Análisis de Vulnerabilidades Automáticos

Análisis de Vulnerabilidades Automáticos

Para conocer el nivel de protección, sería necesario verificar el nivel de parcheo, versiones del software, y tareas adicionales que implica un correcto mantenimiento del equipamiento informático. Sin embargo, ¿Cómo sabemos que en realidad solventamos las deficiencias de seguridad, y que no se nos escapa ningún software o servicio que utiliza una versión vulnerable o su configuración no es la adecuada?.

Existe una solución que no requiere de demasiado tiempo/esfuerzo, que consiste en utilizar herramientas de escaneo de vulnerabilidades.

Estas herramientas trabajan con una Base de Datos de firmas de vulnerabilidades y una serie de plugins con los que se escanean los equipos que les indiquemos.

Existen varias herramientas de este estilo. Algunas son de pago (más fáciles de instalar y utilizar), y otras gratuitas (con menor eficacia de detección y una mayor dificultad en su instalación/utilización).

A continuación, vamos a plantear una serie de ventajas e inconvenientes con respecto a los Análisis automáticos de vulnerabilidades:

Ventajas de los escaneos de vulnerabilidades:

Obtención muy rápida de información sobre sistemas, equipos y servicios

Obtención rápida de Información sobre vulnerabilidades que afectan a los sistemas escaneados

A partir de las soluciones propuestas, la elaboración muy rápida de un plan de acción que solvente los problemas encontrados.

Facilita el trabajo de análisis y obtención de información a gente poco experimentada.

Desventajas de los escaneos de vulnerabilidades:

Están limitados a la información de los plugins y firmas de los que se dispone en el momento del análisis.

No realizan un escaneo de puertos tan en profundidad como otras herramientas (como Nmap), lo que implica que ciertos hosts o servicios que utilicen puertos poco comunes o tengan barreras de Firewall pasen desapercibidos por la herramienta.

Los problemas detectados no suelen estar probados para evitar impactos en el funcionamiento del equipamiento en producción, o bien se realizan análisis sin credenciales, por lo que se pueden producir falsos positivos.

Pueden generar una actitud conformista por parte del que realiza el análisis, pensando que no es necesario realizar pruebas manuales adicionales.

A continuación vamos a nombrar algunas de las más importantes:

De pago:

Tenable Nessus: Escaneo de equipos, y servicios de todo tipo (http://www.tenable.com/new-in-nessus)

Nexpose: Escaneo de equipos y servicios de todo tipo (http://www.rapid7.com/products/nexpose/)

Mcafee Foundstone: Escaneo de equipos, y servicios de todo tipo (http://www.foundstone.com/)

Acunetix: Escaneo de servicios y páginas web (http://www.acunetix.com/)

Survela: Servicio de monitorización continua de servicios publicados en Internet, incluyendo vulnerabilidades que los afecten (https://survela.com/)

Gratuitos:

Tenable Nessus Home: Escaneo de equipos, y servicios de todo tipo (http://www.tenable.com/new-in-nessus)

OpenVAS: Escaneo de equipos, y servicios de todo tipo (http://www.openvas.org/)

Vega: Escaneo de servicios y páginas web (https://subgraph.com/vega/)

W3af: Escaneo de servicios y páginas web (http://w3af.org/)

Microsoft Baseline Security Analyzer: Escaneo de problemas de configuración y parches que falten en sistemas Microsoft (http://www.microsoft.com/en-us/download/details.aspx?id=7558

La conclusión es que son herramientas útiles, que dan mucha información sobre el estado de protección de nuestros equipos que desconocemos, y que de forma rápida nos puede permitir elaborar un plan de acción que nos permita cerrar agujeros de seguridad, por lo que su implantación y programación de escaneos periódicos es más que recomendable.

José Francisco Lendínez Echeverría. Dpto de Seguridad TIC.

Áudea Seguridad de la Información

Fuente: ÁUDEA SEGURIDAD DE LA INFORMACIóN / Áudea - 17/02/2015