Enfoques para el Análisis de Vulnerabilidades
Las organizaciones pueden escoger entre varias alternativas para la realización del análisis:
Pruebas de Penetración (Hackeo Etico).
Prueba de penetración es el término para las auditorías de seguridad ejecutadas por consultores externos con duraciones que pueden ser extensas en el tiempo. Estas capturan información de las vulnerabilidades en profundidad desde un solo lugar. Su "vida útil" es muy corta: los resultados son válidos solo hasta que el ambiente cambia o hasta que nuevas amenazas hacen su aparición. Con las vulnerabilidades emergiendo a una velocidad incontrolable, la seguridad de las redes requiere evaluación continua y frecuente.
Soluciones Basadas en Productos.
Las soluciones basadas en productos son instaladas en la red interna de la organización y son generalmente operadas de forma manual. Una de sus principales desventajas es que las mismas fallan en la tenencia de una visión externa de las debilidades de las redes (la visión del hacker externo). El producto debe ser instalado ya sea en una porción no enrutable, o porción privada de la red corporativa o en su porción abierta y direccionable desde Internet. Ambas opciones de instalación presentan problemas.
Soluciones Basadas en Servicios.
Este tipo de soluciones son ofrecidas por terceras partes. Algunas soluciones basadas en servicios residen en las redes, mientras que otras residen externamente. Este último tipo de soluciones imitan la perspectiva de un hacker para auditar una red y su perímetro. Esto se traduce en que la evaluación desde su concepción tiene la visión del hacker: desde afuera, mirando hacia adentro. Las soluciones basadas en servicios son ofrecidas por consultores externos que utilizan soluciones de software instaladas en las redes internas y perímetro del cliente o por proveedores de auditorías de seguridad automatizadas.
Análisis basado en Árboles vs. Análisis basado en Inferencia
Independientemente del esquema seleccionado, basado en servicios o basado en productos, las herramientas de análisis de vulnerabilidades emplean alguno de los dos tipos de tecnologías conocidas:
Tecnología de Análisis basada en Árboles
Las primeras tecnologías de análisis de vulnerabilidades se basan en listas o árboles de vulnerabilidades para realizar pruebas sobre servidores o dispositivos. Los Administradores proveen la inteligencia a través de la selección de los árboles apropiados para cada máquina, por ejemplo, los árboles para servidores con sistema operativo Windows, Servicios Web y bases de datos.
Tecnología de Análisis basada en Servicios
Esta tecnología difiere considerablemente de la anterior. En ella el proceso de escaneo comienza con la construcción de un inventario de protocolos conseguidos en la máquina. Luego de que dichos protocolos son descubiertos, el escaneo procede a detectar cuáles puertos están disponibles en la máquina, como son servidores web, bases de datos o servidores de correo electrónico. Luego de determinar el conjunto de servicios presentes en la máquina, el análisis de vulnerabilidades basado en inferencia selecciona aquellas vulnerabilidades que pueden estar presentes en cada configuración exacta de cada máquina y ejecuta solo aquellos test que son relevantes.
Criterios para la selección de una efectiva solución
de Análisis de Vulnerabilidades
Una efectiva solución para el análisis de vulnerabilidades debe cumplir con los siguientes criterios. Estos son avalados por el NIST (
Nacional Institute of Standards and Technology ):
Precisión, fácil de usar, administración y overhead son factores que deben considerarse en la selección.
Esquema de operación que opere bajo la modalidad "de afuera hacia adentro" como un hacker, desde la perspectiva de un tercero.
Asegurar resultados precisos sobre dispositivos de red, puertos, protocolos y sistemas sin hacer ningún tipo de presunciones.
Empleo de un eficiente esquema de inferencia para la evaluación.
Escaneo automático utilizando bases de datos constantemente actualizadas sobre métodos de ataques y vulnerabilidades.
La herramienta (servicio) debe minimizar caídas o fallas de servidores, ciclos y otros problemas causados de manera inadvertida por las actividades de escaneo.
La solución debe proveer opciones de escaneo preferenciales como intensidad, velocidad de tal forma que no haya sobrecarga sobre redes, servidores y scanners como tal.
Las actualizaciones sobre vulnerabilidades de las bases de datos del producto ofrecido debe poderse realizar desde localidades remotas bajo demanda o de manera automática.
Deben proveerse medidas de remediación para la mitigación de cada vulnerabilidad encontrada y proveer referencias a información adicional.
Deben reportarse el número CVE para cada vulnerabilidad encontrada.
Generación de reportes concisos, ajustables que incluyan priorización de vulnerabilidades por severidad y análisis de tendencias además de permitir la comparación con resultados previos.
