Alonso Caballero / ReYDeS

Una vulnerabilitat és considerada una debilitat la qual podria ser utilitzada d’alguna manera per comprometre la confidencialitat, integritat, o disponibilitat d’un sistema d’informació. En una avaluació de vulnerabilitats, la meta és crear un inventari simple de les vulnerabilitats descobertes dins de l’entorn en avaluació. Aquest concepte de l’entorn és extremadament important. S’ha d’estar segur de romandre dins de l’abast de la xarxa de client i els objectius requerits. Sortir de l’abast de l’avaluació poden causar una interrupció de l’servei, una bretxa de confiança amb el client, o una acció legal contra el professional o l’ocupador.

a causa de la seva relativa simplicitat, una prova de vulnerabilitats és freqüentment completat en entorns més madurs de forma regular com a part de demostrar la seva deguda diligència. En molts casos una eina automàtica com aquelles incloses en les categories “Anàlisi de Vulnerabilitats” i “Aplicacions Web” al lloc web de Kali Linux i el seu menú d’aplicacions, són utilitzades per descobrir sistemes en viu en l’entorn en avaluació, identificar serveis en atenció, i enumerar per descobrir tanta informació com sigui possible, com el programari servidor, versió, plataforma, etc.

Aquesta informació és després verificada per firmes conegudes de problemes o vulnerabilitats potencials. Aquestes signatures estan constituïdes de combinacions de punts de dades, els quals tenen com a propòsit representar problemes coneguts. Múltiples punts de dades són utilitzats, perquè com més punts de dades s’utilitzin més precisa la identificació. Existeixen un gran nombre de punts de dades existents, incloent però no limitat a:

Versió de el Sistema Operatiu: És comú el programari sigui vulnerable sobre una versió de sistema operatiu però no a un altre. A causa d’això l’escàner intentarà determinar tan precisament com sigui possible, com versió de sistema operatiu és allotjant l’aplicació.

Nivell de Pegat: Moltes vegades els pegats per a un sistema operatiu podrien ser publicats sense incrementar la informació de la versió, però això canvia la manera en la qual respondrà una vulnerabilitat, o fins i tot eliminen completament la vulnerabilitat.

Arquitectura de l’Processador: Moltes aplicacions de programari estan disponibles per a múltiples arquitectures de processadors, com Intel x86, Intel x64, múltiples versions d’ARM, UltraSPARC, etc. En alguns casos una vulnerabilitat podria únicament existir sobre una arquitectura específica, amb la qual cosa conèixer aquesta petita informació pot ser crític per a una signatura precisa.

Versió de programari: La versió del programari és un dels elements més bàsics necessaris a ser capturats per identificar una vulnerabilitat.

Aquests i molts altres punts de dades seran utilitzades per constituir una signatura com a part d’una escaneig de vulnerabilitats. Com s’espera, com més punts de dades coincideixin més precisa serà la signatura. Quan es tracta amb coincidències de signatures, es pot tenir alguns potencials resultats diferents:

Veritables Positius: La signatura coincideix i captura una vulnerabilitat veritable. Aquests resultats són aquells necessaris a corregir, ja que aquests són elements maliciosos els quals poden ser aprofitats per individus per fer mal a l’organització (o client).

Falsos Positius: La signatura coincideix però el problema detectat no és una vulnerabilitat veritable. En una avaluació aquestes són freqüentment considerades sorolloses i poden ser molt frustrants. Mai es vol descartar un positiu veritable com un fals positiu sense una validació més extensiva.

Veritables Negatius: La signatura no coincideix i no és una vulnerabilitat. Aquest és l’escenari ideal, el verificar la vulnerabilitat no existeix.

Falsos Negatius: La signatura no coincideix però és una vulnerabilitat existent. Tan dolent com és un fals positiu, un fals negatiu és molt pitjor. En aquest cas hi ha un problema, però l’escàner no té indicis de la seva existència.

Com es pot imaginar, la precisió de les signatures és extremadament important per tenir resultats precisos. Com més dades es proporcionen, major les probabilitats de tenir resultats precisos des d’una escaneig automàtic basat en signatures, la qual cosa és perquè els escanejos autenticats són freqüentment tan populars.

Amb una cerca autenticat el programari per escaneig utilitzarà les credencials proporcionades per autenticar-se a allò a avaluar. Això proporciona un nivell profund de visibilitat dins de l’entorn en avaluació de la qual cosa seria possible d’una altra manera.Per exemple una cerca normal pot únicament detectar informació sobre el sistema, el qual pot ser derivat des dels serveis en atenció, i la funcionalitat proporcionada. Això pot ser algunes vegades força informació, però no pot competir amb el nivell i profunditat de dades dels quals podrien ser obtinguts si s’autentica cap al sistema, i revisar exhaustivament tot el programari instal·lat, pegats aplicats, processos en funcionament, etc. Aquesta amplitud de dades és útil per detectar vulnerabilitats, els quals d’una altra manera no s’haurien descobert.

Un avaluació de vulnerabilitats ben realitzat presenta una instantània de potencials problemes en una organització, i proporciona mètriques per mesurar canvis a al llarg de el temps. Això és una avaluació bastant lleugera, però fins i tot així, moltes organitzacions regularment realitzar escanejats automàtics fora d’horaris, per evitar potencials problemes durant el dia, quan la disponibilitat dels serveis i l’ample de banda són el més crític.

Un escaneig de vulnerabilitats haurà de verificar molts diferents punts de dades per obtenir un resultat precís. Totes aquestes diferents verificacions poden crear una càrrega en el sistema en avaluació, com també consumir ample de banda. Desafortunadament és difícil conèixer exactament quants recursos es consumiran, ja que això depèn de el nombre de serveis oberts i tipus de verificacions dels quals podrien estar associats amb aquests serveis. Aquest és el cost de fer un escaneig, va ocupar recursos de sistema. Tenir una idea general dels recursos a ser consumits i quanta carrega el sistema pot tenir és important quan s’executen aquestes eines.

Quan finalitza un escaneig de vulnerabilitats, els problemes descoberts són típicament enllaçats amb identificadors estàndard de la indústria, com a número CVE, EDB-ID, i anuncis de proveïdors. Aquesta informació, juntament amb la puntuació CVSS de les vulnerabilitats, són utilitzats per determinar la classificació de el risc. Juntament amb falsos negatius (i falsos positius), aquestes qualificacions de risc associat són problemes comuns necessari de considerar quan s’analitzin els resultats de l’escaneig.

A causa de les eines automàtiques utilitzen una base de dades de signatures per detectar vulnerabilitats, qualsevol desviació lleu des firmes conegudes pot alterar els resultats, i probablement la validesa de la vulnerabilitat percebuda. Un fals positiu ressalta incorrectament una vulnerabilitat la qual no existeix, mentre un fals negatiu és efectivament cec cap a una vulnerabilitat i no ho reporta. A causa d’això, un escaner freqüentment es diu únicament és tan bo com la seva base de regles de signatures. És per això que molts proveïdors proporcionen múltiples conjunts de signatures: un podria ser lliure per a usuaris casolans i un altre conjunt bastant costós el qual és més complet, a més de ser generalment venut cap a clients corporatius.

Un altre problema freqüentment trobat amb els escanejos de vulnerabilitats és la validesa de les qualificacions suggerides de el risc. Aquestes qualificacions de risc són definits sobre bases genèriques, considerant molts diferents factors com el nivell de privilegi, tipus de programari, i pre o post autenticació. Depenent de l’entorn aquestes qualificacions poden o no ser aplicables, de tal manera aquestes no han de ser acceptats cegament. Únicament aquelles bé versades en els sistemes, poden adequadament validar la qualificació de el risc de les vulnerabilitats

Encara que no hi ha un acord universalment definit sobre les puntuacions de el risc, la publicació especial de NIST 800-30, es recomana com base per a l’avaluació de les qualificacions de el risc, i la seva precisió en l’entorn. NIST SP 80-30 defineix el veritable risc de la vulnerabilitat descoberta com una combinació de probabilitat d’ocurrència i impacte potencial.

Leave a Comment

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *