Vamps: Recupera el control de los activos IT de tu organización

viernes, 18 de diciembre de 2015

¿Sabes si los responsables de sistemas IT de tu empresa conocen todos los activos expuestos a Internet? Aunque lo parezca, no es sencillo. Una empresa con varios equipos, departamentos, necesidades cambiantes, y preocupada por la realización del trabajo diario, a veces no puede detenerse a mirar a su alrededor y pensar, ¿cuántos servidores he montado? ¿cuántos equipos están ahí fuera? ¿se han actualizado todos tras las últimas vulnerabilidades? La estructura informática y de comunicaciones es un medio, no un fin en sí mismo. Para cumplir el objetivo real, se utilizan servidores, conexiones, sistemas y programas, hasta que llega un momento en el que resulta que los administradores no conocen sus propios sistemas, no los controlan realmente.

Por qué ocurre

No resultará complejo entender por qué se llega a este punto. Algunos ejemplos:

  • El desarrollo/adquisición de nuevos servicios o aplicaciones y la mejora de los existentes para responder a las necesidades del negocio de forma rápida y eficiente, prácticas habituales en un entorno tan cambiante, pueden ser causas de cambios en la infraestructura tecnológica.
  • Cambios no autorizados en la infraestructura como la instalación de servidores, sistemas operativos o paquetes de software en puertos específicos que no son comunicados inmediatamente a los grupos responsables de la organización por falta de coordinación o compromiso entre los procesos implicados.
  • Shadow IT, añadiendo elementos a la infraestructura que están fuera del control de TI. Generalmente las áreas de negocio de las organizaciones tienen problemas para lanzar servicios a producción en al dilatarse los plazos proporcionados por TI, tomando la decisión de contratar los servicios en una infraestructura paralela externa a la organización.
  • Activos descuidados que no están siendo gestionados o de los que ha olvidado su existencia que no cubren ninguna necesidad del negocio pero, al estar expuestos en Internet, introducen un nuevo vector de ataque a la organización.

Los atacantes continuamente buscan servidores obsoletos y versiones de software sin actualizar que puedan ser explotados de forma remota y ganar acceso a la organización, por eso es importante conocer qué elementos (servidores, sistemas operativos, paquetes de software) forman parte de la infraestructura del cliente y en qué estado de actualización se encuentran.


Retos IT para una organización distribuida

La solución

Para dar solución a estos retos, presentamos Vamps, nuestra solución para identificar amenazas de seguridad y posibles métodos de ataque contra los sistemas informáticos de una organización permitiendo gestionar rápidamente su corrección. Además, se emplea también Faast, nuestra tecnología de pentesting persisntente, la cual realiza el descubrimiento de activos vulnerables como si fuera un vídeo, de forma continua, sobre todos los activos digitales de tu empresa que son accesibles desde Internet, para reducir el tiempo en detectar cambios en la infraestructura y brechas de seguridad.

Faast, usa las mismas técnicas que realizaría un atacante externo o interno que pretende traspasar la seguridad de la organización, comenzando por un nombre de dominio asociado a la organización se descubre nombres de hosts y de aplicaciones web a través de la búsqueda de URLs en Google o Bing, además de servidores DNS y otros servicios web (archive.org, whois, etc.), sin ninguna limitación previa como un rango de direcciones IP o listados de nombres de servidores, dando como resultado el conjunto de activos y versiones de software de una organización, incluso aquellos activos que se desconocía su existencia.

Ejemplo de descubrimiento partiendo desde dominio democyberdac.com

Dentro del proceso de descubrimiento, la solución empleada por Vamps determina de forma precisa y fiable los cambios de sistema operativo y paquetes de software instalado en los activos. Para llevarlo a cabo analiza y detecta todos los servicios de red ofrecidos por cada una en las direcciones IP del activo, proporcionando información detallada sobre qué servicios de red están siendo ejecutados en cada uno de los sistemas descubiertos y cuáles son las versiones de software que tiene instalados.

Detalle de direcciones IP, puertos y software de servidor descubierto


Software identificado sobre activo descubierto


De esta forma las organizaciones pueden comprobar para cada activo si tiene los programas instalados requeridos con la versión apropiada en función del tipo de sistema y que se encuentre libre de vulnerabilidades conocidas.

Una vez que el sistema ha registrado las versiones de software, Vamps permite la notificación personalizable de las nuevas vulnerabilidades de fabricantes que afectan específicamente al software de sus activos. Por ejemplo, podría estar informado de todas las nuevas vulnerabilidades que afecten al activo www.democyberdac.com, que serían las publicadas referentes a software Apache Http Server, PHP, OpenSSL...Este enfoque nos permite pasar de recibir numerosos correos alertando que "Existe una vulnerabilidad en Apache" a vulnerabilidades potenciales sobre activos de la empresa como "El activo www.democyberdac.com se encuentra afectado por la vulnerabilidad x de Apache".

Se pueden establecer criterios de configuración de las alertas en base a varios parámetros como la severidad según la métrica CVSS, cuándo ser notificado (diariamente, semanal), o estar informado de las vulnerabilidades que afecten a los productos de una familia concreta, entre otros.

Definición de alerta de vulnerabilidad sobre software Apache http server

Para cada activo descubierto se puede crear una serie de etiquetas personalizables y atributos como ubicación, propósito, responsable, nivel de criticidad, etc.

Listado de etiquetas personalizadas por la empresa


Esto le permitirá una gestión más efectiva, a través de listados o informes de vulnerabilidades sobre activos con la clasificación definida por la empresa, facilitando la obtención de métricas que respalden decisiones operativas y estratégicas.

Detalle de filtro utilizando etiquetas definidas por cliente


Creación de informe de seguimiento sobre activos con etiquetas creadas por cliente


Una vez finalizado el descubrimiento de activos, se reinicia este proceso de forma continua y recursiva con la información obtenida, lo que proporciona al cliente una visión actualizada del inventario de sus activos autorizados, desautorizados y aquellos que ha descuidado su existencia accesibles desde el exterior, independientemente de su tamaño.

También te puede interesar:

* Gestión de vulnerabilidades con pentesting persistente, una visión global (I)

Víctor Mundilla
victor.mundilla@11paths.com

2 comentarios:

  1. Las maravillas de las herramientas que uno puede tener dentro de su empresa y así mejorar la productividad

    ResponderEliminar
  2. La seguridad en los sistemas informáticos es fundamental para toda empresa y esas actividades no pueden quedar expuestas al azar, de modo que hay que gestionar procesos que permitan eficiencia, control y excelentes resultados. Parte del Desarrollo Personal recae en una buena planificación y es necesario ejecutarla.

    ResponderEliminar