En términos de seguridad de la información, una vulnerabilidad es una debilidad que se encuentra en un activo o en un control y que puede ser explotada por una o más amenazas, lo que se convierte en un riesgo de seguridad. Una forma de proteger la información es a través de la identificación, valoración, priorización y corrección de las debilidades identificadas en los activos.
Esta actividad se conoce como Vulnerability Assessment, y tiene como objetivo encontrar las debilidades en las plataformas de software o hardware para solucionar las fallas, antes de que puedan generar un impacto negativo.
En esta entrega vamos a conocer las fases consideradas para la realización de una evaluación de las debilidades en la infraestructura tecnológica y su importancia dentro de una organización.
Pasos para la evaluación de vulnerabilidades
También conocida como análisis de vulnerabilidades, se le considera una evaluación ya que además de abarcar la fase de análisis, también involucra una valoración de las debilidades identificadas, utilizando para ello diferentes criterios que permiten calificar y cuantificar su impacto.
En general las vulnerabilidades pueden encontrarse en los sistemas porque pueden contener agujeros de seguridad conocidos y desconocidos (vulnerabilidades 0-day), cuentan con configuraciones por defecto o son el resultado de errores de configuración.
Para solucionar estos inconvenientes es posible aplicar distintos métodos para llevar a cabo la evaluación de fallas en la infraestructura de una organización. En general consideran las siguientes actividades:
- Obtener la aprobación para la evaluación de vulnerabilidades
Debido a que las actividades relacionadas con la identificación de vulnerabilidades pueden catalogarse como intrusivas por las herramientas de seguridad que se encuentren instaladas dentro la infraestructura de la organización, es necesario que se tenga la aprobación para ejecutar el escáner, programar la actividad y notificar a las partes interesadas, es decir aquellas que pueden afectar o verse afectadas por esta actividad.
- Generar un inventario de activos
Una buena práctica relacionada con la gestión de la seguridad consiste en la creación y mantenimiento de un inventario de activos asociados con la información y sistemas, utilizados para procesar, almacenar o transmitir esa información. Una vez que se cuenta con la lista, se deben seleccionar los activos sobre los cuales se llevará a cabo la evaluación. En general, las pruebas se deben enfocar en los elementos críticos, relacionados con los procesos más importantes.
- Definir el alcance de la evaluación
Derivado de la generación del inventario y la selección de los objetivos, la evaluación puede ejecutarse de dos modos: interno y externo. Desde la perspectiva interna se realiza el escaneo desde la infraestructura de la organización, con acceso a los recursos de forma directa. La evaluación externa implica lidiar con la protección perimetral que se tiene en la red corporativa y se adopta la posición que tendría un atacante en busca de alguna vulnerabilidad.
- Recabar información, identificar y evaluar vulnerabilidades
La evaluación puede realizarse de forma manual o automatizada a través de alguna herramienta, para obtener información relevante en cuanto a las vulnerabilidades en los sistemas considerados. Posterior a la identificación de las debilidades y la obtención de información relacionada con las mismas, resulta necesario llevar a cabo un proceso de valoración que permita conocer su impacto. Para ello es posible utilizar algún sistema de puntaje como CVSS. Es importante mencionar que herramientas especializadas permiten automatizar estas actividades.
- Generar un informe de resultados
Con base en los resultados de la evaluación se debe generar un informe que permita conocer el estado de la seguridad en los sistemas a partir de los hallazgos. También busca mostrar los resultados a través de la priorización de las vulnerabilidades, con el objetivo de atender primero las debilidades de mayor impacto sobre los activos.
- Generar un plan de remediación
Como última actividad asociada a la evaluación de vulnerabilidades es necesario desarrollar y ejecutar un plan de remediación que permita corregir las fallas identificadas y evaluadas, en conformidad con los resultados de la priorización. En general, la corrección de estas fallas se relaciona con la aplicación de actualizaciones o parches de seguridad.
Razones para llevar a cabo una evaluación de vulnerabilidades
De acuerdo con los resultados de la encuesta realizada por ESET Latinoamérica para el documento ESET Security Report 2014, la explotación de vulnerabilidades se ha convertido en la mayor preocupación de las empresas en materia de seguridad, seguida de otros incidentes como infección por malware, fraudes, phishing o ataques de denegación de servicio (DoS).
En este sentido, la evaluación cobra relevancia para evitar las incidencias relacionadas con la explotación de las mismas y como un medio para la aplicación de un elemento de la denominada seguridad ofensiva, a través de los escáneres de vulnerabilidades.
En la próxima entrega mostraremos la forma de utilizar OpenVAS, una herramienta libre para llevar a cabo el análisis y evaluación de las vulnerabilidades, y de esta manera contribuir con la seguridad de los sistemas. ¡Hasta entonces!