IDENTIFICACIÓN DE VULNERABILIDADES TÉCNICAS

Estas pruebas de vulnerabilidad externas e internas tienen como objetivo determinar la posible existencia de vulnerabilidades técnicas en los componentes de la infraestructura informática que puedan comprometer la integridad, confidencialidad y/o disponibilidad de la información de clientes o de la compañía, como parte del proceso de identificación inicial de riesgos.

La calificación de las vulnerabilidades “Criticas”, “Altas”, “Medias”, “Bajas” e “Informacionales” está dada por un estándar de clasificación denominado NVD51_; generando una base de datos de vulnerabilidades conocida como CVE52 _{en la cual} se asigna una clasificación a cada vulnerabilidad a partir de la siguiente información: determinación el vector ataque, complejidad para su explotación, necesidad de autenticación y el impacto sobre los principios de la seguridad de la información.

Estas pruebas de identificación de vulnerabilidades deben aplicarse en intervalos definidos no mayores a tres meses o cuando se aplique un cambio que afecte la infraestructura informática de la compañía, de acuerdo con los requisitos 6.1, 11.2 y 11.3 del estándar PCI-DSS v. 3.053 _{por parte de funcionarios con la experiencia y} conocimientos necesarios para su ejecución, para la realización de estas pruebas, se hará uso de las herramientas Qualys54 _{Online Free Scanner y/o Nessus}55_{, es} necesario hacer claridad que estas pruebas hacen parte del desarrollo del Diseño y Desarrollo del Gobierno de la Seguridad de la Información en GCS Consulting y no corresponde a una actividad comercial.

Los resultados detallados de la verificación de existencia de vulnerabilidades técnicas se entregaron, socializaron y explicaron a la alta gerencia y funcionarios de GCS Consulting haciendo énfasis en aquellas vulnerabilidades consideradas como “Criticas”, “Altas” y “Medias” y como la existencia de estas puede comprometer la Confidencialidad, Integridad y/o disponibilidad de la información, procesos, actividades e infraestructura informática necesaria para dar cumplimiento a los objetivos del negocio.

51 _{COMMON VULNERABILITIES AND EXPOSURES LIST - CVE,} _{en línea}_, _{consultado el 2 de}

mayo de 2015]. Disponible en: https://cve.mitre.org/

52 _{NATIONAL VULNERABILITY DATABASE, NIST,} _{en línea}_, _{consultado el 2 de mayo de 2015].}

Disponible en https://nvd.nist.gov/CVSS-v2-Calculator?vector=%28AV:L/AC:H/Au:N/C: N/I: P/A:C%29

53 _{INDUSTRIA DE TARJETAS DE PAGO. Requisitos 6 y 11, PCI-DSS v 3, Normas de Seguridad}

de Datos. en línea, consultado el 2 de mayo de 2015].

54 _{Qualys Free Scan, Disponible en https://freescan.qualys.com/freescan-front/}

55 _{NESSUS VULNERABILITY Scanner,} _{en línea}_, _{consultado el 2 de mayo de 2015].}

93

Logrando que estos sean conscientes de la existencia de vulnerabilidades que pueden afectar el de la infraestructura informática y/o de la información confiada por cliente o propiedad de la compañía, sin exceptuar aquellas cuyo valor de clasificación está dado como “Bajo” e “Informacional” ya que pueden ser vulnerabilidades potenciales, que permiten la revelación de información para realizar ataques elaborados o que pueden convertirse en vulnerabilidades de mayor riesgo, analizando los resultados obtenidos para de esta forma facilitar la toma de decisiones para su mitigación.

Las figuras que se muestran a continuación son extraídas del informe detallado que fue entregado a GCS Consulting, de la forma en que las vulnerabilidades identificadas se encuentran distribuidas en los equipos externos o que están directamente expuestos a internet, en los equipos internos como servidores, equipos de red y estaciones de trabajo, adicionalmente se incluye un análisis del estado de vulnerabilidad que pudo ser identificado.

La solución o mitigación de las vulnerabilidades identificadas se incluye como parte de los planes de tratamiento de riesgo, …Véase el numeral 4.5.9.Tratamiento de Riesgos de este documento… permitiendo documentar, hacer seguimiento y verificar las acciones efectuadas para gestionar las vulnerabilidades identificadas.

3.3.1. Pruebas Externas

Figura 12. Vulnerabilidades Externas Identificadas

Fuente: Autores. A partir de los resultados de las pruebas de vulnerabilidad técnica realizadas a GCS Consulting

Critica 0% Alta 2% Media 5% Baja 20% Info 73% Vulnerabilidades Detectadas Direcciones IP Externas Critica Alta Media Baja Info

94

En la figura 12 se muestran las vulnerabilidades técnicas externas evidenciadas durante las pruebas realizadas, las cuales están agrupadas de acuerdo a su criticidad e impacto (calificación CVE51_{) sobre la confidencialidad, integridad y/o} disponibilidad de la infraestructura informática y la información.

3.3.1.1. Análisis Pruebas Externas. Crítico, se considera como crítico, debido

a que existen 1 vulnerabilidad de tipo Alto y 2 de tipo Medio, por lo que debe tomarse una acción sobre los servicios publicados en este servidor lo más pronto posible.

En la dirección pública analizada se pudo identificar la existencia de un servicio de publicación web basado en lighthttp que hace uso de SSL, sin embargo es posible determinar que la configuración de este protocolo no es adecuada, debido a que se hace uso de parámetros que son considerados como inseguros, llaves y algoritmos de cifrado considerados como débiles, certificados digitales que no coinciden con el nombre del servidor y que no se encuentran firmados por una entidad certificadora valida.

La existencia de estas vulnerabilidades puede comprometer la confidencialidad, integridad y/o disponibilidad de la información y/o de la infraestructura informática, ya que permitirían que un atacante intercepte la información cifrada.

3.3.2. Pruebas Internas

3.3.2.1. Servidores y Equipos de Red

Figura 13. Vulnerabilidades Internas Identificadas en servidores y equipos de red

Fuente: Autores, A partir de los resultados de las pruebas de vulnerabilidad técnica realizadas a GCS Consulting.

Criticas 0% Altas 7% Medias 24% Bajas 5% Info 64% Vulnerabilidades Detectadas Servidores - Equipos de Red

Criticas Altas Medias Bajas Info

95

En la figura 13 se muestran las vulnerabilidades técnicas internas a Servidores y Equipos de Red evidenciadas durante las pruebas realizadas, las cuales están agrupadas de acuerdo a su criticidad e impacto (calificación CVE51_{) sobre la} confidencialidad, integridad y/o disponibilidad de la infraestructura informática y la información.

3.3.2.2. Análisis Pruebas Internas: Alto, la existencia de estas vulnerabilidades

en los servidores, equipos de red y servicios de seguridad puede comprometer la confidencialidad, integridad y/o disponibilidad de la información y/o de la infraestructura informática, debido a que existen servicios de tipo FTP (Texto Claro) que permiten la autenticación anónima, falta de aplicación de parches de seguridad, uso de carpetas compartidas, servicios web basados en ssl con fallos en su configuración, motores de bases de datos con fallos de configuración y/o actualización y la posible existencia de un troyano en 2 de las ips analizadas, se recomienda acción inmediata.

3.3.2.3. Estaciones de Trabajo

Figura 14. Vulnerabilidades Internas Identificadas en Estaciones de Trabajo.

Fuente: Autores, A partir de los resultados de las pruebas de vulnerabilidad técnica realizadas a GCS Consulting.

Critica 0% Alta 1% Media 7% Baja 1% Info 91% Vulnerabilidades Detectadas Estaciones de Trabajo

96

En la figura 14 se muestran las vulnerabilidades técnicas internas a Estaciones de Trabajo evidenciadas durante las pruebas realizadas, las cuales están agrupadas de acuerdo a su criticidad e impacto (calificación CVE51_{) sobre la confidencialidad,} integridad y/o disponibilidad de la infraestructura informática y la información.

3.3.2.4. Análisis pruebas estaciones de trabajo: Medio. En los equipos

portátiles se detectó una vulnerabilidad asociada con formas digitales en el servicio de carpetas compartidas de Windows, cabe resaltar que no se encontraron otro tipo de vulnerabilidades en estos.

97