Conoce como hacer un análisis de vulnerabilidades efectivo y no morir en el intento

Siempre que explico el tema del análisis de vulnerabilidades lo comparo con una casa que acabas de comprar y para asegurarla físicamente le pides a un especialista en seguridad física que vaya y la revise para ver que posibles problemas de seguridad pueda tener. 

Si no le prestas tus llaves, es especialista va y revisa lo que pueda ver desde la parte externa de tu casa, como está la puesta principal, las cerraduras, las ventanas, revisará si tienes rejas o si es posible romper una ventana para ingresar. A esto le llamo análisis de vulnerabilidades sin credenciales, sirve para ver el punto de vista de un atacante externo.

Ahora si le das las llaves de la casa al especialista para que ingrese y revise toda la casa, podrás detectar problemas externos e internos como fuga de gas, llaves goteando, pisos en mal estados, puertas del jardín interno en mal estado entre otras cosas. A esto le llamo análisis de vulnerabilidades con credenciales, como puedes ver, son mucho más completas que las anteriores.

Si las pruebas de seguridad son realizadas por personal interno, mantén auditoría del uso que se les da a estas las credenciales, ya que deberán tener los máximos privilegios posibles. Evita usar credenciales administrativas de TI para pruebas de seguridad, usa un usuario diferente que puedas identificar fácilmente en un análisis forense. 

Ahora, si las pruebas son contratadas, solo autoriza el acceso a los equipos que se les va a hacer pruebas de seguridad y cámbialas de inmediato cuando finalicen las pruebas. Recuerda tener firmado un acuerdo de confidencialidad que protejan los intereses de tu organización. 

Como siempre, realiza análisis de vulnerabilidades lo más frecuente posible, (recomendado mensual).

Algunas empresas prefieren no hacer análisis de vulnerabilidades de forma frecuente o a todos los equipos porque les van a aparecer muchas vulnerabilidades críticas o altas, la pregunta es: ¿Qué prefieres, saber cuáles son tus vulnerabilidades y poderla remediar lo más pronto posible o no saber los problemas que tienes y por donde te pueden atacar?

Recuerda realizar análisis de vulnerabilidades de forma frecuente, con credenciales y al mayor número de equipos conectados a tu red incluyendo la nube.




Conoce los tres niveles de gestión de vulnerabilidades para detectar brechas de seguridad

Estos son los tres niveles en los que se puede clasificar la gestión de vulnerabilidades de tu organización, explicados de manera fácil de entender. Recuerda que la gestión de vulnerabilidades es una tarea que debes realizar de forma periódica para revisar las debilidades o posibles brechas que puedan utilizar un atacante para hacerse con tu información. 

Nivel básico

Si estás empezando con esto de la ciberseguridad y andas corto de presupuesto, lo recomendado es que empieces con pruebas de análisis de vulnerabilidades "con credenciales", con ello descubres las debilidades en los sistemas operativos y equipos de red de la organización. Se le realiza a todos los equipos conectados a la red y te recomiendo hacer mínimo una vez al mes.  

Nivel intermedio

Incluye lo básico y adicionas pruebas de hacking ético, estas pruebas te sugiero que las ejecutes desde la red interna y desde Internet. Las pruebas internas te da una aproximación de lo que puede lograr un atacante interno, por ejemplo, un empleado deshonesto o un topo (topo: delincuente que se hace pasar por empleado para atacar tu red desde el interior). Las pruebas desde Internet te permiten ver el nivel de exposición de tus activos en una red hostil como Internet.

Nivel avanzado

En este nivel la ciberseguridad es un asunto primario para la organización, incluye los dos niveles anteriores y dependiendo de los objetivos trazados puede incluir un grupo de pruebas entre la cuales pueden estar: análisis de vulnerabilidades en código desarrollado, (código estático), análisis de vulnerabilidades en tráfico de red, búsqueda de vulnerabilidades en registros de sistemas (SIEM), pruebas de estrés a aplicaciones, auditoría de cumplimiento (verificación de lo existente contra un deber ser), equipos de ataque y defensa (red team/blue team), adhesión a un marco o norma como CSF, ISO 27001, ISO27032, COBIT entre otros).

Para la gestión de vulnerabilidades debes contar con el software y el personal capacitado para el desarrollo de esta labor, como siempre, te recomiendo el software de la marca Tenable y ya lo sabes, puedes contar con la empresa ActivosTI, quienes tienen personal certificado y experimentado para esta tarea.


El ABC de las pruebas de análisis de vulnerabilidades explicado de manera fácil y rápida

En este post definiremos el término "análisis de vulnerabilidades", veremos datos históricos y revisaremos el porqué es importante esta práctica al interior de tu organización.  

Podemos describir el análisis de vulnerabilidades como la búsqueda de vulnerabilidades conocidas en el software y hardware de la organización. 

Para buscar vulnerabilidades se utiliza software especializado comúnmente conocido como escáner de vulnerabilidades, para estos, una base de información es el programa CVE, el cual es la base de datos mayormente aceptada en cuanto a vulnerabilidades identificadas, definidas y catalogadas se refiere (lo puedes consultar en https://cve.mitre.org). En esta base de datos se almacena el histórico de todas las vulnerabilidades conocidas y reportadas, año tras año. 

Revisando este programa y sus recientes resultados, en el 2.020 se descubrieron un total de 10.203 vulnerabilidades de las cuales el 57% de estas, tienen severidad crítica o alta. El 70% de las vulnerabilidades se pueden explotar por medio de la red de datos. Con estos datos podemos determinar que el año pasado, semanalmente en promedio se descubrieron cerca de 112 vulnerabilidades críticas o altas. 

Ten en cuenta que una vulnerabilidad puede afectar la confidencialidad, integridad o disponibilidad de la información de la organización lo cual es algo extremadamente crítico, ya que tu información puede ser expuesta, robada o modificada sin consentimiento. 

Debido al número semanal de vulnerabilidades críticas y altas reportadas y a la criticidad de la información de tu organización es que se debe realizar pruebas de análisis de vulnerabilidades al interior de tu organización tan frecuentemente como sea posible. 

Te recomiendo análisis semanales, si los recursos son escasos, puedes realizarlos cada mes, si decides tomar más tiempo entre un análisis y otro, ten en cuenta que se incrementará el tiempo de incertidumbre y exposición al riesgo por ceguera, es decir por no saber a qué se está expuesto.  

Te recomiendo tenable.io, software para gestión de vulnerabilidades el cual te permite verificar vulnerabilidades en todo equipo conectado a la red interna, la nube y equipos en teletrabajo. Tenable.io opera desde la nube, si prefieres tener todo en sitio te puedes apoyar de tenable.sc. 

Recuerda que ActivosTI puede ofrecerte el software que se ajuste a tus necesidades o si lo prefieres puedes contratar directamente el servicio. Puedes contactarlos vía WhatsApp business.


Conoce el porqué es importante el análisis de vulnerabilidades en tu organización.

En este post vas a ver el porqué debes realizar análisis de vulnerabilidades en tu organización y los motivos por los cuales debes propender para que se haga de forma periódica (mensual).

La mayoría de las organizaciones a las que no les interesa la ciberseguridad, esgrimen algunas de las siguientes frases para intentar demostrar que la ciberseguridad no es necesaria:

  • Nunca nos han jaqueado.
  • Los sistemas siempre funcionan adecuadamente.
  • No hemos tenido problemas de seguridad informática.
  • Parchamos periódicamente.
  • Tenemos un firewall y un antivirus.
  • No tenemos presupuesto.

El asunto con esto de lo digital es que existen dos grupos de delincuentes, los primeros quieren que te des cuenta de que has sido atacado, por ello te secuestran información, te bloquean los servicios y te piden dinero a cambio. Son difíciles de localizar, generalmente la seguridad aquí es de forma reactiva, solo cuando se evidencia un ataque es que se toman las medidas de control las cuales suelen ser mucho más costosas que las preventivas:

El segundo grupo, en mi concepto los más peligrosos, son los que no quieren que te des cuenta de que te han jaqueado. Pueden ingresar en tus sistemas, copiar tu información fuera de la organización, obtener claves de acceso privilegiado y mantener equipos comprometidos o secuestrados (entre otras cosas). Si no tienes los recursos adecuados, es difícil que logres detectar un tipo de ataque de esta magnitud.  

Todo comienza con la seguridad preventiva, por ello siempre es recomendado un análisis de vulnerabilidades de forma periódica, para detectar aquellas vulnerabilidades que pueden llegar a poner en riesgo los datos de tu organización. 

Si nunca ha hecho un análisis de vulnerabilidades podemos tener con certeza uno de estos tres escenarios:

  • Te jaquearon y no te diste cuenta.
  • Estás jaqueado y no lo sabes.
  • Te van a jaquear y no te vas a dar cuenta. 

Puedes comprar el software y capacitar a tu personal para que lo gestione, para esta tarea existe una gran variedad de software entre lo cuales se destacan: Tenable, fabricante de Nessus professional, Rapid7, Qualys, openvas, entro otros. Mi recomendado por calidad, facilidad de uso, experiencia y facilidad de despliegue es Tenable.

También puedes contratar el análisis de vulnerabilidades como servicio, ActivosTI tiene planes interesantes que te ayudaran a mantener las vulnerabilidades controladas a un bajo costo. Puedes contactarlos vía WhatsApp business.