Análisis de Vulnerabilidades Automáticos

Una de las principales preocupaciones cuando estamos al cargo de sistemas de información, o servicios publicados en Internet, es si los mismos se encuentran correctamente protegidos.

Para conocer el nivel de protección, sería necesario verificar el nivel de parcheo, versiones del software, y tareas adicionales que implica un correcto mantenimiento del equipamiento informático. Sin embargo, ¿Cómo sabemos que en realidad solventamos las deficiencias de seguridad, y que no se nos escapa ningún software o servicio que utiliza una versión vulnerable o su configuración no es la adecuada?.

Existe una solución que no requiere de demasiado tiempo/esfuerzo, que consiste en utilizar herramientas de escaneo de vulnerabilidades.

Estas herramientas trabajan con una Base de Datos de firmas de vulnerabilidades y una serie de plugins con los que se escanean los equipos que les indiquemos.

Existen varias herramientas de este estilo. Algunas son de pago (más fáciles de instalar y utilizar), y otras gratuitas (con menor eficacia de detección y una mayor dificultad en su instalación/utilización).

A continuación, vamos a plantear una serie de ventajas e inconvenientes con respecto a los Análisis automáticos de vulnerabilidades:

Ventajas de los escaneos de vulnerabilidades:

• Obtención muy rápida de información sobre sistemas, equipos y servicios
• Obtención rápida de Información sobre vulnerabilidades que afectan a los sistemas escaneados
• A partir de las soluciones propuestas, la elaboración muy rápida de un plan de acción que solvente los problemas encontrados.
• Facilita el trabajo de análisis y obtención de información a gente poco experimentada.

 Desventajas de los escaneos de vulnerabilidades:

• Están limitados a la información de los plugins y firmas de los que se dispone en el momento del análisis.
• No realizan un escaneo de puertos tan en profundidad como otras herramientas (como Nmap), lo que implica que ciertos hosts o servicios que utilicen puertos poco comunes o tengan barreras de Firewall pasen desapercibidos por la herramienta.
• Los problemas detectados no suelen estar probados para evitar impactos en el funcionamiento del equipamiento en producción, o bien se realizan análisis sin credenciales, por lo que se pueden producir falsos positivos.
• Pueden generar una actitud conformista por parte del que realiza el análisis, pensando que no es necesario realizar pruebas manuales adicionales.

 A continuación vamos a nombrar algunas de las más importantes:

De pago:

• Tenable Nessus: Escaneo de equipos, y servicios de todo tipo (http://www.tenable.com/new-in-nessus)
• Nexpose: Escaneo de equipos y servicios de todo tipo (http://www.rapid7.com/products/nexpose/)
• Mcafee Foundstone: Escaneo de equipos, y servicios de todo tipo (http://www.foundstone.com/)
• Acunetix: Escaneo de servicios y páginas web (http://www.acunetix.com/)
• Survela: Servicio de monitorización continua de servicios publicados en Internet, incluyendo vulnerabilidades que los afecten (https://survela.com/)

Gratuitos:

• Tenable Nessus Home: Escaneo de equipos, y servicios de todo tipo (http://www.tenable.com/new-in-nessus)
• OpenVAS: Escaneo de equipos, y servicios de todo tipo (http://www.openvas.org/)
• Vega: Escaneo de servicios y páginas web (https://subgraph.com/vega/)
• W3af: Escaneo de servicios y páginas web (http://w3af.org/)
• Microsoft Baseline Security Analyzer: Escaneo de problemas de configuración y parches que falten en sistemas Microsoft (http://www.microsoft.com/en-us/download/details.aspx?id=7558

La conclusión es que son herramientas útiles, que dan mucha información sobre el estado de protección de nuestros equipos que desconocemos, y que de forma rápida nos puede permitir elaborar un plan de acción que nos permita cerrar agujeros de seguridad, por lo que su implantación y programación de escaneos periódicos es más que recomendable.

José Francisco Lendínez Echeverría. Dpto de Seguridad TIC.

Áudea Seguridad de la Información