12.6.1. Control de las vulnerabilidades técnicas


Control:

Se debería obtener información oportuna sobre la vulnerabilidad técnica de los sistemas de información que se están utilizando, evaluar la exposición de la organización ante tal vulnerabilidad y tomar las medidas adecuadas para hacer frente a los riesgos asociados.

(Consultar también, entre otros, 7.112.5.1, 13.2, 11.4.5)

Posibles Soluciones a este control:

Belarc Belarc Advisor construye un perfil detallado del software y hardware instalado, el inventario de la red, la falta de revisiones en productos de Microsoft, el estado de anti-virus, puntos de referencia de seguridad, y muestra los resultados en el explorador Web. Toda la información del perfil del PC se mantiene privada y no se envía a servidores de la web. Belarc Advisor
Burp Suite Plataforma integrada para el desarrollo de test de seguridad de aplicaciones web. Burp Suite
DELL KACE KBox
Solución para pequeñas y grandes empresas con el objetivo de ahorrar tiempo y dedicación en labores de administración TI en la detección y actualización de los equipos conectados de la organización. Disponible diverso material informativo y una versión de prueba de 30 días.KACE
Digital Encode

Ejemplo, en inglés, de un informe resultante de un análisis de vulnerabilidades y test de penetración realizado para una empresa ficticia.

Vulnerability Assessment & Penetration Test Report template
Cloud Cracker
Servicio de cracking de contraseñas para test de penetración y audtitores de red que necesitan chequear la securidad de protecciones WPA2-PSK en redes wireless, crack hashes o romper cifrados de documentos.Servicio Cloud
ENISA

Directorio con diversas soluciones recopiladas para la comprobación de vulnerabilidades y auditoría de sistemas.

Enlace

FileHippo

Update Checker revisará el software instalado en tu ordenador, comprobará las versiones y después enviará esta información a FileHippo.com para ver si hay nuevas versiones. Éstas se muestran ordenadamente en tu navegador para que las descargues. Versión gratuita.

FileHippo

FileFuzz

FileFuzz ha sido diseñado para automatizar la creación de formatos de fichero anormales en la ejecución de aplicaciones. FileFuzz dispone adicionalmente de capacidades de debugging para detectar excepciones como resultados de las pruebas.

SecuriTeam

Fuzzdb

Base de datos con patrones para los casos más habituales de ataque.

Fuzzdb

GFI

GFI LANguard es una herramienta, en español, que permite hacer gestión de actualizaciones, gestión de vulnerabilidades, auditoría de red y de software, inventario, gestión de cambios y análisis de riesgos y cumplimiento. Versión gratuita para uso no comercial para hasta 5 IPs.

GFI LANguard

Gizmo's freeware

Enorme repositorio de soluciones técnicas en seguridad.

Repositorio

Google Code

Escáner de vulnerabilidades en aplicaciones web, de Google.

Skipfish
HackArmouryRepositorio con múltiples herramientas y recursos para pentesting.Repositorio
INSECURITY RESEARCH
Esta solución de auditoría de intrusión y solución de testeo de software está diseñada para permitir a las organizaciones de cualquier tamaño mitigar, monitorizar y gestionar las últimas vulnerabilidades en seguridad para implantar políticas de seguridad activa mediante la realización de tests de intrusión en si infraestrustura y aplicaciones.
INSECT PRO

InfosecWriters

Documento de ejemplo, en inglés, de un proceso de análisis de vulnerabilidades para una empresa ficticia.

Testing Process
INTECO Cert

CONAN es una analizador de vulnerabilidades en PCs gratuito, en español, desarrollado por INTECO.

CONAN 
LUMENSION
Gestión integrada y proactiva de gestión de parches y evaluación de vulnerabilidades de software. Administración completa de vulnerabilidades usando un proceso de validación de mercado que incluye el descubrimiento e inventario de activos a través de exploraciones basadas en agentes locales y de red; una remediación automatizada e inteligente y una auditoría de conformidad continua. Solución de pago pero dispone de una versión de prueba.
Vulnerability Management tool
NTAHerramienta que permite testar servidores IPsec VPN.ike-scan

Matriux

Matriux es una distribución open source que incluye un conjunto de herramientas para tests de penetración, hacking ético, administración de sistemas y redes, informática forense, análisis de vulnerabilidades, etc.

Matriux

OpenVAS

Open Vulnerability Assessment System (OpenVAS) es un conjunto de servicios y herramientas de software libre en inglés que proporcionan una solución de escaneado y gestión de vulnerabilidades.

OpenVAS

QUALYS

QUALYS Browser check permite realizar un test a su navegador y localizar posibles desactualizaciones y vulnerabilidades en la versión utilizada así como en plugins instalados (java, flash, pdf, ...) .

Test de vulnerabilidades de Navegador
QUALYS
Este servicio gratuito online realiza un análisis en profundidad de la configuración de cualquier servidor web SSL disponible públicamente en Internet. Genera un informe en detalle de las comprobaciones realizadas además del catalogar el site según un ranking documentado (rating guide).
SSL Labs on-line tool

Rating guide

RAPID7

NeXpose Community Edition es una herramienta, en inglés, de gestión de vulnerabilidades para pequeñas organizaciones. Es gratuita hasta un límite de 32 IPs.NeXpose

RETINA

Retina Network Community, es un potente escaner de vulnerabilidades free hasta 128 IPs para desarrollar valoraciones en todo tu entorno.eEye
SECUNIA

Secunia proporciona una serie de herramientas de escaneo de vulnerabilidades software y gestión de parches. Dispone de versiones gratuitas para uso personal no comercial.

Secunia
SECURE DATABASE
Panel de información con las vulnerabilidades en productos y que se actualiza constantemente. La sección de herramientas permite consultar posibles soluciones de manera extensa y en materia de seguridad.
Dashboard y tools
Sleuth Kit sleuthkit.org es la web oficial para The Sleuth Kit (TSK) y Autopsy Browser, ambas herramientas open source para la investigación forense y ejecutables en entornos Windows y Unix (tales como Linux, OS X, Cygwin, FreeBSD, OpenBSD, y Solaris).
Pueden analizar sistemas de ficheros NTFS, FAT, HFS+, Ext2, Ext3, UFS1, y UFS2 entre otros tipos de volúmenes. TSK consiste en una librería C y una colección de herramientas desde ventana de comandos. Autopsy es un interace gráfico para TSK. TSK es integrable de varias formas con sistemas forenses automatizados. The Sleuth Kit Hadoop Framework es un framework que incorpora TSK en cloud computing para el análisis de grandes volúmenes de datos.
TSK

SQLMap

SQLmap es una herramienta open source, en inglés, que automatiza el proceso de detección y explotación de vulnerabilidades de inyección SQL.

SQL Map


    Post a comment

    Your Name or E-mail ID (mandatory)




     RSS of this page

    Written by:   Version:   Edited By:   Modified

    Información de contacto

    http://www.iso27000.es/ISO27002/contacto.gif