Análisis de Vulnerabilidades y Auditorías de Seguridad bajo demanda (II)
Las compañías pueden escoger de entre distintas formas para la realización de Análisis de Vulnerabilidades: manual, a través de la utilización de productos de software, test de penetración ofrecidos por empresas de consultoría, y servicios automatizados.
 
Otros documentos:
Mitos de Políticas de Seguridad
Auditorías bajo demanda (I)
Auditorías bajo demanda (II)
Retorno de la inversión
Incidentes por virus
Combatiendo SPAM
Inicio > Documentos > Auditorías bajo demanda (II)
 
En el artículo anterior se especificaron los 4 pilares fundamentales de la seguridad: firewalls, antivirus, sistemas de detección de intrusos (IDS) y análisis de vulnerabilidades. Con estos elementos no se pretende decir que el problema de la seguridad está resuelto, así como tampoco sean los únicos elementos a considerar a la hora de configurar en las organizaciones su arquitectura de seguridad.

A continuación se describe el Análisis de Vulnerabilidades y la comparación entre las opciones existentes.
 
Enfoques para el Análisis de Vulnerabilidades

Las organizaciones pueden escoger entre varias alternativas para la realización del análisis:

Pruebas de Penetración (Hackeo Etico).
Prueba de penetración es el término para las auditorías de seguridad ejecutadas por consultores externos con duraciones que pueden ser extensas en el tiempo. Estas capturan información de las vulnerabilidades en profundidad desde un solo lugar. Su "vida útil" es muy corta: los resultados son válidos solo hasta que el ambiente cambia o hasta que nuevas amenazas hacen su aparición. Con las vulnerabilidades emergiendo a una velocidad incontrolable, la seguridad de las redes requiere evaluación continua y frecuente.

Soluciones Basadas en Productos.
Las soluciones basadas en productos son instaladas en la red interna de la organización y son generalmente operadas de forma manual. Una de sus principales desventajas es que las mismas fallan en la tenencia de una visión externa de las debilidades de las redes (la visión del hacker externo). El producto debe ser instalado ya sea en una porción no enrutable, o porción privada de la red corporativa o en su porción abierta y direccionable desde Internet. Ambas opciones de instalación presentan problemas.

Soluciones Basadas en Servicios.
Este tipo de soluciones son ofrecidas por terceras partes. Algunas soluciones basadas en servicios residen en las redes, mientras que otras residen externamente. Este último tipo de soluciones imitan la perspectiva de un hacker para auditar una red y su perímetro. Esto se traduce en que la evaluación desde su concepción tiene la visión del hacker: desde afuera, mirando hacia adentro. Las soluciones basadas en servicios son ofrecidas por consultores externos que utilizan soluciones de software instaladas en las redes internas y perímetro del cliente o por proveedores de auditorías de seguridad automatizadas.
Análisis basado en Árboles vs. Análisis basado en Inferencia

Independientemente del esquema seleccionado, basado en servicios o basado en productos, las herramientas de análisis de vulnerabilidades emplean alguno de los dos tipos de tecnologías conocidas:

Tecnología de Análisis basada en Árboles
Las primeras tecnologías de análisis de vulnerabilidades se basan en listas o árboles de vulnerabilidades para realizar pruebas sobre servidores o dispositivos. Los Administradores proveen la inteligencia a través de la selección de los árboles apropiados para cada máquina, por ejemplo, los árboles para servidores con sistema operativo Windows, Servicios Web y bases de datos.

Tecnología de Análisis basada en Servicios
Esta tecnología difiere considerablemente de la anterior. En ella el proceso de escaneo comienza con la construcción de un inventario de protocolos conseguidos en la máquina. Luego de que dichos protocolos son descubiertos, el escaneo procede a detectar cuáles puertos están disponibles en la máquina, como son servidores web, bases de datos o servidores de correo electrónico. Luego de determinar el conjunto de servicios presentes en la máquina, el análisis de vulnerabilidades basado en inferencia selecciona aquellas vulnerabilidades que pueden estar presentes en cada configuración exacta de cada máquina y ejecuta solo aquellos test que son relevantes.
Criterios para la selección de una efectiva solución
de Análisis de Vulnerabilidades


Una efectiva solución para el análisis de vulnerabilidades debe cumplir con los siguientes criterios. Estos son avalados por el NIST ( Nacional Institute of Standards and Technology ):

Precisión, fácil de usar, administración y overhead son factores que deben considerarse en la selección.
Esquema de operación que opere bajo la modalidad "de afuera hacia adentro" como un hacker, desde la perspectiva de un tercero.
Asegurar resultados precisos sobre dispositivos de red, puertos, protocolos y sistemas sin hacer ningún tipo de presunciones.
Empleo de un eficiente esquema de inferencia para la evaluación.
Escaneo automático utilizando bases de datos constantemente actualizadas sobre métodos de ataques y vulnerabilidades.
La herramienta (servicio) debe minimizar caídas o fallas de servidores, ciclos y otros problemas causados de manera inadvertida por las actividades de escaneo.
La solución debe proveer opciones de escaneo preferenciales como intensidad, velocidad de tal forma que no haya sobrecarga sobre redes, servidores y scanners como tal.
Las actualizaciones sobre vulnerabilidades de las bases de datos del producto ofrecido debe poderse realizar desde localidades remotas bajo demanda o de manera automática.
Deben proveerse medidas de remediación para la mitigación de cada vulnerabilidad encontrada y proveer referencias a información adicional.
Deben reportarse el número CVE para cada vulnerabilidad encontrada.
Generación de reportes concisos, ajustables que incluyan priorización de vulnerabilidades por severidad y análisis de tendencias además de permitir la comparación con resultados previos.
 
 
Inicio..|..Servicios..|..Soluciones..|..Productos..|..Empresa..|..Soporte..|..Privacidad..|..Contacto
© - TechBiz, S.A. - RUC 1323461-1-611123 DV 54