metodologia para realizar analisis de la vulnerabilidad de una empresa

8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa

1/8

METODOLOGIA RECOMENDADA PARA EL ANALISIS DE VULNERABILIDADES

Este documento busca generar recomendaciones generalesrelacionadas con el análisis de vulnerabilidades a una muestra de

dispositivos tecnológicos, según la metodología diseñada por

SISTESEG con el fn de identifcar los riesgos a que están sometidos

los activos de TI , de esta manera, me!orar la seguridad de la

in"ormación

#na vulnerabilidad, se puede defnir como un estado de un sistema $o

con!unto de sistemas% que puede&

'ermitir a un atacante acceder a in"ormación confdencial

'ermitir a un atacante modifcar in"ormación

'ermitir a un atacante negar un servicio

RECOMENDACIONES PARA UN ANALISIS DE VULNERABILIDADES

INTRODUCCION

#na de las preocupaciones más importantes de los pro"esionales de la

seguridad de la in"ormación es el aumento en la cantidad de

vulnerabilidades encontradas en los sistemas tecnológicos, las cuales

son el blanco predilecto de (erramientas de so"t)are cada ve* más

poderosas en su capacidad de ocasionar daños a los sistemas de

in"ormación la in"raestructura que los soporta+

o anterior nos lleva a pensar que se necesita contar con una

estrategia más co(erente e"ectiva para mitigar esta inquietante

crítica amena*a, de tal manera, que (emos recopilado una serie de

SISTESEG Autor: Rodrigo Ferrer V.


2/8


3/8

PRUEBAS

En esta "ase se reali*ará una clasifcación de activos o dispositivos con

base en la confdencialidad de la in"ormación que guardan la

importancia del activo para la continuidad del proceso en estudio+

'or medio del uso de (erramientas para la detección de

vulnerabilidades pre"eriblemente comerciales/ $no so"t)are libre%

soportadas debidamente por su "abricante, las cuales pueden ser

tanto de so"t)are para correr sobre sistemas operativos tradicionales

o poseer un (ard)are especifco $appliances%+ Tambi-n se requiere

que cuenten con una base de datos actuali*ada completa de vulnerabilidades aceptadas por la industria $7E8T, S.9S% con un

criterio común de clasifcación como el 7:E0 $common vulnerabilities

and e;posure%+ Se busca por medio del uso de esta (erramienta, poder

identifcar cualquier elemento activo presente en la red, siempre

cuando posea una dirección I', con el fn de detectar sus

vulnerabilidades presentes a nivel de so"t)are evitar "uturos

incidentes de seguridad+

#na ve* seleccionada la (erramienta, se debe tomar una decisión

costo< benefcio con el fn de determinar el número de I' que deben

ser anali*adas+ 'ara tener una idea, el costo por probar un I' en el

mercado puede estar del orden de 0= a 1= #> por cada I'+ 'or esta

ra*ón, la necesidad de seleccionar un subcon!unto de I's, que sea

representativo+ .demás de esta selección, se pueden crear categorías

agrupar servidores o estaciones de traba!o, siempre cuando se

cuente con la certe*a que aquellos seleccionados para esta

agrupación, comparten más de un ?= @ de similitud en su

1 Algunas de las herramientas comerciales son fabricadas por empresas como: LanGuard y Netclarity.2 tras fuentes de informaci!n: "V# $ulnerability feeds: security related soft%are fla%s& ""# $ulnerability feeds: errores

de configuraci!n& "'# diccionario de producto.



4/8

confguración con los otros que no serán inspeccionados+ Si no se

tiene esta certe*a, necesariamente debemos aumentar el universo de

la prueba, (asta que este universo comprenda al menos un elemento

de todas las categorías de activos críticos para la operación continua

segura de los procesos+

MEDIDAS PREVENTIVAS

#na ve* determinado el universo de la prueba se tomarán las medidas

preventivas adecuadas para su e!ecución, con el fn de prevenir

e"ectos adversos sobre la prestación de los serviciosA entre ellas,

podemos resaltar&

/+ Befnir (ora adecuada de pruebas

a+ Coras de ba!o tráfco

b+ Corarios de no prestación de servicios, si esto "uera

posible

0+ 8eali*ar un análisis de riesgo cualitativo sobre la prueba

a+ .nálisis sobre la no disponibilidad de activos críticos de la

prueba

i+ Estimar una probabilidad

ii+ Estimar un impacto

1+ Tomar algunas medidas de contingencia

a+ Befnir estrategias de contingencia para activos críticos

b+ Involucrar al ofcial de seguridad coordinador 37', B8'

c+ 8eali*ar respaldos de la in"ormación de los activos

involucradosd+ Guardar en "ormato electrónico "ísico confguraciones de

equipos involucrados

2+ 8eali*ar monitoreo de los servicios durante las pruebas

i+ Tiempos de respuesta e;cesivos



5/8

ii+ Eventos o incidentes de seguridad

4+ Se debe in"ormar a operaciones de la reali*ación de las pruebas

6+ Se debe monitorear el tráfco de la red

i+ #tili*ación de los segmentos críticos

ii+ 7ondiciones de error $787, 3ad c(ecDsum%

iii+ #tili*ación de 7'# en servidores críticos

+ In"ormar a los dueños de los activos

REALIZACIÓN DE LAS PRUEBAS DE VULNERABILIDADES

Estimamos que para un rango de apro;imadamente F= I's el tiempo

de la prueba debe estar alrededor de 1 (oras se mantiene una cierta

linealidad si quisi-ramos e;trapolar para otros rangos de direcciones

estimar otros tiempos de duración+ Es importante considerar que si

tenemos redes remotas protegidas por frewall, las cuales tambi-n

quisieran ser anali*adas, el frewall debe permitir pasar el tráfco

generado por la (erramienta de análisis de vulnerabilidades+ 'or

último, es recomendable contar con una (erramienta que tenga la

posibilidad de descubrimiento automático de dispositivos de red+

'or otro lado, las pruebas se pueden reali*ar suministrando

in"ormación al responsable $por e!emplo direcciones I'% de su

e!ecución o se pueden reali*ar tambi-n sin suministrar esta

in"ormación+ Tambi-n estas pruebas se pueden clasifcar según si se

(acen en la red interna o se intentan ataques desde "uera de la red, es

decir, intentar llegar a la red interna desde por e!emplo Internet,

pasando por el fre)all o algún otro dispositivo de "rontera+

/+ Internas

a+ Sin conocimiento

b+ 7on conocimiento



6/8

0+ E;ternas

a+ Sin conocimiento

b+ 7on conocimiento

PRUEBAS DE EXPLOTACIÓN DE LAS VULNERABILIDADES

#na ve* clasifcadas las vulnerabilidades más críticas, se debe reali*ar

una prueba sobre ellas con el fn de reali*ar su e;plotación+ En la

medida en que la (erramienta sea más inteligente estructurada el

proceso será más corto no requerirá un perfl tan sofsticado+

Estimamos que el tiempo de e;plotación de /4 vulnerabilidades debe

estar del orden de 1 (oras, incluendo la reali*ación del in"orme+ El

proceso de e;plotación debe incluir el escalar privilegios $tomar

control del dispositivo como administrador% con el fn de tomar control

total de los sistemas de esta manera seguir de manera estricta la

"orma en que se llevan a cabo los ataques en la vida real+

ANALISIS DE RESULTADOS

#na ve* reali*adas las pruebas contando con las anteriores

recomendaciones, se debe con base en la in"ormación obtenida

reali*ar una reunión t-cnica para in"ormar de estos resultados

reali*ar una revisión general de las vulnerabilidades encontradas la

clasifcación reali*ada por la (erramienta+

En esta reunión deben participar&

/+ Hfcial de seguridad0+ Bueños de procesos

1+ Gerente del área

2+ 7omit- de seguridad

4+ Bueños de activos

6+ 7oordinador del plan de contingencias



7/8

PLAN DE REMEDIACIÓN DE VULNERABILIDADES

. continuación, se debe proponer un plan de remediación específco

para las vulnerabilidades, el cual podría ser parte del plan de

tratamiento general de riesgos, una ve* claro está, se (aa (ec(o un

análisis "ormal detallado de los resultados obtenidos tanto de la

prueba de vulnerabilidades como de las de e;plotación+ Este plan de

remediación, clasifca con auda de la (erramienta de

vulnerabilidades de e;plotación, la criticidad de cada una de las

vulnerabilidades encontradas sugiere cuales deben ser solucionadas

en el corto, mediano o largo pla*o+ Esta decisión sobre el tiempo a

implantar el control respectivo a la vulnerabilidad tambi-n debecontemplar costo del control, capacidad, administración "acilidad de

implementación+

CONCLUSIONES AL ANALISIS DE VULNERABILIDADES

Se recomienda que se utilice una (erramienta de análisis de

vulnerabilidades que cuente con un soporte adecuado de su "abricante

cuente tambi-n con una base de datos mu completa en cuanto a vulnerabilidades, lo mismo se recomienda con la (erramienta de

prueba de las vulnerabilidades, adicionándole que en lo posible sea un

(erramienta automati*ada para me!orar la e"ectividad de este

proceso+ Es importante considerar la e"ectividad del plan de

remediación, que como tal es la salida principal de todo este proceso

de análisis de vulnerabilidad, en últimas lo que garanti*ará la

confabilidad de los procesos servicios o"recidos por SISTESEG+



8/8

Para comentarios a este artículo, contactar:

[email protected]


metodologia para realizar analisis de la vulnerabilidad de una empresa

Documents