Es un Tipo de Análisis de Seguridad que podría definirse de la siguiente manera: Análisis y Pruebas relacionadas con la identificación de puertos abiertos, servicios disponibles y vulnerabilidades conocidas en los sistemas de información objetivos.
Las mismas incluyen a su vez, verificaciones manuales y automáticas de falsos positivos, lo que permite identificación de los puntos débiles de la red y análisis profesional individualizado.
Lo más importante para destacar es que este tipo de análisis no incluye las etapas relacionadas con la explotación de las Vulnerabilidades identificadas, sino que solo trabaja sobre la correcta identificación de las mismas.
Vulnerability Assessment
Está más orientado a la concreción de los objetivos mediante la utilización de herramientas automáticas, como por ejemplo la ejecución de un vulnerability scanner, y el análisis superficial de los resultados dista mucho del anterior, pero permite rápidamente tener algo de visibilidad sobre la relación de las vulnerabilidades y la infraestructura analizadas.
De las etapas anteriormente descriptas, la siguientes puede estar dentro de un Vulnerability Assessment:
- Etapa de Reconocimiento Pasivo.
- Etapa de Reconocimiento Activo Superficial.
- Etapa de Reconocimiento Activo en Profundidad.
- Etapa de Análisis de Vulnerabilidades.
- Etapa de Reporte.
Muchas organizaciones realizan este tipo de análisis de seguridad de manera periódica con recursos internos, esto es posible gracias a la posibilidad de automatización de la mayoría de las tareas asociadas a este tipo de análisis de seguridad.
Por otro lado, de igual manera y sobre la base de la regla básica de control cruzado, es importante que periódicamente los sistemas sean analizados por terceras partes, ajenas a la estructura de la organización.
Fuente | Ethical Hacking – Un enfoque metodológico para profesionales.
0 comentarios