Evaluación de Vulnerabilidades

Una evaluación de vulnerabilidad ayuda a las empresas a evaluar el estado actual de su infraestructura. Esto se hace mediante la realización de una serie de análisis específicos en toda la infraestructura, con el objetivo de descubrir la presencia de versiones vulnerables de software, configuraciones incorrectas o la falta total de controles de seguridad.

El proceso de llevar a cabo una evaluación de vulnerabilidad es cíclico y no debe considerarse una tarea de una sola vez o de «configurar y olvidar». Las evaluaciones de vulnerabilidad deben formar parte integral de su enfoque de seguridad cibernética. Recomendamos realizar una evaluación de vulnerabilidades mensualmente siempre que sea posible, y al menos una vez después de cada cambio importante en su infraestructura.

Esto ayudará a capturar cualquier nueva vulnerabilidad que los cambios puedan haber introducido en su entorno.

Una evaluación de vulnerabilidad no es lo mismo que una prueba de penetración. Existe una relación entre los dos, donde una evaluación de vulnerabilidad forma los pasos iniciales de una prueba de penetración. Al contratar a 2B InfoSec para una evaluación de vulnerabilidades, las vulnerabilidades se informan y desglosan en impactos comerciales hipotéticos, sin embargo, no se llevará a cabo ninguna explotación.

Las evaluaciones de vulnerabilidad deben formar parte de su régimen de administración de parches mensual. Parche> Evaluación de vulnerabilidades> Parche…

Nuestro Proceso de Evaluación de la Vulnerabilidad

Los objetivos de evaluación de vulnerabilidades pueden variar desde puntos finales únicos (sitios web independientes de WordPress, por ejemplo), hasta infraestructuras corporativas que normalmente se encuentran en las pymes.

Comenzamos analizando el alcance de la evaluación y acordando las reglas de participación. Por lo general, esto se lleva a cabo a través de una breve reunión con el cliente para discutir varios factores, que incluyen, entre otros:

  • ¿Qué objetivos se van a escanear (segmentados por dirección IP)?
  • ¿Se proporcionarán credenciales para permitir que se lleve a cabo el escaneo autenticado?
  • ¿Los objetivos son sistemas de producción en vivo o son sistemas de desarrollo?
  • ¿Estamos probando ataques de denegación de servicio (DoS)?

El escaneo y la enumeración nos permiten descubrir a qué es vulnerable el objetivo. Esta fase abarca una combinación de herramientas listas para usar, así como herramientas a medida creadas internamente.

Una vez que hemos completado nuestra evaluación de vulnerabilidad, comenzamos a analizar los hallazgos y a agruparlos en grupos basados ​​en CVSS.

La evaluación de la vulnerabilidad culmina con un informe de nuestros hallazgos. El valor real de una evaluación de la vulnerabilidad está en el informe. Aquí es donde traducimos los hallazgos técnicos en impacto comercial en el mundo real y construimos una imagen de lo que un actor de amenazas podría lograr aprovechando cada vulnerabilidad.

Una evaluación de vulnerabilidades, como cualquier nivel de su enfoque de seguridad cibernética, no debe tratarse como una tarea única o como un ejercicio de casilla de verificación de cumplimiento anual. Esto debería ser algo que usted, como empresa, emplee con la mayor frecuencia posible.

Como mínimo, recomendamos ejecutar una evaluación de vulnerabilidades siempre que se implementen cambios en su infraestructura y, si es posible, mensualmente.

Las evaluaciones de vulnerabilidad conllevan gastos generales bastante bajos y son fáciles de implementar en un enfoque continuo de seguridad cibernética.

Niveles de Riesgo

Las vulnerabilidades se clasifican normalmente en varios niveles de riesgo, según una puntuación del Common Vulnerability Scoring System (CVSS) v3;

  • Ninguno (puntuación CVSS de 0,0)
  • Baja (puntuación CVSS de 0,0-3,9)
  • Medio (puntuación CVSS de 4,0 a 6,9)
  • Alto (puntuación CVSS de 7,0 a 8,9)
  • Crítico (puntuación CVSS de 9,0 a 10,0)

El sitio web del NIST explica esto con más detalle.

Pida mas información

Para obtener más información sobre nuestro servicio de evaluación de vulnerabilidades, comuníquese con nosotros por correo electrónico, teléfono o mediante el formulario de contacto en el sitio web.