Saltar a contenido

Monitorear vulnerabilidades

realUptime Zag ejecuta pruebas de penetración predefinidas en forma automatizada y notifica en caso de encontrar vulnerabilidades.

El sistema permite gestionar los riesgos identificados en el tiempo y reportar el estado de vulnerabilidad de la aplicación, de acuerdo con la revisión de los encargados de seguridad de información ya sean internos o externos.

La interface de Zag provee un punto central para dar seguimiento a las vulnerabilidades detectadas y documentar tanto falsos positivos como aquellas incidencias cuya mitigación es demasiado costosa para la organización versus el nivel de exposición al riesgo.

El proceso recomendado

Las pruebas de penetración automatizadas suponen una gran ayuda en la tarea de securitizar una aplicación. Si bien no reemplazan las actividades de Pentesting experto, pueden ayudar a detectar un conjunto amplio de situaciones preocupantes y notificar frente a nuevos hallazgos apenas estos aparezcan en su aplicación, realizando esta labor en forma permanente.

El sistema permite incorporar el resultado de sesiones de Pentesting realizadas manualmente por un experto, detalles en Cargar archivo de resultados en el sistema

La secuencia ideal de actividades a realizar para definir una gestión exitósa de vulnerabilidades es la siguiente:

  1. Definir una prueba de penetración de tipo 'Baseline', y ejecutarla manualmente, para validar que no hubo bloqueo del acceso desde la ubicación de realUptîme a su sitio, por parte de algún IPS u otro sistema de seguridad. Definala sin configurar notificaciones por el momento.
  2. Modificar la prueba, cambiando el tipo a 'Full', y programar su ejecución en algún horario donde sea menos probable provocar disrupción a la actividad de usuarios del sitio. Considerar un intervalo de repetición bastante largo en esta ocasión, por ejemplo 4 semanas, para darle tiempo a revisar los resultados antes de dejar establecida una repetición definitiva.
  3. Verificar en la cola de pentests que la prueba corrió exitósamente y generó resultados. Proceder a cambiar la ejecución de la prueba de penetración desde modo 'Automático' a 'Manual' en este punto.
  4. Revisar las vulnerabilidades detectadas y gestionarlas:
    • Registrar todas aquellas que se considera como falsos positivos para que sean ignoradas;
    • Justificar las vulnerabilidades que serán aceptadas por la organización;
  5. Emitir un reporte de vulnerabilidades, revisar que la información representa adecuadamente tanto la situación de vulnerabilidades como la posición de la organizacion al respecto.
  6. En este punto, la organización ya está al tanto de las vulnerabilidades activas, y podrá contar con planes de trabajo para mitigar algunas de ellas. Es el momento adecuado para modificar la tarea de escaneo, programar la ejecución automática en horario y con la repetición deseada , incluyendo la notificación a los interesados, y la definición prevista para 'días para superadas' y 'días para antiguas'.

Si se bloquea el acceso al sitio por un IPS, por ejemplo, la tarea de escaneo no se realizará correctamente y la prueba podría no entregar resultados. Considere agregar la ubicación de realUptîme a su lista blanca en el equipamiento de seguridad - Puede probar corriendo la prueba nuevamente, cambiando primero la ubicación de realUptîme en uso a una diferente.

Se sugiere contar con el apoyo de expertos de seguridad internos o externos para sancionar la definición de falsos positivos y realizar el análisis de impacto de eventuales vulnerabilidades en sus aplicaciones.

A contar de este momento, la organizacion debería gestionar las vulnerabilidades en forma frecuente de acuerdo a sus definiciones internas, dando seguimiento a los planes de mitigación y documentando los cambios que el sistema vaya detectando durante las constantes repeticiones de las pruebas.

Las operaciones de Zag están resumidas en el menú lateral de la consola realUptîme, opción "Zag".

Desde este menu se puede acceder a las pestañas de cada elemento del sistema:

zapper3.

Definir un nuevo pentest

La opción correspondiente nos permite administrar los pentest recurrentes, que son denominados monitores Zag en el sistema

Al seleccionar el botón '+ Agregar tarea' se presentará el cuadro de diálogo para ingresar los detalles: zapper1

  • Identificador: numero único generado por el sistema
  • Nombre de la tarea: Este nombre aparecerá en los reportes, ejemplo 'Sitio Web Banca Personas'
  • Tipo de test: Seleccionar dentro de las opciones
    • Baseline: prueba de penetración Owasp ZAP pasiva.
    • Full: prueba de penetración Owasp ZAP activa
  • Protocolo: Seleccionar protocolo del sitio (http/https)
  • Host DNS/IP: La dirección del sitio a escanear, usar dirección IP o nombre de host - el sistema validará la conexión antes de guardar la prueba.
  • Puerto tcp: El puerto del servicio
  • URL de inicio: Indique la URL donde deberá iniciarse el escaneo (opcional)
  • Ubicación: Seleccione la ubicación que correrá esta prueba de penetración.
  • Tiempo máximo: si la prueba tarda demasiado en ejecutarse será cancelada por el sistema. El valor por defecto de 3600 segundos usualmente funciona bien, incrementelo si su prueba no logra correr en el tiempo asignado, esto dependerá en gran parte de la complejidad de la aplicación bajo escaneo.
  • Ejecución: Manual o automática, seleccionar ésta si desea programar el escaneo como una tarea recurrente:
    • Repetir cada: indicar la cantidad de intervalos, por ejemplo 1 para repetir cada 1 semana.
    • Intervalos: seleccionar entre horas, dias, semanas, por ejemplo 'semanas'
    • A contar de: indicar fecha y hora de la primera ejecución, a contar de la cual se evaluará el intervalo de repetición establecido antes.

Para ejecutar manualmente una prueba de penetración, debe grabarse la definición primero y se habilitará la opción respectiva

  • Canal de notificación: Seleccionar el canal que será notificado al concluir la tarea de escaneo.
  • Solo cambios: Seleccionar si desea recibir notificación solo cuando haya cambios en el resultado del análisis o ser notificado cada vez que se ejecuta la tarea.
  • Días para superadas: indicar la cantidad de tiempo desde que no es observada una instancia de vulnerabilidad hasta que se reporta como superada. Establezca un valor razonable dependiendo de cada cuanto tiempo estará corriendo el escaneo y de la frecuencia de la revisión de resultados. Un valor razonable es 7 días.
  • Días para antiguas: Indicar la cantidad de tiempo hasta que una instancia de vulnerabilidad deja de reportarse como nueva. Un valor razonable podría ser 1 día, eso dependerá de cada cuanto tiempo se esté revisando la información resultante del escaneo por parte de la organización
  • Script de exploración: Permite cargar un script de exploración para apoyar el descubrimiento de la estructura de la aplicación durante el escaneo. El script debe ser compatible con NightwatchJS v2.1+
  • Módulos habilitados: Luego de ejecutar el primer escaneo podrá seleccionar entre los modulos disponibles para omitir aquellos que puedan ser irrelevantes, reduciendo con ello el tiempo de ejecución de la tarea.

El estado de las tareas de penetración ejecutadas aparecerán en la 'cola de pentests'.

Monitor de vulnerabilidades

La definición de un pentest automatizado opera como un monitor de vulnerabilidades, al comparar el resultado de cada ejecución con los riesgos detectados previamente, y notificar de los cambios a los integrantes del canal definido para tal efecto. La notificación enviada tiene el siguiente formato:

zapperemail

Adicionalmente, los usuarios que accedan al sistema y que cuenten con el privilegio de seguridad "Ver reporte de vulnerabilidades", encontrarán la información de riesgos activos por categoría actualizada en el dashboard principal del sistema

zappermain

Se contabilizan las instancias detectadas por cada categoría de riesgo, indicando cual es el numero de instancias nuevas detectadas en relación con la ejecución anterior.

Revisar la cola de pentests

Acceda a través del menú lateral 'Indicadores del monitoreo - cola de pentests'

Se presentará la vista con la información de pruebas de penetración ejecutadas, con su estado y principales indicadores.

zapper2

Una vez que aparezca un ticket en la columna de estado, los resultados de la prueba estarán disponibles e incoporados a la gestión de vulnerabilidades.

Para ver mas detalles de una ejecución específica seleccionela de la tabla; se desplegará al lado derecho de la consola el detalle de la ejecución del pentest, con un resumen de los riesgos identificados.

zapper13

Estará disponible para su descarga el reporte nativo emitido por la herramienta de seguridad en parte inferior.

Gestionar vulnerabilidades

La gestión de vulnerabilidades posterior a su detección es una labor de gran importancia para obtener el mayor beneficio del sistema y en particular para dar cumplimiento a las mejores practicas, donde las organizaciones frecuentemente deben demostrar ante terceras partes un accionar diligente para mitigar los riegos detectados.

zapper4

El panel permite filtrar la vista a un sitio específico, y también por nivel de riesgo.

Opcionalmente:

  • Permite mostrar los riesgos que estan inactivos (ya sea porque han sido aceptados o identificados como falsos positivos)

  • El sistema traduce por defecto al español la información entregada desde su origina provisto por las herramientas de pentest, lo que puede ser desactivado para visualizar la información original.

zapper7

Al cambiar las opciones seleccione el boton "Refrescar" para actualizar la vista.

Al seleccionar en la tabla cualquiera de los riesgos, se desplegará un panel lateral con información de resúmen del hallazgo y las opciones de gestión disponibles:

zappermg

  • Información técnica del riesgo: permite visualizar desde la bibioteca del sistema la descrición de detalle y referencias a recursos externos que aportan información de la naturaleza de la vulnerabilidad y alternativas de mitigación.
  • Ver instancias: despliega las instancias individuales del riesgo, indicando según corresponda, la URL dónde se detectó y el tipo de evidencia que sustenta la detección positiva del riesgo.

zapper9

  • Editar instancias: a través de esta opción la organización puede documentar los riesgos que han sido identificados como Falsos Positivos (Ignorar) o complejos de mitigar (Aceptar). Esta es la labor principal del especialista de seguridad en esta etapa del proceso, y es la información que será sumada a los reportes de pruebas emitidos por el sistema.

zapper6

Importante: Los riesgos que no sean documentados de esta forma se consideran activos por parte del sistema.

  • Agrupar instancias de riesgo: Algunos modulos de prueba usados para validar un sitio generan un nivel de información variable cada vez que se ejecuta el reporte, lo que hace que sean clasificados como instancias nuevas y provocan un incremento constante del numero de instancias generadas. Por ejemplo, los módulos que detectan la 'divulgación de fecha y hora', suelen detectar valores diferentes en una misma URL cada vez que se ejecuta el escaneo de vulnerabilidades.

zapper10

A través de esta opción, se puede indicar al sistema cuáles campos estan variando permanentemente en cada instancia evitando su repetición, permitiendo eliminar este comportamiento para mantener administrable el sistema. Cada organizacion debe definir sus propias reglas de agrupación según el comportamiento observado del sistema en el tiempo.

Los riesgos para los que se definan reglas de agrupación aparecerán marcados con un ícono especial en la tabla de gestión de vulnerabilidades según la siguiente imagen

zapper8

Emitir reportes para auditoría

Uno de los principales beneficios de Zapper es la emisión de reportes para efectos de auditoría interna o externa, como resultado del proceso de gestión de vulnerabilidades de la organización documentado mediante el uso de las funciones descritas arriba.

Para emitir reportes de vulnerabilidad, seleccione un sitio/pentest específico en el panel de Gestión de Vulnerabilidades y presione el botón "Reporte". Se le ofrecerá un conjunto de opciones:

zapper11

Permitiendo:

  • Traducir la información a español o entregarla en su idioma original

  • Remover del informe las instancias de riesgo que han sido aceptadas o declaradas como falsos positivos.

  • Remover del informe las instancias de riesgo se consideran superados, es decir, que dejaron de observarse despues de haberse detectado en algún momento.

  • Incluir el detalle de instancias individuales, o mostrar solo el numero de instancias asociadas a cada vulnerabilidad.

  • Agregar una introducción al documento, para dar mas contexto de acuerdo a la instancia de presentación (ej. auditoría externa)

  • Agregar conclusiones al documento, esto permite sumar contenido como eventuales recomendaciones de especialistas de seguridad relativo a los riesgos detectados.

Se permite la incorporación de textos largos para la introducción/conclusión, incluso varias páginas. Para formatear el texto en diferentes párrafos use los marcadores < p > para inicio de párrafo y < /p > para fin de párrafo. Otras etiquetas HTML no son validas en este contexto, solo texto plano.

Este conjunto de opciones permite ajustar el contenido del informe a diferentes interesados, por ejemplo:

  • Auditores internos / Oficiales de Seguridad
  • Analistas de seguridad de la organización
  • Negocio/Directorio
  • Especialistas externos
  • DevOps

Permisos de usuario según rol

realUptîme Zag dispone de los siguientes permisos que pueden definirse para cada usuario del sistema. Por defecto, no se ofrecen estos permisos a ningún usuario, y deben ser establecidos por el administrador designado para los usuarios del sistema realUptîme en la alta del servicio

zapper12

  • Ver reporte vulnerabilidades: este permiso es requerido para cualquier usuario que tenga acceso a la información del sistema Zapper.

  • Agregar tareas de escaneo: reservado para los administradores que definen las pruebas de penetración a ejecutar por parte del sistema.

  • Aceptar riesgos: debe asignarse este permiso solo a usuarios que puedan documentar las decisiones relativas a riesgos aceptados y falsos positivos.

  • Ejecutar pruebas de penetración: este permiso permite ejecutar pruebas de penetración a demanda independientemente de su programación establecida.

  • Emitir reporte de riesgos: los usuarios que tengan este permiso podrán emitir un reporte de riesgos PDF segun se indica en punto previo.

IMPORTANTE: ‚¡¡¡ Nunca haga pruebas de penetración de sitios para los que no cuenta autorización !!!! - Es considerado un delito bajo la legislación de muchos países, incluído Chile.