Te voy a mostrar el porqué es importante que tengas en cuenta el análisis de vulnerabilidades cuando recibes equipos de terceros para incluir en tu red o cuando pasas equipos a producción, llámense estaciones de trabajo, equipos de networking o servidores.
Uno de los aspectos comunes, es recibir equipos de terceros y ponerlos directamente en producción sin realizar el respectivo análisis de vulnerabilidades, esto se da cuando tenemos contratados servicios de outsourcing con equipos incluidos o cuando contratamos servicios sin importar la infraestructura que ponga el tercero.
En algunos casos se puede presentar que los equipos puestos no tengan la seguridad mínima, siendo equipos obsoletos, o con falta de mantenimiento, por ello, cuando reciba equipos, debes exigir que se encuentren actualizados y que se les haya realizado las pruebas de seguridad para verificar la ausencia de vulnerabilidades.
"Si contratas servicios de terceros, incluye siempre dentro de los contratos que la entrega de software, desarrollos, equipos e infraestructura se encuentren libres de vulnerabilidades, ten en cuenta que esto también aplica para el arrendamiento de equipos."
Todo equipo que se conecta a la red de la organización, está propenso a tener vulnerabilidades, por ello, el incluir el análisis de vulnerabilidades dentro del checklist de alistamiento o paso a producción, puede ahorrarte dolores de cabeza innecesarios, veamos algunos escenarios de riesgo:
- Portátil asignado a personal VIP el cual viaja constantemente y suele conectarse a distintas redes, puede estar en riesgo si no tiene el equipo actualizado y el software de protección adecuado.
- Asignación de estaciones de trabajo a usuario final sin aplicación de parches, ejemplo: wanna cry, (si, aún al día de hoy esto pasa)
- Puesta en producción de equipos con sistema operativa obsoleto, ejemplo: Windows 2008 Server, Windows 2012 server, windows 7, contienen vulnerabilidades que ya no parcha el fabricante.
- Equipos de infraestructura como switches obsoletos, firewalls, UTM, access point, estos equipos también tiene vulnerabilidades y son lo que menos se chequean.
Recuerda que todo análisis de vulnerabilidades debe realizarse con credenciales administrativas incluyendo los análisis que se les hacen a los equipos de networking.
En próximos artículos hablaremos acerca de la aplicación de plantillas de seguridad, por el momento, incluye esto dentro del checklist y tu seguridad mejorará notablemente.