Las vulnerabilidades son fallas en un sistema informático que debilitan la seguridad general del dispositivo/sistema. Las vulnerabilidades pueden ser debilidades en el hardware en sí o en el software que se ejecuta en el hardware. Las vulnerabilidades pueden ser aprovechadas por un actor de amenazas , como un atacante, para cruzar los límites de privilegios (es decir, realizar acciones no autorizadas) dentro de un sistema informático. Para explotar una vulnerabilidad, un atacante debe tener al menos una herramienta o técnica aplicable que pueda conectarse a una debilidad del sistema. En este marco, las vulnerabilidades también se conocen como superficie de ataque . Las construcciones en lenguajes de programación que son difíciles de usar correctamente también pueden manifestar una gran cantidad de vulnerabilidades.
La gestión de vulnerabilidades es una práctica cíclica que varía en teoría, pero contiene procesos comunes que incluyen: descubrir todos los activos, priorizar los activos, evaluar o realizar un escaneo completo de vulnerabilidades, informar sobre los resultados, remediar vulnerabilidades, verificar la remediación y repetir. Esta práctica generalmente se refiere a vulnerabilidades de software en sistemas informáticos. [1] La gestión ágil de vulnerabilidades se refiere a prevenir ataques identificando todas las vulnerabilidades lo más rápido posible. [2]
Un riesgo de seguridad a menudo se clasifica incorrectamente como una vulnerabilidad. El uso de vulnerabilidad con el mismo significado de riesgo puede generar confusión. El riesgo es el potencial de un impacto significativo resultante de la explotación de una vulnerabilidad. Luego están las vulnerabilidades sin riesgo: por ejemplo, cuando el activo afectado no tiene valor. Una vulnerabilidad con uno o más casos conocidos de ataques en funcionamiento y completamente implementados se clasifica como vulnerabilidad explotable, es decir, una vulnerabilidad para la cual existe un exploit . La ventana de vulnerabilidad es el tiempo desde que se introdujo o manifestó el agujero de seguridad en el software implementado, hasta que se eliminó el acceso, estuvo disponible/implementó una solución de seguridad o se deshabilitó al atacante; consulte ataque de día cero .
El error de seguridad es un concepto más limitado. Hay vulnerabilidades que no están relacionadas con el software: vulnerabilidades de hardware , sitio y personal son ejemplos de vulnerabilidades que no son errores de seguridad del software.
Una debilidad de un activo o grupo de activos que puede ser explotado por una o más amenazas, donde un activo es cualquier cosa que tiene valor para la organización, sus operaciones comerciales y su continuidad, incluidos los recursos de información que respaldan la misión de la organización [4]
Vulnerabilidad IETF RFC 4949 como: [5]
Una falla o debilidad en el diseño, implementación, operación y administración de un sistema que podría explotarse para violar la política de seguridad del sistema.
Vulnerabilidad: debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser explotada por una fuente de amenaza.
Muchas publicaciones del NIST definen la vulnerabilidad en el contexto de TI en diferentes publicaciones: FISMApedia [7] término [8] proporciona una lista. Entre ellos SP 800-30, [9] dan uno más amplio:
Una falla o debilidad en los procedimientos, el diseño, la implementación o los controles internos de seguridad del sistema que podrían ejercerse (activarse accidentalmente o explotarse intencionalmente) y resultar en una brecha de seguridad o una violación de la política de seguridad del sistema.
La existencia de una debilidad, error de diseño o implementación que puede dar lugar a un evento inesperado e indeseable [G.11] que comprometa la seguridad del sistema informático, red, aplicación o protocolo involucrado. (ITSEC)
La probabilidad de que un activo no pueda resistir las acciones de un agente amenazante.
Según FAIR, la vulnerabilidad está relacionada con la Fuerza de Control, es decir, la fuerza del control en comparación con una medida estándar de fuerza y las Capacidades de amenaza , es decir, el nivel probable de fuerza que un agente de amenaza es capaz de aplicar contra un activo.
ISACA define la vulnerabilidad en el marco Risk It como:
Una debilidad en el diseño, implementación, operación o control interno.
Seguridad informática y de datos: Diccionario de conceptos y términos estándar, autores Dennis Longley y Michael Shain, Stockton Press, ISBN 0-935859-17-9 , define la vulnerabilidad como:
1) En seguridad informática, una debilidad en los procedimientos de seguridad de los sistemas automatizados, controles administrativos, controles de Internet, etc., que podría ser aprovechada por una amenaza para obtener acceso no autorizado a la información o interrumpir el procesamiento crítico. 2) En seguridad informática, una debilidad en la disposición física, organización, procedimientos, personal, gestión, administración, hardware o software que puede ser explotada para causar daño al sistema o actividad ADP. 3) En seguridad informática, cualquier debilidad o falla existente en un sistema. El ataque o evento dañino, o la oportunidad disponible para que un agente de amenaza monte ese ataque.
Matt Bishop y Dave Bailey [13] dan la siguiente definición de vulnerabilidad informática :
Un sistema informático se compone de estados que describen la configuración actual de las entidades que componen el sistema informático. El sistema computa mediante la aplicación de transiciones de estado que cambian el estado del sistema. Todos los estados a los que se puede llegar desde un estado inicial determinado mediante un conjunto de transiciones de estado entran en la clase de autorizado o no autorizado, según lo define una política de seguridad. En este artículo, las definiciones de estas clases y transiciones se consideran axiomáticas. Un estado vulnerable es un estado autorizado desde el cual se puede llegar a un estado no autorizado mediante transiciones de estado autorizadas. Un estado comprometido es el estado así alcanzado. Un ataque es una secuencia de transiciones de estado autorizadas que terminan en un estado comprometido. Por definición, un ataque comienza en un estado vulnerable. Una vulnerabilidad es una caracterización de un estado vulnerable que lo distingue de todos los estados no vulnerables. Si es genérica, la vulnerabilidad puede caracterizar a muchos estados vulnerables; si es específico, puede caracterizar sólo uno...
Una debilidad en los procedimientos de seguridad del sistema automatizado, controles administrativos, controles internos, etc., que podría ser aprovechada por una amenaza para obtener acceso no autorizado a la información o interrumpir el procesamiento crítico. 2. Una debilidad en los procedimientos de seguridad del sistema, diseño de hardware, controles internos, etc., que podría explotarse para obtener acceso no autorizado a información clasificada o confidencial. 3. Una debilidad en el diseño físico, organización, procedimientos, personal, gestión, administración, hardware o software que pueda explotarse para causar daño al sistema o actividad de ADP. La presencia de una vulnerabilidad no causa daño en sí misma; una vulnerabilidad es simplemente una condición o conjunto de condiciones que pueden permitir que el sistema o actividad ADP se vea dañado por un ataque. 4. Una afirmación que se refiere principalmente a entidades del entorno interno (activos); decimos que un activo (o clase de activos) es vulnerable (de alguna manera, posiblemente involucrando a un agente o conjunto de agentes); escribimos: V(i,e) donde: e puede ser un conjunto vacío. 5. Susceptibilidad a diversas amenazas. 6. Un conjunto de propiedades de una entidad interna específica que, en unión con un conjunto de propiedades de una entidad externa específica, implica un riesgo. 7. Las características de un sistema que le hacen sufrir una degradación definitiva (incapacidad para realizar la misión designada) como resultado de haber sido sometido a un cierto nivel de efectos en un entorno hostil no natural (creado por el hombre).
Modelos de vulnerabilidad y factores de riesgo.
Un recurso (ya sea físico o lógico) puede tener una o más vulnerabilidades que pueden ser explotadas por un actor de amenazas. El resultado puede potencialmente comprometer la confidencialidad , integridad o disponibilidad de los recursos (no necesariamente los vulnerables) pertenecientes a una organización y/o a otras partes involucradas (clientes, proveedores). La llamada tríada de la CIA es una piedra angular de la Seguridad de la Información .
Un ataque puede estar activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento, comprometiendo la integridad o la disponibilidad. Un " ataque pasivo " intenta aprender o hacer uso de información del sistema pero no afecta los recursos del sistema, comprometiendo la confidencialidad. [5]
OWASP (ver figura) describe el mismo fenómeno en términos ligeramente diferentes: un agente de amenaza a través de un vector de ataque explota una debilidad (vulnerabilidad) del sistema y los controles de seguridad relacionados, causando un impacto técnico en un recurso (activo) de TI conectado a un impacto de negocios.
El panorama general representa los factores de riesgo del escenario de riesgo. [dieciséis]
Sistema de gestión de seguridad de la información.
Área sujeta a desastres naturales (por ejemplo, inundaciones, terremotos).
interrupción de la fuente de energía
organizativo
falta de auditorías periódicas
falta de planes de continuidad
falta de seguridad
Causas
Complejidad: Los sistemas grandes y complejos aumentan la probabilidad de fallas y puntos de acceso no deseados . [18]
Familiaridad: el uso de código, software, sistemas operativos y/o hardware comunes y conocidos aumenta la probabilidad de que un atacante tenga o pueda encontrar el conocimiento y las herramientas para explotar la falla. [19]
Conectividad: más conexiones físicas, privilegios, puertos, protocolos y servicios y el tiempo de acceso a cada uno de ellos aumenta la vulnerabilidad. [12]
Fallos en la gestión de contraseñas: el usuario de la computadora utiliza contraseñas débiles que podrían descubrirse mediante fuerza bruta. [20] El usuario de la computadora almacena la contraseña en la computadora donde un programa puede acceder a ella. Los usuarios reutilizan contraseñas entre muchos programas y sitios web. [18]
Defectos fundamentales de diseño del sistema operativo : el diseñador del sistema operativo elige aplicar políticas subóptimas en la gestión de usuarios/programas. Por ejemplo, los sistemas operativos con políticas como el permiso predeterminado otorgan a cada programa y a cada usuario acceso completo a toda la computadora. [18] Esta falla del sistema operativo permite que virus y malware ejecuten comandos en nombre del administrador. [21]
Navegación de sitios web de Internet: algunos sitios web de Internet pueden contener spyware o adware dañinos que pueden instalarse automáticamente en los sistemas informáticos. Después de visitar esos sitios web, los sistemas informáticos se infectan y se recopila información personal que se transmite a terceros. [22]
Errores de software : el programador deja un error explotable en un programa de software. El error de software puede permitir que un atacante haga un mal uso de una aplicación. [18]
Entrada de usuario no marcada : el programa asume que toda la entrada del usuario es segura. Los programas que no verifican la entrada del usuario pueden permitir la ejecución directa no intencionada de comandos o declaraciones SQL (conocido como desbordamiento de búfer , inyección SQL u otras entradas no validadas). [18]
No aprender de los errores del pasado: [23] [24] por ejemplo, la mayoría de las vulnerabilidades descubiertas en el software del protocolo IPv4 se descubrieron en las nuevas implementaciones de IPv6 . [25]
La investigación ha demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario humano, el operador, el diseñador u otro ser humano: [26] por lo que los humanos deben ser considerados en sus diferentes roles como activos, amenazas y recursos de información. La ingeniería social es una preocupación de seguridad cada vez mayor.
Consecuencias
El impacto de una brecha de seguridad puede ser muy alto. [27] La mayor parte de la legislación considera que el hecho de que los administradores de TI no aborden las vulnerabilidades de los sistemas y aplicaciones de TI si las conocen es una mala conducta; Los administradores de TI tienen la responsabilidad de gestionar los riesgos de TI . [28] La ley de privacidad obliga a los administradores a actuar para reducir el impacto o la probabilidad de ese riesgo de seguridad. La auditoría de seguridad de la tecnología de la información es una forma de permitir que otras personas independientes certifiquen que el entorno de TI se gestiona adecuadamente y reducen las responsabilidades, al menos habiendo demostrado buena fe. La prueba de penetración es una forma de verificación de las debilidades y las contramedidas adoptadas por una organización: un hacker de sombrero blanco intenta atacar los activos de tecnología de la información de una organización para descubrir qué tan fácil o difícil es comprometer la seguridad de TI. [29] La forma adecuada de gestionar profesionalmente el riesgo de TI es adoptar un Sistema de Gestión de Seguridad de la Información, como ISO/IEC 27002 o Risk IT y seguirlo, de acuerdo con la estrategia de seguridad establecida por la alta dirección. [17]
Uno de los conceptos clave de la seguridad de la información es el principio de defensa en profundidad , es decir, establecer un sistema de defensa multicapa que pueda: [27]
prevenir la explotación
detectar e interceptar el ataque
descubrir a los agentes amenazadores y procesarlos
La seguridad física es un conjunto de medidas para proteger físicamente un activo de información: si alguien puede obtener acceso físico al activo, es ampliamente aceptado que un atacante puede acceder a cualquier información que contenga o hacer que el recurso no esté disponible para sus usuarios legítimos.
Se han desarrollado algunos conjuntos de criterios que una computadora, su sistema operativo y sus aplicaciones deben cumplir para alcanzar un buen nivel de seguridad: ITSEC y Criterios comunes son dos ejemplos.
Divulgación de vulnerabilidad
La divulgación coordinada (algunos se refieren a ella como "divulgación responsable", pero otros la consideran un término sesgado) de vulnerabilidades es un tema de gran debate. Como informó The Tech Herald en agosto de 2010, " Google , Microsoft , TippingPoint y Rapid7 han emitido directrices y declaraciones que abordan cómo abordarán la divulgación en el futuro". [30] El otro método suele ser la divulgación completa , cuando se publican todos los detalles de una vulnerabilidad, a veces con la intención de presionar al autor del software para que publique una solución más rápidamente. En enero de 2014, cuando Google reveló una vulnerabilidad de Microsoft antes de que Microsoft lanzara un parche para solucionarla, un representante de Microsoft pidió prácticas coordinadas entre las empresas de software para revelar divulgaciones. [31]
Los proveedores de servicios en la nube a menudo no enumeran los problemas de seguridad en sus servicios que utilizan el sistema CVE . [32] Actualmente no existe un estándar universal para la enumeración de vulnerabilidades de la computación en la nube , la evaluación de la gravedad y ningún mecanismo de seguimiento unificado. [33] La iniciativa Open CVDB es una base de datos de vulnerabilidades en la nube centralizada impulsada por la comunidad que cataloga las vulnerabilidades de CSP y enumera los pasos que los usuarios pueden seguir para detectar o prevenir estos problemas en sus propios entornos. [34]
OWASP mantiene una lista de clases de vulnerabilidad con el objetivo de educar a los diseñadores y programadores de sistemas, reduciendo así la probabilidad de que se escriban vulnerabilidades involuntariamente en el software. [35]
Fecha de divulgación de vulnerabilidad
El momento de divulgación de una vulnerabilidad se define de manera diferente en la comunidad y la industria de la seguridad. Se lo conoce más comúnmente como "un tipo de divulgación pública de información de seguridad por parte de una determinada parte". Por lo general, la información sobre vulnerabilidades se analiza en una lista de correo o se publica en un sitio web de seguridad y luego da como resultado un aviso de seguridad.
El momento de la divulgación es la primera fecha en que se describe una vulnerabilidad de seguridad en un canal donde la información divulgada sobre la vulnerabilidad debe cumplir el siguiente requisito:
La información está disponible gratuitamente para el público.
La información sobre la vulnerabilidad es publicada por un canal/fuente confiable e independiente.
La vulnerabilidad ha sido analizada por expertos, de modo que la información de calificación de riesgo se incluye en el momento de su divulgación.
Identificar y eliminar vulnerabilidades
Existen muchas herramientas de software que pueden ayudar a descubrir (y en ocasiones eliminar) vulnerabilidades en un sistema informático. Aunque estas herramientas pueden proporcionar al auditor una buena visión general de las posibles vulnerabilidades presentes, no pueden reemplazar el juicio humano. Depender únicamente de los escáneres producirá falsos positivos y una visión de alcance limitado de los problemas presentes en el sistema.
Se han encontrado vulnerabilidades en todos los principales sistemas operativos [36] , incluidos Windows , macOS , diversas formas de Unix y Linux , OpenVMS y otros. La única forma de reducir la posibilidad de que una vulnerabilidad se utilice contra un sistema es a través de una vigilancia constante, incluido un mantenimiento cuidadoso del sistema (por ejemplo, la aplicación de parches de software), mejores prácticas en la implementación (por ejemplo, el uso de cortafuegos y controles de acceso ) y auditorías (tanto durante desarrollo y durante todo el ciclo de vida de implementación).
Ubicaciones en las que se manifiestan vulnerabilidades
Las vulnerabilidades están relacionadas y pueden manifestarse en:
entorno físico del sistema
el personal (es decir, empleados, dirección)
Procedimientos de administración y política de seguridad.
operación comercial y prestación de servicios
hardware, incluidos los dispositivos periféricos [37] [38]
software (es decir, local o en la nube)
Conectividad (es decir, equipos e instalaciones de comunicación).
Es evidente que un enfoque puramente técnico no siempre puede proteger los activos físicos: se debe contar con procedimientos administrativos que permitan el ingreso del personal de mantenimiento a las instalaciones y personas con conocimiento adecuado de los procedimientos, motivadas a seguirlos con el debido cuidado. Sin embargo, las protecciones técnicas no necesariamente detienen los ataques de ingeniería social (seguridad) .
Ejemplos de vulnerabilidades:
un atacante encuentra y utiliza una debilidad de desbordamiento del búfer para instalar malware y luego filtrar datos confidenciales;
un atacante convence a un usuario para que abra un mensaje de correo electrónico con malware adjunto;
una inundación daña los sistemas informáticos instalados en la planta baja.
Vulnerabilidades de software
Los tipos comunes de fallas de software que generan vulnerabilidades incluyen:
^ "Ciclo de vida de la gestión de vulnerabilidades | NPCR | CDC". www.cdc.gov . 2019-03-12 . Consultado el 4 de julio de 2020 .
^ Ding, Aaron Yi; De Jesús, Gianluca Limón; Janssen, Marijn (2019). "Hacking ético para impulsar la gestión de vulnerabilidades de IoT". Actas de la Octava Conferencia Internacional sobre Telecomunicaciones y Teledetección . TICRS '19. Rodas, Grecia: ACM Press. págs. 49–55. arXiv : 1909.11166 . doi :10.1145/3357767.3357774. ISBN978-1-4503-7669-3. S2CID 202676146.
^ ab ISO/IEC, "Tecnología de la información - Técnicas de seguridad-Gestión de riesgos de seguridad de la información" ISO/IEC FIDIS 27005:2008
^ British Standard Institute, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de la tecnología de la información y las comunicaciones - Parte 1: Conceptos y modelos para la gestión de la seguridad de la tecnología de la información y las comunicaciones BS ISO/IEC 13335-1-2004
^ ab Internet Engineering Task Force RFC 4949 Glosario de seguridad de Internet, versión 2
↑ «Instrucción CNSS N° 4009» (PDF) . 26 de abril de 2010. Archivado desde el original (PDF) el 28 de junio de 2013.
^ "FISMApedia". fismapedia.org .
^ "Término: vulnerabilidad". fismapedia.org .
^ Guía de gestión de riesgos NIST SP 800-30 para sistemas de tecnología de la información
^ "Glosario". europa.eu .
^ Taxonomía de riesgos de la norma técnica ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009.
^ ab "Introducción al análisis factorial del riesgo de la información (FAIR)", Risk Management Insight LLC, noviembre de 2006 Archivado el 18 de noviembre de 2014 en Wayback Machine ;
^ Matt Bishop y Dave Bailey. Un análisis crítico de las taxonomías de vulnerabilidad. Informe técnico CSE-96-11, Departamento de Ciencias de la Computación de la Universidad de California en Davis, septiembre de 1996
^ Schou, Corey (1996). Manual de términos de INFOSEC, versión 2.0. CD-ROM (Universidad Estatal de Idaho y Organización de Seguridad de Sistemas de Información)
^ Glosario NIATEC
^ ISACA THE RISK IT FRAMEWORK (se requiere registro) Archivado el 5 de julio de 2010 en Wayback Machine.
^ ab Wright, Joe; Harmening, Jim (2009). "15". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 257.ISBN _978-0-12-374354-1.
^ abcde Kakareka, Almantas (2009). "23". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 393.ISBN _978-0-12-374354-1.
^ Krsul, Ivan (15 de abril de 1997). Informe Técnico CSD-TR-97-026 . Departamento de Ciencias de la Computación del Laboratorio COAST, Universidad Purdue. CiteSeerX 10.1.1.26.5435 .
^ Pauli, Darren (16 de enero de 2017). "Ríndete: 123456 sigue siendo la contraseña más popular del mundo". El registro . Consultado el 17 de enero de 2017 .
^ "Las seis ideas más tontas en seguridad informática". ranum.com .
^ "El Consorcio de Seguridad de Aplicaciones Web / Estadísticas de Seguridad de Aplicaciones Web". webappsec.org .
^ Ross Anderson. Por qué fallan los criptosistemas. Informe técnico, University Computer Laboratory, Cambridge, enero de 1994.
^ Neil Schlager. Cuando la tecnología falla: importantes desastres, accidentes y fallas tecnológicas del siglo XX. Gale Research Inc., 1994.
^ Kiountouzis, EA; Kokolakis, SA (31 de mayo de 1996). Seguridad de los sistemas de información: de cara a la sociedad de la información del siglo XXI . Londres: Chapman & Hall , Ltd. ISBN0-412-78120-4.
^ ab Rasmussen, Jeremy (12 de febrero de 2018). "Mejores prácticas de ciberseguridad: manténgase ciberinteligente". Decisiones tecnológicas . Consultado el 18 de septiembre de 2020 .
^ "¿Qué es una vulnerabilidad? - Base de conocimientos - ICTEA". www.ictea.com . Consultado el 3 de abril de 2021 .
^ Bavisi, Sanjay (2009). "22". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 375.ISBN _978-0-12-374354-1.
^ "La nueva era de la divulgación de vulnerabilidades: una breve charla con HD Moore". El heraldo tecnológico . Archivado desde el original el 26 de agosto de 2010 . Consultado el 24 de agosto de 2010 .
^ Betz, Chris (11 de enero de 2015). "Un llamado para una divulgación de vulnerabilidades mejor coordinada - MSRC - Inicio del sitio - Blogs de TechNet". blogs.technet.com . Consultado el 12 de enero de 2015 .
^ "Wiz lanza una base de datos abierta para rastrear las vulnerabilidades de la nube". BuscarSeguridad . Consultado el 20 de julio de 2022 .
^ Barth, Bradley (8 de junio de 2022). "La base de datos centralizada ayudará a estandarizar la divulgación de errores para la nube". www.scmagazine.com . Consultado el 20 de julio de 2022 .
^ Vijayan, Jai (28 de junio de 2022). "Problemas de seguridad en la nube de nuevos catálogos de bases de datos de vulnerabilidades". Lectura oscura . Consultado el 20 de julio de 2022 .
^ "Categoría: vulnerabilidad". owasp.org .
^ David Harley (10 de marzo de 2015). "Vulnerabilidades, exploits e inseguridad del sistema operativo" . Consultado el 15 de enero de 2019 .
^ La mayoría de las computadoras portátiles son vulnerables a ataques a través de dispositivos periféricos. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Fuente: Universidad de Cambridge]
^ Explotación de impresoras de red. Instituto de Seguridad TI, Universidad del Ruhr en Bochum