Al margen de las conocidas utilidades de hardenning de sistemas UNIX/Linux como son CISscan, Titan, Jassp, Yassp, Bastille y demás citadas en la presentación de Seguridad en OpenSolaris; las cuales desde el punto de vista de auditoría permiten conocer a nivel de test interno como de “seguro” (mejor dicho inseguro) se encuentra el sistema a bastionar… posteriormente siempre podemos recurrir al test externo con herramientas como Nmap (la version 5 es una maravilla ;-), Nemesis, Zenmap, NetGrok, OpenVAS, Nessus (desde la version 3 aunque ya no goza de licencia GPL, aunque en la version 4 incorpora mejoras realmente potentes).

Todo esto enlaza directamente con las distintas etapas de una prueba de penetración de seguridad IT (Planificación, Reconocimiento, Descubrimiento y Ataque) la cual proporciona un buen inventario de los activos de información decubiertos de igual modo que sus vulnerabilidades en el momento de la realización de la prueba.

Una vez alcanzado esta primera fase de identificación y escaneo, posteriormente es posible centrar el tiro en un determinado servicio (como por ejemplo el servicio web: protocolos http (puerto tcp 80) y protocolo https (puerto tco 443)) a través de mas utilidades como nikto o su version grafica Wikto y asi sucesivamente con el objetivo de identificar vulnerabilidades facilmente trasformables en amenazas debido a la existencia y ejecución de exploits que compromenten dicho activo de información.

El siguiente paso deberia ser medir el riesgo
que supondria explotar estas vulnerabilidades inherentes a los sistemas de información, convirtiendose entonces en amenazas de los mismos. El propósito es cuantificar la probabilidad de su ocurrencia al igual que su posible impacto… y en una fase posterior ser capaces de identificar todas las salvaguardas proactivas que lleguen a evitar en mayor o en menos medida el riesgo de exposición a esas amenazas, de igual modo que poder disponer de las medidas de salvaguarda preventivas siempre que sea posible mitigar dicho riesgo de una forma mas reactiva.

Via http://vfernandezg.blogspot.com/2009/12/analisis-de-vulnerabilidades-va-en-5.html/a>

Related Posts with Thumbnails
Tagged with:  

Comments are closed.

Weboy