Un proceso que a menudo se pasa por alto pero que es muy importante en el desarrollo de cualquier servicio de Internet es probarlo en busca de vulnerabilidades, saber si esas vulnerabilidades son realmente explotables en su entorno particular y, por último, saber cuáles son los riesgos de esas vulnerabilidades para su empresa o lanzamiento del producto. Estos tres procesos diferentes se conocen como evaluación de vulnerabilidad, prueba de penetración y análisis de riesgo. Conocer la diferencia es fundamental al contratar una empresa externa para probar la seguridad de su infraestructura o un componente particular de su red.
Examinemos las diferencias en profundidad y veamos cómo se complementan entre sí.
- Cómo proteger con contraseña mi HDD Sony
- Cómo rastrear quién ha estado pirateando mi cuenta de Facebook
- Tengo una computadora gratis, pero está llena de virus. ¿Cómo los elimino?
- ¿Cuál es el beneficio de ejecutar iptables junto con grupos de seguridad EC2 en instancias dentro de una VPC?
- Cómo comenzar mi carrera para ingresar al campo de seguridad de red
Evaluación de vulnerabilidad
Las evaluaciones de vulnerabilidad a menudo se confunden con las pruebas de penetración y a menudo se usan indistintamente, pero están muy separadas.
Las evaluaciones de vulnerabilidad se realizan mediante el uso de un paquete de software estándar, como Nessus u OpenVas para escanear una dirección IP o un rango de direcciones IP en busca de vulnerabilidades conocidas. Por ejemplo, el software tiene firmas para el error Heartbleed o parches faltantes del servidor web Apache y alertará si se encuentra. Luego, el software produce un informe que enumera las vulnerabilidades encontradas y (según el software y las opciones seleccionadas) dará una indicación de la gravedad de la vulnerabilidad y los pasos básicos de remediación.
Es importante tener en cuenta que estos escáneres utilizan una lista de vulnerabilidades conocidas , lo que significa que la comunidad de seguridad, los piratas informáticos y los proveedores de software ya los conocen. Existen vulnerabilidades desconocidas para el público en general y estos escáneres no las encontrarán.
Prueba de penetración
Muchos “probadores de penetración profesionales” en realidad solo ejecutarán un análisis de vulnerabilidad, empaquetarán el informe en una bonita y bonita reverencia y lo llamarán un día. No, este es solo un primer paso en una prueba de penetración. Un buen probador de penetración toma el resultado de un escaneo de red o una evaluación de vulnerabilidad y lo lleva a 11: sondea un puerto abierto y ve qué puede explotarse.
Por ejemplo, supongamos que un sitio web es vulnerable a Heartbleed. Muchos sitios web todavía lo son. Una cosa es ejecutar un escaneo y decir “eres vulnerable a Heartbleed” y algo completamente diferente para explotar el error y descubrir la profundidad del problema y descubrir exactamente qué tipo de información podría revelarse si se explotara. Esta es la principal diferencia: el sitio web o el servicio en realidad están siendo penetrados, tal como lo haría un hacker.
Similar a un análisis de vulnerabilidad, los resultados generalmente se clasifican según la gravedad y la explotabilidad con los pasos de corrección proporcionados.
Las pruebas de penetración se pueden realizar utilizando herramientas automatizadas, como Metasploit, pero los probadores veteranos escribirán sus propios exploits desde cero.
Análisis de riesgo
Un análisis de riesgo a menudo se confunde con los dos términos anteriores, pero también es un animal muy diferente. Un análisis de riesgos no requiere herramientas o aplicaciones de escaneo: es una disciplina que analiza una vulnerabilidad específica (como una línea de pedido de una prueba de penetración) e intenta determinar el riesgo, incluidos los financieros, de reputación, de continuidad del negocio, regulatorios y otros. – a la empresa si la vulnerabilidad fuera explotada.
Se consideran muchos factores al realizar un análisis de riesgos: activos, vulnerabilidad, amenaza e impacto para la empresa. Un ejemplo de esto sería un analista tratando de encontrar el riesgo para la compañía de un servidor que es vulnerable a Heartbleed.
El analista primero miraría el servidor vulnerable, dónde se encuentra en la infraestructura de red y el tipo de datos que almacena. Un servidor ubicado en una red interna sin conectividad externa, que no almacena datos pero es vulnerable a Heartbleed tiene una postura de riesgo muy diferente a la de un servidor web orientado al cliente que almacena datos de tarjetas de crédito y también es vulnerable a Heartbleed. Un análisis de vulnerabilidad no hace estas distinciones. Luego, el analista examina las amenazas que probablemente exploten la vulnerabilidad, como el crimen organizado o las personas con información privilegiada, y construye un perfil de capacidades, motivaciones y objetivos. Por último, se determina el impacto para la empresa, específicamente, ¿qué cosa mala le sucedería a la empresa si una red de delincuencia organizada explotara Heartbleed y adquiriera los datos del titular de la tarjeta?
Un análisis de riesgo, cuando se complete, tendrá una calificación de riesgo final con controles de mitigación que pueden reducir aún más el riesgo. Los gerentes de negocios pueden tomar la declaración de riesgo y los controles de mitigación y decidir si implementarlos o no.
Los tres conceptos diferentes explicados aquí no son exclusivos entre sí, sino que se complementan entre sí. En muchos programas de seguridad de la información, las evaluaciones de vulnerabilidad son el primer paso: se utilizan para realizar amplios barridos de una red para encontrar parches faltantes o software mal configurado. A partir de ahí, uno puede realizar una prueba de penetración para ver qué tan explotable es la vulnerabilidad o un análisis de riesgo para determinar el costo / beneficio de corregir la vulnerabilidad. Por supuesto, tampoco necesita realizar un análisis de riesgos. El riesgo puede determinarse en cualquier lugar donde exista una amenaza y un activo presente. Puede ser un centro de datos en una zona de huracanes o documentos confidenciales en una papelera.
Es importante saber la diferencia: cada uno es significativo a su manera y tiene propósitos y resultados muy diferentes.