Priorización Predictiva Centrarse en lo mas Importante

Jorge Garcia - Territory Sales Manager, CACMoises Acevedo - Regional Channel SE, LATAM

2

The END of Vulnerability Management

PRIORIZACIÓN PREDICTIVA

• Aplicación de “Data Science” a la gestión de vulnerabilidad

• Notable ahorro de Tiempo/Recursos

• Incluido en Tenable.sc & Tenable.io – sin costo adicional (T.io mas adelante, posiblemente Abril 2019)

LAS CUATRO PREGUNTAS CLAVE

?

¿Donde estamos

expuestos?

¿Donde nos centramos, basándonos en el riesgo?

?

¿Cuanto reducimos la

exposición con el tiempo?

?

¿Cómo nos comparamos?

?

CENTRESE EN LO IMPORTANTE

5Inteligencia de AmenazaConocimiento sobre que vulnerabilidad esta siendo utilizada activamente por los atacantes

Clasificación de VulnsLa criticidad, facilidad de explotación y vectores de ataques asociados con la falla.

Resultados InvestigativosLa ciencia detrás de los datos apoya el análisis de sobre 100,000 vulnerabilidades para diferenciar entre lo real y lo teórico 97%

Reducción en vulnerabilidades a ser mitigadas, con algún impacto

en la superficie de ataquePREDICTIVA

PRIORIZACIÓN

ENTENDIENDO EL MODELO YCIENCIA DE LOS DATOS

150 diferentes aspectos en 7 categorías▪ Patrones Históricos

▪ CVSS

▪ NVD

▪ Hostilidad actual

▪ Software Vulnerable

▪ Código de Exploit

▪ Fuentes de pasadas amenazas

Sobre 109,000 vulnerabilidades monitoreadas

Pronostico; probabilidad de explotación en futuro cercano

Actualizado diariamente

ALGUNOS ASPECTOS QUE APOYAN ESTE MODELO

PARTE DE LO CONSIDERADO EN ESTE MODELO

• CVE Age

• No. Words in NVD Description

• Days Since NVD Last Modified

• Number of References

• CVSS v3 Base Score

• CVSS v3 Exploitability Score

• CVSS v3 Impact Score

• Total Affected Software

• CWE

• Distinct days with cyber exploits

• Days since last cyber exploit

• Total cyber exploit events

• Days since first cyber exploit

• Days since last cyber attack

• Days since last ExploitDB entry

• Days since first ExploitDB entry

• Days since last Metasploit entry

• Total ExploitDB entries

• Total Metasploit entries

TERMINOLOGÍA• Predictive Prioritization:

Es el proceso de re-priorizar vulnerabilidades basado en la probabilidad de que serán usadas durante un ataque.

• Vulnerability Priority Rating (VPR): El resultado del proceso de Predictive Prioritization. VPR es el numero que indica la prioridad en remediación (0 hasta 10, donde 10 es la severidad mas alta) de una vulnerabilidad particular.

VULNERABILIDADES DIVULGADAS EN EL 2018

7%de las vulnerabilidades

tuvieron un Exploitfacilitado

63%de las vulnerabilidades

descubiertas, obtuvieron una métrica de CVSS 7+

12%son las únicas que

obtuvieron una métrica en el 2017 de CVSS 9+

16,500

EL PAJAR SE ESTA HACIENDO MAS GRANDEDIFICULTA ENCONTRAR LA AGUJA

- Pocas vulnerabilidades

son explotadas

- 1,500 vulnerabilidades

con un Exploit facilitado

- 28 vulnerabilidades

explotables a la

semana.

Vulnerability Intelligence ReportTenable Research: https://www.tenable.com/cyber-exposure/vulnerability-intelligence

COMPARATIVO CVSSV2 / V3

DONDE TODO SE CONSIDERA IMPORTANTE –REALMENTE “NADA LO ES”

59% es High o Critical

Vulnerability Intelligence ReportTenable Research: https://www.tenable.com/cyber-exposure/vulnerability-intelligence

¿Por que Priorización Predictiva?

CVSS v3 VPR

59% Alto o Crítico 3% Alto o Crítico

Marco del VPR: ¿Como funciona?

DESARROLLO DEL DATO DE AMENAZA

16

CENTRADOS EN EL 3%

65.912

47.933

35.988

13.674 13.282

24.569

16.679

1.118 388 1780

20.000

40.000

60.000

80.000

> 5 > 6 > 7 > 8 >9

CV

E C

ou

nt

CVSS Predictive Prioritization

3%

Vulnerability Priority Rating

CALCULO DE VPR - 70 DIAS ANTES DEL CVSS

CVSS

VPR

Una falla en el Kernel de Linux

PREDICCION DEL IMPACTO SIN CVSS

Ejemplo #1: CVE – 2017-0199

Impact Exploitability Total

CVSSv3 5.9 1.8 7.8

Impact Threat Total

Predictive Prioritization

5.9 4.0 9.9

• Malware creado• Ampliamente usado en “spear

phishing”

https://www.secalliance.com/...

https://gbhackers.com/...

Ejemplo #2: CVE – 2017-10141

Impact Exploitability Total

CVSSv3 4.2 3.9 8.2

Impact Threat Total

Predictive Prioritization

4.2 0.0 4.2

Ninguna evidencia o indicarores de:• Exploracion• Presençia en Exploit Kits /

Databases

CVSS > VPR: MAS LOW/MEDIUM – MENOS HIGH/CRITICAL

PRIORIZACIÓN PREDICTIVA

PREGUNTAS &RESPUESTAS

Muchas Gracias!

www.tenable.com