguridad de cualquier dispositivo
conectado, sin importar su ubicación física.
●● Información coherente: Un enfoque integrado puede ayudar a
garantizar que los reportes y evaluaciones les brinden a los
distintos equipos la misma información precisa y actualizada.
●● Reducción de costos: Un enfoque integrado puede minimizar
el riesgo y también reducir los costos vinculados a la gestión de
la seguridad. Una solución proactiva y consolidada es mucho
menos costosa a largo plazo que las herramientas aisladas
tradicionales que se suelen utilizar para la gestión tradicional de
la seguridad.
Descubra el valor de la inteligencia en
seguridad
Las organizaciones que adoptan un enfoque limitado para la
seguridad tienden a desplegar soluciones de gestión de registros
con otras medidas de seguridad separadas como firewalls, detec-
ción de intrusiones, cifrado de red, escaneo de vulnerabilidad y
sistemas de autenticación. Pero estos productos aislados y dispares
no ofrecen la inteligencia, la automatización y la integración que se
necesitan para la gestión proactiva de la seguridad.
6 Cómo gestionar vulnerabilidades y riesgos para la seguridad

IBM QRadar® Security Intelligence Platform ofrece un enfoque
altamente integrado para la seguridad que puede ayudar a mejorar
la eficiencia operacional, reducir costos y gestionar vulnerabili-
dades y riesgos en toda la organización. Al automatizar procesos y
consolidar información, estas soluciones integradas de IBM per-
miten que las empresas gestionen de manera proactiva y rentable
la privacidad y protección de los datos, en lugar de simplemente
esforzarse por aprobar una auditoría. Gracias a las soluciones IBM
Security QRadar, las empresas pueden convertir la seguridad en
una prioridad y aportar valor estratégico al negocio.
Basadas en la poderosa nueva generación de la tecnología SIEM,
las soluciones QRadar permiten que las empresas logren una
inteligencia completa sobre la seguridad, al integrar datos de regis-
tro de eventos provenientes de toda la infraestructura de TI con
datos de flujo de la red, datos de configuración y vulnerabilidad,
eventos y actividades de aplicaciones, identidades de usuarios, per-
files de activos, detalles de geolocalización, y más. Después de real-
izar una recolección de datos distribuidos, análisis de
normalización y correlación, las soluciones QRadar remiten resul-
tados útiles a una consola central para una mayor revisión y
remediación.
QRadar Security Intelligence Platform ofrece una solución per-
fectamente integrada para:
●● La gestión de registros: La mayoría de las organizaciones
generan enormes volúmenes de registros, y analizarlos puede
presentar importantes desafíos. Con su motor personalizable de
reglas que incluye miles de reglas listas para usar, IBM Security
QRadar Log Manager puede procesar cada evento entrante en
tiempo real, asignar atributos de gravedad, credibilidad y
relevancia, y luego provocar una respuesta apropiada. El
personal de TI puede analizar tendencias de datos y actividades
a partir de un cuadro de mandos central, además de identificar
anomalías y riesgos potenciales para la seguridad, y tomar
medidas antes de que ocurra un daño mayor. Esta solución se
puede convertir fácilmente en una solución SIEM completa
mediante el uso de una simple clave de licencia.

Log Next-generation Network activity Risk Vulnerability

management SIEM monitoring management management Future

Prioritized offenses

Network, asset and identity context

Categories

Normalization and categorization

Events, logs, configuration and flow data

IBM QRadar Security Intelligence Platform ofrece un enfoque integrado para comprender el contexto de las vulnerabilidades y minimizar el riesgo

●● Tecnología SIEM: Los equipos de seguridad necesitan
comprender la naturaleza de las potenciales amenazas, por
ejemplo: ¿Quién está atacando? ¿Qué se está atacando? ¿Cuál es
el impacto para el negocio? ¿Dónde tenemos que investigar?
IBM Security QRadar SIEM captura datos de cientos de fuentes
de datos, incluyendo datos de eventos, flujos en la red, vulnera-
bilidades de los activos e información de identidad de usuarios.
Luego correlaciona esos tipos dispares de datos y los categoriza
según la gravedad del riesgo, de manera que el personal de TI
pueda priorizar sus actividades de remediación con una lista fácil
de manejar. A diferencia de una herramienta individual, QRadar
SIEM es una solución integrada que es fácil de instalar y de usar,
y genera valor rápidamente. Cuenta con una única interfaz de
gestión y una base de datos común para que los resultados sean
coherentes.
●● Monitoreo de la actividad de la red: QRadar Security
Intelligence Platform ofrece un exhaustivo monitoreo de la red
con funcionalidades de detección de anomalías que pueden
agregar contexto útil acerca de las potenciales amenazas.
Además, el personal de TI también puede ayudar a detectar y
prevenir amenazas avanzadas, desde el uso inapropiado de
protocolos, hasta el acceso no autorizado a información sensible
y el uso indebido de contraseñas administrativas.
●● Evaluaciones del riesgo: Para gestionar proactivamente las
vulnerabilidades y mantenerse un paso delante de las amenazas,
IBM Security QRadar Risk Manager permite que el personal de
TI visualice la topología de la red, revise los datos de configura-
ción de los dispositivos de seguridad y detecte errores de
configuración, todo desde una única ubicación. Gracias a un
motor automatizado de políticas se puede cuantificar el riesgo
de violaciones calculando los accesos de ataque para activos
vulnerables y evaluar el tráfico real y potencial de la red para
cumplir con las políticas. El personal de TI también puede
simular una propagación de amenazas y evaluar el potencial
impacto de los cambios antes de que se lleven a cabo. La
calificación de los riesgos permite modificar los niveles de
gravedad de las vulnerabilidades según factores ambientales tales
como la facilidad de acceder a la red y la configuración de los
activos.
IBM Software 7
●● Gestión de vulnerabilidades: La mayoría de los escaneos de
vulnerabilidades simplemente identifican grandes cantidades de
exposiciones y dejan a los equipos de seguridad la tarea de
determinar manualmente la gravedad de los riesgos. IBM
Security QRadar Vulnerability Manager proporciona un sistema
único y totalmente integrado para evaluar y analizar la vulnera-
bilidad que sirve para todos los principales sistemas operativos y
dispositivos. La arquitectura de escaneo distribuido del producto
emplea hardware existente de QRadar que se puede activar
rápidamente con una clave de licencia, lo que reduce el tiempo y
los costos de despliegue. También aprovecha la integración con
QRadar Security Intelligence Platform para dar soporte a
escaneos impulsados por eventos y a profundas correlaciones
entre QRadar SIEM y QRadar Risk Manager. De este modo,
los recursos limitados de TI se pueden dedicar a proteger los
activos que corren más riesgo de sufrir ataques.
QRadar Security Intelligence Platform presenta una arquitectura
unificada que ayuda a las organizaciones a mejorar la seguridad
casi de inmediato. Gracias a una única interfaz fácil de usar, los
equipos de seguridad pueden rápidamente comenzar a gestionar
riesgos y vulnerabilidades en un entorno distribuido y
heterogéneo.
Mejore la seguridad gestionando las
vulnerabilidades
Muchas organizaciones han implementado herramientas de
gestión de vulnerabilidades para cumplir con regulaciones de
cumplimiento y políticas de seguridad, pero esas herramientas
suelen ser soluciones aisladas en silos con escaneos para redes, apli-
caciones y bases de datos por separado, lo que crea grandes inefi-
ciencias tanto de tiempo como de esfuerzo. Estas herramientas dis-
pares suelen identificar un “mar” de vulnerabilidades que no están
correlacionadas, categorizadas ni priorizadas, y que no generan
información que se pueda utilizar. De hecho, las redes típicas
pueden tener hasta 30 vulnerabilidades por cada dirección IP,2 lo
que se traduce en un proceso abrumador de gestión de parches y
remediación. El personal de TI debe ser capaz de centrar sus
esfuerzos en las vulnerabilidades más críticas, y detectar debili-
dades ocultas que pasan inadvertidas en el escaneo periódico.
 8 Cómo gestionar vulnerabilidades y riesgos para la seguridad
IBM Security QRadar SIEM facilita a los equipos de seguridad gestionar las vulnerabilidades y las exposiciones que presentan el mayor riesgo, todo desde
un único panel de control.
QRadar Vulnerability Manager está diseñado para transformar las
tediosas tareas mensuales o trimestrales de escaneo y reportes de
vulnerabilidades en un programa totalmente integrado de moni-
toreo continuo que combina escaneos programados con regulari-
dad con las funcionalidades de tiempo real de QRadar Secuirty
Intelligence Platform. Esto garantiza una visibilidad completa en
redes dinámicas de múltiples niveles. Las empresas pueden:
●● Crear, programar, monitorear y visualizar los resultados de los
escaneos de vulnerabilidad directamente desde la interfaz de
usuario de QRadar
●● Aprovechar el motor de reglas de QRadar para invocar escaneos
de vulnerabilidad impulsados por eventos, como por ejemplo,
cuando se agrega un nuevo activo a la red
●● Realizar completos análisis de vulnerabilidades de activos
(cualquiera sea la fuente del descubrimiento), incluyendo
poderosas funcionalidades de búsqueda y filtrado
●● Guardar búsquedas de vulnerabilidades para que las vuelvan a
usar otras aplicaciones de QRadar, como por ejemplo QRadar
Risk Manager.
●● Tomar decisiones más rápidas y mejor informadas con una
visión consolidada y basada en prioridades según los riesgos de
los datos de los escaneos de vulnerabilidades
●● Generar alertas de advertencia temprana que identifiquen los
sistemas que puedan ser vulnerables a las últimas violaciones,
incluso antes de que se publiquen datos de vulnerabilidad
●● Ayudar a coordinar actividades de emparchado y emparchado
virtual, como recomendar un sistema de prevención de intrusio-
nes (IPS) y firmas de una nueva generación de firewalls para
bloquear posibles caminos de ataque
QRadar Vulnerability Manager incluye un motor de escaneo
incorporado y certificado PCI para ejecutar escaneos programados,
a pedido y activados por eventos, lo que ofrece visibilidad casi en
tiempo real de las debilidades que, de otro modo, podrían per-
manecer ocultas durante semanas o meses. La solución QRadar
puede detectar y escanear de inmediato cualquier activo nuevo que
aparezca en la red. Como resultado, las empresas pueden reducir
su exposición a las vulnerabilidades entre ciclos regulares de esca-
neo y ayudar a garantizar el cumplimiento de las últimas regula-
ciones en materia de seguridad.
Usando el mismo enfoque basado en reglas que QRadar SIEM,
QRadar Vulnerability Manager ayuda a minimizar los falsos positi-
vos y filtra vulnerabilidades ya clasificadas como no-amenazadoras,
es decir, vulnerabilidades a las que se les puede asignar una baja
 IBM Software 9

prioridad y ser emparchadas más adelante. Por ejemplo, en un ser-
vidor se pueden instalar aplicaciones, pero éstas pueden estar inac-
tivas y, por ende, no constituir un riesgo inminente para la seguri-
dad. La integración con QRadar Risk Manager puede revelar
cuándo los dispositivos que aparecen expuestos están realmente
protegidos por un firewall o un dispositivo de protección de intru-
siones. Del mismo modo, la integración con IBM EndPoint
Manager puede mostrar qué vulnerabilidades son fáciles de empar-
char, qué parches hay programados para vulnerabilidades en los
puntos de acceso y qué parches ya se han aplicado.
QRadar Vulnerability Manager mantiene una visión actual de
todas las vulnerabilidades descubiertas, incluyendo las que todavía
corren el riesgo de ser explotadas. El software también presenta
visiones históricas de tendencias diarias, semanales y mensuales, y
puede producir reportes de tendencias a largo plazo para cumplir
con muchas regulaciones de seguridad.
Combine gestión de vulnerabilidades con
gestión del riesgo
QRadar SIEM permite que las organizaciones centralicen datos de
vulnerabilidad a partir de muchas fuentes diferentes, que abarcan
desde QRadar Vulnerability Manager hasta otros productos de
IBM, tales como IBM Security AppScan®, Endpoint Manager y
IBM InfoSphere® Guardium®, así como muchas herramientas de
terceros para la evaluación de vulnerabilidades. Con todos estos
datos de vulnerabilidad al alcance de su mano, los profesionales de
seguridad tienen que poder priorizar los datos según el riesgo, no
solo usando estudios comparativos estándares de la industria, como
el Common Vulnerability Scoring System (CVSS), sino también
incrementando o reduciendo las puntuaciones basadas en la activi-
dad de la red local y en las configuraciones de los dispositivos.
La gestión del riesgo puede ayudar. Con la solución correcta para
gestionar el riesgo, las organizaciones pueden:

Inactive
Inactive: Network flow Blocked: Firewall and IPS
data can help identity if Blocked rules can identify what
applications are active vulnerabilities are exposed
Patched

Patched: Integration with Critical At risk! Exploited!

patch management will Exploited: Integration
reveal what vulnerabilities with threat platforms can
will be patched alert when specific
vulnerabilities are attacked

Critical: Vulnerability knowledge base, At risk: Usage and threat

remediation flow and policies inform data can be used to identify
about business-critical vulnerabilities what vulnerabilities are at risk

IBM Security QRadar Vulnerability Manager puede ayudar a las empresas a comprender la gravedad de las vulnerabilidades, por ejemplo, qué sistemas van
a ser emparchados o bloqueados por firewalls, de modo que el personal de seguridad pueda priorizar correctamente los esfuerzos de remediación
 10 Cómo gestionar vulnerabilidades y riesgos para la seguridad
●● Construir una nueva topología de la red: Los equipos de
seguridad pueden crear un modelo de la red que no solo refleje
las relaciones entre los dispositivos de red sino que también
muestre los caminos activos de aplicaciones comprendiendo la
configuración de dispositivos de seguridad de la red e infor-
mación de enrutamiento.
●● Crear y monitorear políticas de riesgo: Con el motor de
políticas QRadar Risk Manager, los equipos de seguridad
pueden poner a prueba reglas de cumplimiento con respecto al
tráfico real de la red, configuraciones de red, configuraciones de
activos y vulnerabilidades. Por ejemplo, pueden crear preguntas
para monitorear políticas que evalúen si el tráfico de la red que
atraviesa el DMZ está limitado a protocolos conocidos y
confiables (como http o HTTPS en puertos especificados),
evaluar qué usuarios se están comunicando con activos críticos
de la red, e identificar reglas en un dispositivo que infrinjan una
política definida o presenten un riesgo para el entorno. Esto
ocurre habitualmente cuando servidores que no eran
accesibles desde Internet de pronto se hacen accesibles inadver-
tidamente a causa de un cambio de firewall.
●● Simular amenazas: Los equipos de seguridad pueden apr-
ovechar la topología de la red, el tráfico de la red y datos de
vulnerabilidad para reflejar cómo una explotación podría
diseminarse por toda la red.
IBM Security QRadar Risk Manager permite que las empresas visualicen las relaciones entre los dispositivos de la red y simulen el impacto de los cambios
en los activos de mayor valor.
QRadar Risk Manager cumple con todos estos requisitos y más, y
complementa QRadar SIEM y QRadar Vulnerability Manager al
ayudar a las organizaciones a identificar sus activos más vulnera-
bles que corren el mayor riesgo. Puede generar alertas cuando los
activos y dispositivos realizan actividades fuera de lo normal o si
un cambio en una regla de firewall podría exponerlos a una explo-
tación. Las organizaciones también pueden crear políticas que cal-
culen los caminos de los ataques entre Internet y los activos con
vulnerabilidades sin emparchar, lo que aumenta automáticamente
el riesgo de esos activos por lo cual se pueden priorizar sus activi-
dades de remediación.
Usando la interfaz QRadar Risk Manager (disponible dentro de la
consola central unificada de QRadar Security Intelligence
Platform), el personal de TI puede:
●● Crear y mantener fácilmente una topología de la red empleando
datos de configuración de seguridad de los dispositivos e
información de rutas de acceso
●● Crear políticas que correspondan directamente a exigencias de
seguridad y requisitos de cumplimiento, como verificar el uso
real o potencial de protocolos inseguros, aplicaciones no
aprobadas y comunicaciones entre redes

●● Desarrollar políticas que evalúen vulnerabilidades no emparcha-
das, configuraciones de activos y la capacidad de acceso de los
atacantes, a fin de aumentar o disminuir la calificación del riesgo
de esas vulnerabilidades y activos, y permitir actividades de
remediación que establezcan prioridades en función del riesgo.
●● Simular cambios en las reglas de firewall y modelar la disemi-
nación de explotaciones potenciales en toda la red
QRadar Risk Manager es una parte totalmente integrada de
QRadar Security Intelligence Platform, lo que le permite apr-
ovechar una amplia variedad y profundidad de datos de seguridad
que otros productos no pueden igualar. Esto incluye eventos y flu-
jos en la red, así como vulnerabilidades de activos y datos de con-
figuración. Como resultado, QRadar Risk Manager puede identifi-
car automáticamente los ataques y generar notificaciones en caso
de incumplimiento de las políticas. Y todo esto se logra a través de
la consola unificada para soluciones QRadar..
Elimine la brecha en la gestión del riesgo y
vulnerabilidades
QRadar Risk Manager y QRadar Vulnerability Manager están dis-
eñados para funcionar juntos a fin de ofrecer una protección más
inteligente a los activos de alto valor. Mientras que QRadar
Vulnerability Manager provee el estado de las vulnerabilidades del
sistema, QRadar Risk Manager agrega el contexto de la red. Sabe
qué caminos de la red están activos, qué sistemas pueden ser ataca-
dos directamente por medio de Internet (o desde otros puntos
dentro de la red, como máquinas potencialmente vulneradas) y
cuáles están protegidos. Las dos soluciones juntas brindan una
poderosa plataforma para gestionar vulnerabilidades y riesgos.
Para obtener alertas tempranas de ataques potenciales, una orga-
nización puede crear una política en QRadar Risk Manager que
verifique activos vulnerables para un camino de ataque que podría
ser usado para vulnerar la máquina. Luego la política se puede
implementar para aumentar o disminuir la calificación del riesgo
de las vulnerabilidades en los dispositivos afectados, por ejemplo,
los equipos de seguridad pueden aumentar 50% la calificación del
riesgo para dispositivos que son directamente atacables y disminuir
50 % esta calificación para dispositivos que no son atacables. Los
usuarios pueden así generar reportes de vulnerabilidad ordenados
por calificación del riesgo, lo que luego puede ser usado por ger-
entes de parches para programar medidas de remediación para los
IBM Software 11
activos más riesgosos primero. Aumentar o disminuir dinámica-
mente el riesgo relativo de las vulnerabilidades de un sistema,
además de la necesidad relativa de emparchar, constituye una ven-
taja estratégica de vincular QRadar Risk Manager con QRadar
Vulnerability Manager.
Conclusión
Con la gran explosión de amenazas a la seguridad en todo el
mundo, las organizaciones deben actuar proactivamente para ges-
tionar riesgos y vulnerabilidades antes de que pueda ocurrir un
daño mayor. QRadar Security Intelligence Platform permite que
las organizaciones estén un paso delante de las amenazas a la
seguridad –y obtengan más valor de su presupuesto de seguridad–
al dedicarse a los activos críticos que están realmente en riesgo. La
automatización avanzada no solo ahorra tiempo de mano de obra,
sino que también aumenta la eficiencia del personal de TI.
Además, las soluciones QRadar son fáciles de instalar y actualizar,
ya que a menudo solo requieren una simple clave de licencia para
agregar una funcionalidad adicional.
Al aprovechar la integración entre QRadar Vulneratibility
Manager y QRadar Risk Manager, los equipos de TI tienen el
poder de identificar proactivamente las vulnerabilidades y minimi-
zar los riesgos en una infraestructura dinámica. Pueden visualizar
el entorno de la red, calcular calificaciones del riesgo, simular
ataques, priorizar vulnerabilidades y tomar medidas correctivas efi-
cientes para reducir el crimen cibernético.
Para más información
Si desea más información acerca de los productos integrados den-
tro de IBM QRadar Security Intelligence Platform, póngase en
contacto con su representante o asociado de IBM, o visite el
siguiente sitio:
http://www-03.ibm.com/software/products/es/qradar-siem
Acerca de las soluciones IBM Security
IBM Security ofrece uno de los portafolios más avanzados e inte-
grados de productos y servicios de seguridad empresarial. El porta-
folio, basado en la mundialmente famosa oficina de investigación y
desarrollo X-Force, ofrece inteligencia de seguridad para ayudar a
las organizaciones a proteger de manera holística a las personas,
infraestructuras, datos y aplicaciones, con soluciones para la
12 Cómo gestionar vulnerabilidades y riesgos para la seguridad
gestión de accesos e identidades, seguridad de bases de datos,
desarrollo de aplicaciones, gestión del riesgo, gestión de puntos de
acceso y seguridad de redes, entre otras. Estas soluciones permiten
que las organizaciones gestionen el riesgo e implementen una
seguridad integrada para arquitecturas empresariales móviles, en la
nube, en redes sociales, etc. IBM gestiona una de las organizacio-
nes más grandes del mundo de investigación, desarrollo y entrega
de seguridad, además de supervisar 15.000 millones de eventos por
día vinculados a la seguridad en más de 130 países, y posee más de
3.000 patentes de seguridad.
Enero 2014
1 Ponemon Institute, “2013 Cost of Cyber Crime Study: United States,”
October 2013. http://media.scmagazine.com/documents/
54/2013_us_ccc_report_final_6-1_13455.pdf
2 IBM, “IBM X-Force 2013 Mid-Year Trend and Risk Report,”
September 2013. http://www-03.ibm.com/security/xforce/downloads.html
3 IBM, “IBM X-Force 2012 Trend and Risk Report,” March 2013.
http://www.ibm.com/ibm/files/I218646H25649F77/Risk_Report.pdf
4 Eduard Kovacs, “It Takes a Company 243 Days to Discover a
Sophisticated Attack, Study Shows,” Softpedia, March 15, 2013.
http://news.softpedia.com/news/It-Takes-a-Company-243-Days-to-
Discover-a-Sophisticated-Attack-Study-Shows-337342.shtml
© Copyright IBM Corporation 2014
IBM Corporation
Software Group
Route 100
Somers, NY 10589
Producido en los Estados Unidos de América
IBM, el logo de IBM, ibm.com, AppScan, InfoSphere, Guardium, QRadar y
X-Force son marcas comerciales de International Business Machines Corp.,
registradas en muchas jurisdicciones de todo el mundo. Los nombres de otras
empresas, productos y servicios pueden ser marcas registradas de IBM o de
terceros. Puede encontrar una lista de marcas comerciales de IBM en la
sección “Copyright and trademark information” del sitio ibm.com/legal/
copytrade.shtml
Este documento es vigente a partir de la fecha inicial de publicación, y puede
ser modificado por IBM en cualquier momento. No todos los productos y
servicios están disponibles en todos los países en los cuales IBM está presente.
LA INFORMACIÓN DE ESTE DOCUMENTO SE PRESENTA TAL Y
COMO FUE CREADA, SIN NINGUNA GARANTÍA, EXPRESA O
IMPLÍCITA, INCLUSO SIN NINGUNA GARANTÍA DE
COMERCIABILIDAD, ADECUACIÓN PARA UN PROPÓSITO
PARTICULAR NI NINGUNA GARANTÍA O CONDICIÓN DE NO
VIOLACIÓN. Los productos de IBM están garantizados según los términos
y condiciones de los contratos bajo los cuales fueron provistos.
El cliente es responsable de garantizar el cumplimiento con las leyes y
reglamentaciones aplicables. IBM no ofrece asesoramiento legal ni representa
o garantiza que sus servicios o productos van a asegurar que el cliente cumpla
con cualquier ley o reglamentación.
Las declaraciones acerca de la futura dirección e intención de IBM están
sujetas a modificaciones o restricciones sin previo aviso, y representan
únicamente metas y objetivos.
Declaración de buenas prácticas de seguridad: La seguridad de sistemas de TI
implica proteger sistemas e información mediante la prevención, detección y
respuesta a accesos indebidos tanto desde dentro como fuera de su empresa.
El acceso indebido puede ocasionar que una alteración, destrucción o
malversación de la información, o bien en el daño o uso inapropiado de sus
sistemas, incluyendo el ataque a otros sistemas. Ningún sistema o producto
de TI se debe considerar totalmente seguro y ninguna medida de seguridad o
producto puede ser completamente eficaz para evitar el acceso indebido. Los
sistemas y productos de IBM están diseñados para formar parte de un
enfoque integral de la seguridad, que necesariamente va a incluir
procedimientos operativos adicionales, y que puede necesitar que otros
sistemas, productos o servicios sean más eficaces. IBM no garantiza que los
sistemas y productos sean inmunes a la conducta maliciosa o ilegal por parte
de cualquiera.
Please Recycle
WGW03049-USEN-00