La solución a tales problemas puede ser un examen periódico del perímetro de la organización. Los escáneres de red, los motores de búsqueda de IoT, los escáneres de vulnerabilidades y los servicios de análisis de seguridad son adecuados para resolver el problema. Más adelante en el artículo consideraremos los tipos y parámetros de escaneo, sus ventajas y desventajas, las herramientas que se utilizan con frecuencia y los métodos para procesar los resultados.
Escaneo de ping
El primer escaneo a considerar es el escaneo de ping. La tarea principal es detectar nodos "en vivo" en la red. El escaneo de ping se refiere a la transmisión de paquetes ICMP. El escáner envía paquetes Echo REQUEST a las direcciones IP especificadas y espera paquetes Echo REPLY como respuesta. Si se recibe una respuesta, se considera que el host está presente en la red en la dirección IP especificada.
ICMP es ampliamente utilizado por los administradores de red para el diagnóstico, por lo tanto, para evitar revelar información sobre los nodos, es importante configurar correctamente la protección perimetral. Para las redes corporativas, este tipo de análisis no es relevante para el análisis externo, porque la mayoría de las herramientas de seguridad bloquean las respuestas ICMP o ICMP de forma predeterminada. En ausencia de tareas no estándar en la red corporativa, los siguientes tipos de mensajes ICMP generalmente pueden salir: Destino inalcanzable, Solicitud de eco, encabezado de IP incorrecta y RESPUESTA de eco, Destino inalcanzable, Desactivación de origen, Tiempo excedido, Encabezado de IP incorrecta. Las redes locales no tienen una política de seguridad tan estricta y los atacantes pueden usar este método cuando ya han ingresado a la red, pero esto se detecta fácilmente.
Escaneo de puertos
Combinemos el escaneo TCP y el escaneo UDP bajo el nombre general: escaneo de puertos. El escaneo con estos métodos determina los puertos disponibles en los nodos y luego, en base a los datos obtenidos, se hace una suposición sobre el tipo de sistema operativo utilizado o la aplicación específica que se ejecuta en el nodo de destino. El escaneo de puertos se refiere a los intentos de prueba de conectarse a hosts externos. Consideremos los principales métodos implementados en los escáneres de red automatizados:
- TCP SYN,
- CONEXIÓN TCP,
- Escaneo UDP.
El método TCP SYN es el más popular y se utiliza en el 95% de los casos. Esto se denomina escaneo medio abierto porque la conexión no está completamente establecida. Se envía un mensaje SYN al puerto bajo investigación, luego se espera una respuesta, según la cual se determina el estado del puerto. Las respuestas SYN / ACK indican que el puerto está escuchando (abierto), mientras que las respuestas RST indican que no está escuchando.
Si, después de varias solicitudes, no se recibe respuesta, entonces el tráfico de la red hacia el puerto de destino se filtra mediante firewalls (en adelante usaremos el término "puerto filtrado"). Un puerto también se marca como filtrado si un mensaje ICMP se devuelve con un mensaje de Destino inalcanzable y códigos y banderas específicos.
El método TCP CONNECT es menos popular que TCP SYN, pero sigue siendo común en la práctica. Al implementar el método TCP CONNECT, se intenta establecer una conexión TCP al puerto deseado con el procedimiento de protocolo de enlace. El procedimiento consiste en el intercambio de mensajes para negociar parámetros de conexión, es decir, mensajes de servicio SYN, SYN / ACK, ACK entre nodos. La conexión se establece a nivel del sistema operativo, por lo que existe la posibilidad de que la herramienta de protección la bloquee y acabe en el registro de eventos.
El escaneo UDP es más lento y complejo que el escaneo TCP. Debido a las características específicas del escaneo de puertos UDP, a menudo se olvidan, porque el tiempo total para escanear 65.535 puertos UDP con parámetros estándar por nodo toma hasta 18 horas para la mayoría de los escáneres automatizados. Este tiempo se puede reducir paralelizando el proceso de escaneo y de varias otras formas. Se debe considerar la búsqueda de servicios UDP porque los servicios UDP se comunican con una gran cantidad de servicios de infraestructura que suelen ser de interés para los atacantes.
Los servicios UDP DNS (53), NTP (123), SNMP (161), VPN (500, 1194, 4500), RDG (3391) se encuentran a menudo en los perímetros de la red. Servicios menos comunes como echo (7), discard (9), chargen (19), así como DAYTIME (13), TFTP (69), SIP (5060), NFS (2049), RPC (111, 137-139) , 761, etc.), DBMS (1434).
Se envía un encabezado UDP vacío para determinar el estado del puerto, y si se devuelve un error de accesibilidad de destino inalcanzable de ICMP con el código de puerto de destino inalcanzable, esto significa que el puerto está cerrado; Otros errores de accesibilidad ICMP (host de destino inalcanzable, protocolo de destino inalcanzable, red prohibida administrativamente, host administrativamente prohibida, comunicación administrativamente prohibida) indican que el puerto se está filtrando. Si el puerto responde con un paquete UDP, entonces está abierto. Debido a las características específicas de UDP y la pérdida de paquetes, las solicitudes se repiten varias veces, generalmente tres o más. Normalmente, si no se recibe respuesta, se determina que el estado del puerto es "abierto" o "filtrado" porque no está claro qué causó el tráfico: bloqueo del tráfico por la herramienta de protección o pérdida de paquetes.
Para determinar con precisión el estado del puerto y el servicio en sí que se ejecuta en el puerto UDP, se utiliza una carga útil especial, cuya presencia debería causar una cierta reacción en la aplicación en estudio.
Métodos de escaneo raros
Métodos que prácticamente no se utilizan:
- TCP ACK,
- TCP NULL, FIN, Navidad,
- Lazy Scan.
El propósito directo del método de escaneo ACK es identificar las reglas de protección y también identificar los puertos filtrados. Solo se establece el indicador ACK en el paquete de solicitud para este tipo de exploración. Los puertos abiertos y cerrados devolverán un paquete RST, ya que los puertos son accesibles para paquetes ACK, pero se desconoce el estado. Los puertos que no responden o que responden con un mensaje de destino inaccesible ICMP con códigos específicos se consideran filtrados.
Los métodos TCP NULL, FIN, Xmas son para enviar paquetes con banderas deshabilitadas en el encabezado TCP. Los escaneos NULL no configuran ningún bit, los escaneos FIN configuran el bit TCP FIN y los escaneos de Navidad configuran los indicadores FIN, PSH y URG. Los métodos se basan en una característica de la especificación RFC 793 de que cuando se cierra el puerto, un segmento entrante que no contiene un RST dará como resultado el envío de un RST en respuesta. Cuando el puerto está abierto, no habrá respuesta. Un error de alcance de ICMP significa que se está filtrando el puerto. Estos métodos se consideran más secretos que los escaneos SYN, pero menos precisos porque no todos los sistemas cumplen con RFC 793.
Lazy Scanning es el método más sigiloso, ya que utiliza un host diferente llamado host zombie para escanear. Los intrusos utilizan el método para obtener inteligencia. La ventaja de este escaneo es que el estado del puerto se determina para el host zombie, por lo que al usar diferentes hosts, puede establecer relaciones de confianza entre los hosts. Una descripción completa del método está disponible aquí .
Proceso de identificación de vulnerabilidades
Por vulnerabilidad nos referimos a un punto débil de un nodo en su conjunto o de sus componentes de software individuales, que se puede utilizar para implementar un ataque. En una situación estándar, la presencia de vulnerabilidades se explica por errores en el código del programa o la biblioteca utilizada, así como por errores de configuración.
La vulnerabilidad está archivada en MITRE CVE y los detalles se publican en NVD . A una vulnerabilidad se le asigna un identificador CVE y una puntuación de vulnerabilidad CVSS general, que refleja el nivel de riesgo que la vulnerabilidad representa para el sistema final. Para obtener detalles sobre la evaluación de vulnerabilidades, consulte nuestro artículo . La lista centralizada de MITRE CVE es un punto de referencia para los escáneres de vulnerabilidades, ya que la tarea de un escaneo es detectar software vulnerable.
Un error de configuración también es una vulnerabilidad, pero tales vulnerabilidades rara vez se encuentran en la base de datos MITRE; sin embargo, todavía terminan en las bases de conocimiento de los escáneres con identificadores internos. Otros tipos de vulnerabilidades que no están en MITRE CVE también caen en la base de conocimiento de los escáneres, por lo que al elegir una herramienta para escanear, es importante prestar atención a la experiencia de su desarrollador. Vulnerability Scanner sondeará los nodos y comparará la información recopilada con una base de datos de vulnerabilidades o una lista de vulnerabilidades conocidas. Cuanta más información tenga el escáner, más preciso será el resultado.
Echemos un vistazo a los parámetros de análisis, los tipos de análisis y los principios de detección de vulnerabilidades utilizando escáneres de vulnerabilidades.
Opciones de escaneo
En un mes, el perímetro de la organización puede cambiar repetidamente. Realizar un escaneo del perímetro de la frente puede perder tiempo en el que los resultados se vuelven irrelevantes. Con un fuerte aumento en la velocidad de escaneo, los servicios pueden "caer". Necesitamos encontrar un equilibrio y elegir los parámetros de escaneo correctos. El tiempo empleado, la precisión y la relevancia de los resultados dependen de la elección. Se pueden escanear un total de 65.535 puertos TCP y la misma cantidad de puertos UDP. En nuestra experiencia, el perímetro estadístico promedio de una empresa que cae en el grupo de análisis son dos redes de clase C completas con una máscara de 24.
Parámetros básicos:
- número de puertos,
- profundidad de escaneo,
- velocidad de escaneo,
- parámetros para determinar vulnerabilidades.
Por la cantidad de puertos, el escaneo se puede dividir en tres tipos: escaneo de la lista completa de puertos TCP y UDP, escaneo de la lista completa de puertos TCP y puertos UDP populares, escaneo de puertos TCP y UDP populares. ¿Cómo determinar la popularidad de un puerto? En la utilidad nmap, según las estadísticas recopiladas por el desarrollador de la utilidad, los mil puertos más populares se definen en el archivo de configuración. Los escáneres comerciales también tienen perfiles preconfigurados para hasta 3500 puertos.
Si la red usa servicios en puertos no estándar, también deben agregarse a la lista escaneada. Para escaneos regulares, recomendamos usar la opción intermedia, que escanea todos los puertos TCP y puertos UDP populares. Esta opción es la más equilibrada en términos de tiempo y precisión de los resultados. Al realizar pruebas de penetración o auditorías completas del perímetro de la red, se recomienda que escanee todos los puertos TCP y UDP.
Una nota importante: no podrá ver la imagen real del perímetro cuando escanee desde la red local, porque las reglas del firewall para el tráfico de la red interna se aplicarán al escáner. El escaneo del perímetro debe realizarse desde uno o más sitios externos; Tiene sentido utilizar diferentes sitios solo si están ubicados en diferentes países.
La profundidad del escaneo se refiere a la cantidad de datos que se recopilan sobre el objetivo del escaneo. Esto incluye el sistema operativo, versiones de software, información sobre la criptografía utilizada para varios protocolos, información sobre aplicaciones web. Al mismo tiempo, existe una relación directa: cuanto más queremos saber, más tiempo funcionará el escáner y recopilará información sobre los nodos.
Al elegir una velocidad, es necesario guiarse por el ancho de banda del canal desde el cual se realiza el escaneo, el ancho de banda del canal que se está escaneando y las capacidades del escáner. Hay valores de umbral, que exceden los cuales no garantizan la precisión de los resultados, la preservación de la operatividad de los nodos escaneados y los servicios individuales. No olvide tener en cuenta el tiempo que lleva completar el escaneo.
Opciones de detección de vulnerabilidades es la sección más extensa de opciones de análisis, que determina la velocidad del análisis y la cantidad de vulnerabilidades que se pueden detectar. Por ejemplo, las comprobaciones de banners no tardarán mucho. Las simulaciones de ataques se realizarán solo para determinados servicios y tampoco llevarán mucho tiempo. La vista más larga es el rastreo web.
Un análisis completo de cientos de aplicaciones web puede llevar semanas, según el vocabulario utilizado y el número de puntos de entrada de aplicaciones que se deben comprobar. Es importante entender que debido a las peculiaridades de la implementación de módulos web y rastreadores web, la verificación instrumental de vulnerabilidades web no dará una precisión del cien por cien, pero puede ralentizar enormemente todo el proceso.
Es mejor realizar el rastreo web por separado de los escaneos regulares eligiendo cuidadosamente qué aplicaciones escanear. Para un análisis en profundidad, utilice herramientas de análisis de aplicaciones estáticas y dinámicas o servicios de pruebas de penetración. No recomendamos el uso de análisis peligrosos al realizar análisis regulares, ya que existe el riesgo de interrumpir el rendimiento de los servicios. Para obtener detalles sobre las comprobaciones, consulte la sección sobre el funcionamiento de los escáneres a continuación.
Herramientas
Si alguna vez ha estudiado los registros de seguridad de sus sitios, probablemente se habrá dado cuenta de que una gran cantidad de investigadores, servicios en línea y botnets analizan Internet. No tiene sentido describir todas las herramientas en detalle, enumeraremos algunos escáneres y servicios que se utilizan para escanear perímetros de red e Internet. Cada una de las herramientas de escaneo tiene un propósito diferente, por lo que al elegir una herramienta debe comprender por qué se está utilizando. A veces es correcto utilizar varios escáneres para obtener resultados completos y precisos. Escáneres de
red: Masscan , Zmap , nmap... De hecho, existen muchas más utilidades para escanear una red, pero apenas se necesitan otras para escanear un perímetro. Estas utilidades resuelven la mayoría de las tareas asociadas con el escaneo de puertos y servicios.
Los motores de búsqueda en Internet de las cosas, o rastreadores en línea, son herramientas importantes para recopilar información sobre Internet en general. Proporcionan un resumen de la pertenencia al sitio, información sobre certificados, servicios activos y más. Es posible ponerse de acuerdo con los desarrolladores de este tipo de escáneres para excluir sus recursos de la lista de escaneo o para mantener información sobre recursos para uso corporativo únicamente. Los buscadores más famosos: Shodan , Censys , Fofa .
Para solucionar el problema, no es necesario utilizar una herramienta comercial compleja con una gran cantidad de controles: no es necesario escanear un par de aplicaciones y servicios "ligeros". En tales casos, los escáneres gratuitos serán suficientes. Hay muchos rastreadores web gratuitos y es difícil seleccionar los más eficaces, aquí la elección es más bien una cuestión de gustos; los más famosos: Skipfish , Nikto , ZAP , Acunetix , SQLmap .
Para realizar tareas de escaneo mínimas y garantizar la seguridad "en papel", los escáneres comerciales presupuestarios con una base de conocimientos de vulnerabilidades constantemente actualizada, así como el apoyo y la experiencia del proveedor, y los certificados FSTEC pueden ser adecuados. Los más famosos: XSpider, RedCheck, Scanner-VS.
Para un análisis manual cuidadoso, las herramientas Burp Suite, Metasploit y OpenVAS serán útiles. Recientemente se ha lanzado el escáner de tsunamis de Google.
Una línea separada que vale la pena mencionar es el motor de búsqueda de vulnerabilidades en línea Vulners.... Se trata de una gran base de datos de contenido de seguridad de la información que recopila información sobre vulnerabilidades de una gran cantidad de fuentes, que, además de las bases de datos estándar, incluyen boletines de seguridad de proveedores, programas de recompensas por errores y otros recursos temáticos. El recurso proporciona una API a través de la cual puede obtener resultados, por lo que puede implementar controles de banner en sus sistemas sin tener que escanear aquí y ahora. O utilice el escáner de vulnerabilidades de Vulners, que recopilará información sobre el sistema operativo, los paquetes instalados y buscará vulnerabilidades a través de la API de Vulners. Algunas de las funciones del recurso se pagan.
Herramientas de análisis de seguridad
Todos los sistemas de seguridad comerciales admiten modos de escaneo básicos, que se describen a continuación, integración con varios sistemas externos, como sistemas SIEM, sistemas de administración de parches, CMBD, sistemas de tickets. Los sistemas comerciales de análisis de vulnerabilidades pueden enviar alertas basadas en diferentes criterios y admitir diferentes formatos y tipos de informes. Todos los desarrolladores de sistemas utilizan bases de datos de vulnerabilidades comunes, así como sus propias bases de conocimiento, que se actualizan constantemente en función de la investigación.
Las principales diferencias entre las herramientas comerciales de análisis de seguridad son los estándares admitidos, las licencias de las agencias gubernamentales, el número y la calidad de los controles realizados, así como el enfoque en uno u otro mercado de ventas, por ejemplo, el soporte para escanear software nacional. El artículo no pretende proporcionar una comparación cualitativa de los sistemas de análisis de vulnerabilidades. En nuestra opinión, cada sistema tiene sus propias ventajas y desventajas. Las herramientas enumeradas son adecuadas para el análisis de seguridad, puede usar sus combinaciones: Qualys , MaxPatrol 8 , Rapid 7 InsightVM , Tenable SecurityCenter .
Cómo funcionan los sistemas de análisis de seguridad
Los modos de escaneo se implementan de acuerdo con tres principios similares:
- Modo de auditoría o caja blanca.
- Cumplimiento o verificación del cumplimiento de las normas técnicas.
- Modo pentest o caja negra.
El principal interés del escaneo perimetral es el modo caja negra, porque simula las acciones de un atacante externo que no sabe nada sobre los nodos escaneados. A continuación se muestra una referencia rápida para todos los modos.
La auditoría es un modo de caja blanca que permite realizar un inventario completo de la red, detectar todo el software, determinar sus versiones y parámetros y, en base a esto, sacar conclusiones sobre la vulnerabilidad de los sistemas a nivel detallado, así como verificar los sistemas por el uso de contraseñas débiles. El proceso de escaneo requiere un cierto grado de integración con la red corporativa, en particular, se requieren cuentas para autorizar los nodos.
Es mucho más fácil para un usuario autorizado, que es un escáner, recibir información detallada sobre un nodo, su software y parámetros de configuración. Durante el escaneo, se utilizan varios mecanismos y transportes de sistemas operativos para recopilar datos, según las especificaciones del sistema del que se recopilan los datos. La lista de transportes incluye, pero no se limita a WMI, NetBios, LDAP, SSH, Telnet, Oracle, MS SQL, SAP DIAG, SAP RFC, Remote Engine utilizando los protocolos y puertos apropiados.
El cumplimiento es un modo de verificar el cumplimiento de los estándares, requisitos o políticas de seguridad. El modo utiliza mecanismos y transportes similares a la auditoría. Una característica del modo es la capacidad de verificar que los sistemas corporativos cumplan con los estándares integrados en los escáneres de seguridad. Ejemplos de estándares son PCI DSS para sistemas de pago y procesamiento, STO BR IBBS para bancos rusos, GDPR para el cumplimiento de los requisitos de la UE. Otro ejemplo son las políticas de seguridad interna, que pueden tener requisitos más altos que los especificados en los estándares. Además, hay comprobaciones de instalación de actualizaciones y otras comprobaciones personalizadas.
Pentest es un modo de caja negra en el que el escáner no tiene más datos que la dirección de destino o el nombre de dominio. Consideremos los tipos de comprobaciones que se utilizan en el modo:
- cheques de banner,
- imitación de ataques,
- cheques web,
- comprobar configuraciones,
- controles peligrosos.
Las comprobaciones de banners se basan en el hecho de que el escáner determina las versiones del software y del sistema operativo utilizados y luego verifica estas versiones con la base de datos de vulnerabilidades interna. Para buscar pancartas y versiones, se utilizan varias fuentes, cuya confiabilidad también difiere y se toma en cuenta por la lógica interna del escáner. Las fuentes pueden ser pancartas de servicio, registros, respuestas de aplicaciones y sus parámetros y formato. Al analizar los servidores y aplicaciones web, se comprueba la información de las páginas de error y acceso denegado, se analizan las respuestas de estos servidores y aplicaciones y otras posibles fuentes de información. Los escáneres marcan las vulnerabilidades detectadas por el escaneo de banners como supuestas vulnerabilidades o como vulnerabilidades no confirmadas.
Un ataque simulado es un intento seguro de aprovechar una vulnerabilidad en un host. Los ataques simulados tienen una baja probabilidad de falsos positivos y se prueban minuciosamente. Cuando el escáner detecta una firma de vulnerabilidad en el objetivo del escaneo, se aprovecha la vulnerabilidad. Las comprobaciones utilizan los métodos necesarios para detectar la vulnerabilidad; por ejemplo, se envía una solicitud atípica a una aplicación que no causa una denegación de servicio, y la presencia de una vulnerabilidad está determinada por la respuesta típica de la aplicación vulnerable.
Otro método: tras la explotación exitosa de una vulnerabilidad que permite que se ejecute el código, el escáner puede enviar una solicitud PING o DNS saliente desde el host vulnerable a sí mismo. Es importante comprender que no siempre es posible verificar las vulnerabilidades de manera segura, por lo tanto, en el modo pentest, las verificaciones a menudo aparecen más tarde que en otros modos de escaneo.
Las comprobaciones web son el tipo de comprobación más extenso y lento al que pueden estar sometidas las aplicaciones web detectadas. En la primera etapa, se escanean los directorios de la aplicación web, se detectan parámetros y campos donde puede haber vulnerabilidades potenciales. La velocidad de esta exploración depende del diccionario utilizado para recorrer los directorios y del tamaño de la aplicación web.
En la misma etapa, se recopilan banners de CMS y complementos de aplicaciones, que se utilizan para la comprobación de banners en busca de vulnerabilidades conocidas. La siguiente etapa son las comprobaciones web básicas: búsqueda de inyección SQL de varios tipos, búsqueda de errores en el sistema de autenticación y almacenamiento de sesiones, búsqueda de datos confidenciales y configuraciones desprotegidas, comprobaciones de inyección XXE, scripts entre sitios, deserialización insegura, carga de archivos arbitrarios, ejecución remota de código y recorrido de ruta ... La lista puede ser más amplia dependiendo de los parámetros de escaneo y las capacidades del escáner, generalmente con los parámetros máximos, las verificaciones se llevan a cabo de acuerdo con la lista OWASP Top Ten .
Las comprobaciones de configuración tienen como objetivo detectar errores de configuración de software. Identifican contraseñas predeterminadas o prueban contraseñas utilizando un conjunto corto de contraseñas con diferentes cuentas. Revela paneles de autenticación administrativa e interfaces de control, impresoras disponibles, algoritmos de cifrado débiles, errores en los derechos de acceso y divulgación de información confidencial a través de rutas estándar, copias de seguridad descargables y otros errores similares cometidos por administradores de sistemas de TI y sistemas de seguridad de la información.
Entre los controles peligrosos se encuentran aquellos cuyo uso conduce potencialmente a una violación de la integridad o disponibilidad de los datos. Esto incluye verificaciones de denegación de servicio, opciones de inyección SQL con parámetros para eliminar datos o realizar cambios. Ataques de fuerza bruta sin límites en los intentos de fuerza bruta que conducen al bloqueo de cuentas. Los controles peligrosos rara vez se utilizan debido a las posibles consecuencias, pero están respaldados por escáneres de seguridad como un medio para emular las acciones de un atacante que no se preocupará por la seguridad de los datos.
Escaneos y resultados
Revisamos los métodos y herramientas básicos de escaneo, pasemos a la pregunta de cómo usar este conocimiento en la práctica. Primero, debe responder a la pregunta de qué y cómo escanear. Para responder a esta pregunta, debe recopilar información sobre las direcciones IP externas y los nombres de dominio que pertenecen a la organización. En nuestra experiencia, es mejor separar los objetivos de escaneo en inventario e identificación de vulnerabilidades.
Un análisis de inventario se puede realizar con mucha más frecuencia que un análisis de vulnerabilidades. En el inventario, es una buena práctica enriquecer los resultados con información sobre el administrador del servicio, la dirección IP interna del servicio si se utiliza NAT y la importancia del servicio y su propósito. En el futuro, la información ayudará a eliminar rápidamente los incidentes relacionados con la detección de servicios no deseados o vulnerables. Idealmente, la empresa tiene un proceso y una política para colocar servicios en el perímetro de la red, los servicios de seguridad de la información y TI están involucrados en el proceso.
Incluso con este enfoque, existe la posibilidad de errores debido a factores humanos y diversas fallas técnicas que conducen a la aparición de servicios no deseados en el perímetro. Un ejemplo simple: se escribe una regla en un dispositivo de red de Check Point que transmite el puerto 443 desde la red interna al perímetro. El servicio que estaba allí está desactualizado y fuera de servicio. El servicio de TI no fue informado sobre esto, por lo que se mantuvo la regla. En este caso, el perímetro puede terminar con autenticación en el panel de administración del dispositivo Check Point u otro servicio interno que no estaba planeado para estar alojado allí. Al mismo tiempo, la imagen del perímetro no ha cambiado formalmente y el puerto está disponible.
Para detectar tales cambios, es necesario escanear periódicamente y aplicar comparación diferencial de los resultados, luego habrá un cambio notable en el banner del servicio, que llamará la atención y dará lugar al análisis de la incidencia.
Eliminación de vulnerabilidades
El primer paso para la implementación técnica correcta del proceso de corrección de vulnerabilidades es presentar correctamente los resultados del análisis con los que tendrá que trabajar. Si se utilizan varios escáneres diferentes, sería más correcto analizar y combinar información sobre nodos en un solo lugar. Para ello, se recomienda utilizar sistemas analíticos, donde también se almacenará toda la información del inventario.
La forma básica de corregir la vulnerabilidad es instalar actualizaciones. También puede usar otro método: saque el servicio del perímetro (aún necesita instalar actualizaciones de seguridad).
Puede aplicar medidas de ajuste compensatorias, es decir, excluir el uso de un componente o aplicación vulnerable. Otra opción es utilizar herramientas de seguridad especializadas como IPS o firewall de aplicaciones. Por supuesto, es más correcto prevenir la aparición de servicios no deseados en el perímetro de la red, pero este enfoque no siempre es posible debido a diversas circunstancias, especialmente los requisitos comerciales.
Prioridad de eliminación de vulnerabilidades
La prioridad de corregir vulnerabilidades depende de los procesos internos de la organización. Cuando se trabaja para eliminar las vulnerabilidades del perímetro de la red, es importante tener una comprensión clara de por qué el servicio está ubicado en el perímetro, quién lo administra y a quién pertenece. En primer lugar, puede eliminar las vulnerabilidades en los nodos que son responsables de las funciones comerciales críticas de la empresa. Naturalmente, dichos servicios no se pueden retirar del perímetro, pero se pueden aplicar medidas compensatorias o medidas de seguridad adicionales. Con servicios menos importantes, es más fácil: pueden retirarse temporalmente del perímetro, actualizarse lentamente y volver al servicio.
Otra forma es la prioridad de eliminación según la gravedad o la cantidad de vulnerabilidades en el nodo. Cuando se encuentran de 10 a 40 sospechas de vulnerabilidad por escaneo de banner en un nodo, no tiene sentido verificar si todas existen allí, en primer lugar, esta es una señal de que es hora de actualizar el software en este nodo. Cuando no hay oportunidad de renovación, es necesario elaborar medidas compensatorias. Si la organización tiene una gran cantidad de nodos donde se encuentran componentes de software vulnerables para los cuales no hay actualizaciones, entonces es hora de pensar en cambiar a software que todavía está en el ciclo de actualización (soporte). Es posible que para actualizar el software, primero necesite actualizar el sistema operativo.
Salir
Toda la información sobre servicios y servicios en el perímetro de su red puede ser obtenida no solo por usted, sino también por cualquier persona de Internet. Con cierta precisión, es posible identificar las vulnerabilidades del sistema incluso sin escanear. Para reducir los riesgos de incidentes de seguridad de la información, debe monitorear el perímetro de su red, ocultar o proteger los servicios no deseados a tiempo e instalar actualizaciones.
No importa si el proceso se organiza internamente o con la participación de expertos externos que brindan servicios de control perimetral o análisis de seguridad. Lo más importante es garantizar el control del perímetro y la corrección de vulnerabilidades de forma regular.
Publicado por Maxim Fedotov, especialista sénior, Departamento de servicios en línea, Centro de seguridad experto de PT, Positive Technologies