CA - Module - 23 Evaluación de Vulnerabilidades en Terminales

Módulo 23: Evaluación de
vulnerabilidades de terminales
CyberOps Associate v1.0

Objetivos del módulo
Título del Módulo: Evaluación de vulnerabilidades de terminales
Objetivo del Módulo : Explicar cómo se evalúan y administran las vulnerabilidades de los
terminales.
Título del tema Objetivo del tema
Explicar el valor de la generación de perfiles de redes y
Perfiles de redes y servidores
servidores.
Contenido
Sistema de puntuación de Explicar cómo se utilizan los informes del CVSS para describir
vulnerabilidades comunes (CVSS) las vulnerabilidades de seguridad.
Administración segura de Explicar cómo se utilizan las técnicas de administración
dispositivos segura de dispositivos para proteger los datos y los recursos.
Sistemas de administración de Explicar cómo se utilizan los sistemas de administración de
seguridad de la información seguridad para proteger los activos.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 10
23.1 Perfiles de redes y
servidores
© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Información confidencial de Cisco. 11
Perfiles de redes
La creación de perfiles de red y
dispositivos proporciona información
estadística de línea base que puede
servir como punto de referencia para el
rendimiento normal de la red y del
dispositivo.
Elementos de un perfil de red:
• Duración de sesiones
• Rendimiento total
• Espacio de direcciones de activos
críticos
• Tipo de tráfico típico Elementos de un perfil de red

Perfiles de servidores
• Un perfil de servidor es una referencia de seguridad para un servidor específico.
• La creación de perfiles de servidor se utiliza para establecer el funcionamiento aceptado de
los servidores.
• Los elementos del perfil del servidor son los siguientes:
• Puertos de escucha
• Usuarios y cuentas que han iniciado sesión
• Cuentas de servicio
• Entorno de software

Detección de anomalías de red
• Es posible describir el comportamiento de la red
mediante una gran cantidad de datos diferentes,
como las características del flujo de paquetes, las
particularidades de los mismos paquetes y la
telemetría derivada de múltiples fuentes.
• Las técnicas de análisis de datos masivos pueden
utilizarse para analizar estos datos y detectar
variaciones desde la línea base.
• La detección de anomalías también puede
identificar hosts infectados en la red que están
buscando otros hosts vulnerables.
• En la figura, se ejemplifica una versión
simplificada de un algoritmo diseñado para
detectar una situación inusual en los routers de
frontera de una empresa.

Pruebas de vulnerabilidad de la red
• Las pruebas de vulnerabilidades de redes pueden incluir análisis de riesgos, evaluaciones de
vulnerabilidades y pruebas de penetración.
• En la tabla se enumeran ejemplos de actividades y herramientas que se utilizan en las
pruebas de vulnerabilidades:
Actividad Descripción Herramientas

Las personas realizan un análisis integral de Consultores internos o
Análisis de riesgos los impactos de los ataques en los activos externos, marcos de gestión
centrales de la empresa y su funcionamiento de riesgos
Administración de parches, escaneos de OpenVas,
Evaluación de
hosts, escaneo de puertos, y otros servicios y Microsoft Baseline Analyzer,
vulnerabilidades
escaneos de vulnerabilidades Nessus, Qualys, Nmap
Uso de herramientas y técnicas de hacking
Metasploit, CORE Impact,
Pruebas de penetración para sortear las defensas de redes e identificar
hackers éticos
las posibilidades de penetración
23.2 Sistema de puntuación
de vulnerabilidades
comunes (CVSS)

Sistema de puntuación de vulnerabilidades comunes (CVSS)
Descripción general de CVSS
• El Sistema común de puntuación de
vulnerabilidades (Common Vulnerability Scoring
System, CVSS) es una evaluación de riesgos
diseñada para transmitir los atributos comunes y
la gravedad de las vulnerabilidades en hardware
informático y sistemas de software.
• CVSS provee calificaciones estandarizadas para
las vulnerabilidades
• Proporciona un marco abierto proporciona un
marco abierto con métricas para todos los
usuarios.
• CVSS ayuda a priorizar el riesgo.
• El Foro de respuesta a incidentes y equipos de
seguridad (FIRST, Forum of Incident Response
and Security Teams) fue designado como custodio
de CVSS para promover su adopción a nivel
mundial. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
Grupos de métricas de CVSS
• CVSS utiliza tres grupos de métricas
para evaluar la vulnerabilidad.
• Grupo de métricas base: representa
las características de una
vulnerabilidad que se mantienen
constantes en el tiempo y en diversos
contextos.
• Grupo de métrica temporal: mide las
características de una vulnerabilidad
que pueden cambiar con el tiempo,
pero no en cada entorno de usuario.
• Grupo de métrica del entorno: mide
los aspectos de una vulnerabilidad
que están arraigados en el entorno de
una organización específica.
Grupo de métricas básicas de CVSS
• El grupo de métricas básicas “Métricas de capacidad de
ataque” incluye los siguientes criterios:
• Vector de ataque
• Complejidad de ataque
• Privilegios requeridos
• Interacción con usuario
• Alcance
• Los componentes de las métricas de impacto del grupo
de métricas básicas incluyen los siguientes criterios:
• Impacto sobre la confidencialidad
• Impacto sobre la integridad
• Impacto sobre la disponibilidad
El proceso de CVSS
• El proceso de CVSS utiliza una herramienta llamada Calculadora de CVSS v3.1.
• La calculadora es similar a un cuestionario en el que se eligen opciones que describen la
vulnerabilidad de cada grupo de métricas.
• Más tarde, se genera una puntuación y se muestra la calificación de gravedad numérica.

El proceso de CVSS
• Después, los valores de las
métricas temporales y del
entorno modificarán los
resultados de las métricas
básicas para proporcionar
una puntuación general.

Informes de CVSS
• Mientras mayor sea la clasificación de gravedad, mayor será el impacto potencial de un
ataque y mayor la urgencia de afrontar la vulnerabilidad.
• Debe afrontarse cualquier vulnerabilidad que supere el valor de 3,9.
• En la figura, se ven los rangos de puntuación y el significado cualitativo correspondiente:
Calificación Puntuación de CVSS

Ninguna 0
Baja 0.1 – 3.9
Medio 4.0 – 6.9
Alto 7.0 – 8.9
Crítico 9.0 – 10.0

Otras fuentes de información sobre vulnerabilidades
Vulnerabilidades y exposiciones
comunes (CVE, Common Vulnerabilities
and Exposures)
• El identificador de CVE proporciona una

manera estandarizada de investigar una
referencia a las vulnerabilidades.
• Además, los servicios de inteligencia de
amenazas utilizan identificadores de
CVE y aparecen en diversos registros de
los sistemas de seguridad.
• El sitio web con detalles sobre CVE

incluye un enlace entre las puntuaciones
de CVSS y la información de CVE.

Otras fuentes de información sobre vulnerabilidades
Base de datos nacional sobre
vulnerabilidades (NVD, National
Vulnerability Database):
• Esta base utiliza identificadores de
CVE y suministra información
adicional sobre vulnerabilidades,
como puntuaciones de amenazas
de CVSS, detalles técnicos,
entidades afectadas y recursos
para la investigación posterior.
• El Instituto Nacional de Normas y
Tecnología (NIST) de los Estados
Unidos creó y mantiene esta base
de datos.
23.3 Administrador de
dispositivos de seguridad

Administración segura de dispositivos
Gestión de riesgos
• La gestión de riesgos implica seleccionar y
especificar controles de seguridad para una
organización.
• Una actividad obligatoria en la evaluación de
riesgos es identificar amenazas y
vulnerabilidades.
• Formas de responder a los riesgos
identificados:
• Evasión de riesgos: dejar de realizar las
actividades que generan riesgo.
• Reducción de riesgos: tomar medidas para
reducir la vulnerabilidad.
• Distribución compartida de riesgos -
derivar parte del riesgo a otras partes.
• Retención de riesgos: aceptar el riesgo y
sus consecuencias.
Administración de vulnerabilidades
La administración de vulnerabilidades es una práctica de seguridad
diseñada para prevenir de manera proactiva los ataques a las
vulnerabilidades de TI.
Los pasos del ciclo de vida de la administración de vulnerabilidades
son los siguientes:
• Descubrir - Desarrolle un valor de referencia para la red.
Identifique las vulnerabilidades de seguridad usando un
cronograma periódico automatizado.
• Priorizar activos- Categorizar los activos en grupos o
unidades comerciales, y asignar un valor comercial a los
grupos de activos en función de su importancia para las
operaciones comerciales.
• Evaluar - Determine un perfil de riesgo de referencia para
eliminar riesgos en función de la importancia de los activos, las
vulnerabilidades, las amenazas y la clasificación de los activos.
Administración de vulnerabilidades
• Reportar - Medir el nivel de riesgo comercial
asociado con sus recursos de acuerdo con las
políticas de seguridad. Documentar un plan de
seguridad, monitorear la actividad sospechosa y
describir vulnerabilidades conocidas.
• Remediar: priorizar de acuerdo con el riesgo

comercial y solucionar las vulnerabilidades por
orden de riesgo.
• Verificar: implementar auditorías de

seguimiento para comprobar que las amenazas
se hayan eliminado.

Administración de activos
La administración de activos implica implementar sistemas que rastrean la ubicación y
configuración de dispositivos y software en red en toda una empresa.
Herramientas y técnicas para la gestión de
activos:
• Detección automatizada e inventario del estado
actual de los dispositivos
• Articulación del estado deseado de esos
dispositivos usando políticas, planes y
procedimientos en el plan de seguridad de la
información de la organización
• Identificación de activos autorizados que no
cumplan las reglas
• Corrección o aceptación del estado del
dispositivo, posible reiteración de la definición
del estado deseado
• Repetir el proceso en intervalos regulares o de
manera continua
Administración de dispositivos móviles
• No es posible controlar
físicamente los dispositivos
móviles en las instalaciones
de una organización.
• Los sistemas de MDM, como

Cisco Meraki Systems
Manager, permiten que el
personal de seguridad
configure, monitoree y
actualice un conjunto muy
diverso de clientes móviles
desde la nube.

Administración de configuraciones
• Administración de Configuración: Según la definición del NIST, la administración de
configuraciones:
Se compone de un conjunto de actividades encaminadas a establecer y mantener la
integridad de los productos y sistemas, mediante el control de los procesos de
inicialización, modificación y monitoreo de las configuraciones de esos productos y
sistemas.
• Herramientas de configuración: Puppet, Chef, Ansible y SaltStack

Administración de parches empresariales
• La administración de parches involucra
todos los aspectos de la implementación
de parches de software, entre ellos, la
identificación de parches necesarios, y la
adquisición, distribución, instalación y
comprobación de parches en todos los
sistemas que los requieran.
• La administración de parches es
necesaria por algunas regulaciones de
cumplimiento, como Sarbanes Oxley
(SOX) y la Ley de Portabilidad y
Responsabilidad de Seguros Médicos
(HIPAA).

Técnicas de administración de parches
Basado en agentes:
• Este requiere que un agente de
software se ejecute en cada host
donde se implementen parches.
• El agente informa si hay software
vulnerable instalado en el host.
• El agente se comunica con el
servidor de administración de
parches, determina si hay parches
que deban instalarse y los instala.
• Los enfoques con base en agentes
son el método preferido para
implementar parches en dispositivos
móviles.
Análisis sin agentes:
• Los servidores de administración
de parches analizan la red en
busca de dispositivos que
necesiten parches.
• El servidor determina qué
parches se necesitan y los instala
en los clientes.
• Solo se pueden aplicar parches a
los dispositivos que están en
segmentos de red escaneados, lo
que puede ser un problema para
los dispositivos móviles.
Monitoreo de red pasivo:
• Los dispositivos que
requieren parches se
identifican mediante el
monitoreo del tráfico en la
red.
• Este enfoque solamente es
efectivo para el software
que incluye información
sobre la versión en el
tráfico de su red.

23.4 Sistemas de
administración de seguridad
de la información

Sistemas de administración de seguridad de la información (SGSI)
Sistemas de administración de la seguridad
• Un sistema de administración de seguridad de la información (ISMS, Information Security
Management System) consiste de un marco de trabajo de administración el cual es utilizado
para identificar, analizar y afrontar los riesgos de seguridad de la información.
• Los ISMS proporcionan modelos
conceptuales que orientan a las
organizaciones durante la planificación,
implementación, supervisión y evaluación de
programas de seguridad de la información.
• Suele incorporar el marco de trabajo
“planificar, hacer, comprobar y actuar”(Plan-
Do-Check-Act), conocido como el ciclo de
Deming.
Un modelo general para la funcionalidad organizacional
• ISM se ve como una elaboración del
componente del proceso del modelo de
capacidad organizativa personas-procesos-
tecnología-cultura. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
Sistemas de administración de seguridad de la información
ISO-27001
• ISO/IEC 27000 family of standards – estándares aceptados internacionalmente que simplifican los negocios
entre países La certificación ISO 27001 es una especificación global de todo el sector para un ISMS.
Planificar Hacer Verificar Actuar

• Entender los • Crear e • Supervisar • Auditar
objetivos implementar un la ejecución procesos
empresariales plan de gestión • Compilar continuamente
relevantes de riesgos informes • Mejorar
• Definir el alcance • Establecer e • Apoyar las continuamente
de las actividades implementar auditorías los procesos
• Acceder y procedimientos de • Tomar medidas
administrar la y políticas de certificación correctivas
asistencia gestión de externa • Tomar medidas
• Evaluar y definir el riesgos preventivas
riesgo • Capacitar al
• Realizar la personal,
administración de asignar
activos y la recursos
evaluación de © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
vulnerabilidad confidencial de Cisco. 38
Sistemas de administración de seguridad de información
Marco de ciberseguridad de NIST
• NIST Cybersecurity Framework – Conjunto de normas diseñadas para integrar estándares, pautas y
prácticas existentes con el fin de mejorar la administración y reducción del riesgo de ciberseguridad.
• La siguiente tabla describe las funciones principales de NIST Cybersecurity Framework:
Función central Descripción

Desarrollo del conocimiento organizacional para administrar el riesgo para la
IDENTIFICAR
ciberseguridad en sistemas, activos, datos y capacidades.
Desarrollar e implementar las medidas de protección apropiadas para garantizar la
PROTEGER
prestación de servicios de infraestructura crítica.
Desarrollar e implementar las actividades apropiadas para determinar que se ha registrado
DETECTAR
un evento de ciberseguridad.
Desarrollo e implementación de las actividades adecuadas para tomar medidas ante los
RESPONDER
eventos de ciberseguridad detectados.
Desarrollar e implementar las actividades apropiadas para tener planes de recuperación y
RECUPERAR restaurar cualquier funcionalidad o servicio que se viera afectado debido a un evento de
ciberseguridad.
23.5 Resumen: Evaluación
de vulnerabilidades en
terminales

Evaluación de vulnerabilidades de terminal
Resumen de evaluación de vulnerabilidades en Terminales
• La creación de perfiles de red y dispositivos proporciona información estadística de línea
base que puede servir como punto de referencia para el rendimiento normal de la red y
del dispositivo.
• La seguridad de la red se puede probar con numerosas herramientas y servicios.
• Evaluación de vulnerabilidades, que emplea software para analizar servidores de Internet

y redes internas en busca de diferentes tipos de vulnerabilidades.
• El Sistema común de puntuación de vulnerabilidades (CVSS) es un marco abierto,
independiente y estándar del sector que se utiliza para ponderar los riesgos de una
vulnerabilidad mediante el uso de diversas métricas.
• Las vulnerabilidades se clasifican según el vector de ataque, la complejidad del ataque,
los privilegios necesarios, la interacción del usuario y el alcance.
• La gestión de riesgos implica seleccionar y especificar controles de seguridad para una
organización.
Evaluación de vulnerabilidades de terminal
Resumen de evaluación de vulnerabilidades de terminal
• La gestión de vulnerabilidades es una práctica de seguridad diseñada para prevenir de
forma proactiva la explotación de las vulnerabilidades de TI que existen dentro de una
organización.
• Las organizaciones pueden utilizar un sistema de administración de seguridad de la
información (ISMS) para identificar, analizar y afrontar los riesgos de seguridad de la
información.
• ISO y NIST tienen disponibles los estándares para la administración de riesgos de
ciberseguridad.
• NIST también ha desarrollado el marco de ciberseguridad, que es similar a los estándares
ISO/IEC 27000.


CA - Module - 23 Evaluación de Vulnerabilidades en Terminales

Cargado por

Información del documento

Descripción original:

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

CA - Module - 23 Evaluación de Vulnerabilidades en Terminales

Cargado por

Copyright:

Formatos disponibles

Módulo 23: Evaluación de

CyberOps Associate v1.0

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

Actividad Descripción Herramientas

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

Calificación Puntuación de CVSS

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

• El identificador de CVE proporciona una

• El sitio web con detalles sobre CVE

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

• Remediar: priorizar de acuerdo con el riesgo

• Verificar: implementar auditorías de

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

• Los sistemas de MDM, como

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Planificar Hacer Verificar Actuar

Función central Descripción

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

• Evaluación de vulnerabilidades, que emplea software para analizar servidores de Internet

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

También podría gustarte