METODOLOGIA RECOMENDADA PARA EL ANALISIS DE VULNERABILIDADES

Este documento con el busca generar recomendaciones generales

relacionadas

anlisis de vulnerabilidades a una muestra de

dispositivos tecnolgicos, segn la metodologa diseada por SISTESEG con el fin de identificar los riesgos a que estn sometidos los activos de TI , de esta manera, me!orar la seguridad de la informacin "na vulnerabilidad, se puede definir como un estado de un sistema #o con!unto de sistemas$ que puede% &ermitir a un atacante acceder a informacin confidencial &ermitir a un atacante modificar informacin &ermitir a un atacante negar un servicio

RECOMENDACIONES PARA UN ANALISIS DE VULNERABILIDADES INTRODUCCION "na de las preocupaciones ms importantes de los profesionales de la seguridad de la informacin es el aumento en la cantidad de vulnerabilidades encontradas en los sistemas tecnolgicos, las cuales son el blanco predilecto de 'erramientas de soft(are cada ve) ms poderosas en su capacidad de ocasionar daos a los sistemas de informacin la infraestructura que los soporta*

+o anterior nos lleva a pensar que se necesita contar con una estrategia ms co'erente actividades efectiva para mitigar esta inquietante crtica amena)a, de tal manera, que 'emos recopilado una serie de recomendaciones que le a udarn a ciertas empresas a

SISTESEG

Autor: Rodrigo Ferrer V.

reali)ar un anlisis a nivel t,cnico de las vulnerabilidades de soft(are, asociadas a sus activos de tecnolgicos*

METODOLOGIA PARA EL ANALISIS DE VULNERABILIDADES

El anlisis de vulnerabilidades el cual complementa el proceso de anlisis de riesgo, es una actividad fundamental con el fin de orientarnos 'acia un sistema de gestin de la seguridad de la informacin, el cual debera comprender las siguientes actividades%
ENTENDIMIENTO DE LA INFRAESTRUCTURA

En esta fase se busca, identificar

cada uno de los dispositivos de

'ard(are o soft(are residentes en la infraestructura que soportan los procesos del negocio* Esta seleccin debe iniciarse con los servicios prestados, continuar luego con los procesos asociados a estos servicios de all, determinar los activos o dispositivos que soportan estos procesos* - manera de e!emplo, dentro de los posibles elementos de la infraestructura que un momento dado pudieran llegar a albergar vulnerabilidades a nivel de soft(are tenemos los siguientes% .* Servidores /* -plicaciones 0* Estaciones de traba!o 1* 2ases de datos 3* 4ire(alls 5* Enrutadores

SISTESEG

Autor: Rodrigo Ferrer V.

PRUEBAS

En esta fase se reali)ar una clasificacin de activos o dispositivos con base en la confidencialidad de la informacin que guardan importancia del activo para la continuidad del proceso en estudio* &or medio del uso de 'erramientas para la deteccin de la

vulnerabilidades preferiblemente comerciales. #no soft(are libre$ soportadas debidamente por su fabricante, las cuales pueden ser tanto de soft(are para correr sobre sistemas operativos tradicionales o poseer un 'ard(are especifico #appliances$* Tambi,n se requiere que cuenten con una base de datos actuali)ada completa de vulnerabilidades aceptadas por la industria #6E7T, S-8S$ con un

criterio comn de clasificacin como el 69E / #common vulnerabilities and e:posure$* Se busca por medio del uso de esta 'erramienta, poder identificar cualquier elemento activo presente en la red, siempre cuando posea una direccin I&, con el fin de detectar sus vulnerabilidades presentes a nivel de soft(are incidentes de seguridad* "na ve) seleccionada la 'erramienta, se debe tomar una decisin costo; beneficio con el fin de determinar el nmero de I& que deben ser anali)adas* &ara tener una idea, el costo por probar un I& en el mercado puede estar del orden de /< a 0< "= por cada I&* &or esta ra)n, la necesidad de seleccionar un subcon!unto de I&s, que sea representativo* -dems de esta seleccin, se pueden crear categoras agrupar servidores o estaciones de traba!o, siempre cuente con la certe)a que aquellos seleccionados cuando se para esta evitar futuros

agrupacin, comparten ms de un >< ? de similitud en su

1 2

Algunas de las herramientas comerciales son fabricadas por empresas como: LanGuard y Netclarity. tras fuentes de informaci!n: "V# $ulnerability feeds: security related soft%are fla%s& ""# $ulnerability feeds: errores de configuraci!n& "'# diccionario de producto.

SISTESEG

Autor: Rodrigo Ferrer V.

configuracin con los otros que no sern inspeccionados* Si no se tiene esta certe)a, necesariamente debemos aumentar el universo de la prueba, 'asta que este universo comprenda al menos un elemento de todas las categoras de activos crticos para la operacin continua segura de los procesos*
MEDIDAS PREVENTIVAS

"na ve) determinado el universo de la prueba se tomarn las medidas preventivas adecuadas para su e!ecucin, con el fin de prevenir efectos adversos sobre la prestacin de los servicios@ entre ellas, podemos resaltar% .* Aefinir 'ora adecuada de pruebas a* Boras de ba!o trfico b* Borarios de no prestacin de servicios, si esto fuera posible /* 7eali)ar un anlisis de riesgo cualitativo sobre la prueba a* -nlisis sobre la no disponibilidad de activos crticos de la prueba i* Estimar una probabilidad ii* Estimar un impacto 0* Tomar algunas medidas de contingencia a* Aefinir estrategias de contingencia para activos crticos b* Involucrar al oficial de seguridad involucrados d* Guardar en formato electrnico equipos involucrados 1* 7eali)ar monitoreo de los servicios durante las pruebas i* Tiempos de respuesta e:cesivos ii* Eventos o incidentes de seguridad fsico configuraciones de coordinador 26&, A7& c* 7eali)ar respaldos de la informacin de los activos

SISTESEG

Autor: Rodrigo Ferrer V.

3* Se debe informar a operaciones de la reali)acin de las pruebas 5* Se debe monitorear el trfico de la red i* "tili)acin de los segmentos crticos ii* 6ondiciones de error #676, 2ad c'ecCsum$ iii* "tili)acin de 6&" en servidores crticos D* Informar a los dueos de los activos
REALIZACIN DE LAS PRUEBAS DE VULNERABILIDADES

Estimamos que para un rango de apro:imadamente E< I&Fs el tiempo de la prueba debe estar alrededor de 0 'oras se mantiene una cierta linealidad si quisi,ramos e:trapolar para otros rangos de direcciones estimar otros tiempos de duracin* Es importante considerar que si tenemos redes remotas protegidas por firewall, las cuales tambi,n quisieran ser anali)adas, el firewall debe permitir pasar el trfico generado por la 'erramienta de anlisis de vulnerabilidades* &or ltimo, es recomendable contar con una 'erramienta que tenga la posibilidad de descubrimiento automtico de dispositivos de red* &or otro lado, o se las pruebas se pueden tambi,n reali)ar sin suministrando esta

informacin al responsable #por e!emplo direcciones I&$ de su e!ecucin pueden reali)ar suministrar informacin* Tambi,n estas pruebas se pueden clasificar segn si se 'acen en la red interna o se intentan ataques desde fuera de la red, es decir, intentar llegar a la red interna desde por e!emplo Internet, pasando por el fire(all o algn otro dispositivo de frontera* .* Internas a* Sin conocimiento b* 6on conocimiento /* E:ternas

SISTESEG

Autor: Rodrigo Ferrer V.

a* Sin conocimiento b* 6on conocimiento

PRUEBAS DE EXPLOTACIN DE LAS VULNERABILIDADES

"na ve) clasificadas las vulnerabilidades ms crticas, se debe reali)ar una prueba sobre ellas con el fin de reali)ar su e:plotacin* En la medida en que la 'erramienta sea ms inteligente proceso ser ms corto estructurada el no requerir un perfil tan sofisticado*

Estimamos que el tiempo de e:plotacin de .3 vulnerabilidades debe estar del orden de 0 'oras, inclu endo la reali)acin del informe* El proceso de e:plotacin debe incluir el escalar privilegios #tomar control del dispositivo como administrador$ con el fin de tomar control total de los sistemas de esta manera seguir de manera estricta la forma en que se llevan a cabo los ataques en la vida real*
ANALISIS DE RESULTADOS

"na

ve)

reali)adas

las

pruebas

contando

con

las

anteriores

recomendaciones, se debe con base en la informacin obtenida reali)ar una reunin t,cnica para informar de estos resultados reali)ar una revisin general de las vulnerabilidades encontradas clasificacin reali)ada por la 'erramienta* En esta reunin deben participar% .* Gficial de seguridad /* Aueos de procesos 0* Gerente del rea 1* 6omit, de seguridad 3* Aueos de activos 5* 6oordinador del plan de contingencias la

SISTESEG

Autor: Rodrigo Ferrer V.

PLAN DE REMEDIACIN DE VULNERABILIDADES

- continuacin, se debe proponer un plan de remediacin especfico para las vulnerabilidades, el cual podra ser parte del plan de tratamiento general de riesgos, una ve) claro est, se 'a a 'ec'o un anlisis formal detallado de los resultados obtenidos tanto de la prueba de vulnerabilidades como de las de e:plotacin* Este plan de remediacin, clasifica con a uda de la 'erramienta de vulnerabilidades de e:plotacin, la criticidad de cada una de las vulnerabilidades encontradas sugiere cuales deben ser solucionadas en el corto, mediano o largo pla)o* Esta decisin sobre el tiempo a implantar el control respectivo a la vulnerabilidad tambi,n debe contemplar costo del control, capacidad, administracin facilidad de implementacin*

CONCLUSIONES AL ANALISIS DE VULNERABILIDADES Se recomienda que se utilice una 'erramienta de anlisis de vulnerabilidades que cuente con un soporte adecuado de su fabricante cuente tambi,n con una base de datos mu completa en cuanto a vulnerabilidades, lo mismo se recomienda con la 'erramienta de prueba de las vulnerabilidades, adicionndole que en lo posible sea un 'erramienta automati)ada para me!orar la efectividad de este proceso* Es importante considerar la efectividad del plan de remediacin, que como tal es la salida principal de todo este proceso de anlisis de vulnerabilidad, procesos en ltimas lo que garanti)ar la confiabilidad de los servicios ofrecidos por SISTESEG*

SISTESEG

Autor: Rodrigo Ferrer V.

Para comentarios a este artculo, contactar: Info@sisteseg.com

SISTESEG

Autor: Rodrigo Ferrer V.