Logrando redes saludables
Por Mariano Vázquez, Técnico Superior en Comunicaciones (ORT), NSP, Support Engineer en BCD.
Es muy importante entender la importancia de mantener las redes de nuestra organización de manera saludable.
Los protocolos, sistemas operativos y las aplicaciones sufren continuas actualizaciones, sobre todo los sistemas operativos y las aplicaciones. Dichas actualizaciones muchas veces suman funcionalidades, pero muchas otras sirven para solucionar problemas de seguridad, y es ahí donde debemos tener especial cuidado.
Las vulnerabilidades en seguridad informática, hacen referencia a las debilidades en los sistemas permitiendo a un atacante violar la confidencialidad, integridad y disponibilidad de los mismos.
En otras palabras, cuando un protocolo, sistema operativo y/o aplicación poseen bugs, estos son susceptibles de ser aprovechados por distintos actores como pueden ser los virus, worms, hackers y/o cualquier tipo de código malware, para atentar contra los tres principios fundamentales de la seguridad informática.
Es necesario mantener la seguridad de las redes internas, como así también de las redes externas o DMZ (Demilitarized Zone) que es donde generalmente se encuentran los equipos de cara a Internet los cuales brindan distintos servicios de cara a la Web, tales como; un Web Server, e-mail Server, un DNS Server, SFTP Server, entre otros. En esta nota nos concentraremos en las redes internas dado que el escaneo de vulnerabilidades de redes externas es otro capitulo a parte.
Para mantener la seguridad en nuestras redes, es necesario realizar un escaneo periódico de todas nuestras redes a nivel interno y externo, en lo posible internamente en forma mensual, para de esta forma detectar anomalías en la topología como así también, estar en conocimiento detallado de nuestros puntos más vulnerables, y de esta forma poder mensurar el riesgo. Cabe destacar que además del escaneo de vulnerabilidades se utilizan herramientas específicas de evaluación y comportamiento del tráfico, para detectar anomalías en la red como por ejemplo Netflow.
Las herramientas que pueden ser utilizadas, y a mi criterio las más convenientes son:
• Nessus.
• OpenVas.
• SSS.
• Retina.
No es mi objetivo realizar un análisis de estas herramientas, aunque si voy a decir que mi favorita es Nessus, por su relación costo$ beneficio. Asimismo, si no disponemos presupuesto, OPenVas me parece muy buena opción también. Existen herramientas pagas muy buenas también pero el costo es significativamente diferente para lograr los mismos resultados que Nessus.
Tips de seguridad acerca de los resultados de un escaneo
1. Cuando tenemos los resultados del escaneo y luego de analizarlos, para lograr celeridad por parte de las áreas que intervienen en su remediación, es aconsejable concientizar mostrándoles cómo pudiera ser realizado un ataque sobre los problemas reportados, su nivel de dificultad, y el tiempo que tomaría realizarlo.
2. A menudo, los profesionales de seguridad hablamos de riesgo y para muchos otros sectores, esto se vuelve un abstracto, con lo cual de esta forma bajamos al mundo real y decimos y mostramos que ocurriría si sufriéramos un ataque y cómo afectaría en la operatoria del negocio. Obviamente hay que ser muy preciso y objetivo en el tema, analizando el modelo de riesgo y sus mitigantes debido a que no es lo mismo tener un Windows vulnerable directamente conectado a Internet que atrás de un firewall.
3. A la hora de corregir vulnerabilidades debe comenzarse por las vulnerabilidades más riesgosas, o en su defecto, analizar muy bien los mitigantes que las atenúan.
4. Es necesario documentar los falsos positivos producto del escaneo.
5. Es conveniente separar las vulnerabilidades por plataforma en aras de desconcentrar el conocimiento de las vulnerabilidades, es decir, a un ingeniero de seguridad en plataformas Microsoft podrían interesarle o servirle de poco las vulnerabilidades en sistemas Posix, pero por el contrario, esto nos resta seguridad estando acorde con el principio de “menores privilegios”.
6. En todo momento es importante contar con personal especializado en el tema. Las improvisaciones en este contexto no hacen más que impactar en la seguridad de nuestras redes, y por lo tanto, comprometer la seguridad de nuestros negocios, en amplios sentidos. Todos sabemos que… bueno, bonito y barato no existe.
7. Siempre es conveniente realizar un delta con el mes y/o meses anteriores para ver la evolución y forma del riesgo.
8. Recordar que el escaneo de vulnerabilidades será una tarea constante, y no la meta a la cual llegar, esto quiere decir que el riesgo baja o sube dependiendo de factores como nuevas vulnerabilidades, amenazas pero siempre estará presente.
9. Cuanto más se tarda en remediar una vulnerabilidad esta se hace más peligrosa en el tiempo, en base a que surgen distintos scripts para explotarla, hasta llegar al nivel masivo el que conocemos como "scripts Kiddies".
10. Nunca hay que confiar en la seguridad por oscuridad, dado que no es confiable. Por más que no se vea… el riesgo siempre está.
11. Recordar que muchos fixes son acumulativos y que no siempre un fix más nuevo corrige problemas anteriores de seguridad.
12. La mejor manera de lograr una concientización del riesgo de las vulnerabilidades dentro de una organización, es demostrar con hechos concretos la factibilidad, facilidad del ataque y las herramientas que pudieran utilizarse para tales fines. Obviamente sin llegar a concretar la explotación de las vulnerabilidades, salvo que la empresa lo requiera, y en ese caso se aconseja realizar una prueba de concepto acotada, en un ambiente controlado.
Conclusiones
Es recomendable que muchas Empresas tomen real conciencia de la necesidad de contar con un monitoreo periódico y continuo del estado de salud de los equipos que integran sus redes.
Debe entenderse que los problemas en seguridad informática son continuos, constantes y exponenciales. Cuanto antes dispongamos del expertise necesario para hacer frente a este tipo de problemas, menos costo pagaremos en el futuro.
En definitiva, el escanear la red en forma periódica, nos permite disponer de una foto instantánea de los problemas de seguridad que pudieran existir en nuestras redes, lo que traducido a niveles de riesgo estos pudieran concluir en pérdidas monetarias.
Es muy importante entender la importancia de mantener las redes de nuestra organización de manera saludable.
Los protocolos, sistemas operativos y las aplicaciones sufren continuas actualizaciones, sobre todo los sistemas operativos y las aplicaciones. Dichas actualizaciones muchas veces suman funcionalidades, pero muchas otras sirven para solucionar problemas de seguridad, y es ahí donde debemos tener especial cuidado.
Las vulnerabilidades en seguridad informática, hacen referencia a las debilidades en los sistemas permitiendo a un atacante violar la confidencialidad, integridad y disponibilidad de los mismos.
En otras palabras, cuando un protocolo, sistema operativo y/o aplicación poseen bugs, estos son susceptibles de ser aprovechados por distintos actores como pueden ser los virus, worms, hackers y/o cualquier tipo de código malware, para atentar contra los tres principios fundamentales de la seguridad informática.
Es necesario mantener la seguridad de las redes internas, como así también de las redes externas o DMZ (Demilitarized Zone) que es donde generalmente se encuentran los equipos de cara a Internet los cuales brindan distintos servicios de cara a la Web, tales como; un Web Server, e-mail Server, un DNS Server, SFTP Server, entre otros. En esta nota nos concentraremos en las redes internas dado que el escaneo de vulnerabilidades de redes externas es otro capitulo a parte.
Para mantener la seguridad en nuestras redes, es necesario realizar un escaneo periódico de todas nuestras redes a nivel interno y externo, en lo posible internamente en forma mensual, para de esta forma detectar anomalías en la topología como así también, estar en conocimiento detallado de nuestros puntos más vulnerables, y de esta forma poder mensurar el riesgo. Cabe destacar que además del escaneo de vulnerabilidades se utilizan herramientas específicas de evaluación y comportamiento del tráfico, para detectar anomalías en la red como por ejemplo Netflow.
Las herramientas que pueden ser utilizadas, y a mi criterio las más convenientes son:
• Nessus.
• OpenVas.
• SSS.
• Retina.
No es mi objetivo realizar un análisis de estas herramientas, aunque si voy a decir que mi favorita es Nessus, por su relación costo$ beneficio. Asimismo, si no disponemos presupuesto, OPenVas me parece muy buena opción también. Existen herramientas pagas muy buenas también pero el costo es significativamente diferente para lograr los mismos resultados que Nessus.
Tips de seguridad acerca de los resultados de un escaneo
1. Cuando tenemos los resultados del escaneo y luego de analizarlos, para lograr celeridad por parte de las áreas que intervienen en su remediación, es aconsejable concientizar mostrándoles cómo pudiera ser realizado un ataque sobre los problemas reportados, su nivel de dificultad, y el tiempo que tomaría realizarlo.
2. A menudo, los profesionales de seguridad hablamos de riesgo y para muchos otros sectores, esto se vuelve un abstracto, con lo cual de esta forma bajamos al mundo real y decimos y mostramos que ocurriría si sufriéramos un ataque y cómo afectaría en la operatoria del negocio. Obviamente hay que ser muy preciso y objetivo en el tema, analizando el modelo de riesgo y sus mitigantes debido a que no es lo mismo tener un Windows vulnerable directamente conectado a Internet que atrás de un firewall.
3. A la hora de corregir vulnerabilidades debe comenzarse por las vulnerabilidades más riesgosas, o en su defecto, analizar muy bien los mitigantes que las atenúan.
4. Es necesario documentar los falsos positivos producto del escaneo.
5. Es conveniente separar las vulnerabilidades por plataforma en aras de desconcentrar el conocimiento de las vulnerabilidades, es decir, a un ingeniero de seguridad en plataformas Microsoft podrían interesarle o servirle de poco las vulnerabilidades en sistemas Posix, pero por el contrario, esto nos resta seguridad estando acorde con el principio de “menores privilegios”.
6. En todo momento es importante contar con personal especializado en el tema. Las improvisaciones en este contexto no hacen más que impactar en la seguridad de nuestras redes, y por lo tanto, comprometer la seguridad de nuestros negocios, en amplios sentidos. Todos sabemos que… bueno, bonito y barato no existe.
7. Siempre es conveniente realizar un delta con el mes y/o meses anteriores para ver la evolución y forma del riesgo.
8. Recordar que el escaneo de vulnerabilidades será una tarea constante, y no la meta a la cual llegar, esto quiere decir que el riesgo baja o sube dependiendo de factores como nuevas vulnerabilidades, amenazas pero siempre estará presente.
9. Cuanto más se tarda en remediar una vulnerabilidad esta se hace más peligrosa en el tiempo, en base a que surgen distintos scripts para explotarla, hasta llegar al nivel masivo el que conocemos como "scripts Kiddies".
10. Nunca hay que confiar en la seguridad por oscuridad, dado que no es confiable. Por más que no se vea… el riesgo siempre está.
11. Recordar que muchos fixes son acumulativos y que no siempre un fix más nuevo corrige problemas anteriores de seguridad.
12. La mejor manera de lograr una concientización del riesgo de las vulnerabilidades dentro de una organización, es demostrar con hechos concretos la factibilidad, facilidad del ataque y las herramientas que pudieran utilizarse para tales fines. Obviamente sin llegar a concretar la explotación de las vulnerabilidades, salvo que la empresa lo requiera, y en ese caso se aconseja realizar una prueba de concepto acotada, en un ambiente controlado.
Conclusiones
Es recomendable que muchas Empresas tomen real conciencia de la necesidad de contar con un monitoreo periódico y continuo del estado de salud de los equipos que integran sus redes.
Debe entenderse que los problemas en seguridad informática son continuos, constantes y exponenciales. Cuanto antes dispongamos del expertise necesario para hacer frente a este tipo de problemas, menos costo pagaremos en el futuro.
En definitiva, el escanear la red en forma periódica, nos permite disponer de una foto instantánea de los problemas de seguridad que pudieran existir en nuestras redes, lo que traducido a niveles de riesgo estos pudieran concluir en pérdidas monetarias.
Comentarios
Publicar un comentario
siempre es bueno, leer tus comentarios