La evaluación de vulnerabilidades es un proceso de definición, identificación y clasificación de los agujeros de seguridad en los sistemas de tecnología de la información . Un atacante puede aprovechar una vulnerabilidad para violar la seguridad de un sistema. Algunas vulnerabilidades conocidas son la vulnerabilidad de autenticación, la vulnerabilidad de autorización y la vulnerabilidad de validación de entrada. [1]
Antes de implementar un sistema, primero debe pasar por una serie de evaluaciones de vulnerabilidad que garantizarán que el sistema construido esté a salvo de todos los riesgos de seguridad conocidos. Cuando se descubre una nueva vulnerabilidad, el administrador del sistema puede volver a realizar una evaluación, descubrir qué módulos son vulnerables e iniciar el proceso de parche. Una vez implementadas las correcciones, se puede ejecutar otra evaluación para verificar que las vulnerabilidades realmente se resolvieron. Este ciclo de evaluación, parcheo y reevaluación se ha convertido en el método estándar para que muchas organizaciones gestionen sus problemas de seguridad.
El objetivo principal de la evaluación es encontrar las vulnerabilidades en el sistema, pero el informe de evaluación transmite a las partes interesadas que el sistema está protegido contra estas vulnerabilidades. Si un intruso obtuvo acceso a una red que consta de servidores web vulnerables, es seguro asumir que también obtuvo acceso a esos sistemas. [2] Gracias al informe de evaluación, el administrador de seguridad podrá determinar cómo se produjo la intrusión, identificar los activos comprometidos y tomar las medidas de seguridad adecuadas para evitar daños críticos al sistema.
Dependiendo del sistema, una evaluación de vulnerabilidad puede tener muchos tipos y niveles.
Una evaluación del host busca vulnerabilidades a nivel del sistema, como permisos de archivos inseguros, errores a nivel de aplicación, puertas traseras e instalaciones de caballos de Troya. Requiere herramientas especializadas para el sistema operativo y los paquetes de software que se utilizan, además de acceso administrativo a cada sistema que debe probarse. La evaluación del host suele ser muy costosa en términos de tiempo y, por lo tanto, sólo se utiliza en la evaluación de sistemas críticos. Herramientas como COPS y Tiger son populares en la evaluación de anfitriones.
En una evaluación de red, se evalúa la red en busca de vulnerabilidades conocidas. Localiza todos los sistemas en una red, determina qué servicios de red están en uso y luego analiza esos servicios en busca de posibles vulnerabilidades. Este proceso no requiere ningún cambio de configuración en los sistemas que se están evaluando. A diferencia de la evaluación del host, la evaluación de la red requiere poco costo y esfuerzo computacional.
La evaluación de vulnerabilidades y las pruebas de penetración son dos métodos de prueba diferentes. Se diferencian en función de ciertos parámetros específicos.