Análisis de vulnerabilidades activos y pasivos: un paso por delante de los ciberdelincuentes
En la producción en red, las TI y las OT están cada vez más unidas. Si antes una brecha de seguridad "sólo" provocaba una fuga de datos, hoy toda la producción puede venirse abajo. Quienes llevan a cabo escaneos regulares de vulnerabilidades activas y pasivas pueden protegerse.
Lo que parece algo extraño en el caso de las infraestructuras físicas -quién recrearía un robo para probar su sistema de alarma- es un procedimiento probado en TI para identificar vulnerabilidades. El llamado escaneado activo puede realizarse a diario y de forma automática. El escaneado pasivo, por el contrario, detecta una intrusión en curso, ya que toda intrusión cibernética también deja huellas, aunque a menudo ocultas.
Los cortafuegos y los programas antivirus, por ejemplo, utilizan la exploración pasiva para controlar el tráfico que llega a un sistema. A continuación, estos datos se comparan con una base de datos. Allí se almacena información sobre malware, peticiones no seguras y otras anomalías. Si el cortafuegos recibe una solicitud de un remitente inseguro que quiere leer los datos del perfil del usuario, rechaza la solicitud. El propio sistema no es consciente de ello, porque el escáner pasivo no accede al sistema, sino sólo al tráfico de datos.
La ventaja de esto es que el sistema no tiene que utilizar ninguna potencia de cálculo adicional. A pesar del escaneado, se puede utilizar todo el ancho de banda. Esto es especialmente útil para los componentes críticos. Deben tener la mayor disponibilidad posible. Cuantas menos actividades adicionales realicen, mejor.
La desventaja del escaneado pasivo: sólo se pueden ver los sistemas que se comunican activamente. Esto no incluye el software ofimático ni los lectores de PDF, por ejemplo. Pero incluso los servicios que se comunican lo hacen principalmente con sus funciones principales. Las funciones con vulnerabilidades que se utilizan poco o nada en el funcionamiento directo no son visibles o sólo lo son cuando el ataque ya está en marcha.
Los escaneos activos funcionan de forma diferente y simulan ataques. Realizan peticiones al sistema e intentan así desencadenar diferentes reacciones. Por ejemplo, el escáner activo envía una solicitud de transmisión de datos a varios programas del sistema. Si uno de los programas reacciona y envía los datos al lugar no autorizado simulado, el escáner ha encontrado una brecha de seguridad.
La ventaja: la calidad de los datos que puede lograrse con el escaneado activo es superior a la del escaneado pasivo. Dado que la interacción tiene lugar directamente con el software y las interfaces, pueden detectarse problemas en programas que normalmente no se comunican directamente con la red. De este modo, también se descubren vulnerabilidades en programas como las aplicaciones de Office.
Sin embargo, con la interacción directa, los sistemas tienen que procesar peticiones adicionales, lo que puede perjudicar a las funciones básicas de un programa. La tecnología operativa, como los sistemas de control de máquinas, por ejemplo, no están necesariamente diseñados para llevar a cabo actividades secundarias. Aquí se recomienda, por ejemplo, la exploración bajo supervisión y, como complemento, la exploración pasiva continua.
Sin embargo, la exploración activa es esencial para la ciberseguridad operativa. Esto se debe a que el riesgo planteado por el uso excesivo a corto plazo de un componente del sistema es pequeño en comparación con una interrupción de la producción o una fuga de datos. Además, los escaneos activos no sólo descubren vulnerabilidades, sino que también pueden mejorar los escaneos pasivos. Por ejemplo, las vulnerabilidades detectadas pueden añadirse a las bases de datos de cortafuegos. Esto también ayuda a otras empresas que utilizan sistemas similares.
El escaneado activo y pas ivo van de la mano Dado que el escáner pasivo también puede proporcionar al escáner activo información útil, por ejemplo sobre teléfonos móviles o propiedades de servicios de red, se puede hablar de una suma complementaria de estas dos herramientas de seguridad. Lo que ambas tienen en común es que siempre obtienen automáticamente lo mejor de la situación dada en la red. Para las técnicas de exploración pasiva y activa, no importa de qué o cuántos componentes y programas esté compuesta la red. Ambas tecnologías de seguridad lo reconocen por sí mismas y se adaptan a ello. Sólo con un mayor nivel de seguridad comienza el ajuste optimizado de la red y los escáneres.
Por lo tanto, no es cuestión de utilizar uno u otro. Ambos métodos son necesarios para garantizar un entorno de red seguro. Un enfoque puramente pasivo no ayudará en muchos casos. La gestión proactiva de vulnerabilidades necesita escaneos activos y herramientas para gestionarlos. Esto es lo que ofrecen los productos de gestión de vulnerabilidades de Greenbone.