Evaluar la postura de seguridad de los dispositivos es una parte importante para proteger los datos y las comunicaciones. Siga estos pasos para asegurarse de hacerlo correctamente.
Una forma infalible de averiguar qué problemas de seguridad están presentes dentro de su organización es ser víctima de un ataque. Cuando el polvo se haya asentado, un informe detallado que consta de registros, cambios y datos de informes de ataques a menudo describirá todo lo que era vulnerable, señalando el camino hacia las tareas de remediación necesarias para cerrar cualquier agujero.
Por supuesto, existe una forma mucho mejor que no implica ser víctima de un ciberataque. En lugar de esperar a convertirse en una víctima y reaccionar ante ella, un enfoque más proactivo es realizar evaluaciones de vulnerabilidad de los dispositivos y servicios en su red con regularidad para obtener informes sobre qué problemas se encuentran, su grado de gravedad y qué pasos deben tomarse. para corregir estas vulnerabilidades.
“La seguridad siempre va a ser un juego del gato y el ratón porque habrá gente que esté buscando el premio del día cero, hay gente que no tiene gestión de configuración, no tiene gestión de vulnerabilidad, don no dispone de gestión de parches “. – Kevin Mitnick, consultor de seguridad, hacker y autor.
Con la cita anterior en mente y considerando que la red empresarial puede no pertenecer necesariamente a usted, hay algunas cosas que resolver antes de cargar la última copia de Kali Linux y realizar todos los escaneos que pueda imaginar. Puede haber repercusiones (organizativas, financieras, regulatorias y casi con certeza legales) que es posible que desee trabajar con varias partes interesadas de la empresa antes de proceder con cualquier compromiso de prueba de penetración.
Comunicarse con las partes interesadas
Si cree que el proceso de escaneo es la parte más importante de la evaluación, está muy equivocado. Como se mencionó anteriormente, la comunicación es el quid de lo que hace (o rompe) un compromiso de prueba de penetración. Es la delgada línea entre estar autorizado para realizar este compromiso en nombre de la empresa o meterse en problemas por un intento de piratería.
Primero, identifique las partes interesadas, incluidos los miembros relevantes, como los miembros del departamento de administración, seguridad, redes y TI, y los jefes de recursos humanos, tal vez, los miembros de la junta … cualquier persona que deba ser parte de la conversación debe ser incluida.
Planifique el alcance y la escala de los escaneos
Una vez que se ha identificado el equipo de partes interesadas, los diversos miembros deben determinar el alcance y la escala de la evaluación, incluidos los dispositivos, subredes y servicios que deben ser objetivo, así como aquellos que están estrictamente fuera de los límites. Además, incluya información sobre cuándo deben realizarse los análisis, especialmente cuando las evaluaciones tienen el potencial de afectar el uso y los recursos de la red debido a los procesos involucrados en el análisis.
La determinación de lo que se va a escanear, cuándo y cómo, incluidos los activos que deben excluirse, debe incluirse en el documento de las Reglas de compromiso y cumplirse explícitamente para minimizar la posibilidad de causar daños o impactar negativamente continuidad del negocio.
Recopilar información de destino
Con las reglas establecidas y el alcance identificado, es hora de que comience el compromiso. Dependiendo del tipo de prueba de penetración que se haya acordado (prueba blanca, gris o de caja negra), es posible que tenga poca, toda o ninguna información disponible. Suponiendo que no se proporciona información, es mejor comenzar con la etapa de recopilación de información, utilizando herramientas como Nmap para realizar escaneos de descubrimiento en los dispositivos, redes y puertos en los que se ejecutan los servicios, no solo para pintar una imagen del panorama de pruebas, sino también para Obtenga información sobre las aplicaciones y los servicios que se ejecutan en los dispositivos de destino.
Al tomar las huellas digitales de cada dispositivo, los detalles importantes estarán disponibles y permitirán al evaluador identificar las herramientas necesarias para continuar mejor con la evaluación de vulnerabilidades. Tenga en cuenta que si bien los escáneres de uso general pueden proporcionar una cantidad significativa de información sobre posibles vulnerabilidades, en aras de ser lo más exhaustivos posible, ciertas herramientas están diseñadas para una evaluación de servicio específica, como las que están optimizadas para servidores web o aplicación fuzzing.
Realización de evaluaciones
El avance con las evaluaciones críticas vendrá después de que se hayan obtenido todos los datos del dispositivo utilizando una combinación de herramientas de evaluación de vulnerabilidades de propósito general y especializadas, según sea necesario. No hay dos evaluaciones iguales, por lo que las herramientas que se utilizan, la forma en que se configuran y la forma en que se lleva a cabo el proceso de evaluación variarán enormemente en función de varios factores internos y externos. Con esto en mente, es importante configurar las herramientas y sus respectivos complementos y módulos de acuerdo con las reglas de participación para limitar el daño que se puede causar a los sistemas debido a escaneos configurados de manera agresiva.
Los escaneos de ajuste fino suelen ser una buena prueba antes de comenzar la evaluación real solo para obtener algunas líneas de base para no sobrepasar los límites de los dispositivos que se están probando. A menudo es necesaria una mayor optimización durante los compromisos para tener en cuenta las variaciones que pueden ocurrir, incluido el aumento o la disminución de la utilización.
Correlacionar comentarios en informes
Como cada una de las herramientas se ejecuta durante la evaluación, sin darse cuenta proporcionarán datos basados en las respuestas del dispositivo. Estos datos deberán correlacionarse en grupos si no lo han hecho ya las herramientas respectivas en varias categorías de amenazas que varían en severidad. Esto ayuda a identificar, de un vistazo, las amenazas más importantes para las menos. Sin embargo, antes de seguir adelante con la creación de estos informes y menos aún de distribuirlos entre las partes interesadas, es imperativo que los resultados de las pruebas se verifiquen como verdaderos positivos para evitar perder tiempo y esfuerzo en corregir problemas que pueden no existir.
Se deben crear varios informes que contengan varios niveles de detalle e información técnica, dependiendo de la audiencia destinataria. Por ejemplo, los miembros de la junta y la alta gerencia pueden preferir una vista resumida de los elementos encontrados según el nivel de prioridad, comenzando con los elementos de la categoría de alta amenaza. Por el contrario, los profesionales de TI que se encargarán del proceso de reparación probablemente apreciarán un informe más detallado que explique qué sistemas se ven afectados y cómo realizar las medidas correctivas.
Realizar una evaluación de riesgos basada en los datos del informe
Con las evaluaciones completas y verificadas, y los informes generados, las partes interesadas deben volver a reunirse para realizar evaluaciones de riesgos de los dispositivos con vulnerabilidades para determinar cómo proceder con la corrección de problemas (mitigación), comprender el riesgo y elegir dejar los dispositivos afectados como están ( aceptación), interrumpir inmediatamente el uso de dispositivos y servicios (evitación), o implementar soluciones de terceros para reemplazar las existentes (transferencia).
Cada sistema tendrá su propio conjunto de requisitos para manejar mejor la evaluación de amenazas y probablemente requerirá una solución única para los otros elementos de la lista. Nuevamente, en un esfuerzo por minimizar el riesgo y optimizar la cantidad de tiempo dedicado a remediar mejor las inquietudes, tener un plan de acción claro que detalle cómo proceder servirá para resolver rápida y eficientemente los elementos de evaluación y asegurar los dispositivos y servicios.
Implementar tareas de remediación
Una vez que se hayan completado todos los aspectos de la evaluación, se hayan evaluado los riesgos y se hayan proporcionado los informes a cada una de las partes interesadas clave, la reparación puede comenzar ahora abordando los hallazgos del informe.
Si bien todas las tareas deben completarse lo antes posible, es una mejor práctica comenzar a abordar las amenazas de alta prioridad primero, luego pasar a las amenazas de prioridad media y finalmente a las de baja prioridad para minimizar la posibilidad de que los dispositivos o servicios se vean comprometidos y explotados por reduciendo la superficie de ataque general al tiempo que se limita la gravedad de las posibles consecuencias.
Una vez que se han realizado las remediaciones, se debe tener mucho cuidado para verificar que las evaluaciones efectivamente se hayan corregido.
A veces, esto puede ocurrir simplemente parcheando los dispositivos y volviendo a ejecutar las actualizaciones de software para confirmar que se han instalado las actualizaciones pendientes.
En otras ocasiones, volver a realizar el compromiso de prueba puede confirmar que se han abordado los problemas identificados anteriormente, al tiempo que proporciona información adicional si han surgido problemas adicionales (y, a veces, problemas previamente omitidos).
Programar exploraciones para evaluaciones periódicas
El análisis de evaluación de vulnerabilidades debe programarse como parte de un proceso de gestión de cambios continuo, centrado en mantener una postura de seguridad de alto nivel para los dispositivos y servicios que componen la red de la organización.
Dependiendo de las necesidades de la empresa y de las políticas corporativas, incluidos los requisitos normativos, es muy recomendable que se implemente una estrategia continua que lleve a cabo evaluaciones programadas regularmente de la postura de seguridad para determinar no solo dónde pueden existir los problemas, sino cómo deben ser corregido en el futuro.