1.2.2. Definición de evaluación y prueba

Las evaluaciones de vulnerabilidad se dividen en dos tipos: desde afuera mirando hacia adentro y desde adentro mirando alrededor.
Al realizar una evaluación de vulnerabilidades desde afuera mirando hacia adentro, usted está tratando de comprometer sus sistemas desde el exterior. Estando afuera de la compañía puede ver el punto de vista del cracker. Usted ve lo que el cracker ve — las direcciones IP enrutables públicamente, los sistemas en su DMZ, las interfaces externas de su cortafuegos, y mucho más. DMZ quiere decir "Zona desmilitarizada" la cual corresponde a un equipo o a una subred pequeña que se establece entre una red interna de confianza, tal como la Internet pública. Por lo general, la DMZ contiene dispositivos accesibles a tráfico de Internet, tal como servidores de red (HTTP), servidores FTP, servidores SMTP (correo-e) y servidores DNS.
Cuando realiza una evaluación de vulnerabilidad desde adentro mirando alrededor, usted tiene la ventaja de que es interno y su estatus se eleva a confiable. Este es el punto de vista que usted y sus cotrabajadores han registrado en sus sistemas. Usted verá servidores de impresión, servidores de archivos y otros recursos.
Hay distinciones impactantes entre los dos tipos de evaluación de vulnerabilidades. Al ser interno su compañía le otorgará más privilegios que a un externo. En la mayoría de las organizaciones, la seguridad es configurada para mantener a los intrusos fuera. Muy poco se hace para asegurar a los internos de la organización (tal como cortafuegos departamentales, controles de acceso de usuario y procedimientos de autenticación para recursos internos). Por lo general, hay muchos más recursos cuando se mira dentro alrededor ya que la mayoría de sistemas son internos para una compañía. Una vez que usted está fuera de la compañía su estatus pasa a no confiable. Los sistemas y recursos disponibles para usted de modo externo suelen ser limitados.
Considere la diferencia entre las evaluaciones de vulnerabilidad y las pruebas de penetración. Piense en la evaluación de vulnerabilidad como el primer paso para una prueba de penetración. La información obtenida de la evaluación se utiliza para pruebas. Mientras que la evaluación se lleva a cabo para comprobar si hay agujeros y vulnerabilidades potenciales, las pruebas de penetración en realidad intentan explotar los resultados.
La evaluación de la infraestructura de red es un proceso dinámico. La seguridad, tanto de la información como física, es dinámica. La realización de una evaluación muestra una visión general, la cual puede arrojar falsos positivos y falsos negativos.
Los administradores de seguridad son solamente tan buenos como las herramientas que utilizan y el conocimiento que posean. Elija cualquiera de las herramientas de evaluación disponibles en la actualidad, ejecútelas en el sistema, y es casi una garantía de que hay algunos falsos positivos. Ya sea por error del programa o del usuario, el resultado es el mismo. La herramienta puede encontrar vulnerabilidades que en realidad no existen (falsos positivos), o, peor aún, la herramienta no puede encontrar vulnerabilidades que en realidad sí existen (falsos negativos).
Ahora que la diferencia entre una evaluación de vulnerabilidad y una prueba de penetración está definida, tome los resultados de la evaluación y revíselos cuidadosamente antes de conducir una prueba de penetración como parte del nuevo enfoque de mejores prácticas.

Aviso

El intento por explorar vulnerabilidades en recursos de producción puede tener efectos adversos de productividad y eficiencia de sus sistemas y redes.
La lista a continuación examina algunos de los beneficios para realizar evaluaciones de vulnerabilidad.
  • Crea un enfoque proactivo en la seguridad de la información.
  • Busca vulnerabilidades potenciales antes de que los agresores las encuentren
  • Resulta en sistemas que se mantienen actualizados y corregidos.
  • Promueve crecimiento y ayuda en el desarrollo de conocimientos del personal.
  • Abate pérdidas financieras y publicidad negativa

1.2.2.1. Establece una metodología

Para ayudar en la selección de herramientas para una evaluación de vulnerabilidad, es útil establecer una metodología de evaluación de la vulnerabilidad. Infortunadamente, no existe una metodología predefinida o aprobada por la industria en este momento, sin embargo, el sentido común y los buenos hábitos pueden actuar como una guía completa.
¿Qué es un destino? Estamos buscando en un servidor, o estamos buscando en la red total y en todo lo que hay dentro de la red? ¿Somos externos o internos para la compañía? Las respuestas a estas preguntas son importantes ya que ayudan a determinar no solamente cuáles herramientas se deben seleccionar sino también la forma como se utilizan.
Para obtener mayor información sobre el establecimiento de metodologías, consulte las siguientes páginas web: