Mucho se esta oyendo estos días de vulnerabilidades de unos y otros, ataques entre gobiernos, entre empresas, ...
Cuando hablamos de vulnerabilidades, por lo general, nuestro oyente esta pensando en aquellas vulnerabilidades de las que ya se ha publicado un parche para su solución, pero no solo hay ese tipo de vulnerabilidades. En principio podríamos diferenciar entre vulnerabilidades conocidas y desconocidas.
- Las desconocidas, tendríamos a aquellas que existen pero aún no han sido descubiertas o publicadas. El riesgo sobre todo está en aquellas vulnerabilidades que no han sido publicadas, pero si descubiertas, sobre todo porque podrían haber sido descubiertas por crackers.
- Las vulnerabilidades conocidas son aquellas de las que se ha reportado su existencia al fabricante, foros de interés o públicamente. Dentro de las vulnerabilidades conocidas, tenemos:
- Vulnerabilidades "zero day", vulnerabilidades descubiertas, pero sin parche que las corrija, que tienen un impacto muy alto si se llegan a materializar.
- Vulnerabilidades conocidas sin parche. Vulnerabilidades de impacto bajo o medio y de las que tampoco existe una solución aún.
- Vulnerabilidades conocidas y con parche o solución temporal, pero no se ha implantado.
- Vulnerabilidades conocidas, corregidas e implantadas.
Desconocidas
|
Conocidas
|
||
Sin
Parche
|
Toda vulnerabilidad no conocida no tiene parche.
|
Zero-day
|
Requieren acción:
·
Desconocidas.
Procesos preventivos (concienciación)
·
Zero-day
y Otras. Principalmente procesos alternativos y monitorización.
·
Conocida
con parche. Planificación, pruebas y actualización
|
Otras (impacto medio o bajo)
|
|||
Con
Parche
|
Aún no hemos actualizado
|
||
Se ha actualizado
|
·
Monitorización del rendimiento de las
actualizaciones.
|
 |
| Ejemplo de Ventana de Tiempo. Vulnerabilidades deconocidas / Vulnerabilidades conocidas |
Bajo esta introducción, podemos darnos cuenta que pese a tener todos los parches o soluciones existentes frente a las vulnerabilidades de los sistemas y aplicaciones que nos rodean, podemos seguir siendo vulnerables. Ya sea por aquellas zero day o por las vulnerabilidades desconocidas. Por lo que la aplicación de las mejores practicas en seguridad y concienciación en el uso de los sistemas de la información es primordial.
Uno de los mayores vectores de ataque existentes es sobre los navegadores de internet. Aprovechando las vulnerabilidades existentes en los mismos o en sus diversos plugins. Estamos hablando de los navegadores en general, no solo los utilizados en el ordenador sino también en los móviles, tables o cualquier dispositivo conectable a la red.
En estos casos es importante el conocimiento, por parte del usuario, sobre que información debe acceder, fuentes confiables, verificar el origen de la información y links destinatarios.
Un enlace en un correo electrónico o en cualquier otro medio, puede aparentar una web confiable, como la de Microsoft para descargar un software valido y sin embargo estar apuntando a una web intermedia donde descarguemos un troyano o ejecute un script sobre nuestro navegador que conceda permisos de administrador o cualquier otra acción no prevista. Las url cortas de las que no sabemos donde dirigen, aunque alguien nos haya dicho donde van, pero de las que podrían dar acceso a una web maligna o incluir un intermediario maligno.
Emplear gestores de actualizaciones debe ser una necesidad. En los gestores de actualizaciones podríamos validar las actualizaciones para el entorno de pruebas, donde confirmar que tanto la actualización como las aplicaciones existentes en la organización siguen funcionando según lo previsto. Una vez realizada la comprobación podremos permitir las actualizaciones a los equipos de producción tanto servidores como usuarios finales.
Las vulnerabilidades existen y existirán y por tanto debemos seguir implementando las mejores practicas, pero más aun si cabe, saber como usuarios, que es lo que podemos hacer y lo que no. Y ante la duda, evitar el acceso. Se requieren políticas muy fuertes en cuanto a prevención, detección y gestión de vulnerabilidades.
Ya sabes que "el nivel de seguridad se mide por el punto más débil". No seas el punto más débil. Confía pero comprueba, siempre comprueba.
