Gestión de las Vulnerabilidades de manera efectiva

Abstract

Gestionar las vulnerabilidades es una tarea crítica dentro de las organizaciones. Con las nuevas metodologías de entrega continua y despliegue continuo (CI/CD), GitOps y metodologías ágiles, entre otras nuevas disciplinas, se generan cambios constantes en los servicios y aplicaciones, lo que plantea un desafío significativo la gestión de vulnerabilidades y la protección de los activos. El cumplimiento de normativas sobre el tratamiento de datos, junto con la visión y tolerancia al riesgo de la organización, eleva la importancia de una gestión adecuada de vulnerabilidades. Para identificar problemas de seguridad se utilizan diversas herramientas como análisis de código estático (SAST), análisis de composición de Software (SCA), escaneo dinámico de las aplicaciones (DAST), escaneo de seguridad en contenedores, modelado de amenazas (threat modelings), Tests de penetración (pentests), programas de recompensas (bug bounty), etc. Sin embargo, estas herramientas detectan una gran cantidad de vulnerabilidades de las cuales muchas veces son irrelevantes, hay muchos duplicados o falsos positivos, lo que complica la identificación de riesgos reales. Adicionalmente, la existencia de muchas interfaces para cada tipo de herramienta dificulta la interacción con el usuario y la gestión de los hallazgos de seguridad. Esta tesis aborda estos desafíos al describir los conceptos y condiciones necesarias para implementar un gestor de vulnerabilidades de manera efectiva. Se desarrolla un laboratorio utilizando herramientas de código abierto para lograr una implementación práctica y real. Se trabaja con un orquestador de seguridad llamado Secure Code Box, un gestor de vulnerabilidades llamado DefectDojo y diversas herramientas para la detección de vulnerabilidades.