8.2. Definición de la evaluación y pruebas

Las evaluaciones de vulnerabilidad se pueden dividir en dos grandes categorias: Desde afuera viendo hacia adentro y Desde adentro viendo alrededor.

Cuando se lleva a cabo una evaluación de vulnerabilidad desde afuera, usted está tratando de comprometer sus sistemas desde afuera. Al posicionarse desde afuera de la compañía puede ver las cosas desde el punto de vista del intruso. Usted ve lo que ve un intruso ve — direcciones IP públicas, sistemas en su DMZ, las interfaces externas de su cortafuegos y más. DMZ viene de "zona desmilitarizada" lo que corresponde a un computador o a una pequeña subred que se coloca entre la red confiable interna, tal como la LAN corporativa, y una red externa no confiable, tal como la Internet. Típicamente, la DMZ contiene dispositivos accesibles al tráfico de la Internet, tal como servidores Web (HTTP), FTP, SMTP (correo electrónico) y servidores DNS.

Cuando realiza una evaluación de vulnerabilidad desde adentro, de alguna forma usted tiene una ventaja puesto que ya está adentro y su estatus es elevado y de confianza. Este es el punto de vista suyo y de sus compañeros de trabajo una vez que se conectan a los sistemas. Puede ver los servidores de impresión, servidores de archivos, bases de datos y otros recursos.

Hay diferencias importantes entre estos dos tipos de evaluaciones de vulnerabilidad. Siendo interno a su compañía le otorga mayores privilegios — mucho más que cualquier persona de fuera. Hoy día, en la mayoría de las organizaciones, la seguridad es configurada de forma tal que se mantengan a los intrusos afuera. Se hace muy poco para asegurar la parte interna de la organización (tales como cortafuegos departamentales, controles de acceso a nivel de usuario, procedimientos de autenticación para recursos internos y más). Típicamente, hay muchos más recursos cuando se está adentro y mirando alrededor pues la mayoría de los recursos son internos a la compañía. Una vez que se encuentra fuera de la compañía, inmediátamente se le da condición de no fiable. Los sistemas y recursos que tiene disponibles son típicamente mucho más limitados.

Considere la diferencia entre las evaluaciones de vulnerabilidad y las pruebas de penetración. Piense en una evaluación de vulnerabilidad como el primer paso de una prueba de penetración. La información reunida a partir de la evaluación será usada en las pruebas. Mientras que la evaluación de vulnerabilidad busca huecos y vulnerabilidades potenciales, las pruebas de penetración tratan de explotar los resultados.

El acceso a la infraestructura de red es un proceso dinámico. La seguridad, tanto de información como física, es dinámica. Al realizar una evaluación, se tiene una vista general, la cual puede arrojar falsos positivos y falsos negativos.

Los administradores de seguridad son buenos en la medida que también lo sean las herramientas que usen y el conocimiento que posean. Tome por ejemplo cualquier herramienta de evaluación disponible en el mercado y ejecútela en su sistema. Es casi que garantizado que encontrará al menos algunos falsos positivos. Bien sea por un error del programa o del usuario, el resultado es el mismo. La herramienta puede encontrar vulnerabilidades que en realidad no existen (falsos positivos), o peor aún, la herramienta puede que no encuentre vulnerabilidades que actualmente si existen (falsos negativos).

Ahora que ya estan definidas las diferencias entre evaluaciones de vulnerabilidad y pruebas de penetración, es una buena idea reunir las conclusiones de la evaluación y revisarlas cuidadosamente antes de llevar a cabo una prueba de penetración como parte de sus nuevos buenos hábitos.

AvisoAviso
 

Intentar explotar las vulnerabilidades sobre recursos en producción puede tener resultados adversos a la productividad y eficiencia de sus sistemas y redes.

A continuación se presenta una lista con algunas ventajas de llevar a cabo evaluaciones de vulnerabilidad.

8.2.1. Establecimiento de una metodología

Para facilitar en la selección de herramientas para las evaluaciones de vulnerabilidad, es útil establecer una metodología de evaluación de vulnerabilidad. Desafortunadamente, no existe actualmente una metodología predefinida o aprobada por la industria; sin embargo, el sentido común y los buenos hábitos pueden actuar como una guía completa.

¿Cuál es el objetivo? Se trata de sólo un servidor, o de la red completa y todo lo que esta dentro de ella? Somos internos o externos a la compañía? Las respuestas a estas preguntas son importantes pues le ayudaran a determinar no solamente cuáles herramientas seleccionar sino también la forma en que serán usadas.

Para aprender un poco más sobre el establecimiento de metodologías, refiérase a los siguientes sitios web: