Home Page Map Site WebMail Service

 

 

 
 

Análisis de Vulnerabilidades y Auditorías de Seguridad bajo Demanda ( II )

SUMARIO EJECUTIVO

En el artículo anterior hablamos sobre los 4 pilares fundamentales de la seguridad: firewalls, antivirus, sistemas de detección de intrusos (IDS) y análisis de vulnerabilidades. Es muy importante recalcar que con estos elementos no queremos decir que el problema de la seguridad está resuelto así como tampoco es nuestra intención indicar que sean los únicos elementos a considerar (esto debido a numerosos emails haciendo comentarios al respecto) a la hora de configurar las organizaciones su arquitectura de seguridad.

En este trabajo nos centraremos en el Análisis de Vulnerabilidades y la comparación entre las opciones existentes.


ENFOQUES PARA EL ANALISIS DE VULNERABILIDADES

Las organizaciones pueden escoger entre varias alternativas para la realización de análisis de vulnerabilidades: pruebas manuales basadas en la utilización de productos, pruebas de penetración o “hackeo ético” generalmente ofrecidas como consultorías y la solución de servicio externo automatizado. Con esta última opción, también llamada auditorías de seguridad bajo demanda, los análisis pueden ser conducidos de manera remota por un tercero, mientras el control es mantenido por el usuario.

Pruebas de Penetración (Hackeo Etico)

Prueba de penetración es el término para las auditorías de seguridad ejecutadas por consultores externos con duraciones que pueden ser extensas en el tiempo, (lo cual de entrada pone trabas a su ejecución) dependiendo del tipo de servicio contratado y además con costos que oscilan entre $10,000.00 y $1,000,000.00 solo por alguna auditoría anual. Estas capturan información de las vulnerabilidades en profundidad desde un solo lugar. Su “vida útil” es muy corta: los resultados son válidos solo hasta que el ambiente cambia o hasta que nuevas amenazas hacen su aparición. Literalmente, las pruebas de penetración son válidas solo por horas. Con los administradores de redes reconfigurando redes y dispositivos diariamente y las vulnerabilidades emergiendo a una velocidad incontrolable (30 o más por semana), la seguridad de las redes requiere evaluación continua y frecuente.

Soluciones Basadas en Productos vs Basadas en Servicios

Existen en la actualidad dos categorías para soluciones de análisis de vulnerabilidades: basadas en productos y basadas en servicios.

Soluciones Basadas en Productos

Las soluciones basadas en productos son instaladas en la red interna de la organización y son generalmente operadas de forma manual. Una de sus principales desventajas es que las mismas fallan en la tenencia de una visión externa de las debilidades de las redes (la visión del hacker externo). El producto debe ser instalado ya sea en una porción no enrutable, o porción privada de la red corporativa o en su porción abierta y direccionable desde Internet. Ambas opciones de instalación, presentan problemas. Si el producto es instalado en la porción privada (esto es detrás del firewall), no siempre estará en capacidad de detectar la amplia variedad de los ataques externos que envuelven el envío explícito de paquetes con malformaciones hacia la red corporativa objetivo. El firewall como tal, ya sea basado en proxy o basado en paquetes, distorsiona la precisión de la evaluación resultante y los falso positivos y falso negativos abundan.

Si el producto es instalado en el segmento público de la red (una dirección válida o alcanzable desde Internet), la seguridad del nodo donde se ejecuta el software de análisis de vulnerabilidades se convierte en un aspecto de muy alta consideración. ¿Qué ocurre si el equipo que ejecuta el software de análisis de vulnerabilidades es atacado o monitoreado?. ¿Cómo serán de manera segura comunicados los resultados desde el host externo hacia los nodos seguros?. Los riesgos de la compañía, no solo radican en una evaluación adulterada sino además en la exposición de información vital sobre las redes internas a los hackers.

Un defecto adicional de los análisis de vulnerabilidades basados en productos se presenta cuando el análisis se realiza sobre grandes redes. Este tipo de arquitecturas requieren invariablemente múltiples nodos ejecutando el software de análisis de vulnerabilidades. Los resultados del análisis estarán entonces, naturalmente, dispersos a lo largo de múltiples equipos. De tal forma que los administradores para poder proveer una visión amplia de la organización, típicamente deben recopilar la data y producir reportes de manera manual, generando una carga adicional a los ya sobrecargados administradores de seguridad.

Una consideración final es el mantenimiento. El software requiere ser actualizado para escanear nuevas vulnerabilidades. Con un número superior a 30 vulnerabilidades descubiertas semanalmente en promedio, esto impone una nueva carga y pérdida de tiempo para los administradores.


Solución Basada en Servicios

Este tipo de soluciones son ofrecidas por terceras partes. Algunas soluciones basadas en servicios residen en las redes, mientras que otras residen externamente. Este último tipo de soluciones imitan la perspectiva de un hacker para auditar una red y su perímetro. Esto se traduce en que la evaluación desde su concepción tiene la visión del hacker: desde afuera, mirando hacia adentro. Con la visión de un hacker cada escaneo incluye los siguientes pasos:

  • Recopilación de información: conseguir todo aquella que se pueda con respecto a un host sin conectarse al mismo, con técnicas como whois y DNS entre otras.

  • Descubrimiento: identificación de hosts en las subredes objetivo (topología, firewalls y otros dispositivos).

  • Scanning: conseguir los potenciales objetivos y vulnerabilidades asociadas con hardware, software y/o puestos abiertos vía escaneos de red y escaneo de puertos.

  • Correlacionar: confirmar las vulnerabilidades para alcanzar el objetivo.

Las soluciones basadas en servicios son ofrecidas por consultores externos que utilizan soluciones de software instaladas en las redes internas y perímetro del cliente o por proveedores de auditorías de seguridad automatizadas. Las mismas pueden incluir la capacidad de analizar la seguridad de las redes internas dentro del perímetro del firewall.

Cuando las auditorías son ofrecidas por consultores externos y los mismos plantean la utilización de software instalado en la red del cliente y no un esquema de seguridad automatizado, simplemente se tiene una variante de las soluciones basadas en productos. En este caso, la diferencia es que toda la problemática asociada con la gestión del software recae sobre los hombros de un tercero, sin dejar de lado todos los costos y situaciones ya mencionadas que siguen estando bajo la responsabilidad de la organización. Lo óptimo para toda organización debe ser al solicitar servicios de consultoría externos, es la prestación del servicio con la visión del hacker.


ANALISIS BASADO EN ARBOLES VERSUS ANALISIS BASADO EN INFERENCIA

Independientemente del esquema seleccionado, basado en servicio o basado en productos, las herramientas de análisis de vulnerabilidades emplean alguno de los dos tipos de tecnologías conocidas: basada en árboles o basad en inferencia

Tecnología de Análisis Basada en Arboles

Las primeras tecnologías de análisis de vulnerabilidades se basan en listas o árboles de vulnerabilidades para realizar pruebas sobre servidores o dispositivos. Los Administradores proveen la inteligencia a través de la selección de los árboles apropiados para cada máquina, por ejemplo, los árboles para servidores con sistema operativo Windows, Servicios Web y bases de datos.

Esta tendencia de análisis de vulnerabilidades confía en los Administradores para proveer la semilla inicial de inteligencia y luego el scan continúa oculto, sin incorporar ninguna información descubierta durante el escaneo. Además, todos los test en un árbol dado no poseen ningún esquema de discernimiento acerca de los hallazgos realizados lo cual trae como consecuencia que las evaluaciones tomen mayor tiempo y que los host analizados sean colocados sobre una carga de trabajo adicional innecesaria.

Tecnología de Análisis Basada en Inferencia

Esta tecnología difiere considerablemente de la anterior. En ella el proceso de escaneo comienza con la construcción de un inventario de protocolos conseguidos en la máquina. Luego de que dichos protocolos son descubiertos, el escaneo procede a detectar cuales puertos están disponibles en la máquina, como son, Web servers, bases de datos o e-mail servers. Luego de determinar el conjunto de servicios presentes en la máquina, el análisis de vulnerabilidades basado en inferencia selecciona aquellas vulnerabilidades que pueden estar presentes en cada configuración exacta de cada máquina y ejecuta solo aquellos test que son relevantes.

El escaneo basado en inferencia es un “sistema experto” que aprende de los sistemas en la misma manera en la que lo hace un hacker. Los sistemas de análisis de vulnerabilidades basados en la inferencia integran nuevo conocimiento a medida que van haciendo descubrimientos. Este conocimiento es usado para construir inteligencia en la máquina en tiempo real y así poder ejecutar de forma precisa solo los test necesarios. Por lo tanto, esta tecnología es más eficiente, imponiendo menos carga a las máquinas y maximizando el descubrimiento de vulnerabilidades mientras se minimiza los falso positivos y los falso negativos.


CRITERIO PARA LA SELECCIÓN DE UNA EFECTIVA SOLUCION DE ANALISIS DE VULNERABILIDADES

Una efectiva solución para el análisis de vulnerabilidades debe cumplir con los siguientes criterios. Estos son avalados por el NIST (Nacional Institute of Standards and Technology):

  • Precisión, fácil de usar, administración y overhead son factores que deben considerarse en la selección.

  • Esquema de operación que opere bajo la modalidad “de afuera hacia adentro” como un hacker, desde la perspectiva de un tercero.

  • Asegurar resultados precisos sobre dispositivos de red, puertos, protocolos y sistemas sin hacer ningún tipo de presunciones.

  • Empleo de un eficiente esquema de inferencia para la evaluación.

  • Escaneo automático utilizando bases de datos constantemente actualizadas sobre métodos de ataques y vulnerabilidades.

  • La herramienta (servicio) debe minimizar caídas o fallas de servidores, ciclos y otros problemas causados de manera inadvertida por las actividades de escaneo.

  • La solución debe proveer opciones de escaneo preferenciales como intensidad, velocidad de tal forma que no haya sobrecarga sobre redes, servidores y scanners como tal.

  • Las actualizaciones sobre vulnerabilidades de las bases de datos del producto ofrecido debe poderse realizar desde localidades remotas bajo demanda o de manera automática.

  • Deben proveerse medidas de remediación para la mitigación de cada vulnerabilidad encontrada y proveer referencias a información adicional.

  • Deben reportarse el número CVE para cada vulnerabilidad encontrada.

  • Generación de reportes concisos, ajustables que incluyan priorización de vulnerabilidades por severidad y análisis de tendencias además de permitir la comparación con resultados previos.

Ver otras publicaciones

Si desea conocer más de nuestra empresa, comuníquese con nosotros y gustosamente le atenderemos.

Empresa  |  Soluciones y Servicios  |  Clientes  |  Alianzas Estratégicas  |  Atención al Cliente  |
Publicaciones  |  Sugerencias de Seguridad  |  Mapa del Site  |  Contáctenos  |  Página Inicial  ]