Ciberseguridad: cómo realizar correctamente evaluaciones de vulnerabilidad en su organización


Evaluar la postura de seguridad de los dispositivos es una parte importante para proteger los datos y las comunicaciones. Siga estos pasos para asegurarse de hacerlo correctamente.

concepto de ciberseguridad

Imagen: iStock / Stock Depot

Una forma infalible de averiguar qué problemas de seguridad están presentes dentro de su organización es ser víctima de un ataque. Cuando el polvo se haya asentado, un informe detallado que consta de registros, cambios y datos de informes de ataques a menudo describirá todo lo que period vulnerable, señalando el camino hacia las tareas de remediación necesarias para cerrar cualquier agujero.

VER: Los 5 principales lenguajes de programación que deben aprender los administradores de seguridad (PDF gratuito) (TechRepublic)

Por supuesto, existe una forma mucho mejor que no implica ser víctima de un ciberataque. En lugar de esperar a convertirse en una víctima y reaccionar ante ella, un enfoque más proactivo es realizar evaluaciones de vulnerabilidad de los dispositivos y servicios en su crimson con regularidad para obtener informes sobre qué problemas se encuentran, su grado de gravedad y qué pasos deben tomarse. para corregir estas vulnerabilidades.

«La seguridad siempre va a ser un juego del gato y el ratón porque habrá gente que esté buscando el premio del día cero, hay gente que no tiene gestión de configuración, no tiene gestión de vulnerabilidad, don no dispone de gestión de parches «. – Kevin Mitnick, consultor de seguridad, hacker y autor.

Con la cita anterior en mente y considerando que la crimson empresarial puede no pertenecer necesariamente a usted, hay algunas cosas que resolver antes de cargar la última copia de Kali Linux y realizar todos los escaneos que pueda imaginar. Puede haber repercusiones (organizativas, financieras, regulatorias y casi con certeza legales) que es posible que desee trabajar con varias partes interesadas de la empresa antes de proceder con cualquier compromiso de prueba de penetración.

Comunicarse con las partes interesadas

Si cree que el proceso de escaneo es la parte más importante de la evaluación, está muy equivocado. Como se mencionó anteriormente, la comunicación es el quid de lo que hace (o rompe) un compromiso de prueba de penetración. Es la delgada línea entre estar autorizado para realizar este compromiso en nombre de la empresa o meterse en problemas por un intento de piratería.

VER: Qué hacer y qué no hacer en las videoconferencias (PDF gratuito) (TechRepublic)

Primero, identifique a las partes interesadas, incluidos los miembros relevantes, como los miembros del departamento de administración, seguridad, redes y TI, y los jefes de recursos humanos, tal vez, miembros de la junta … cualquier persona que deba ser parte de la conversación debe ser incluida.

Planifique el alcance y la escala de los escaneos

Una vez que se ha identificado el equipo de partes interesadas, los diversos miembros deben determinar el alcance y la escala de la evaluación, incluidos los dispositivos, subredes y servicios que deben ser objetivo, así como aquellos que están estrictamente fuera de los límites. Además, incluya información sobre cuándo deben realizarse los análisis, especialmente cuando las evaluaciones tienen el potencial de afectar el uso y los recursos de la purple debido a los procesos involucrados en el análisis.

VER: Lo que puede revelar un año de pruebas de penetración sobre el estado de la ciberseguridad (TechRepublic)

La determinación de lo que se va a escanear, cuándo y cómo, incluidos los activos que deben excluirse, debe incluirse en el documento de las Reglas de compromiso y cumplirse explícitamente para minimizar la posibilidad de causar daños o impactar negativamente continuidad del negocio.

Recopilar información de destino

Con las reglas establecidas y el alcance identificado, es hora de que comience el compromiso. Dependiendo del tipo de prueba de penetración que se haya acordado (prueba blanca, gris o de caja negra), es posible que tenga poca, toda o ninguna información disponible. Suponiendo que no se proporciona información, es mejor comenzar con la etapa de recopilación de información, utilizando herramientas como Nmap para realizar escaneos de descubrimiento en los dispositivos, redes y puertos en los que se ejecutan los servicios, no solo para pintar una imagen del panorama de pruebas, sino también para Obtenga información sobre las aplicaciones y los servicios que se ejecutan en los dispositivos de destino.

VER: Cómo instalar herramientas de seguridad comunes a través de Homebrew en una Mac (TechRepublic)

Al tomar las huellas digitales de cada dispositivo, los detalles importantes estarán disponibles y permitirán al evaluador identificar las herramientas necesarias para continuar mejor con la evaluación de vulnerabilidades. Tenga en cuenta que si bien los escáneres de uso typical pueden proporcionar una cantidad significativa de información sobre posibles vulnerabilidades, en aras de ser lo más exhaustivos posible, ciertas herramientas están diseñadas para una evaluación de servicio específica, como las que están optimizadas para servidores website o aplicación fuzzing.

Realización de evaluaciones

El avance con las evaluaciones críticas vendrá después de que se hayan obtenido todos los datos del dispositivo utilizando una combinación de herramientas de evaluación de vulnerabilidades de propósito normal y especializadas, según sea necesario. No hay dos evaluaciones iguales, por lo que las herramientas que se utilizan, cómo se configuran y cómo se lleva a cabo el proceso de evaluación variarán enormemente en función de una serie de factores internos y externos. Con esto en mente, es importante configurar las herramientas y sus respectivos complementos y módulos de acuerdo con las reglas de participación para limitar el daño que se puede causar a los sistemas debido a escaneos configurados de manera agresiva.

VER: Verificación de la realidad del ransomeware: todos los departamentos de TI necesitan un plan de seguridad, comenzando con una política sólida de respaldo de datos (TechRepublic)

Los escaneos de ajuste fino suelen ser una buena prueba antes de comenzar la evaluación authentic solo para obtener algunas líneas de foundation para no sobrepasar los límites de los dispositivos que se están probando. A menudo es necesaria una mayor optimización durante los compromisos para tener en cuenta las variaciones que pueden ocurrir, incluido el aumento o la disminución de la utilización.

Correlacionar comentarios en informes

Como cada una de las herramientas se ejecuta durante la evaluación, sin darse cuenta proporcionarán datos basados ​​en las respuestas del dispositivo. Estos datos deberán correlacionarse en grupos si no lo han hecho ya las herramientas respectivas en varias categorías de amenazas que varían en severidad. Esto ayuda a identificar, de un vistazo, las amenazas más importantes para las menos. Sin embargo, antes de seguir adelante con la creación de estos informes y menos aún de distribuirlos entre las partes interesadas, es imperativo que los resultados de las pruebas se verifiquen como verdaderos positivos para evitar perder tiempo y esfuerzo en corregir problemas que pueden no existir.

VER: SpyCloud y CyberDefenses unen fuerzas en el esfuerzo de seguridad electoral (TechRepublic)

Se deben crear varios informes que contengan varios niveles de detalle e información técnica, dependiendo de la audiencia destinataria. Por ejemplo, los miembros de la junta y la alta gerencia pueden preferir una vista resumida de los elementos encontrados según el nivel de prioridad, comenzando con los elementos de la categoría de alta amenaza. Por el contrario, los profesionales de TI que se encargarán del proceso de reparación probablemente apreciarán un informe más detallado que explique qué sistemas se ven afectados y cómo realizar las medidas correctivas.

Realizar una evaluación de riesgos basada en los datos del informe

Con las evaluaciones completas y verificadas, y los informes generados, las partes interesadas deben volver a reunirse para realizar evaluaciones de riesgos de los dispositivos con vulnerabilidades para determinar cómo proceder con la corrección de problemas (mitigación), comprender el riesgo y elegir dejar los dispositivos afectados como están ( aceptación), interrumpir inmediatamente el uso de dispositivos y servicios (evitación), o implementar soluciones de terceros para reemplazar las existentes (transferencia).

VER: Synack: las agencias federales y los bancos han realizado la mayor cantidad de mejoras en ciberseguridad (TechRepublic)

Cada sistema tendrá su propio conjunto de requisitos para manejar mejor la evaluación de amenazas y probablemente requerirá una solución única para los otros elementos de la lista. Nuevamente, en un esfuerzo por minimizar el riesgo y optimizar la cantidad de tiempo dedicado a remediar mejor las inquietudes, tener un prepare de acción claro que detalle cómo proceder servirá para resolver rápida y eficientemente los elementos de evaluación y asegurar los dispositivos y servicios.

Implementar tareas de remediación

Con todos los aspectos de la evaluación completos, los riesgos evaluados y los informes proporcionados a cada una de las partes interesadas clave, la corrección puede comenzar ahora abordando los hallazgos del informe. Si bien todas las tareas deben completarse lo antes posible, es una mejor práctica comenzar a abordar las amenazas de alta prioridad primero, luego pasar a las amenazas de prioridad media y finalmente a las de baja prioridad para minimizar la posibilidad de que los dispositivos o servicios se vean comprometidos y explotados por reduciendo la superficie de ataque typical al tiempo que se limita la gravedad de las posibles consecuencias.

VER: El estudio de percepción de la ciberseguridad muestra una creciente admiración por los profesionales (TechRepublic)

Una vez que se han realizado las remediaciones, se debe tener mucho cuidado para verificar que las evaluaciones efectivamente se hayan corregido. A veces, esto puede ocurrir simplemente parcheando los dispositivos y volviendo a ejecutar las actualizaciones de software program para confirmar que se han instalado las actualizaciones pendientes. En otras ocasiones, volver a realizar el compromiso de prueba puede confirmar que se han abordado los problemas previamente identificados, al tiempo que proporciona información adicional si han surgido problemas adicionales (y a veces anteriormente omitidos).

Programar exploraciones para evaluaciones periódicas

El análisis de evaluación de vulnerabilidades debe programarse como parte de un proceso de gestión de cambios continuo, centrado en mantener una postura de seguridad de alto nivel para los dispositivos y servicios que componen la purple de la organización.

Dependiendo de las necesidades de la empresa y de las políticas corporativas, incluidos los requisitos normativos, es muy recomendable que se implemente una estrategia continua que lleve a cabo evaluaciones programadas regularmente de la postura de seguridad para determinar no solo dónde pueden existir los problemas, sino cómo deben ser corregido en el futuro.

Ver también



Enlace a la noticia original