metodologia para realizar analisis de la vulnerabilidad de una empresa
TRANSCRIPT
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
1/8
METODOLOGIA RECOMENDADA PARA EL ANALISIS DE VULNERABILIDADES
Este documento busca generar recomendaciones generalesrelacionadas con el análisis de vulnerabilidades a una muestra de
dispositivos tecnológicos, según la metodología diseñada por
SISTESEG con el fn de identifcar los riesgos a que están sometidos
los activos de TI , de esta manera, me!orar la seguridad de la
in"ormación
#na vulnerabilidad, se puede defnir como un estado de un sistema $o
con!unto de sistemas% que puede&
'ermitir a un atacante acceder a in"ormación confdencial
'ermitir a un atacante modifcar in"ormación
'ermitir a un atacante negar un servicio
RECOMENDACIONES PARA UN ANALISIS DE VULNERABILIDADES
INTRODUCCION
#na de las preocupaciones más importantes de los pro"esionales de la
seguridad de la in"ormación es el aumento en la cantidad de
vulnerabilidades encontradas en los sistemas tecnológicos, las cuales
son el blanco predilecto de (erramientas de so"t)are cada ve* más
poderosas en su capacidad de ocasionar daños a los sistemas de
in"ormación la in"raestructura que los soporta+
o anterior nos lleva a pensar que se necesita contar con una
estrategia más co(erente e"ectiva para mitigar esta inquietante
crítica amena*a, de tal manera, que (emos recopilado una serie de
SISTESEG Autor: Rodrigo Ferrer V.
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
2/8
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
3/8
PRUEBAS
En esta "ase se reali*ará una clasifcación de activos o dispositivos con
base en la confdencialidad de la in"ormación que guardan la
importancia del activo para la continuidad del proceso en estudio+
'or medio del uso de (erramientas para la detección de
vulnerabilidades pre"eriblemente comerciales/ $no so"t)are libre%
soportadas debidamente por su "abricante, las cuales pueden ser
tanto de so"t)are para correr sobre sistemas operativos tradicionales
o poseer un (ard)are especifco $appliances%+ Tambi-n se requiere
que cuenten con una base de datos actuali*ada completa de vulnerabilidades aceptadas por la industria $7E8T, S.9S% con un
criterio común de clasifcación como el 7:E0 $common vulnerabilities
and e;posure%+ Se busca por medio del uso de esta (erramienta, poder
identifcar cualquier elemento activo presente en la red, siempre
cuando posea una dirección I', con el fn de detectar sus
vulnerabilidades presentes a nivel de so"t)are evitar "uturos
incidentes de seguridad+
#na ve* seleccionada la (erramienta, se debe tomar una decisión
costo< benefcio con el fn de determinar el número de I' que deben
ser anali*adas+ 'ara tener una idea, el costo por probar un I' en el
mercado puede estar del orden de 0= a 1= #> por cada I'+ 'or esta
ra*ón, la necesidad de seleccionar un subcon!unto de I's, que sea
representativo+ .demás de esta selección, se pueden crear categorías
agrupar servidores o estaciones de traba!o, siempre cuando se
cuente con la certe*a que aquellos seleccionados para esta
agrupación, comparten más de un ?= @ de similitud en su
1 Algunas de las herramientas comerciales son fabricadas por empresas como: LanGuard y Netclarity.2 tras fuentes de informaci!n: "V# $ulnerability feeds: security related soft%are fla%s& ""# $ulnerability feeds: errores
de configuraci!n& "'# diccionario de producto.
SISTESEG Autor: Rodrigo Ferrer V.
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
4/8
confguración con los otros que no serán inspeccionados+ Si no se
tiene esta certe*a, necesariamente debemos aumentar el universo de
la prueba, (asta que este universo comprenda al menos un elemento
de todas las categorías de activos críticos para la operación continua
segura de los procesos+
MEDIDAS PREVENTIVAS
#na ve* determinado el universo de la prueba se tomarán las medidas
preventivas adecuadas para su e!ecución, con el fn de prevenir
e"ectos adversos sobre la prestación de los serviciosA entre ellas,
podemos resaltar&
/+ Befnir (ora adecuada de pruebas
a+ Coras de ba!o tráfco
b+ Corarios de no prestación de servicios, si esto "uera
posible
0+ 8eali*ar un análisis de riesgo cualitativo sobre la prueba
a+ .nálisis sobre la no disponibilidad de activos críticos de la
prueba
i+ Estimar una probabilidad
ii+ Estimar un impacto
1+ Tomar algunas medidas de contingencia
a+ Befnir estrategias de contingencia para activos críticos
b+ Involucrar al ofcial de seguridad coordinador 37', B8'
c+ 8eali*ar respaldos de la in"ormación de los activos
involucradosd+ Guardar en "ormato electrónico "ísico confguraciones de
equipos involucrados
2+ 8eali*ar monitoreo de los servicios durante las pruebas
i+ Tiempos de respuesta e;cesivos
SISTESEG Autor: Rodrigo Ferrer V.
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
5/8
ii+ Eventos o incidentes de seguridad
4+ Se debe in"ormar a operaciones de la reali*ación de las pruebas
6+ Se debe monitorear el tráfco de la red
i+ #tili*ación de los segmentos críticos
ii+ 7ondiciones de error $787, 3ad c(ecDsum%
iii+ #tili*ación de 7'# en servidores críticos
+ In"ormar a los dueños de los activos
REALIZACIÓN DE LAS PRUEBAS DE VULNERABILIDADES
Estimamos que para un rango de apro;imadamente F= I's el tiempo
de la prueba debe estar alrededor de 1 (oras se mantiene una cierta
linealidad si quisi-ramos e;trapolar para otros rangos de direcciones
estimar otros tiempos de duración+ Es importante considerar que si
tenemos redes remotas protegidas por frewall, las cuales tambi-n
quisieran ser anali*adas, el frewall debe permitir pasar el tráfco
generado por la (erramienta de análisis de vulnerabilidades+ 'or
último, es recomendable contar con una (erramienta que tenga la
posibilidad de descubrimiento automático de dispositivos de red+
'or otro lado, las pruebas se pueden reali*ar suministrando
in"ormación al responsable $por e!emplo direcciones I'% de su
e!ecución o se pueden reali*ar tambi-n sin suministrar esta
in"ormación+ Tambi-n estas pruebas se pueden clasifcar según si se
(acen en la red interna o se intentan ataques desde "uera de la red, es
decir, intentar llegar a la red interna desde por e!emplo Internet,
pasando por el fre)all o algún otro dispositivo de "rontera+
/+ Internas
a+ Sin conocimiento
b+ 7on conocimiento
SISTESEG Autor: Rodrigo Ferrer V.
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
6/8
0+ E;ternas
a+ Sin conocimiento
b+ 7on conocimiento
PRUEBAS DE EXPLOTACIÓN DE LAS VULNERABILIDADES
#na ve* clasifcadas las vulnerabilidades más críticas, se debe reali*ar
una prueba sobre ellas con el fn de reali*ar su e;plotación+ En la
medida en que la (erramienta sea más inteligente estructurada el
proceso será más corto no requerirá un perfl tan sofsticado+
Estimamos que el tiempo de e;plotación de /4 vulnerabilidades debe
estar del orden de 1 (oras, incluendo la reali*ación del in"orme+ El
proceso de e;plotación debe incluir el escalar privilegios $tomar
control del dispositivo como administrador% con el fn de tomar control
total de los sistemas de esta manera seguir de manera estricta la
"orma en que se llevan a cabo los ataques en la vida real+
ANALISIS DE RESULTADOS
#na ve* reali*adas las pruebas contando con las anteriores
recomendaciones, se debe con base en la in"ormación obtenida
reali*ar una reunión t-cnica para in"ormar de estos resultados
reali*ar una revisión general de las vulnerabilidades encontradas la
clasifcación reali*ada por la (erramienta+
En esta reunión deben participar&
/+ Hfcial de seguridad0+ Bueños de procesos
1+ Gerente del área
2+ 7omit- de seguridad
4+ Bueños de activos
6+ 7oordinador del plan de contingencias
SISTESEG Autor: Rodrigo Ferrer V.
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
7/8
PLAN DE REMEDIACIÓN DE VULNERABILIDADES
. continuación, se debe proponer un plan de remediación específco
para las vulnerabilidades, el cual podría ser parte del plan de
tratamiento general de riesgos, una ve* claro está, se (aa (ec(o un
análisis "ormal detallado de los resultados obtenidos tanto de la
prueba de vulnerabilidades como de las de e;plotación+ Este plan de
remediación, clasifca con auda de la (erramienta de
vulnerabilidades de e;plotación, la criticidad de cada una de las
vulnerabilidades encontradas sugiere cuales deben ser solucionadas
en el corto, mediano o largo pla*o+ Esta decisión sobre el tiempo a
implantar el control respectivo a la vulnerabilidad tambi-n debecontemplar costo del control, capacidad, administración "acilidad de
implementación+
CONCLUSIONES AL ANALISIS DE VULNERABILIDADES
Se recomienda que se utilice una (erramienta de análisis de
vulnerabilidades que cuente con un soporte adecuado de su "abricante
cuente tambi-n con una base de datos mu completa en cuanto a vulnerabilidades, lo mismo se recomienda con la (erramienta de
prueba de las vulnerabilidades, adicionándole que en lo posible sea un
(erramienta automati*ada para me!orar la e"ectividad de este
proceso+ Es importante considerar la e"ectividad del plan de
remediación, que como tal es la salida principal de todo este proceso
de análisis de vulnerabilidad, en últimas lo que garanti*ará la
confabilidad de los procesos servicios o"recidos por SISTESEG+
SISTESEG Autor: Rodrigo Ferrer V.
-
8/18/2019 Metodologia Para Realizar Analisis de La Vulnerabilidad de Una Empresa
8/8
Para comentarios a este artículo, contactar:
SISTESEG Autor: Rodrigo Ferrer V.