• Tweet

Con la creciente confianza y dependencia de nuestra interconexión mundial, las vulnerabilidades de seguridad son el origen de los problemas de seguridad y tienen diferentes fuentes - sistemas incorrectamente configurados, no cambiar las contraseñas predefinidas, fallas en los productos, perdida de los parches de seguridad por nombrar algunos. La identificación y la corrección exhaustiva y exacta de las vulnerabilidades de seguridad es un requisito necesario para minimizar el riesgo de seguridad en las empresas.

La valoración de las vulnerabilidades en tecnología se ha desarrollado de manera significativa desde la liberación inicial de SATAN aproximadamente hace una década. SATAN era una herramienta de prueba basada en un diccionario de seguridad en UNIX diseñada para los administradores de sistemas identificando problemas de seguridad comunes. Pronto siguieron los exploradores de vulnerabilidades de segunda generación construidos sobre complicados árboles de decisión. Arboles de decisión predefinidos permiten minimizar las pruebas necesarias dependiendo del sistema operativo y la aplicación. Su falta de flexibilidad sin embargo los hizo rápidamente obsoletos.

Las arquitecturas modernas de los exploradores se construyen como sistemas basados en inferencias, sin requerir ningún agente de software en los sistemas afectado. Aprenden acerca de cada sistema afectado individualmente, mientras que pruebas selectivas están siendo intercambiadas con el sistema afectado. La arquitectura basada en inferencias esta centrada alrededor de potentes motores multi-proceso para explorar miles de vulnerabilidades simultáneamente en cada sistema en una red. Los exploradores de esta moderna arquitectura también soportan varios niveles (confiables y no confiables) de valoración de vulnerabilidades contra cualquier sistema afectado dado. La valoración de una vulnerabilidad no confiable simula el escenario de un intruso sin conocimiento previo acerca del sistema afectado, mientras que las credenciales influenciadas por una valoración de confianza para entrar en los sistemas afectados para revisar la configuración y cambiar información. Un importante criterio para medir la efectividad de un explorador de vulnerabilidades es la profundidad y exactitud del conocimiento base de la vulnerabilidad. Además, la capacidad de avisar y comunicar las vulnerabilidades encontradas en una manera estandarizada del explorador de vulnerabilidades a otras aplicaciones (por ejemplo la corrección de la distribución o administrador de configuración) es un requisito critico.

El proyecto OVAL (Lenguaje Abierto de Valoración de Vulnerabilidades) es un esfuerzo de desarrollar un proceso estandarizado para comprobar, divulgar y corregir la configuración tan bien como lo hace la vulnerabilidad. OVAL esta siendo desarrollado por un esfuerzo internacional bajo el liderazgo de MITRE con el soporte de la industria, gobierno, académicos y la comunidad de seguridad. Basado en XML OVAL proporciona una esquema de definición para varias plataformas (Windows, Linux, Solaris, etc. esto permite definir pruebas estandarizadas y criterios para probar un sistema si una vulnerabilidad en particular está presente. El esfuerzo OVAL implica el desarrollo y estandarización de dos esquemas adicionales. El esquema de las características del sistema esta enfocado en la estandarización del formato XML para obtener información de la configuración del sistema. Esto proporciona las bases para el manejo y compilación de la configuración. Por ultimo, el esquema resultante define un formato XML base para almacenar los resultados de una evaluación de OVAL de un sistema. El esquema resultante permite la comunicación de los resultados estandarizados de la valoración - por ejemplo para un sistema de distribución de parches.

OVAL quiere estandarizar y definir un proceso estructurado para identificar y comunicar información de la vulnerabilidad y configuración del punto en que se detecta una vulnerabilidad al punto de acción. La valoración de vulnerabilidades ha madurado a través de años anteriores, y la estandarización de la información de intercambio durante el ciclo de vida completo de la vulnerabilidad hace de OVAL un contribuyente significativo para la industria de la seguridad. Múltiples distribuidores de seguridad han acordado ayudar a OVAL en el lanzamiento de sus próximos productos. Las empresas se beneficiaran de las herramientas obedientes de OVAL para integrar y mejorar el flujo de la información de una alerta de vulnerabilidad, la detección de la vulnerabilidad así como el remedio.