1.2.2. Definición de evaluación y prueba

Las evaluaciones de vulnerabilidad se dividen en dos tipos: desde afuera mirando hacia adentro y desde adentro mirando alrededor.

Al realizar una evaluación de vulnerabilidades desde afuera mirando hacia adentro, usted está tratando de comprometer sus sistemas desde el exterior. Estando afuera de la compañía puede ver el punto de vista del cracker. Usted ve lo que el cracker ve — las direcciones IP enrutables públicamente, los sistemas en su DMZ, las interfaces externas de su cortafuegos, y mucho más. DMZ quiere decir "Zona desmilitarizada" la cual corresponde a un equipo o a una subred pequeña que se establece entre una red interna de confianza, tal como la Internet pública. Por lo general, la DMZ contiene dispositivos accesibles a tráfico de Internet, tal como servidores de red (HTTP), servidores FTP, servidores SMTP (correo-e) y servidores DNS.

Cuando realiza una evaluación de vulnerabilidad desde adentro mirando alrededor, usted tiene la ventaja de que es interno y su estatus se eleva a confiable. Este es el punto de vista que usted y sus cotrabajadores han registrado en sus sistemas. Usted verá servidores de impresión, servidores de archivos y otros recursos.

Hay distinciones impactantes entre los dos tipos de evaluación de vulnerabilidades. Al ser interno su compañía le otorgará más privilegios que a un externo. En la mayoría de las organizaciones, la seguridad es configurada para mantener a los intrusos fuera. Muy poco se hace para asegurar a los internos de la organización (tal como cortafuegos departamentales, controles de acceso de usuario y procedimientos de autenticación para recursos internos). Por lo general, hay muchos más recursos cuando se mira dentro alrededor ya que la mayoría de sistemas son internos para una compañía. Una vez que usted está fuera de la compañía su estatus pasa a no confiable. Los sistemas y recursos disponibles para usted de modo externo suelen ser limitados.

Considere la diferencia entre las evaluaciones de vulnerabilidad y las pruebas de penetración. Piense en la evaluación de vulnerabilidad como el primer paso para una prueba de penetración. La información obtenida de la evaluación se utiliza para pruebas. Mientras que la evaluación se lleva a cabo para comprobar si hay agujeros y vulnerabilidades potenciales, las pruebas de penetración en realidad intentan explotar los resultados.

La evaluación de la infraestructura de red es un proceso dinámico. La seguridad, tanto de la información como física, es dinámica. La realización de una evaluación muestra una visión general, la cual puede arrojar falsos positivos y falsos negativos.

Los administradores de seguridad son solamente tan buenos como las herramientas que utilizan y el conocimiento que posean. Elija cualquiera de las herramientas de evaluación disponibles en la actualidad, ejecútelas en el sistema, y es casi una garantía de que hay algunos falsos positivos. Ya sea por error del programa o del usuario, el resultado es el mismo. La herramienta puede encontrar vulnerabilidades que en realidad no existen (falsos positivos), o, peor aún, la herramienta no puede encontrar vulnerabilidades que en realidad sí existen (falsos negativos).

Ahora que la diferencia entre una evaluación de vulnerabilidad y una prueba de penetración está definida, tome los resultados de la evaluación y revíselos cuidadosamente antes de conducir una prueba de penetración como parte del nuevo enfoque de mejores prácticas.

La lista a continuación examina algunos de los beneficios para realizar evaluaciones de vulnerabilidad.