Análisis de vulnerabilidades
En busca de los agujeros de la red
¿Sabe cuáles son los agujeros de su red? Los escáneres de análisis y evaluación de vulnerabilidades pueden ayudarle a descubrirlos antes que los hackers.
Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan sólo unos cuantos movimientos de ratón. Identificar las debilidades y saber cómo corregirlas es un paso fundamental para estar seguro.
Sin embargo, pese a estar presentes en el mercado desde hace casi una década, estas herramientas todavía se encuentran muy lejos de la madurez. Muchos de estos productos aún reportan “falsos positivos” y, cuando aciertan, no siempre informan con la precisión necesaria. Con todo, su demanda sigue creciendo: según IDC, las ventas de este tipo de herramientas pasarán de los 359 millones de dólares previstos para este año a 657 millones en 2004.
Del host a la red
En general, las herramientas de análisis de vulnerabilidades obedecen a dos tipos diferentes: las basadas en host y las basadas en la red. Éstas últimas se centran en la identificación de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una información tan detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en host, pero a cambio aportan datos más precisos sobre la red y los servicios. Es más, no obligan a desplegar agentes en todas las máquinas como los basados en host; simplemente hay que definir la red a escanear, y listo.
Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el escáner Retina de eEye Digital Security, que está ganando terreno rápidamente gracias a sus buenas prestaciones. De hecho, fue el que más puntuación obtuvo en la comparativa realizada por IDG.
Los escáneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalación de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administración. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre dichos sistemas que las basadas en red. Además, se pueden combinar con políticas corporativas. Los principales productos dentro de esta categoría son Enterprise Security Manager de Symantec, bv-Control de BindView y System Scanner de ISS.
A pesar de estas diferencias, lo cierto es que poco a poco se están diluyendo las barreras que separan a ambos tipos de productos. Así, muchos escáneres de análisis de red incluyen ahora funcionalidades típicas de las soluciones basadas en host, como las características de auto reparación. También son muchos hoy en día los que añaden análisis de los permisos de registros y las propiedades de las cuentas.
Una nueva aportación a este mercado son los servicios de análisis online, que a un coste atractivo y de un modo automatizado y online evalúan las vulnerabilidades potenciales de los dispositivos perimetrales del cliente; algunos incluso escanean sistemas internos.
Mejores prestaciones
Como sucede en cualquier segmento, el mercado de análisis de vulnerabilidades se está viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes más útiles. En consecuencia, los fabricantes se están viendo obligados a crear interfaces de usuario más intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. En este último apartado, por ejemplo, muchos suministradores están siguiendo el mismo enfoque basado en la Web que las firmas de antivirus. Symantec, por ejemplo, utiliza su infraestructura de distribución antivirus Live Update para distribuir también sus actualizaciones de análisis.
En cuanto a informes, los usuarios quieren disponer, además de sumarios ejecutivos e informes estándar, de informes comparativos que cubran un periodo de tiempo dado. Las herramientas de análisis de Harris ya incluyen esta funcionalidad y el escáner Retina de eEye lo hará en su versión 5.0, que será lanzada dentro de unos pocos meses. Los usuarios, asimismo, han estado demandando la capacidad de exportar los informes a documentos Word, PDF y archivos HTML, y ya son muchos los productos que lo hacen posible.
Un campo donde también se está avanzando significativamente es el del rendimiento, pues todavía hay soluciones muy lentas; incluso algunas requieren sistemas muy pesados (servidores Pentium III-800 con 512 MB de RAM) cuando han de trabajar con redes IP de Clase C. Esto dificulta la evaluación de una red corporativa en su totalidad sobre un solo sistema.
Mayor automatización
Hay una tendencia creciente hacia el uso de “fixes” (arreglos, reparaciones) automatizados para identificar vulnerabilidades, muy útiles en sistemas de producción. Por ejemplo, si un escáner identifica una clave de registro con permisos incorrectos, el problema quedará resuelto inmediatamente con un solo clic de ratón. Antes, el administrador tenía que acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los permisos. Aquí, las herramientas basadas en hosts, como tienen la ventaja de contar con un agente residente físicamente en el sistema, acceden a muchos más recursos de sistema susceptibles de representar un agujero de seguridad.
Los fabricantes, no obstante, están desarrollando formas de solucionar estos puntos débiles de los escáneres de red. Update de PatchLink es el más avanzado en esta área, proporcionando una completa administración y gestión de “parches” (patch). Los parches se descargan de sus servidores en la red del cliente, que puede desplegarlos cuando quiera. El proceso ocurre de una forma transparente para el usuario.
Lo mejor que está ocurriendo en este segmento de la seguridad es la creciente atención de los fabricantes por las soluciones a escala corporativa. La combinación de análisis y la automatización de los arreglos y los parches es definitivamente la gran tendencia a observar en este mercado. La combinación de estas dos actividades ahorrará a los administradores de sistemas tiempo y recursos.
Servicios online
-----------------------
Como la mayoría de los mercados de hoy en día, el de análisis de vulnerabilidades tiene un nuevo componente basado en los servicios. Gracias a estos servicios, las empresas pueden escanear remotamente su perímetro de red o zona desmilitarizada para identificar vulnerabilidades y debilidades de seguridad. Con este enfoque, las redes pueden ser analizadas fácilmente desde la perspectiva del atacante externo a un coste mucho menor que contratando a una firma consultora. Algunos servicios incluso proporcionan los medios para escanear sistemas internos, algo que antes se dejaba exclusivamente en manos de productos específicos, como los probados en esta revisión. Los fabricantes líderes de este mercado son McAfee, Qualys, Vigilante y Foundstone.
Con estos servicios los escaneados pueden ser prog
Las herramientas de análisis de vulnerabilidades permiten identificar muchos de los principales agujeros de seguridad que ponen en riesgo los sistemas de una red, y generalmente con tan sólo unos cuantos movimientos de ratón. Identificar las debilidades y saber cómo corregirlas es un paso fundamental para estar seguro.
Sin embargo, pese a estar presentes en el mercado desde hace casi una década, estas herramientas todavía se encuentran muy lejos de la madurez. Muchos de estos productos aún reportan “falsos positivos” y, cuando aciertan, no siempre informan con la precisión necesaria. Con todo, su demanda sigue creciendo: según IDC, las ventas de este tipo de herramientas pasarán de los 359 millones de dólares previstos para este año a 657 millones en 2004.
Del host a la red
En general, las herramientas de análisis de vulnerabilidades obedecen a dos tipos diferentes: las basadas en host y las basadas en la red. Éstas últimas se centran en la identificación de cuestiones relacionadas con los servicios que, como HTTP, FTP y Simple Mail Transfer Protocol, corren en los sistemas de la red. No ofrecen una información tan detallada ni el mismo grado de control sobre los sistemas que las herramientas basadas en host, pero a cambio aportan datos más precisos sobre la red y los servicios. Es más, no obligan a desplegar agentes en todas las máquinas como los basados en host; simplemente hay que definir la red a escanear, y listo.
Los principales productos de este segmento son Secure Scanner de Cisco, Internet Scanner de ISS y Distributed Cybercop Scanner de Network Associates. Y no hay que olvidar el escáner Retina de eEye Digital Security, que está ganando terreno rápidamente gracias a sus buenas prestaciones. De hecho, fue el que más puntuación obtuvo en la comparativa realizada por IDG.
Los escáneres basados en host identifican vulnerabilidades a nivel de sistema, como permisos de archivos, propiedades de cuenta de usuario y establecimiento de registros, y usualmente requieren la instalación de un agente en los sistemas a analizar. Estos agentes reportan a una base de datos centralizada, desde la que se pueden generar informes y realizar tareas de administración. Como los agentes se instalan en todos y cada uno de los sistemas, este tipo de herramientas aportan a los administradores un mayor control sobre dichos sistemas que las basadas en red. Además, se pueden combinar con políticas corporativas. Los principales productos dentro de esta categoría son Enterprise Security Manager de Symantec, bv-Control de BindView y System Scanner de ISS.
A pesar de estas diferencias, lo cierto es que poco a poco se están diluyendo las barreras que separan a ambos tipos de productos. Así, muchos escáneres de análisis de red incluyen ahora funcionalidades típicas de las soluciones basadas en host, como las características de auto reparación. También son muchos hoy en día los que añaden análisis de los permisos de registros y las propiedades de las cuentas.
Una nueva aportación a este mercado son los servicios de análisis online, que a un coste atractivo y de un modo automatizado y online evalúan las vulnerabilidades potenciales de los dispositivos perimetrales del cliente; algunos incluso escanean sistemas internos.
Mejores prestaciones
Como sucede en cualquier segmento, el mercado de análisis de vulnerabilidades se está viendo incrementado con nuevas soluciones y, lo que es mejor, nuevas prestaciones. Los usuarios demandan hoy, entre otras mejoras, mayor sencillez de uso e informes más útiles. En consecuencia, los fabricantes se están viendo obligados a crear interfaces de usuario más intuitivas y a agilizar y simplificar las actualizaciones de vulnerabilidades. En este último apartado, por ejemplo, muchos suministradores están siguiendo el mismo enfoque basado en la Web que las firmas de antivirus. Symantec, por ejemplo, utiliza su infraestructura de distribución antivirus Live Update para distribuir también sus actualizaciones de análisis.
En cuanto a informes, los usuarios quieren disponer, además de sumarios ejecutivos e informes estándar, de informes comparativos que cubran un periodo de tiempo dado. Las herramientas de análisis de Harris ya incluyen esta funcionalidad y el escáner Retina de eEye lo hará en su versión 5.0, que será lanzada dentro de unos pocos meses. Los usuarios, asimismo, han estado demandando la capacidad de exportar los informes a documentos Word, PDF y archivos HTML, y ya son muchos los productos que lo hacen posible.
Un campo donde también se está avanzando significativamente es el del rendimiento, pues todavía hay soluciones muy lentas; incluso algunas requieren sistemas muy pesados (servidores Pentium III-800 con 512 MB de RAM) cuando han de trabajar con redes IP de Clase C. Esto dificulta la evaluación de una red corporativa en su totalidad sobre un solo sistema.
Mayor automatización
Hay una tendencia creciente hacia el uso de “fixes” (arreglos, reparaciones) automatizados para identificar vulnerabilidades, muy útiles en sistemas de producción. Por ejemplo, si un escáner identifica una clave de registro con permisos incorrectos, el problema quedará resuelto inmediatamente con un solo clic de ratón. Antes, el administrador tenía que acceder al sistema, abrir el editor del registro, encontrar la clave del registro y cambiar los permisos. Aquí, las herramientas basadas en hosts, como tienen la ventaja de contar con un agente residente físicamente en el sistema, acceden a muchos más recursos de sistema susceptibles de representar un agujero de seguridad.
Los fabricantes, no obstante, están desarrollando formas de solucionar estos puntos débiles de los escáneres de red. Update de PatchLink es el más avanzado en esta área, proporcionando una completa administración y gestión de “parches” (patch). Los parches se descargan de sus servidores en la red del cliente, que puede desplegarlos cuando quiera. El proceso ocurre de una forma transparente para el usuario.
Lo mejor que está ocurriendo en este segmento de la seguridad es la creciente atención de los fabricantes por las soluciones a escala corporativa. La combinación de análisis y la automatización de los arreglos y los parches es definitivamente la gran tendencia a observar en este mercado. La combinación de estas dos actividades ahorrará a los administradores de sistemas tiempo y recursos.
Servicios online
-----------------------
Como la mayoría de los mercados de hoy en día, el de análisis de vulnerabilidades tiene un nuevo componente basado en los servicios. Gracias a estos servicios, las empresas pueden escanear remotamente su perímetro de red o zona desmilitarizada para identificar vulnerabilidades y debilidades de seguridad. Con este enfoque, las redes pueden ser analizadas fácilmente desde la perspectiva del atacante externo a un coste mucho menor que contratando a una firma consultora. Algunos servicios incluso proporcionan los medios para escanear sistemas internos, algo que antes se dejaba exclusivamente en manos de productos específicos, como los probados en esta revisión. Los fabricantes líderes de este mercado son McAfee, Qualys, Vigilante y Foundstone.
Con estos servicios los escaneados pueden ser prog
