¡Al borde del caos! la Gestión de Vulnerabilidades sin herramientas adecuadas.

Las actividades que no logramos sistematizar y volver repetitivas a través de mucha disciplina en muchos aspectos de la vida, tienen el potencial de evitarnos muchos dolores de cabeza, y en materia de seguridad informática no está exenta de estas situaciones y un ejemplo muy claro es el tema que trataremos el día de hoy; Gestión de Vulnerabilidades.

¿Cuándo fue la última vez que realizo algún análisis de vulnerabilidades a su infraestructura critica de informática?, ¿en concordancia a los resultados de su último análisis que acciones tomo de acuerdo al riesgo/vulnerabilidad encontrada?, ¿se aseguró que sus subalternos siguieran el plan de acción definido?

En organizaciones complejas este tema se vuelve todavía más complejo, si tenemos un área de soporte especializado por sistemas operativos como serian tal vez Unix, Windows, Solaris, RH, etc. Y también soporte por aplicativo como podría ser Oracle, Tomcat, Apache Web Server, MySQL, PostgreSQL, etc; imaginemos que estamos en una organización así de compleja en la que el día de ayer corrimos un análisis de vulnerabilidades (con cualquier herramienta básica con acceso a una base de datos actualizada)  sobre la infraestructura que es crítica para el negocio y al obtener el resultado tenemos más de 12 vulnerabilidades críticas, 5 de ellas en servicios de bases de datos y las restantes en sistemas operativos y otra más en una página web, ¡vaya tremendo lio!

Si no tienes un proceso maduro de gestión de incidentes tendrás que liártelas “a manita”, si tienes un proceso de incidentes puedes montar la estrategia que definas (otro tema) para solventar las actividades que tienes que hacer adecuándote un poco a lo que es la actual gestión de incidentes, pero que pasa si no tienes esta práctica (que es la generalidad de las empresas).

Te vas a encontrar en 4 o 5 meses una máquina del proceso crítico de la empresa se fastidio, no podemos accederla y el servidor de base de datos está saturado realizando operaciones de “selects” y todo el cuadro apunta a que fue explotada con éxito una de esas vulnerabilidades que se te aviso hace meses atrás y que no se atendió; descubres que esa vulnerabilidad critica con la cual se puede ganar acceso de administrador al sistema operativo fue turnada al área de soporte de Windows y ellos a su vez solicitaron a todos los usuarios de la aplicación que reside en el equipo una ventana de mantenimiento y ahí se quedó, ya nadie le dio seguimiento y la vulnerabilidad no fue correctamente solventada y la consecuencia podría ser una falla de 5 horas de mayores transacciones en el proceso que le produce dinero a la organización (otros temas BCP, BCM, DRP, etc).

En harás de resolver esta típica tarea que tiene muchos ángulos que fácilmente se puede perder  en el día a día que todos los involucrados en servicios de TI podríamos tener si no tenemos una fuerte base de procedimientos, normas y disciplina, me puse a buscar sin mucho éxito soluciones de software que nos ayuden a solventar estos problemas y encontré que existen soluciones muy maduras pero lamentablemente todas ellas son comerciales y tienen pro y contras, un producto comercial que he utilizado en estos días ha sido el Outpost24H que en sus inicios estuvo basado en Nessus.

La empresa Tenable Network Security que tiene el desarrollo de Nessus también tiene una opción comercial donde ofrece este tipo de herramienta de gestión integral de las vulnerabilidades.

Existen muchas opciones comerciales y libres para realizar únicamente el análisis de vulnerabilidades (http://cve.mitre.org/compatible/vulnerability_management.html), pero una herramienta libre que nos ayude a realizar una gestión integral no encontré,  pero creo que existe el “espacio” de crear un software libre para la gestión de vulnerabilidades obviamente basado en alguno de los ya existentes en un principio, ¿pero por qué no?, ¿Quién dice yo para realizar un sistema abierto para la gestión de vulnerabilidades? Seguramente después se nos ocurrirán más ideas a para diferenciar el producto, ¿Quién dice yo?


0 votes, average: 0.00 out of 50 votes, average: 0.00 out of 50 votes, average: 0.00 out of 50 votes, average: 0.00 out of 50 votes, average: 0.00 out of 5 (0 votes, average: 0.00 out of 5)
You need to be a registered member to rate this post.
Loading...
Convocatorias, Cultura Libre, internet, Juguetes, Negocios, Piratería, Pregúntale al gurú, Seguridad, Seguridad Informática, software libre, Tecnología | RSS 2.0 |     498 views

RSS feed

Comments »

No comments yet.

Name (required)
E-mail (required - never shown publicly)
URI
Your Comment (smaller size | larger size)
You may use <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong> in your comment.

Trackback responses to this post