Llegamos a ustedes gracias a:



Reportajes y análisis

La gestión de vulnerabilidades sigue siendo atractiva

[24/02/2011] Los organismos inteligentes de seguridad han ido mucho más allá de solo pensar en términos de evaluar y abordar las vulnerabilidades. Ahora la gestión de las mismas es una piedra angular de la seguridad de la empresa y los programas de riesgo y cumplimiento. Así como los puntos de vista de los riesgos de TI han madurado, del mismo modo lo han hecho las herramientas de manejo de la vulnerabilidad, que ahora son compatibles con un ciclo de vida continuo en toda la empresa descubriendo las vulnerabilidades, rehabilitando y presentando informes.

El ámbito de aplicación de los productos disponibles también se ha ampliado a medida que aumentan los requerimientos de cumplimiento de las normas y las empresas empiezan a buscar controles de cambio más definidos y aplicados con fuerza. Los vendedores también han respondido al panorama ampliado de amenazas, en el que el escaneo de vulnerabilidades de red sigue en juego, pero en cual la capa de aplicaciones e incluso la seguridad y rehabilitación de la base de datos se han convertido en esenciales.
El proceso de selección de un producto con gestión de vulnerabilidad es mucho más complicado que responder a la pregunta: "¿Quién hace la mejor evaluación de vulnerabilidades?"
Un producto o suite de administración de vulnerabilidades con todas sus características debe ser capaz de soportar, como mínimo, un ciclo de vida repetible de descubrimiento y recuento de activos, detección de vulnerabilidad, evaluación de riesgos, evaluación de la conformidad de configuración, gestión del cambio y reparación, verificación y auditoría, así como presentación de informes.
"El ciclo completo de las cosas que hay que hacer siempre está en curso", señala un administrador de seguridad en una importante institución financiera que utiliza los productos de gestión de vulnerabilidades de McAfee. "El final de la historia es que una vez que haya terminado con la reparación, hay que seguir para repetir el proceso. Tienes que hacerlo de manera consistente y sobre una base regular".
La mayoría de los jugadores más importantes han estado en este mercado por años, como proveedores de productos, proveedores de servicios o una combinación de los dos, dándole a usted una amplia gama de empresas con amplia experiencia y un largo historial para elegir. Los vendedores incluyen Beyond Security, McAfee, nCircle, Perimeter e-Security, Qualys, Rapid7 y Tenable Netwqrk Security (creadores del antiguo escáner de código abierto Nessus).
Lo Esencial de la gestión de vulnerabilidades
En sus fundamentos, las herramientas de administración de vulnerabilidades realizan dos tareas básicas: Ayudarle a descubrir el patrimonio a través de sus redes y detectar las vulnerabilidades, por lo general en los sistemas operativos y aplicaciones clave.
La fase de descubrimiento vale la pena en sí misma, aunque las organizaciones a menudo pasan por alto su importancia, solucionando lo que saben o, más exactamente, lo que ellos piensan que saben, sobre lo que está en su red.
"Puede pensar que tiene un inventario sólido de red", señala el gerente de seguridad en la institución financiera. "Una empresa que dice que no tiene conexiones inalámbricas, ¿cómo lo saben si no están haciendo un monitoreo con sistemas inalámbricos de detección de intrusos? Serán desaprobados por un auditor que le haga ese tipo de preguntas".
Las herramientas de gestión de la vulnerabilidad exploran la red buscando hosts, enumeran los servicios de red y utilizan una variedad de técnicas para determinar posibles vulnerabilidades, incluyendo la obtención de información del banner (como el sistema operativo y versión de servidor web), para determinar el estado del puerto, el cumplimiento del protocolo y comportamiento del servicio. Si se descubre un puerto abierto, se comprueba el estado de los activos en su base de datos de firmas de vulnerabilidad.
Las exploraciones pasivas, que se basan en el seguimiento del tráfico de red, son particularmente útiles para el descubrimiento básico y enumeración de activos porque son rápidos y discretos. También pueden utilizarse como complemento de la exploración activa, en particular cuando no tienen el tiempo o la autorización para llevar a cabo una exploración agresiva en una red de producción en vivo.
"Puede aprender, por ejemplo, donde están todos los correos electrónicos y los servidores DNS. Se sorprenderá de lo duro que es hacerlo en una gran organización", señala Ron Gula, CEO y CTO en Tenable Security. "Un servidor DNS válido detrás de un firewall activado puede estar aceptando consultas de DNS, pero no desde un escáner. Es muy útil siendo capaz de encontrar pasivamente toda esa información".
Las exploraciones activas se pueden realizar con o sin credenciales de autenticación. Las credenciales permiten que los escáneres accedan a un servidor u otro activo con derechos administrativos, y obtengan información amplia y detallada. Estas exploraciones son vulnerabilidades muy precisas -muchas de ellas no se pueden verificar sin tener acceso autenticado y son necesarias cuando el escáner está reuniendo información de configuración. También consumen más tiempo y son potencialmente perjudiciales; además, agregan una sobrecarga de seguridad, ya que debe gestionar esas credenciales de manera segura.
Las herramientas de gestión de vulnerabilidad suelen soportar tanto exploraciones activas como pasivas.
Escaneo con agente de vulnerabilidad versus escaneo sin agente
Las guerras religiosas entre los vendedores y usuarios finales, sin embargo, giran entorno a escaneos basados con agentes y sin agentes.
En el lado positivo, los agentes:
*Siempre están encendidos, lo que le permite obtener información sin necesidad de iniciar un análisis.
*Permiten tener información muy detallada de la configuración, sistema operativo, servicio y aplicación y además reducen la posibilidad de falsos positivos.
*No son perjudiciales.
*No son susceptibles a fallas ocasionales de exploraciones activas (interferencia de firewall, paquetes perdidos, entre otros).
En el lado negativo, los agentes:
*Tienen que ser administrados, lo cual requiere que las organizaciones asuman los gastos generales de lidiar con otro agente en sus máquinas.
*Puede causar conflictos, en función de qué otra cosa se esté ejecutando.
*Puede estar prohibido por la regulación o la política en algunas máquinas.
*No se puede utilizar en dispositivos que no dispongan de interfases que los soporten, incluyendo dispositivos de red tales como routers y switches.
*Sólo se puede colocar en dispositivos administrados conocidos, por lo que aún se necesita de escaneo, como mínimo, para el descubrimiento de activos.
"La evaluación de la tecnología de vulnerabilidad necesita desplegar un agente cuando sea posible, y no utilizar agentes donde no es posible", señala Chenxi Wang, analista principal de Forrester Research. "Los agentes dan una visión mucho más profunda de la configuración de un dispositivo y los servicios que se ejecutan en él. No hay comparación en la información que usted es capaz de ver."
Y un enfoque intermedio es utilizar agentes temporales, que pueden ser colocados en un dispositivo de destino para recopilar información en ausencia de un análisis; luego, eliminados cuando el trabajo está hecho.
Parches y más allá
Apoyando el ciclo de vida de gestión de la vulnerabilidad. El caso principal son los parches de seguridad. Usted se da cuenta de que los servidores, routers y lo demás que está en su red están ejecutando sistemas operativos o aplicaciones con vulnerabilidades particulares para que pueda aplicar los parches de seguridad correctos. Luego vuelve a escanear para determinar si el parche se ha aplicado correctamente.
Sin embargo, es probable que los parches sean ineficaces y de algún modo sean del tipo de oferta tómela o déjela, sin un programa formal de administración de vulnerabilidades con políticas bien definidas y evaluación de riesgos de negocios y procesos de control de cambios.
Las herramientas maduras de gestión de vulnerabilidades de clase empresarial proporcionan:
* Descubrimiento de activos, dando a las organizaciones una lista completa de los dispositivos autorizados y no autorizados y las aplicaciones en sus redes.
* Detección de vulnerabilidades, a través de tecnología basada en agentes o sin agentes.
* La evaluación de riesgos, basada en una combinación de la gravedad de las vulnerabilidades conocidas, la probabilidad de explotar y el valor que la organización asigna a los activos vulnerables. Esto permite la priorización de la rehabilitación.
Cambio de control. Este es el momento de la verdad. La herramienta debe enviar un ticket de trabajo al personal de operaciones a través de cualquier sistema apropiado que la empresa utiliza para la rehabilitación, con prioridad sobre la base de la evaluación de riesgos. El proceso de cambio de control debe ser capaz de verificar que la reparación se haya realizado y verificado por una nueva exploración antes de que el ticket se pueda cerrar.
Auditando para el cumplimiento de normativas e información interna. La herramienta debe proporcionar reportes personalizables y fuera de la caja que puedan asignar los datos de gestión de la vulnerabilidad a las regulaciones aplicables y requerimientos de las políticas.
Administración de la configuración
Uno puede discutir si el término "vulnerabilidad" se debe aplicar solo a las debilidades explotables en el código, o si debe ampliarse a los errores de configuración o de imposibilidad de seguir las mejores prácticas de configuración. Sin embargo, cometer una falla en configurar de forma segura los dispositivos, sistemas operativos e inclusive las aplicaciones, en concordancia con los controles regulatorios y las políticas corporativas, puede dejarlos vulnerables a ataques.
"Las vulnerabilidades van y vienen. Las van a tener", señala Renaud Deraison, jefe de investigación sostenible y creador de Nessus. "La auditoría de configuración se asegura de que la estrategia de seguridad vaya en la dirección correcta, mientras que el parche es el día a día".
Las regulaciones son un factor clave, que requiere que las empresas sigan prácticas estándares de configuración segura para todo, incluidas las contraseñas administrativas por defecto, la activación o desactivación de servicios, y la intensidad de cifrado adecuada. La mayoría de los proveedores de gestión de vulnerabilidades, por lo tanto, han ampliado sus capacidades para incluir la detección de configuración. La configuración de activos tiene que ser determinada por un escaneo autenticado o por agentes, y debe ser comparada con las directrices de reglamentación, las políticas y, usualmente, con un estándar de oro para el dispositivo (por ejemplo, un servidor web Apache o un router de Cisco). Es un tema aburrido sin una herramienta automatizada.
"En empresas anteriores en las que he trabajado, lo haría en forma manual y comprobaría algunas configuraciones", señala Shaheen Abdul Jabbar, un consultor de seguridad y autor del blog Snajsoft.com. "Si hubiera tenido una herramienta automatizada, habría salvado mi día".
El ciclo de detección-remediación de auditoría es esencialmente el mismo para las vulnerabilidades. La diferencia principal está en establecer una configuración segura de referencia, en lugar de solo detectar una falla de codificación.
"Las verificaciones de configuración contra una línea base, así como un objetivo mínimo que alcanzar son extremadamente importantes, señala el gerente de seguridad de la institución. "Realizo un gran esfuerzo para conseguir la implementación estándar que quiero. Si hay una desviación importante, quiero saberlo de inmediato.
Escaneo de aplicaciones y bases de datos
Muchos de los productos de gestión de vulnerabilidades han ampliado su gama de capacidades para incluir las aplicaciones web y, en algunos casos, el escaneo de vulnerabilidad de base de datos. Mientras que el escaneo de red sigue siendo la función central, los principales fabricantes están adoptando la actitud de que una vulnerabilidad es una vulnerabilidad.
Yo debería ser capaz de conseguir una herramienta y decir: 'Quiero escanear todo en esta caja: aplicaciones, redes, parches del sistema operativo", porque me preocupo acerca de las vulnerabilidades, punto", señala el gerente de seguridad.
Sin embargo, las pruebas de vulnerabilidad de aplicaciones son complicadas y difíciles. Las pruebas dinámicas de las aplicaciones web, por ejemplo, requieren rastrear sitios y probar una gran variedad y complejidad de los posibles puntos débiles, tales como combinaciones de miles de posibilidades de entrada, para determinar si existe una vulnerabilidad explotable.
La mayoría de las vulnerabilidades se encuentran en la capa de la aplicación, y ahí es donde los atacantes centran su energía. Pero las organizaciones han sido muy lentas en responder a este vector de amenazas. A medida que las empresas aumentan su energía para entregar nuevas aplicaciones web en línea, los desarrolladores están bajo una presión intensa de tiempo y presupuesto para centrarse en el funcionamiento de las características, no en la seguridad. El resultado es que las grandes organizaciones tienen miles de aplicaciones que están plagadas de fallas de seguridad, y pocas empresas tienen algo parecido a ciclos de vida seguros de desarrollo de software.
Las vulnerabilidades de las aplicaciones son difíciles de detectar y toman mucho tiempo y dinero para ser reparadas, sobre todo si se compara con la facilidad de parchar una vulnerabilidad de Windows o la corrección de un error de configuración.
Por otra parte, el mercado de seguridad de aplicaciones ha sido durante mucho tiempo el terreno de proveedores de servicios que tienen experiencia en aplicaciones, la cual sigue siendo escasa. Así que ¿por qué buscar la aplicación de escaneo en una herramienta de gestión de vulnerabilidades?
El cumplimiento es un factor importante. Las empresas pueden al menos tener un primer corte adhiriéndose a las normas que ahora requieren medidas de seguridad de la aplicación.
"Debido al cumplimiento, el CSO tiene que asegurarse de que estas aplicaciones se han desplegado de forma segura en los entornos de producción", indica Amer Deeba, director de marketing de Qualys. "La gestión de vulnerabilidades está convergiendo para ubicar todo en una vista centralizada". Así, dice, los administradores de red pueden hacer frente a los resultados del análisis de vulnerabilidades de red, y los propietarios de las aplicaciones pueden trabajar con los desarrolladores para remediar las vulnerabilidades encontradas por el escáner de la aplicación.
"Sin embargo, la organización de seguridad y el CISO son responsables de la seguridad", añade.
La exploración de vulnerabilidades de base de datos tiene poca demanda. Las bases de datos en general están relativamente aisladas en la parte posterior de la infraestructura corporativa de TI, y están expuestas a ataques principalmente a través de las aplicaciones que interactúan con el público. Por esa razón, el principal foco de seguridad es, correctamente, cómo mantener alejados a los atacantes del acceso a la base de datos, a través de las aplicaciones.
La seguridad de la base de datos, y los controles regulatorios de los mismos, se han centrado principalmente en el control de la información privilegiada a través de la separación de funciones, un sólido control de acceso y el control de la actividad.
Neil Roiter, SCO (US)