Es una forma de definir, identificar y clasificar errores de seguridad en un sistema de información. Implica descubrir debilidades en un entorno, fallas de diseño y medidas de seguridad en sistema operativo, aplicación o sitio web.
Se realiza mediante escáneres de vulnerabilidades que identifican configuraciones de dispositivos incluido tipo de sistema operativo, puertos abiertos y aplicaciones instaladas en sistema destino.
- Evaluaciones Activas
- Evaluaciones Pasivas
Envío activo de solicitudes directas a la red, servidores y examen de respuestas
Es el rastreo y lectura de paquetes para descubrir vulnerabilidades, servicios y puertos
- Evaluación Externa
- Evaluación Interna
Proceso de evaluación con perspectiva de atacante real para descubrir vulnerabilidades que puedan ser atacadas desde fuera de la red
Consiste en descubrir vulnerabilidades mediante la revisión de la red e infraestructura tecnológica interna
- Evaluación Dinámicas
- Evaluaciones Estáticas
Se realiza cuando el sistema se está ejecutando
Se realiza analizando el código fuente de la aplicación
Ciclo de Vida de Evaluación de Vulnerabilidades
- Determinación de Línea Base
- Revisión de Vulnerabilidades
- Evaluación de Riesgo
- Remediación
- Verificación
- Monitoreo
Sistema de Puntuación de Vulnerabilidades (CVSS)
Puntuación del 0 al 10 que se representa en puntuación cualitativa como ninguno (0) baja (0.1 al 3), media (4.0al 6.0) alta (7.0 al 8.0) y crítica (9.0 al 10) para priorización de gestión de vulnerabilidades. Para determinar la puntuación se considera:
Vector de ataque (VA)
Identifica si se requiere estar físicamente en la misma red o redes cercanas o remotamente para explotar la vulnerabilidad
Complejidad de ataque (AC)
Nivel de conocimientos requeridos para explotar la vulnerabilidad
Privilegio requerido (PR)
Indica si se requieren accesos lógicos para utilizar la vulnerabilidad
Integración de usuario (UI)
Indica que la vulnerabilidad funciona cuando el usuario interactúa con un elemento que desencadena ésta
Alcance (S)
Identifica si la vulnerabilidad solo afecta al activo con que se relaciona o puede hacer cambios al entorno
Confidencialidad (C)
Nivel de afectación a la confidencialidad de la información
Integridad (I)
Nivel de afectación a la integridad de la información
Disponibilidad (A)
Nivel de afectación a la disponibilidad de información
- TOP 10 de Vulnerabilidades del OWASP
La Fundación OWASP “Proyecto abierto de seguridad de aplicaciones” (Web Open Web Application Security Project), es un organismo sin ánimo de lucro que apoya y gestiona los proyectos de infraestructura de ciberseguridad.
- Inyección
- Autenticación rota
- Exposición de datos sensibles
- Entidades externas XML
- Control de acceso dañado
- Configuraciones Incorrectas de seguridad
- Secuencias de comandos entre sitios
- Deserialización Insegura
- Usar componentes de vulnerabilidad conocidas
- Registro y monitoreo insuficientes
Inyección
- Fallas en inyección como SQL, OS y LDAP
- Datos no confiables son enviados a un intérprete como parte de una consulta
Autenticación rota
- Autenticación y gestión de sesiones implementadas incorrectamente
- Se comprometen usuarios y contraseñas para asumir la identidad de otros usuarios
Exposición de datos sensibles
- Robo y modificación de datos sensibles como información financiera, salud o información personalmente identificable para fraudes con tarjetas de crédito, robos de identidad u otros delitos
- Se requieren métodos de protección adicionales como el cifrado almacenamiento y tránsito
Entidades externas XML
- Uso de entidades externas para revelar archivos internos mediante archivos internos en servidores no actualizados, escaneo de puertos LAN, ejecución de código remoto y atques de denegación de servicio (DoS)
Control de acceso dañado
- Restricciones de usuarios autenticados que no se ejecutan correctamente
- Acceso de forma no autorizada a funcionalidades y/o datos, cuentas de usuarios, archivos sensibles, modificar datos, cambiar derechos de acceso y permisos
Configuraciones Incorrectas de seguridad
- Se requiere configuración segura para la aplicación, marcos de trabajo, servidor web, plataforma, bases de datos, servidor de aplicación
- Mantener software y librerías de código actualizadas
Secuencias de comandos entre sitios (XSS)
- Ocurre cuando la aplicación toma datos no confiables y los envía al navegador web sin una validación y codificación apropiada
- Permite a los atacantes ejecutar secuencias de comandos en el navegador, secuestrar sesiones de usuario, destruir sitios web, dirigir al usuario hacia un sitio malicioso
Deserialización Insegura
- Restauración de flujo de bytes a una replica funcional de objeto original
Usar componentes de vulnerabilidad conocidas
- Los componentes como bibliotecas y frameworks se ejecutan con los mismos privilegios de la aplicación
- Si se explota un componente vulnerable, el atacante puede provocar pérdida de datos y/o tomar control del servidor
Registro y monitoreo insuficientes
- Falta de respuesta ante incidentes permiten a los atacantes pivotear entre otros sistemas, manipular, extraer o destruir datos