MNEMO continúa trabajando a buen ritmo en el desarrollo del proyecto VULNTRACK, incluido en la Iniciativa Estratégica de Compra Pública de Innovación (IECPI) del Instituto Nacional de Ciberseguridad (INCIBE) para la contratación de “Servicios de investigación y desarrollo en materia de ciberseguridad” (ACTUACIÓN 1).

INCIBE, como entidad pública para el desarrollo de la ciberseguridad, decidió desarrollar la iniciativa IECPI en 2021, con el objetivo de ejecutar un conjunto de actuaciones dirigidas a impulsar la I+D+i y la creación de productos y soluciones en el ámbito de la ciberseguridad. El 1 de julio de 2022 fue publicado en la Plataforma de Contratación del Sector Público el citado Documento Regulador, a adjudicar por los cauces del procedimiento de diálogo competitivo.

Todos los detalles de la IECPI se pueden encontrar en la web de INCIBE: https://www.incibe.es/industria-cpi.

El proyecto comenzó su desarrollo el 1 de octubre de 2023, se completó el desarrollo de la Fase 1 en octubre de 2024, que tenía como objetivo obtener el sistema VULNTRACK en un grado de avance TRL5 – Desarrollo de componentes en un entorno representativo, y está previsto cerrar la Fase 2 el próximo 31 de marzo, habiendo alcanzado con éxito el grado de avance TRL6 – Prototipo en entorno representativo.

El grado de avance TRL6 requiere la implementación del modelo de sistema o subsistema definido para el proyecto VULNTRACK en el entorno relevante que se definió en la fase 1. Esto significa que los elementos tecnológicos de la plataforma se pueden demostrar en un entorno representativo del sistema final, habiendo completado el desarrollo del sistema END-TO-END incluyendo la integración entre cada uno de los componentes identificados en el proyecto:

• Repositorio global de vulnerabilidades
• Motor de alerta temprana
• Procesos de descubrimiento de vulnerabilidades
• Repositorio de activos con vulnerabilidades
• Tratamiento de vulnerabilidades
• Seguimiento de vulnerabilidades
• Sincronización con fuentes de identificación externa de vulnerabilidades
• Generación de artefactos de respuesta
• Integración con fabricantes para procesos de remediación
• Cálculo avanzado del riesgo
• Modelo de gestión de riesgo de vulnerabilidades y activos
• Integración con herramientas externas de Análisis de Riesgos

El desarrollo del sistema END-TO-END implica disponer del sistema completo (incluyendo la integración con sistemas externos), de acuerdo al grado de avance indicado para los objetivos específicos. Se ha completado el desarrollo de los componentes descritos en el proyecto de ingeniería, actualizados al nivel de avance TRL 6 y a escala real, de acuerdo con el grado de avance especificado en el documento DRF de la fase para cada objetivo específico.

Desde un punto de vista funcional, el sistema incluye ya en esta fase la disponibilidad de la funcionalidad completa para los componentes indicados, pudiéndose realizar la validación de funciones de la gestión integral de vulnerabilidades de principio a fin:

1. Identificación y captura de vulnerabilidades, de forma que se dispone de todas las vulnerabilidades de la organización en un único repositorio, que permite la gestión global y centralizada de las mismas, independientemente de la fuente que las haya identificado y el proceso por el que se hayan descubierto, ya sea por una herramienta de fabricante o por un proceso de auditoría manual.
2. Tratamiento de vulnerabilidades, con la gestión de los distintos estados y modos de tratamiento, incluyendo todos los posibles casos de gestión que tradicionalmente no son gestionados por las herramientas externas de descubrimiento y que son utilizados a diario por los gestores con objeto de gestionar los recursos disponibles y el riesgo asociado a cada activo.
3. Seguimiento de la eficacia en la remediación de vulnerabilidades, a nivel de cada proceso y a nivel corporativo, de forma que se pueda visualizar el grado de evolución en la eficacia, comprobar su afectación al riesgo y establecer métricas y procesos de mejora continua.
4. Cálculo del Riesgo Efectivo real a nivel de vulnerabilidad, a nivel de activo y a nivel corporativo, incorporando valores de contexto externo e interno e integrando información de las áreas de inteligencia.
5. Foco sobre activos críticos, identificando de forma continua cuáles son los activos sobre los que se deben implantar las acciones de remediación prioritarias y haciendo viable el tratamiento de vulnerabilidades optimizando el tiempo y los recursos disponibles, y comprobando en tiempo real la evolución del Riesgo Efectivo corporativo en base a las acciones puestas en marcha.

Las siguientes imágenes ilustran algunas de las pantallas de información incluidas en el desarrollo del proyecto:

MNEMO comenzará la Fase 3 en abril de 2025, para desarrollar el resto de avances a lo largo del año y completar el desarrollo del proyecto VULNTRACK en el primer trimestre de 2026.

Consulta otros artículos: