Sistemas de Xestión da Seguridade da Información, Auditorías e Plans de Continxencias

O análise de vulnerabilidades é o proceso de identificación, avaliación e clasificación de debilidades ou puntos vulnerables nun sistema informático, rede, aplicación ou infraestruturas tecnolóxicas que poidan ser explotados por atacantes para comprometer a seguridade. O obxectivo deste proceso é detectar e corrixir proactivamente esas vulnerabilidades antes de que sexan explotadas por axentes maliciosos. O análise de vulnerabilidades forma parte da xestión integral da seguridade da información e adoita realizarse de maneira regular para garantir que os sistemas estean protexidos contra ameazas emerxentes.

Principais Fases 

1. Contrato : Resulta legalmente indispensable que se identifiquen  claramente os sistemas obxecto do pentesting. A entidade auditada debe demostrar a titularidade dos sistemas. Se deben establecer os mecanismos de notificación e alerta das vulnerabilidades. Normalmente se debe indicar o estándar de pentesting a seguir: ISSAF (Information Systems Security Assessment Framework), PCI DSS (Payment Card Industry Data Security Standard), PTES (Penetration Testing Execution Standard), OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad).  Debe pactarse quen terá acceso ao informe final e a quen se lle entregará, así como as medidas de seguridade que se deben aplicarse sobre o mesmo.

2. Recolección de Información
   Nesta fase recompílanse datos sobre a infraestrutura, os sistemas e as aplicacións que van ser avaliados. Isto inclúe información sobre direccións IP, portas abertas, servizos e software en execución, e a configuración dos sistemas. A información recompilada axuda a establecer un mapa claro da superficie de ataque.  A recolección de información se fará habitualmente usando dous métodos:  footprinting e fingerprinting. O footprinting consiste na recopilación de información pública, xa sexa revelada de xeito voluntario ou involuntario (DNS, IP e rutas, ICCAN...) existen ferramentas especializadas en footprinting, como netcraft ou google dorks. O fingerpringint en cambio consiste no acceso a información fornecida polos propios sistemas aproveitando as pegadas dixitais dos servizos e sistemas operativos.

3. Identificación de Vulnerabilidades
   Utilízanse ferramentas automatizadas de escaneo para buscar vulnerabilidades coñecidas en sistemas, redes e aplicacións. Estas ferramentas utilizan bases de datos de vulnerabilidades actualizadas (como a base CVE - Common Vulnerabilities and Exposures) para identificar debilidades, como software desactualizado, portas abertas sen protección, ou erros de configuración.

4. Avaliación de Riscos
   As vulnerabilidades identificadas son avaliadas en función do seu impacto potencial e da probabilidade de que sexan explotadas. A avaliación dos riscos permite priorizar as vulnerabilidades que precisan ser tratadas con urxencia. Este proceso inclúe unha análise do impacto sobre a confidencialidade, integridade e dispoñibilidade dos sistemas afectados.

5. Proposta de Solucións
   Despois de avaliar os riscos, o seguinte paso é propoñer medidas correctivas ou de mitigación para resolver as vulnerabilidades. Estas medidas poden incluír actualizacións de software, reconfiguración de sistemas, aplicación de parches de seguridade ou o reforzo de controis de acceso.

6. Informe
   O análise de vulnerabilidades conclúe cun informe que detalla as vulnerabilidades detectadas, o nivel de risco asociado a cada unha e as recomendacións para mitigar ou eliminar esas vulnerabilidades. Este informe serve como guía para o equipo técnico da organización para implementar as accións correctivas necesarias.

Test de Penetración

Un test de intrusión ou “pentesting” é un método de auditoría que intenta romper a seguridade dun sistema informático para localizar as súas debilidades. A mellor forma de facer un test deste tipo é realizar un ataque. 

Ferramentas 

Os test de penetración fan uso de diversas ferramentas como por exemplo:

1. Nmap (Network Mapper)

• Función: Nmap é unha ferramenta de escaneo de redes que permite aos auditores identificar equipos conectados a unha rede, os servizos que están executando, as versións do software e os portos abertos. É útil para identificar vulnerabilidades en redes e sistemas ao descubrir servizos non autorizados ou portos expostos.
• Uso: Utilízase na fase de recompilación de información para mapear a rede e descubrir dispositivos que poidan ter vulnerabilidades.

2. Nessus

• Función: Nessus é unha ferramenta de escaneo de vulnerabilidades amplamente utilizada para identificar debilidades en sistemas, redes e aplicacións. Realiza unha análise automática de vulnerabilidades, detectando fallos de configuración, sistemas non actualizados, e debilidades en controis de seguridade.
• Uso: Útil para identificar vulnerabilidades coñecidas en sistemas, bases de datos, servidores e aplicacións web. Proporciona informes detallados cos riscos asociados e recomendacións para corrixir os problemas.

3. Wireshark

• Función: Wireshark é unha ferramenta de análise de tráfico de rede que permite capturar e inspeccionar paquetes de datos que circulan por unha rede. Os auditores poden usar Wireshark para identificar tráfico non autorizado, vulnerabilidades na transmisión de datos e posibles ataques de rede.
• Uso: Utilízase para monitorizar o tráfico en tempo real e detectar posibles incidentes de seguridade, como ataques Man-in-the-Middle ou fugas de información.

4. Metasploit

• Función: Metasploit é unha plataforma de probas de penetración (pentesting) que permite aos auditores probar vulnerabilidades explotables nun sistema. Pódese usar para simular ataques e ver ata onde se poden comprometer sistemas ou redes.
• Uso: Axuda a confirmar a existencia de vulnerabilidades identificadas durante a auditoría e a demostrar o impacto potencial se estas foron explotadas por atacantes.

5. OpenVAS (Open Vulnerability Assessment System)

• Función: OpenVAS é un escáner de vulnerabilidades de código aberto que realiza un análise detallado de sistemas e redes para detectar vulnerabilidades coñecidas, erros de configuración e problemas de seguridade.
• Uso: Ideal para identificar puntos débiles en servidores, redes e dispositivos.

6. Kali Linux

• Función: Kali Linux é unha distribución de Linux orientada á seguridade que inclúe un conxunto completo de ferramentas para probas de penetración, escaneos de vulnerabilidades e análises de redes. Contén ferramentas como Nmap, Metasploit, Wireshark e moitas máis.
• Uso: Utilízase amplamente en auditorías técnicas de seguridade para realizar probas de penetración e vulnerabilidade en sistemas de información.

7. Tripwire

• Función: Tripwire é unha ferramenta que realiza unha auditoría dos sistemas e monitoriza cambios non autorizados en arquivos e configuracións. Isto é fundamental para detectar modificacións que poidan indicar un ataque ou unha vulnerabilidade en sistemas críticos.
• Uso: Ideal para xestionar a integridade dos sistemas e detectar cambios que poidan comprometer a seguridade.