La observación de estas prácticas recomendadas para el análisis acreditado le ayudará a pintar la imagen más clara de las vulnerabilidades potenciales de su red.
El análisis de vulnerabilidades representa una de las herramientas más importantes para que una organización moderna incluya en su arsenal de seguridad de la información. Pero como es cierto en muchas prácticas de ciberseguridad, tiene sus variaciones, entre ellas ser acreditado y escaneo no acreditado.
No queremos ocuparse demasiado de su tiempo explicando por qué el escaneo acreditado es superior, lo que se deriva específicamente de su amplitud y análisis preciso. En su lugar, vamos a centrarnos en cómo puede llevar a cabo de manera más eficaz los análisis acreditados y, por lo tanto, siempre debe ser plenamente consciente de los posibles puntos de debilidad de su red organizativa.
Delegar (y revocar) credenciales apropiadamente
El análisis acreditado implica realizar una evaluación de vulnerabilidades mediante el uso de una herramienta a la que se ha concedido un cierto nivel de acceso a la cuenta para buscar a través de hosts y archivos de programa que contienen información confidencial. Dichas credenciales pueden pertenecer técnicamente a cualquier cuenta autenticada en el sistema. No tienen que estar asociados con la identidad y la posición de la persona que supervisa o autoriza el análisis (o cualquier otra persona en la organización, para el caso). De hecho, será más eficaz crear una cuenta ficticia con los permisos adecuados que únicamente existe para realizar exploraciones acreditadas, en lugar de otorgar al software de evaluación de vulnerabilidades las credenciales de un miembro real del personal de alto rango.1
Es esencial que las herramientas de análisis de vulnerabilidades siempre tengan las credenciales adecuadas para la naturaleza y el alcance del análisis en cuestión. (Para los exámenes de Windows y Linux, deben estar en el nivel de administrador o raíz – aunque para Linux, el nivel raíz no siempre es necesario.) Esto permite a los analizadores acceder a tantas áreas de la red como sea necesario, y erradicar las vulnerabilidades y exposiciones comunes (CVEs) dondequiera que se escondan. Dicho esto, es perfectamente razonable modificar las credenciales cuando los análisis no se están llevando a cabo, ya sea eliminando la cuenta ficticia o deshabilitando su acceso durante estos períodos de inactividad.
Desacreditar el mito del ancho de banda
En virtud de su mayor acceso, la eficacia del análisis acreditado en el descubrimiento de vulnerabilidades empequeñece la del análisis no acreditado. Sin embargo, todavía hay algunos administradores de TI que son recelosos del análisis acreditado porque temen interrupciones del servicio como resultado del aumento del tráfico o son reacios a lo intrusivo que puede ser este tipo de evaluación.
Sin embargo, si bien es importante limitar la obtrusividad operativa de un análisis tanto como sea posible, la cantidad de tráfico creado en términos de paquetes enviados es bastante baja (a menudo menos de 1.000 paquetes) y mucho menor que la de un análisis no acreditado. Un análisis realizado sin las credenciales adecuadas puede enviar cientos de miles de paquetes mientras realiza las consultas necesarias para encontrar vulnerabilidades.2 En marcado contraste, los análisis acreditados generan muchos menos paquetes porque las herramientas que ejecutan estas funciones ya tienen permisos de acceso que un análisis no acreditado necesita «pedir».
Es por eso que la obtención de las credenciales adecuadas para cada análisis es esencial, por lo que el exceso de tráfico no se genera debido a las solicitudes de permiso evitables.
Analizar en relación con las versiones de parches
La investigación de Tenable ha encontrado que el infosec y los profesionales de TI descubren un nuevo CVE aproximadamente cada 90 minutos. En una escala más amplia, miles de vulnerabilidades de gravedad «alta» y «crítica» se revelan cada año. Esta es la razón por la que la aplicación de parches tan pronto como estén disponibles – y tan pronto como sea posible – se ha convertido en una práctica bastante estándar en infosec.
Pero si permite que el personal parchee manualmente en lugar de depender en gran medida de las actualizaciones automatizadas, es posible que le preocupe que ciertos departamentos se retaban en los parches. La ejecución de un análisis acreditado determinará rápidamente si algún CVEs se ha deslizado a través de las grietas resultantes de las oportunidades de aplicación de parches perdidas y le permitirá saber a qué riesgos ha estado expuesto. También hace que una acción inmediata que puede tomar en respuesta a la presión de la suite C sobre un nuevo CVE que ha hecho titulares tecnológicos y ha planteado preocupaciones entre el personal superior. Como práctica recomendada, realice análisis de vulnerabilidades al menos una vez a la semana, o idealmente, dos veces.
Solucionar problemas de análisis de forma rápida y adecuada
Cuando un análisis acreditado llega a su conclusión, usted debe tener resultados completos que describan el paisaje de su red (o cualquier sección de la misma) y detallen cualquier CVEs o defectos descubiertos. A partir de ahí se puede empezar a pensar en deshacerse de esas debilidades y fortalecer su arquitectura de red contra los ciberataques tanto como sea posible. Pero, ¿y si hubiera problemas con la exploración? Los resultados no serán tan exhaustivos y precisos como su organización necesite.
La aplicación de la lógica de la maquinilla de afeitar de Occam al problema le deja con la respuesta probable: las credenciales no se configuraron correctamente. La alerta de error de autenticación de Nessus Professional – plugin 21745 – le avisa rápidamente de este problema, por lo que puede reconfigurar los permisos correctamente y ejecutar otro análisis. La gestión adecuada de sus herramientas y credenciales de análisis de vulnerabilidades garantizará que siempre esté informado de (y preparado para) los CVEs más recientes y alarmantes.
Comience a ejecutar exploraciones con credenciales hoy mismo con Nessus Professional, contáctese con nosotros para asesorarlo escríbanos a [email protected]
