Se pueden analizar dos tipos de componentes de la red:
• Dispositivo: un host, una dirección IP o un nombre de dominio. • Red: un intervalo de direcciones IP.
En el portal de análisis de vulnerabilidades estos objetivos de análisis reciben el nombre de dispositivos. Antes de ejecutar los análisis, debe agregar cada dispositivo que desee analizar a la cuenta en el portal de análisis de vulnerabilidades. Si no está seguro de las direcciones IP que desea agregar, puede agregar un nombre de dominio y ejecutar un análisis de
descubrimiento para identificar las direcciones IP.
Para asegurarse de que el alcance de los análisis sea exhaustivo, es aconsejable agregar el nombre de su dominio como dispositivo. Si ha adquirido una licencia para un único dominio, tiene derecho a analizar todas las direcciones IP de dicho dominio. Para analizar varias direcciones IP de dominios diferentes, debe adquirir licencias adicionales.
Acerca de los dispositivos activos
Es recomendable analizar todos los dispositivos activos. Los dispositivosactivos son aquéllos involucrados en, o conectados a redes involucradas, la recopilación, la transmisión, el tratamiento o el almacenamiento de información confidencial.
Como ejemplos de dispositivos activos que debe analizar se encuentran los siguientes: • Dispositivos de filtrado: incluyen cortafuegos o routers externos usados para filtrar el
tráfico. Si usa un cortafuegos o un router para establecer una DMZ (una zona intermedia entre la red de Internet pública externa y la red privada), estos dispositivos deben analizarse para buscar vulnerabilidades.
• Servidores Web: permiten que los usuarios de Internet vean páginas Web e interactúen con los sitios Web. Puesto que estos servidores son totalmente accesibles desde la Internet pública, el análisis de vulnerabilidades resulta crucial.
• Servidores de aplicaciones: actúan como interfaz entre el servidor Web, las bases de datos del servidor y los sistemas heredados. Los piratas informáticos aprovechan las vulnerabilidades de estos servidores y sus secuencias de comandos para obtener acceso a las bases de datos internas que podrían almacenar datos privados. Algunas configuraciones de sitios Web no incluyen servidores de aplicaciones; el propio servidor Web está configurado para actuar como servidor de aplicaciones.
• Servidores de nombres de dominios (DNS): resuelven direcciones de Internet
convirtiendo los nombres de dominios en direcciones IP. Los comerciantes o los proveedores de servicios podrían usar sus propios servidores DNS o un servicio DNS proporcionado por sus ISP. Si los servidores DNS son vulnerables, los piratas informáticos pueden falsificar la página Web de un comerciante o un proveedor de servicios y recopilar información privada. • Servidores de correo electrónico: suelen existir en la DMZ y pueden ser vulnerables a
los ataques de piratas informáticos. Son un elemento fundamental para mantener la seguridad general de un sitio Web.
• Equilibradores de carga: aumentan el rendimiento y la disponibilidad de un entorno al distribuir la carga del tráfico entre varios servidores físicos. Si su entorno usa un equilibrador de carga, debe analizar cada servidor que se encuentre detrás del equilibrador.
Uso del análisis de vulnerabilidades Tipos de dispositivos para análisis
Tipos de análisis
Existen dos tipos básicos de análisis:
• Discovery scans (Análisis de descubrimiento): identifican los dispositivos que se van a analizar:
• DNS Discovery (Descubrimiento de DNS) identifica las direcciones IP activas dentro de un dominio.
• Network Discovery (Descubrimiento de redes) identifica las direcciones IP activas y los puertos abiertos en una red.
• Device audits (Auditorías de dispositivos): examinan un host, una dirección IP o un nombre de dominio para detectar puertos abiertos y vulnerabilidades.
Estándares de análisis
Los análisis de vulnerabilidades se basan en estos estándares:
• Estándar McAfee SECURE ™ : cumple los requisitos de auditoría relativos a las vulnerabilidades de seguridad de sitios Web impuestos por las leyes HIPAA, GRAMM-LEACH-BILEY, SARBANES-OXLEY y otras leyes federales.
• Estándar PCI: cumple con los emisores de tarjetas de crédito al satisfacer los requisitos de análisis de vulnerabilidades del estándar PCI DSS. Los dispositivos que procesan la información de pagos con tarjeta deben analizarse y probar su conformidad con este estándar trimestralmente.
Niveles de gravedad de vulnerabilidades
Los distintos estándares pueden asignar diversos niveles de gravedad a las vulnerabilidades. Debido a ello, es posible que los dispositivos cumplan el estándar McAfee SECURE pero no el estándar PCI, que cuenta con requisitos concretos desarrollados para dispositivos que procesan datos de pagos con tarjeta.
Descripción Nivel de gravedad
Proporciona a los intrusos capacidades de administrador remoto o usuario raíz remoto. Al aprovechar este tipo de vulnerabilidades, los piratas informáticos pueden poner en 5 (Urgente)
peligro todo el host. Esta categoría incluye vulnerabilidades que proporcionan capacidades de lectura y escritura de todo el sistema de archivos a los piratas informáticos, además de la posibilidad de ejecutar comandos de forma remota como usuario raíz o usuario administrador. Una vulnerabilidad también se califica como urgente si existen puertas traseras y troyanos.
Proporciona a los intrusos capacidades de usuario remoto, pero no de administrador remoto ni de usuario raíz Las vulnerabilidades críticas ofrecen a los piratas informáticos 4 (Crítico)
acceso parcial al sistema de archivos (por ejemplo, acceso total de lectura sin acceso total de escritura). Las vulnerabilidades que revelan información muy confidencial también se califican como críticas.
Ofrece a los piratas informáticos acceso a información concreta almacenada en el host, incluida la configuración de seguridad. Estas vulnerabilidades pueden tener como 3 (Alto)
consecuencia un posible mal uso del host por parte de los intrusos. La revelación parcial del contenido de los archivos, el acceso a algunos archivos del host, la navegación por directorios, la revelación de reglas de filtrado y mecanismos de seguridad, la posibilidad de sufrir ataques de denegación de servicio (DoS) y el uso no autorizado de servicios (como la retransmisión de correo) son ejemplos de ello. Expone cierta información confidencial del host, como versiones precisas de los servicios. Con esta información, los piratas informáticos podrían investigar posibles ataques para probarlos contra un host.
2 (Medio)
Uso del análisis de vulnerabilidades Tipos de análisis
Descripción Nivel de gravedad
Informativo, como puertos abiertos. 1 (Bajo)
Análisis manuales y planificados
Puede ejecutar análisis bajo demanda (se ponen en cola y finalizan en el plazo de 24 horas a partir de la hora de configuración) o planificarlos para que se realicen con carácter diario, semanal o mensual. Existen análisis manuales para probar vulnerabilidades identificadas en un análisis anterior y para cuya resolución haya tomado medidas. Entre ellos se encuentran los análisis no invasivos y "completos".