Actualizar preferencias de cookies
| 27 de septiembre de 2021

Escaneo de vulnerabilidades, ¿qué implica?

En esta guía, aprenderá los fundamentos del escaneo de vulnerabilidades y su evaluación, cómo funciona, así como consejos para gestionar mejor las vulnerabilidades de su red.

Autor/a: Kent Weigle, de Vicarius

Compartir en    

Si eres un experto en ciberseguridad, sabrás que una de las mejores maneras de prevenir una filtración de datos es mediante el escaneo de vulnerabilidades.

Para predecir cómo podrían entrar los ciberdelincuentes en su sistema, el escaneo vulnerabilidades es uno de los métodos más fáciles. Sin embargo, este escaneo no consiste únicamente en detectar vulnerabilidades en su entorno, sino que trata de remediar y cambiar sus procesos, asegurándose de priorizar y resolver dichas vulnerabilidades una vez hayan sido descubiertas.

En esta guía, aprenderá los fundamentos del escaneo de vulnerabilidades y su evaluación, cómo funcionan y consejos para gestionar mejor las vulnerabilidades de su red. Pero antes de profundizar, abordemos esta cuestión:

¿Son necesarios los escaneos de vulnerabilidades?

Como consecuencia de la fragilidad de la tecnología o de los sistemas, muchas organizaciones tienen entornos, sistemas, sitios web o debilidades de software que las hacen vulnerables a los ataques desde el día en que se pone en marcha su entorno.

Cuando los sistemas se ven comprometidos, pueden dar lugar a costosas multas por filtración de datos y/o daños irrevocables a la marca de las organizaciones afectadas. Muchos de estos riesgos podrían haber sido tratados y prevenidos si hubieran realizado una prueba de escaneos de vulnerabilidad en su entorno.

En algunos casos, una organización se vuelve vulnerable a un ataque porque no aplica un parche de seguridad o modifica sus sistemas sin una actualización adecuada de los protocolos de seguridad relacionados. Para prevenir una filtración de datos y reducir el riesgo, es necesario priorizar, identificar y remediar continuamente las vulnerabilidades críticas.

A veces, los atacantes utilizan las mismas herramientas para analizar los puntos débiles que usan las organizaciones para descubrir las vulnerabilidades de la red. Pero, para adelantarse a estos atacantes, es necesario conocer las nuevas amenazas emergentes mediante escaneos tanto internos como externos.

¿Qué debes esperar de una detección de puntos débiles?

Para empezar, un escaneo de vulnerabilidades es una prueba de alto nivel y automatizada, la cual busca y reporta vulnerabilidades potencialmente identificadas. Por ejemplo, algunos de estos escaneos pueden localizar más de 50.000 debilidades únicas internas y/o externas.

Los escaneos externos son aquellos se realizan fuera de la red (por ejemplo, en el perímetro de la red), estos pueden identificar debilidades en las estructuras de la red. Por otra parte, un escaneo interno es aquel que se lleva a cabo dentro de la red, y examina otros hosts para detectar vulnerabilidades internas.

Para entenderlo mejor, piense en su entorno como si fuera su casa; un escaneo de vulnerabilidad externa es como comprobar si sus ventanas y puertas están cerradas, mientras que el escaneo de vulnerabilidad interna es verificar si las puertas de su cocina y dormitorio están cerradas.
En el mejor de los casos, un escaneo de vulnerabilidad le dará un informe detallado de los puntos débiles detectados y referencias para un estudio más profundo de los mismos. A menudo, algunas herramientas ofrecen indicaciones sobre cómo puede solucionar el problema.

También es necesario saber que el escaneo por sí solo no es suficiente. De hecho, esa es la creencia errónea de muchas empresas. El informe no puede actuar por sí solo, por lo que hay que resolver rápidamente las vulnerabilidades descubiertas y asegurarse de que todas las brechas de seguridad están arregladas. Después, hay que volver a escanear para asegurarse de que la vulnerabilidad se ha solucionado con éxito.

Diferencias entre el escaneo de vulnerabilidad y las pentestings

La diferencia entre un escaneo de vulnerabilidad y una pentesting es que el primero está automatizado, mientras que la segunda requiere que una persona indague en las complejidades de su red. Un escaneo de vulnerabilidad sólo puede buscar e identificar vulnerabilidades, mientras que los pentestings profundizarán para averiguar el origen de cualquier riesgo detectado.

Sin embargo, los pentestings y los escaneos de vulnerabilidades trabajan conjuntamente para mejorar la seguridad de la red. Los escaneos de vulnerabilidad son una visión periódica de la seguridad de la red, mientras que los pentestings proporcionan un examen más exhaustivo de la seguridad de la red.

¿Cómo funciona un escáner de vulnerabilidad?

Un escáner de vulnerabilidades no comprueba todos los archivos de la red como hace un antivirus. Por ello, su dispositivo de análisis debe estar configurado para escanear interfaces específicas, incluidas las direcciones IP internas y externas, en busca de vulnerabilidades.

Todos los escáneres de seguridad están diseñados para no ser invasivos, de modo que se pueda llevar a cabo sus actividades mientras el escáner se ejecuta en segundo plano. Un ejemplo sería un experto en seguridad que comprueba si el pomo de su puerta es resistente; dicho profesional no necesita entrar para saber cómo realizar su trabajo.

El objetivo de un escaneo de vulnerabilidades es proporcionar un resumen de alertas para que podamos actuar. Mientras revisa los resultados de su escaneo, puede observar algunos índices de vulnerabilidad y exposición comunes con los que no está familiarizado. Si su proveedor no le proporciona detalles de dichos índices, puede consultar la Base de Datos Nacional de Vulnerabilidad (NVD) para ayudarle a entender y priorizar los riesgos.

Consejos para gestionar sus vulnerabilidades

Un plan de gestión de puntos débiles es vital para gestionar la seguridad de la red. Los siguientes consejos son los mejores para identificar las debilidades potenciales y existentes en su red.

  • Realizar escaneos externos de vulnerabilidad: Los análisis externos deben ser realizados por un proveedor de análisis aprobado (ASV) por la normativa PCI para validar su cumplimiento. Un escaneo externo realizado por un ASV no hace que su organización sea segura. Se deben tomar medidas para frenar la vulnerabilidad y volver a escanear hasta confirmar que la amenaza ha sido solucionada.
  • Realizar escaneos internos de vulnerabilidad: La mayoría de las empresas piensan que la realización de un escaneo por parte de un ASV es el único requisito necesario para cumplir con la normativa PCI. Sin embargo, debemos asegurarnos de que cumple con los requisitos de escaneo de vulnerabilidad interna, ya sea:
    • Buscar en línea y descargar una herramienta de escaneo de vulnerabilidad interna de código abierto.
    • Adquirir una herramienta de escaneo de vulnerabilidad interna de otro proveedor de servicios o, tal vez, de su ASP. Tenga en cuenta que su organización es la única responsable del escaneo interno de vulnerabilidades desde la compra/descarga inicial.
  • Pruebas cualificadas e individualizadas: Sólo debemos permitir que los escaneos internos sean gestionados por una persona cualificada, además, esta debe de ser distinta a la encargada de remediar y/o maneja cualquier vulnerabilidad descubierta.
  • Realizar escaneos periódicos: Lo ideal es que toda la organización realice escaneos trimestrales internos y externos. Si su objetivo es sólo uno, hará un total de ocho escaneos al año (uno externo e interno por trimestre). Sin embargo, muchos proveedores le permitirán ejecutar escaneos ilimitados para un solo objetivo. Esto facilita las cosas porque puede corregir y volver a escanear hasta que se solucione la amenaza, en el caso de que falle el primer escaneo.
  • Realizar escaneos después de cambios significativos en la red: Una vez que haya decidido ejecutar sus escaneos trimestralmente, debe realizar un escaneo después de cada cambio significativo.

Un cambio significativo varía en función de cómo esté configurado su sistema, pero si realiza cualquier modificación o actualización que pueda afectar a la seguridad del sistema de datos del titular de la tarjeta, dicho cambio es significativo. Algunos ejemplos de cambios significativos son:

  • Transferir los datos de los titulares de las tarjetas a un nuevo servidor
  • Añadir más aplicaciones de cifrado
  • Incluir nuevos sistemas de componentes del servidor
  • Modificar los interfaces
  • Alterar las reglas del firewall
  • Habilitar o eliminar un nuevo sistema que almacena los datos de los titulares de las tarjetas
  • Alterar las estructuras de red

Gestión de vulnerabilidades con Vicarius

La razón principal por la que tiene que escanear su red periódicamente es que los ciberdelincuentes descubren formas nuevas y creativas de explotar los puntos débiles.

Además, debemos recordar que el escaneo de vulnerabilidades y su evaluación sin análisis no solo consiste en reportar las vulnerabilidades localizadas, también proporciona una vía para establecer un proceso fiable y repetible para solucionar los puntos débiles o los problemas.

Una vez completado el escaneo de vulnerabilidades, asegúrese de resolver cualquier amenaza de forma prioritaria. Puede empezar por priorizar las amenazas en función del riesgo y el esfuerzo necesario, y luego ejecutar escaneos hasta que los resultados estén limpios.

Si necesita ayuda con la evaluación de vulnerabilidades sin escaneo, Vicarius puede ayudarte. Se trata de un software de gestión de vulnerabilidades que se dirige tanto a los responsables de ciberseguridad como a los gestores y operadores de TI del mercado.

 

Puede acceder al artículo original aquí


Próximos eventos