Treo Blog

En este espacio puedes explorar las últimas tendencias y noticias en tecnología, seguridad informática e infraestructura TI.

  • Jonathan Rodriguez Paipa

Inteligencia de amenazas procesable para exploits conocidos públicamente para RHEL

Por: Mohit Goyal



Crédito: Pexels

Como Gerente de Producto en Red Hat, hablo con los clientes para comprender los desafíos que buscan abordar y recomendar tecnologías de Red Hat que pueden ayudar a maximizar la eficiencia y la productividad en sus entornos.


Aunque no hay dos organizaciones iguales, algunos de sus desafíos más citados incluyen (1) administrar la expansión de su huella de infraestructura en un entorno de nube híbrida abierta (2) carecer de recursos para administrarla y (3) un enfoque cada vez mayor en la seguridad y preocupaciones de cumplimiento.





Red Hat Insights para Red Hat Enterprise Linux está diseñado y construido para ayudar a los clientes a abordar inquietudes en la gestión de cumplimiento y seguridad. Para administrar las vulnerabilidades de seguridad en su estado de servidores, Insights tiene un servicio de vulnerabilidad que ayuda a los clientes a identificar, evaluar y clasificar las vulnerabilidades y exposiciones comunes (CVE), corregirlas con Red Hat Ansible Automation Platform e informar sobre el estado de los servidores en todas partes. Huella de nube híbrida para cualquier sistema registrado con Insights.


Dadas las tendencias (1) y (2) mencionadas anteriormente, tener inteligencia de amenazas procesable es clave para mantenerse a la vanguardia y priorizar los CVE para minimizar el riesgo para la organización.


Presentamos la marca "Exploit conocido"


El servicio Insights Vulnerability ya tiene los siguientes puntos de datos para ayudar a los clientes a clasificar / priorizar los CVE:


  • Severidad ( calificación de Red Hat del CVE).

  • Puntuación base CVSS.

  • Número de sistemas expuestos.

  • Fecha de publicación.

  • Riesgo empresarial (un campo definido por el usuario una vez que se ha identificado el riesgo).

  • Estado (un campo definido por el usuario para rastrear dónde se encuentra un CVE en su ciclo de vida).

A partir de abril de 2021, el servicio Insights Vulnerability informa sobre la inteligencia de amenazas sobre los CVE que se sabe que tienen públicamente algún código de explotación o que, de hecho, han sido explotados. Aparecerá una etiqueta llamada "Exploit conocido" junto a los CVE que Red Hat considere que han sido explotados públicamente (consulte la Figura 1).


Es importante tener en cuenta que la marca "Explotación conocida" no refleja su entorno.



Figura 1. Todos los CVE con el indicador de explotación conocida ahora se muestran en el panel de Insights

¿Por qué es importante la inteligencia sobre amenazas?


Muchos clientes han citado a menudo la necesidad de una inteligencia de amenazas más profunda que sea relevante para sus entornos para ayudarlos a priorizar y clasificar miles de CVE para mantener su organización segura.


Según SANS, una de las cinco preguntas principales que debe hacerse al recopilar información sobre amenazas para su organización es "¿A qué tipo de ataques / amenazas le teme más su organización?"


  • Ataques DDoS.

  • Troyano bancario.

  • Drive-by / EK.

  • Phishing de credenciales.

  • Exfiltración de propiedad intelectual (PI).

  • Etc.

Comprender y reconocer el tipo de exploits que representan la mayor amenaza para su organización siempre es un desafío con nuevas vulnerabilidades identificadas diariamente y tácticas más agresivas y exploits sofisticados. Reconocer cuándo su organización es vulnerable a un exploit en particular no es fácil.


Existe un consenso generalizado de que los CVE que se han explotado sobre el terreno plantean un mayor nivel de riesgo. Ahora, Red Hat Insights proporciona una correlación adicional entre vulnerabilidades y exploits. Las vulnerabilidades con exploits conocidos reflejarán el nivel adicional de riesgo en función de la naturaleza del exploit y se marcarán como si se hubieran utilizado en un exploit conocido en particular o en múltiples exploits.


Marcar exploits conocidos


Red Hat quiere que esté al tanto de la exposición de su organización a exploits particulares. Red Hat Insights puede resaltar vulnerabilidades con una marca de exploit conocido cuando la vulnerabilidad ha sido utilizada por actores de amenazas dentro de un exploit en particular.


Si un CVE está marcado con un indicador de exploit conocido, el CVE debe revisarse con un sentido de urgencia para determinar el riesgo para la organización y los próximos pasos para remediarlo y parchearlo.


El estado de la marca "Exploit conocido" aparecerá en algunos lugares diferentes dentro de Red Hat Insights:


  • Panel de Insights: la sección Vulnerabilidad (Figura 1) del Panel de Insights mostrará cualquier CVE que se haya identificado con la marca.

  • Vista de lista de CVE: la vista (Figura 2) de los CVE mostrará claramente cualquier CVE con este indicador. Aquí es donde los usuarios clasifican y evalúan sus sistemas en busca de CVE.

  • Página de detalles de CVE: esta es la página de detalles (Figura 3) para un CVE específico. Si un CVE ha cumplido con este criterio, se mostrará la bandera.

  • Informes: el informe ejecutivo y los informes personalizados en PDF mostrarán cualquier CVE que cumpla con estos criterios.


Figura 2. Vista de lista de CVE dentro de Vulnerability donde los usuarios clasifican sus CVE

Figura 3. La página de detalles de CVE ahora muestra si un CVE específico tiene un exploit público conocido

Hacer que la inteligencia de amenazas sea procesable


Hacer que la inteligencia de amenazas sea procesable es un viaje y la literatura de SANS puede ayudar a educarlo a usted y a su equipo sobre cómo identificar fuentes de inteligencia de amenazas como las fuentes de datos. Sin embargo, no importa cuántas fuentes de datos reciba, deberá correlacionarlas con su entorno y determinar cuáles son las debilidades de su organización.


Aquí es donde Red Hat Insights puede ayudar a su organización a prepararse para diferentes tipos de vectores de amenazas. Está evaluando constantemente su entorno, no solo en busca de vulnerabilidades, sino ahora, en busca de exploits conocidos que pueden hacerlo más vulnerable a los actores de amenazas que pueden intentar capitalizar esas vulnerabilidades. Señala las vulnerabilidades conocidas y le proporciona su análisis de amenazas personalizado.


Esta información puede ayudar a su equipo a priorizar los riesgos y movilizar a su organización para reducirlos. Obtenga más información sobre cómo usar Red Hat Insights para ayudar a proteger sus operaciones de Red Hat Enterprise Linux (RHEL) y obtenga su análisis de amenazas personalizado.


Fuente: Blog de Red Hat

5 vistas0 comentarios

Entradas Recientes

Ver todo