cybersecurity

Cómo CISA BOD 26-04 redefine las métricas de gestión de vulnerabilidades para líderes de seguridad

Fuente: tenable.com 17 min de lectura

Compartir

Cómo CISA BOD 26-04 redefine las métricas de gestión de vulnerabilidades para líderes de seguridad

Estás leyendo un resumen. El contenido completo está en tenable.com.

La BOD 26-04 de CISA cambia la forma en que las agencias federales corrigen vulnerabilidades y cómo los líderes de seguridad deben medir, justificar y comunicar el riesgo cibernético a ejecutivos y juntas. Puntos clave La BOD 26-04 requiere que las agencias tomen decisiones sobre priorización de vulnerabilidades basadas en riesgos y las defiendan, incluidas las decisiones de posponer la remediación de vulnerabilidades. Este requisito de responsabilidad transforma la gestión de vulnerabilidades de una operación técnica en una disciplina de gobernanza que exige documentación lista para auditorías. Los indicadores clave de rendimiento tradicionales en la gestión de vulnerabilidades (total de vulnerabilidades parcheadas, tiempo medio para parchar, porcentaje de sistemas escaneados) no miden lo que la BOD 26-04 exige. Las métricas que importan son la amplitud de la cobertura y las tasas de remediación por nivel de riesgo. El análisis de Tenable sobre la telemetría de los clientes muestra que monitorear la amplitud de la cobertura es un predictor más sólido de la postura de riesgo que la velocidad de parches, un hallazgo corroborado independientemente por investigaciones que muestran que las organizaciones solo pueden remediar aproximadamente el 10% de las vulnerabilidades abiertas por mes, independientemente del tamaño o madurez. El alcance de la directiva se extiende más allá de las agencias federales a miles de contratistas federales que deben alinearse con la BOD 26-04 a través de requisitos de cumplimiento contractual. Las organizaciones en la cadena de suministro federal deberían tratar la directiva como un requisito operativo, no como una guía consultiva. El cambio de métricas de parches a métricas de exposición al riesgo no es un fenómeno exclusivo del gobierno federal. Los estándares de informes de la industria, los modelos de suscripción de seguros y las expectativas de responsabilidad a nivel de junta están convergiendo en la misma demanda: demostrar que se está reduciendo el riesgo real, no solo cerrando tickets. La obligación de informes oculta dentro de la Directiva Operativa Vinculante (BOD) 26-04 de CISA La mayor parte de la cobertura sobre la BOD 26-04 de CISA se ha centrado en los requisitos operativos: el modelo de cuatro variables, la matriz de remediación de 16 niveles, el cronograma de parches de tres días con el triage forense obligatorio. Estos son significativos, y Tenable los ha cubierto en profundidad en nuestras preguntas frecuentes sobre la BOD 26-04. Pero en los requisitos de la directiva se encuentra una obligación menos discutida que puede resultar igualmente transformadora: las agencias deben demostrar cómo priorizan las vulnerabilidades y justificar sus decisiones, particularmente en los casos en que deciden posponer la remediación. Se espera que las métricas evolucionen de simples recuentos de vulnerabilidades parcheadas a medidas que reflejen la reducción en la exposición a alto riesgo. Esto no es una actualización procedimental menor. Es un cambio fundamental en cómo se miden, informan y hacen responsables los programas de ciberseguridad. Para los CISO y líderes de seguridad, la BOD 26-04 no solo cambia el flujo de trabajo de parches. Mientras la directiva BOD 26-04 apunta formalmente a las agencias federales, su marco se está convirtiendo rápidamente en el modelo para el sector privado a medida que las fuerzas del mercado se alinean en torno a la responsabilidad basada en riesgos. En última instancia, cambia lo que las juntas corporativas necesitan escuchar. Por qué las métricas tradicionales de gestión de vulnerabilidades fallan bajo la BOD 26-04 Durante años, los líderes de seguridad han medido los programas de gestión de vulnerabilidades por volumen: Total de vulnerabilidades identificadas Total de parches aplicados Porcentaje de sistemas escaneados dentro de un período de 30 días Tiempo medio para remediar. Estas métricas son fáciles de recopilar, fáciles de informar y fáciles de seguir con el tiempo, pero también están cada vez más desconectadas del riesgo real. El propio análisis de Tenable de la telemetría de clientes en nuestra base de clientes global confirma lo que muchos líderes de seguridad sospechan pero no pueden probar: la amplitud de la cobertura de monitoreo es una señal de riesgo más sólida y predictiva que la velocidad de parches. Los activos no monitoreados existen como una superficie de ataque permanentemente abierta; no pueden generar hallazgos, ser priorizados, o verificarse como remediados. Por el contrario, los activos monitoreados aún pasan a través del embudo de riesgo aunque la remediación no esté funcionando a máxima velocidad. La investigación independiente de la industria corrobora fuertemente la necesidad de cambiar la información de los informes de la velocidad de parches a la cobertura de monitoreo: El techo de remediación - La investigación Prioritización a Predicción del Instituto Cyentia (que analiza 3.6 mil millones de observaciones de vulnerabilidades) encontró que la organización típica solo puede remediar aproximadamente el 10% de las vulnerabilidades abiertas por mes, independientemente del tamaño, la industria o la madurez. Debido a que no se puede parchar más rápido que la tasa de crecimiento de su acumulación, la priorización, no la velocidad, es la única palanca que reduce el riesgo de manera significativa. El defecto del MTTR - Los cálculos estándar de tiempo medio para remediar (MTTR) excluyen las vulnerabilidades abiertas y no remediadas, lo que distorsiona sus métricas hacia elementos que son más fáciles de cerrar rápidamente, que pueden no ser los problemas más críticos, graves o de mayor riesgo. Sesgo en la composición de activos - Las medias vidas de remediación varían drásticamente entre tipos de activos, promediando 36 días para sistemas Microsoft Windows frente a 369 días para dispositivos de red. Un buen MTTR a menudo significa que se tiene buena visibilidad en los activos de Windows que se parchean automáticamente, pero este KPI puede ocultar la exposición persistente en dispositivos periféricos y sistemas OT. La BOD 26-04 deja esto en claro: la prioridad de remediación se determina por el riesgo que presenta una vulnerabilidad si es explotada, no por el número total de vulnerabilidades identificadas. El nivel de aplazamiento de la directiva (corrección en la actualización del sistema) formaliza lo que los datos siempre han mostrado: la mayoría de las vulnerabilidades pueden esperar. Las que no pueden se definen por la evidencia de explotación, la exposición, el potencial de automatización y la gravedad del impacto. Un CISO que informa, “Parcheamos el 95% de las CVEs críticas este trimestre”, está informando una métrica que la BOD 26-04 ha hecho insuficiente. La pregunta relevante es: De las vulnerabilidades que representaron un riesgo real para los sistemas críticos de misión, ¿qué porcentaje remediamos dentro del cronograma de la directiva y cuánta de nuestra superficie de ataque estaba bajo observación cuando hicimos esa evaluación? Las nuevas métricas de seguridad: Lo que la BOD 26-04 demanda El cambio de informes basados en volumen a informes basados en riesgo requiere nuevos KPI. Las organizaciones que implementan la BOD 26-04 deberían considerar métricas que reflejen el modelo de priorización de cuatro variables de la directiva: Cumplimiento de remediación por nivel de la BOD. ¿Qué porcentaje de vulnerabilidades en cada nivel de la BOD (triage forense de tres días, tres días, 14 días, 60 días, actualización del sistema) fueron remediadas dentro del cronograma aplicable? Esta es la métrica principal de cumplimiento. Reemplaza el “tiempo medio para remediar” con una medición ponderada por riesgo que distingue entre un hallazgo crítico de 3 días y uno de riesgo bajo aplazable. Cobertura de vulnerabilidades activamente explotadas. ¿Qué porcentaje de vulnerabilidades listadas en KEV en el entorno fueron remediadas? Esto mide la respuesta a las amenazas conocidas más peligrosas, no a la población total de vulnerabilidades. Reducción de la superficie de exposición a lo largo del tiempo. ¿Cuál es la tendencia de activos clasificados como expuestos públicamente (Variable 1 de la BOD)? Reducir la cantidad de activos expuestos a internet desplaza directamente las vulnerabilidades de cronogramas comprimidos al nivel de aplazamiento. El análisis de Tenable de todo el corpus de Vulnrichment de CISA encontró que eliminar un activo de la exposición pública puede mover el 76.7% de sus CVEs asociadas a ventanas de remediación más largas. Esto convierte la reducción de la exposición en la inversión de cumplimiento más efectiva. Investigaciones independientes adicionales refuerzan por qué la cobertura de evaluación es un mejor indicador de resultados de riesgo que la velocidad de parches. Un análisis conjunto de XM Cyber y el Instituto Cyentia, examinando más de 60 millones de exposiciones en 10 millones de entidades, encontró que el 75% de las exposiciones de seguridad no ponen en riesgo a activos críticos: son callejones sin salida en el gráfico de ataques. Solo el 2% de las exposiciones se encuentra en “puntos críticos”, los nodos de convergencia a través de los cuales múltiples caminos de ataque transitan en ruta hacia activos críticos. Esto corrobora el hallazgo de telemetría de Tenable desde un ángulo diferente: si su monitoreo no cubre las entidades donde existen esos puntos críticos, la velocidad de su remediación en el otro 98% es ruido en la señal de riesgo. La métrica que importa no es qué tan rápido parchea, sino si su visibilidad se extiende a los lugares donde convergen los caminos de ataque. Tasa de finalización del triage forense. Para las vulnerabilidades en el nivel de mayor riesgo (KEV + control total), ¿qué porcentaje recibió las pautas requeridas de triage forense de la BOD 26-04 dentro de la ventana de tres días? Esto mide el cumplimiento con el requisito más novedoso y operacionalmente exigente de la directiva. Tasa de documentación de justificación de aplazamiento. Para las vulnerabilidades colocadas en el nivel “corrección en la actualización del sistema”, ¿qué porcentaje tiene decisiones de aceptación de riesgo documentadas? La BOD 26-04 requiere que las agencias justifiquen las decisiones de aplazamiento, lo que significa que cada vulnerabilidad diferida necesita una justificación que pueda ser auditada. Tiempo medio desde la adición de KEV hasta la remediación. ¿Qué tan rápido responde la organización cuando se agrega una CVE al catálogo de KEV y su cronograma de la BOD se comprime? Esto mide la rapidez de la respuesta de la organización ante cambios dinámicos en el cronograma. Estas métricas comparten una característica común: miden resultados de reducción de riesgo, no volumen de actividad. Un programa de seguridad que parchea un menor número total de vulnerabilidades pero remedia el 100% del nivel de 3 días dentro de tres días está funcionando mejor bajo la BOD 26-04 que uno que parchea el doble de CVEs totales pero no cumple con los cronogramas críticos. El requisito de responsabilidad: Justificar decisiones para aplazar la remediación de vulnerabilidades La BOD 26-04 introduce algo que la gestión de vulnerabilidades federales nunca ha tenido: un requisito formal para justificar decisiones de priorización. Cuando una agencia aplaza la remediación de una vulnerabilidad hasta el siguiente ciclo de actualización del sistema, esa decisión debe ser documentada y defendible. Esto crea un requisito de pista de auditoría. Para cada vulnerabilidad diferida, la organización necesita demostrar: Cuáles de las cuatro variables se evaluaron Qué combinación colocó la vulnerabilidad en el nivel de aplazamiento Por qué la agencia está segura de que el aplazamiento no crea un riesgo inaceptable Si alguna de las cuatro variables cambia (una CVE agregada al KEV, un activo recién expuesto a internet), la decisión de aplazamiento debe ser reevaluada. Para los CISO, esto significa que el programa de gestión de vulnerabilidades necesita producir informes que sean informativos y basados en evidencia. Los tableros e informes se convierten en documentación de cumplimiento. Las herramientas que generan estos informes deben ser capaces de registrar la evaluación de las cuatro variables para cada CVE en cada activo, rastrear cambios a lo largo del tiempo y mostrar cuando una decisión de aplazamiento ya no es válida debido a un cambio en una variable. Aquí es donde la Plataforma de Gestión de Exposición Tenable One proporciona una capacidad directa: el descubrimiento continuo de activos combinado con la priorización basada en riesgos crea la base de datos lista para auditoría que exige el requisito de responsabilidad de la BOD 26-04. Cuando cada activo tiene un estado de exposición continuamente actualizado, cada CVE tiene evaluaciones de variable de origen Vulnrichment y cada decisión de priorización está registrada, las agencias federales y otras organizaciones pueden demostrar cumplimiento en cualquier momento, no solo en el último escaneo. Aprenda más sobre las formas en que Tenable One apoya la BOD 26-04. Más allá de las agencias federales: La dimensión del contratista y la cadena de suministro La BOD 26-04 es vinculante para las agencias de la Rama Ejecutiva Civil Federal (FCEB). Pero el alcance operativo de la directiva se extiende más allá de su mandato legal. CISA requiere que las agencias “revisen todos los contratos para determinar qué modificaciones son necesarias para cumplir con las acciones requeridas de esta Directiva.” Esto pone en alerta a miles de contratistas federales. Las organizaciones que tienen contratos federales, operan sistemas de información federales en nombre de agencias, o proporcionan servicios de seguridad gestionados a clientes federales enfrentarán requisitos de cumplimiento de la BOD 26-04 que fluirán a través de los vehículos contractuales. Para estas organizaciones, la directiva no es una guía consultiva. Es una obligación contractual que aparecerá en declaraciones de trabajo, matrices de requisitos de seguridad y cartas de modificación del contrato. La transformación del informe se aplica a estas organizaciones también. Los gerentes de programas federales harán las mismas preguntas a sus contratistas que la directiva hace a las agencias: ¿Qué vulnerabilidades priorizaron? ¿Por qué? ¿Puedes demostrar que cumpliste con el cronograma aplicable? Los contratistas que no puedan producir métricas de riesgo alineadas con la BOD 26-04 enfrentarán una desventaja competitiva en renovaciones de contratos y nuevas oportunidades. Las organizaciones en la cadena de suministro federal deberían comenzar ahora: Evaluar si sus herramientas de gestión de vulnerabilidades pueden producir las métricas de exposición al riesgo que demanda la BOD 26-04 Evaluar su capacidad para rastrear el modelo de cuatro variables en sus entornos gestionados Prepararse para producir documentación lista para auditoría de sus decisiones de priorización La convergencia: Por qué la BOD 26-04 importa más allá del gobierno La BOD 26-04 está impulsando una transformación en los informes que refleja una convergencia más amplia en la industria de la ciberseguridad: La suscripción de seguros está cambiando de modelos de cuestionario binario a evaluación de riesgo basada en evidencia. Los aseguradores cibernéticos preguntan cada vez más, “¿Cómo priorizan los parches y pueden demostrar que sus vulnerabilidades de mayor riesgo se remedian primero?” El marco de la BOD 26-04 proporciona una respuesta defendible a esta pregunta. La responsabilidad a nivel de junta está impulsando la demanda de métricas de exposición al riesgo sobre métricas de actividad. Los directores y funcionarios son cada vez más responsables de la gobernanza de ciberseguridad. Una junta que escucha “Parcheamos 50,000 vulnerabilidades este trimestre” no puede evaluar el impacto de parchar esas 50,000 vulnerabilidades en la postura de riesgo de la organización. En contraste, una junta que escucha “El 100% de nuestras vulnerabilidades del nivel de tres días fueron remediadas dentro del tiempo establecido, y nuestra superficie de ataque expuesta públicamente disminuyó un 15%” puede tomar decisiones de gobernanza informadas. La dirección regulatoria en múltiples sectores (servicios financieros, salud, infraestructura crítica) se está moviendo hacia marcos basados en riesgo. La BOD 26-04 es la versión del gobierno federal, pero el principio subyacente (priorizar en función del riesgo real, no de la gravedad teórica) aparece en regulaciones y estándares específicos del sector. Las organizaciones que adopten métricas de exposición al riesgo ahora estarán mejor posicionadas para cualquier marco regulatorio futuro. Cómo los líderes en seguridad pueden prepararse para el cumplimiento de la BOD 26-04 La fecha límite de cumplimiento de 180 días para los cronogramas de remediación de la BOD 26-04 es aproximadamente diciembre de 2026. Pero la transformación en los informes debe comenzar de inmediato, porque el requisito de actualización de políticas de la directiva ya está en vigor. Cinco acciones posicionarán a los líderes de seguridad para el éxito: Audite su informe actual contra el modelo de cuatro variables. Revise sus tableros de gestión de vulnerabilidades y los informes de la junta existentes. Si miden el volumen de parches sin distinguir entre los niveles de riesgo, no cumplen con el requisito de responsabilidad de la BOD 26-04. Identifique cuáles de los nuevos KPI (cumplimiento por nivel de BOD, cobertura de KEV, reducción de exposición, tasa de triage forense, justificación de aplazamiento) puede producir su herramienta actual y cuáles requieren nuevas capacidades. Establezca la base de datos para informes de exposición al riesgo. El modelo de cuatro variables requiere saber, para cada vulnerabilidad en cada activo: ¿Está el activo expuesto públicamente? ¿Está la CVE en el KEV? ¿Es la explotación automatizable? ¿Rinde control total o parcial? Las organizaciones que no pueden responder a estas preguntas continuamente no pueden cumplir con la BOD 26-04 ni producir las métricas de exposición al riesgo que demanda. Tenable One proporciona esta base de datos continua y de cuatro variables a través de la gestión integrada de la superficie de ataque, la integración de KEV y el consumo de datos de Vulnrichment. Construya la pista de auditoría ahora, no en el plazo de 180 días. Cada decisión de priorización que su organización tome a partir de este momento debe ser documentada con la evaluación de cuatro variables. Cuando los auditores o gerentes de programa pregunten, “¿Por qué se aplazó esta vulnerabilidad?” la respuesta debe ser registrada, sellada con un tiempo y rastreable a los estados de las variables en el momento de la decisión. Adopte el modelo de comunicación de dos métricas para la junta. Los seis KPI operacionales descritos anteriormente sirven al equipo de seguridad. Para la comunicación con la junta y ejecutivos, la investigación de Tenable apunta a un marco de métricas más simple de dos métricas: Amplitud de cobertura de monitoreo, la proporción de la superficie de ataque de la organización bajo observación activa, como el principal indicador de riesgo. La amplitud de cobertura evalúa si la organización puede ver su riesgo. Tasa de remediación por nivel de riesgo, el porcentaje de vulnerabilidades de alto riesgo remediadas dentro de su cronograma aplicable de la BOD, como el indicador de rendimiento residual. La tasa de remediación mide si la organización está actuando sobre lo que ve. Ambas métricas son necesarias; ninguna sola es suficiente. Un miembro de la junta que vea estos dos números con el tiempo podrá evaluar si el programa de seguridad realmente está reduciendo la exposición o solo optimizando dentro de un campo de visión cada vez más restringido. Prepare la transición gradualmente. Si su informe actual de la junta cubre recuentos de parches y distribuciones CVSS, comience a añadir métricas de exposición al riesgo junto a las tradicionales en lugar de reemplazarlas de inmediato. Los miembros de la junta deberían comenzar a ver el lenguaje de la BOD 26-04 (vulnerabilidades activamente explotadas, activos expuestos públicamente, remediación por nivel de riesgo) en sus informes regulares para que el cambio sea gradual y contextualizado, y no brusco y desconcertante. Pasando de la actividad a la responsabilidad El cambio de métricas de parches a métricas de exposición al riesgo no es un ejercicio de cumplimiento federal. Es la dirección hacia la que se está moviendo toda la industria de la ciberseguridad, impulsada por la realidad de que la gestión de vulnerabilidades basada en volumen ya no refleja el riesgo real. El análisis de Tenable de la telemetría de los clientes demuestra que monitorizar la amplitud de la cobertura es el predictor más sólido de la postura de riesgo, y la investigación independiente de Cyentia, XM Cyber y CISA converge en la misma conclusión a través de diferentes metodologías y conjuntos de datos. La BOD 26-04 ha formalizado este cambio para las agencias federales. Las organizaciones que adopten la directiva BOD 26-04 primero, independientemente del sector, serán las que estén mejor posicionadas para demostrar que sus programas de seguridad están reduciendo el riesgo real, no solo cerrando tickets. Únase al equipo de Operaciones Especiales de Investigación (RSO) de Tenable en Tenable Connect para más discusiones sobre las últimas amenazas cibernéticas. Aprenda más sobre Tenable One, la plataforma de gestión de exposición para la superficie de ataque moderna. Aprenda más BOD 26-04 de CISA: Priorizando actualizaciones de seguridad basadas en riesgo Preguntas frecuentes sobre la BOD 26-04 de CISA (Tenable) Mejorando la precisión en CTEM: Cómo la validación continua de controles en Tenable One transforma la gestión de exposición.

Artículos relacionados