Cómo funciona un escáner de vulnerabilidades rojo
Así es como funciona un escáner de vulnerabilidades rojo.
#1: Crear inventario de activos
La identificación de activos es un objetivo fundamental al iniciar un análisis. La mayoría de las herramientas ofrecen esto automáticamente, y algunas otras requieren que instale agentes en el dispositivo local al que tiene atajo.
Las técnicas de escaneo pasivo son capaces de registrar silenciosamente el tráfico que se transmite a través de una red en individua, mientras que el escaneo activo juega un papel más importante en el siguiente paso.
#2: Establecer la superficie de ataque
A partir de ahí, el escáner de vulnerabilidades rojo comienza a trabajar en las diferentes aplicaciones y software que se ejecutan en los hosts de red. El escáner envía un flujo de paquetes especializados y evalúa cuidadosamente cómo responde cada host. El patrón de respuesta de los paquetes da pistas sobre qué software conectado a la red está instalado.
Los puntos de referencia, como las opciones de TCP, los tamaños de las ventanas y los valores de tiempo de vida, se comparan con una base de datos interna de métricas, lo que finalmente conduce a una estimación de la mejor confianza.
Esta detección remota funciona muy bien para identificar servidores y aplicaciones sitio web basados en la nube.
Otros análisis activos funcionan mediante la instalación de agentes ligeros, que luego recopilan datos más detallados sobre los programas en el dispositivo a los que es posible que no se pueda acceder inmediatamente a través de la red. Esto proporciona una imagen más detallada de las herramientas de seguridad del escáner en el siguiente paso.
#3: Identificar amenazas potenciales
A continuación, el escáner de vulnerabilidades rojo compara todos los activos con sus correspondientes bases de datos de vulnerabilidades. A menudo se trata de la base de datos interna de un proveedor, pero también se puede tomar de repositorios públicos, como la Base de datos Nacional de Vulnerabilidades.
Los escáneres también pueden adoptar un enfoque ligeramente diferente, como comprobar las configuraciones de software con una lista de mejores prácticas, como los criterios de autenticación correctos que se emplean para una base de datos confidencial.
Además de cualquier superposición con exploits conocidos, un escáner de vulnerabilidades moderno también debe buscar posibles rutas de ataque. Esto mapea los movimientos potenciales de un atacante hacia recursos y bases de datos altamente confidenciales. Esta es un beneficio clave de los análisis locales, ya que detectan fallos locales que se pueden emplear para la escalada de privilegios y el movimiento lateral.
Con todo esto en su lugar, el escáner puede mapear rutas de ataque completas o parciales.
#4: Generar reportes
Una vez evaluado el ancho de la superficie de ataque, cada vulnerabilidad y ruta de ataque se condensa en un reporte legible. A partir de aquí, depende de su equipo de seguridad implementar los cambios necesarios.
Los 2 tipos de herramientas de escaneo de vulnerabilidades rojas
Los análisis de vulnerabilidades se pueden realizar tanto desde el exterior como desde el interior del Red que se está probando.
Para obtener una descripción general rápida, los escaneos externos son buenos para determinar los puntos de ataque a los que se puede acceder desde la Internet pública; Los escaneos internos, por otro lado, pueden encontrar fallas dentro de una red que un atacante podría usar para mover lateralmente luego de obtener acceso.
Exámenes autenticados
Los exámenes autenticados o con credenciales se denominan debido a su requisito de credenciales de cuenta válidas o derechos de acceso al sistema de destino. Permiten que el proceso de análisis incluya:
- Configuración específica del usuario
- Controles de acceso
- Licencias
Esto significa que puede encontrar archivos de malware locales y detectar configuraciones de contraseñas débiles. Aun así, demasiados profesionales asumen que los análisis autenticados deben ejecutar localmente.
Sin embargo, la evaluación remota ahora es posible en muchas herramientas del mercado. Ya sea que se dirija de forma remota al dispositivo por dirección IP o se escaneen los servicios de Windows relevantes, una vez configurados, el dispositivo objetivo se escanea de manera regular en busca de vulnerabilidades de software.
Esta visibilidad más profunda significa que los análisis autenticados a menudo producen listas de vulnerabilidades más largas y existe un mayor riesgo de falsos positivos. Saber cómo encadenarlos en posibles patrones de ataque, y por lo tanto, un proceso de corrección correspondiente, es lo que separa a un buen escáner de vulnerabilidades de los mejores.
Exámenes no autenticados
Los exámenes no autenticados se realizan externamente y no requieren credenciales ni derechos de acceso específicos. El proceso de escaneo de puertos que ya mencionamos es un ejemplo de escaneo no autenticado, al igual que el mapeo de red.
Es esto lo que hace gran parte del trabajo pesado para proteger el rojo vulnerable: permite la detección de fallas de codificación de acceso público, como:
Esencialmente, los análisis no autenticados permiten descubrir cualquier vulnerabilidad que implique la entrada del usuario desde Internet.
Cómo maximizar los análisis de vulnerabilidades
Al seguir un serial de prácticas recomendadas, los análisis de vulnerabilidades pueden ser significativamente más productivos.
#1: Adopta un enfoque híbrido
A primera vista, los análisis no autenticados parecen mucho más útiles. Debido a que requieren menos recursos, es más fácil ejecutarlos con frecuencia, especialmente con prisa.
Sin embargo, para las organizaciones que emplean proveedores de administración de identidades y accesos, la carga de credenciales para el análisis autenticado se puede hacer mucho más rápido. Algunas herramientas líderes en el mercado ahora permiten una rápida incorporación de credenciales, lo que significa que los escaneos con credenciales se pueden realizar a un ritmo similar a los no autorizados.
Esto permite realizar pruebas de seguridad de red internas mucho más profundas. Junto a esto, algunas herramientas de escaneo ahora pueden probar la resistencia del dispositivo al relleno de credenciales intentando inicios de sesión con credenciales predeterminadas y de alto riesgo.
A medida que los análisis difuminan las líneas entre la detección de vulnerabilidades y las pruebas de penetración, elija la máxima eficiencia.
#2: Elige la frecuencia correcta
Cuantos más análisis se realicen, mayor será la probabilidad de que se encuentre una configuración incorrecta o una vulnerabilidad de seguridad antes de que se explote en la naturaleza. Sin embargo, demasiados riesgos de inestabilidad del sistema y mayores costos. Por eso es mejor elegir los momentos adecuados para ejecutar exámenes más pequeños y segmentados.
Esto también lo ayuda a detectar falsos positivos, ya que hay menos ruido dentro de los análisis dirigidos. Los escaneos más oportunos se realizan justo luego de implementar nuevos controles. Este análisis secundario confirma si los nuevos controles y correcciones resolvieron el problema, y se cerciora de que no se introdujeron nuevos problemas.
Estos análisis a menor escala también son ideales para evaluar cualquier evento de colaboración de archivos maliciosos.
En cuanto al cumplimiento de la industria, las demandas específicas pueden variar:
- Sin plazos determinados: SOC 2 e ISO 27001
- Trimestral a una vez al año: HIPAA, PCI DSS y GDPR
Sin embargo, ten en cuenta que estos tiempos no son necesariamente los adecuados para todas las compañías, dependen de tu propia tolerancia al riesgo y de tu punto de partida.
Implemente sus cambios posteriores al escaneo con Check Point Infinity
Check Point Infinity proporciona soporte de servicios gestionados para plataformas de evaluación de vulnerabilidades rojas en toda la industria: desde Microsoft Defender hasta Tenable One y los propios escáneres de vulnerabilidades de Check Point: descanse tranquilo en los análisis continuos, las mejoras de seguridad roja y los reportes mensuales de nuestros expertos. Profundice en cómo optimizamos la gestión de vulnerabilidades en la actualidad.
Comentarios