¿Qué son las Vulnerabilidades?
Las vulnerabilidades son debilidades o fallos en un sistema que pueden ser explotados por atacantes para comprometer la seguridad, integridad o disponibilidad del sistema. Estas pueden existir en software, hardware, procedimientos o controles organizativos.
Common Vulnerability Scoring System (CVSS)
El Common Vulnerability Scoring System (CVSS) es un estándar que proporciona una forma universal de medir y comunicar la gravedad de las vulnerabilidades de seguridad en los sistemas. CVSS se divide en tres grupos de métricas: base, temporales y ambientales.
1. Métricas Base
Acceso Vectorial (AV)
Indica cómo se puede explotar la vulnerabilidad: local, adyacente, en la red o física.
Complejidad de Acceso (AC)
Evalúa la dificultad de explotar la vulnerabilidad: baja, media o alta.
Autenticación (AU)
Indica si se requiere autenticación para explotar la vulnerabilidad: ninguna, única o múltiple.
Impactos
Mide el efecto de la vulnerabilidad en la confidencialidad, integridad y disponibilidad del sistema.
2. Métricas Temporales
Explotabilidad (E)
Evalúa la facilidad con la que la vulnerabilidad puede ser explotada.
Nivel de Remediación (RL)
Indica la disponibilidad de soluciones para mitigar la vulnerabilidad.
Informe de Confianza (RC)
Mide la confianza en la existencia y la gravedad de la vulnerabilidad reportada.
3. Métricas Ambientales
Daño Potencial Colateral
Evalúa el impacto en activos externos al sistema afectado.
Distribución de Objetivos
Mide la proporción de sistemas que podrían verse afectados por la vulnerabilidad.
Requisitos de Confidencialidad, Integridad y Disponibilidad
Evalúan la importancia de estos aspectos en el entorno específico del sistema afectado.
Cálculo CVSS tras el Establecimiento de las Métricas
Las métricas base, temporales y ambientales se combinan para calcular una puntuación CVSS que indica la severidad global de la vulnerabilidad.
Principales Tipos de Vulnerabilidades
1. Buffer Overflow o Desbordamiento de Buffer
Ocurre cuando un programa escribe más datos en un buffer de los que este puede manejar, provocando corrupción de datos o ejecución de código malicioso.
2. Condición de Carrera
Surge cuando dos o más procesos acceden a un recurso compartido simultáneamente, causando comportamientos inesperados.
3. Error de Formato en Cadenas
Explotación de funciones de formato de cadenas en lenguajes como C para ejecutar código arbitrario.
4. Cross-Site Scripting (XSS)
Permite a los atacantes inyectar scripts maliciosos en páginas web vistas por otros usuarios.
5. Inyección de SQL
Explotación de consultas SQL mal gestionadas para ejecutar comandos arbitrarios en la base de datos.
6. Control de Acceso Débil
Fallas en la implementación de controles de acceso que permiten a usuarios no autorizados acceder a recursos restringidos.
7. Denegación de Servicio (DoS)
Ataques que buscan hacer que un servicio no esté disponible para sus usuarios legítimos, generalmente saturando el sistema.
Análisis y Gestión de Vulnerabilidades, Riesgos y Ataques
¿Qué Engloba la Gestión de Riesgos?
1. Análisis de Riesgos
Identificación y evaluación de riesgos potenciales que podrían afectar al sistema.
2. Tratamiento de Riesgos
Implementación de medidas para mitigar, transferir, aceptar o evitar los riesgos identificados.
Unidad Didáctica 2: Medición del Riesgo
1. Nivel de Peligrosidad del Ciberincidente
Evaluación de la severidad y el impacto potencial de un ciberincidente.
2. Niveles de Notificación Obligatoria
Definición de umbrales y procedimientos para la notificación de incidentes a las autoridades pertinentes.
Fases de la Gestión de Ciberincidentes
1. Preparación
Desarrollo de políticas, procedimientos y capacidades para gestionar ciberincidentes.
2. Identificación
Detección y análisis de eventos sospechosos para determinar si se trata de un ciberincidente.
3. Contención
Acciones para limitar el alcance y el impacto del ciberincidente.
4. Mitigación
Implementación de medidas para erradicar el ciberincidente y eliminar la vulnerabilidad explotada.
5. Recuperación
Restablecimiento de las operaciones normales y remediación de los daños causados.
6. Actuaciones Tras el Incidente
Revisión del ciberincidente para mejorar las respuestas futuras y actualizar las políticas de seguridad.
Política de Gestión de Riesgos
1. Política de Protección de Datos
Establecimiento de directrices para la protección y el manejo seguro de los datos.
2. Política de Contraseñas
Definición de requisitos de complejidad, cambios periódicos y gestión segura de contraseñas.
3. Política de Actualizaciones
Procedimientos para la aplicación regular de parches y actualizaciones de software.
4. Política de Almacenamiento y Copias de Seguridad
Directrices para el almacenamiento seguro de datos y la realización de copias de seguridad regulares.
5. Política sobre el Uso de Equipos, Aplicaciones y Correo Electrónico
Reglas para el uso adecuado de recursos tecnológicos y comunicaciones corporativas.
6. Política sobre el Uso de Redes Inalámbricas
Medidas para asegurar el acceso y uso de redes Wi-Fi en la organización.
La gestión de vulnerabilidades es un proceso integral que abarca la identificación, evaluación y mitigación de riesgos para proteger los sistemas y datos de las organizaciones. Implementar políticas robustas y mantener una vigilancia constante es crucial para mantener la seguridad en un entorno digital en constante evolución.