Declaración de seguridad y las preguntas más frecuentes

Importante:

A medida que se llevan a cabo las auditorías, se guarda un registro con marca de sello de todas las acciones. Si el cliente solicita un test de vulnerabilidades, dicho test se limitará a una investigación para no interrumpir las actividades comerciales de ningún modo.

Todas las auditorías se realizan únicamente con la autorización por escrito de un funcionario de la empresa en papel con membrete de la misma. Si fuera necesario, se solicitará un documento de exención de responsabilidad.

En todo momento, durante y después de la auditoría, STEALTH – ISS Inc. mantendrá bajo reserva confidencial cualquier información confidencial que le haya sido proporcionada a STEALTH – ISS Inc. para el propósito de realizar la auditoría, y no la divulgará a nadie, a excepción de los empleados y representantes autorizados de STEALTH – ISS Inc. y el Cliente.

STEALTH – ISS Inc. acepta mantener bajo reserva confidencial los detalles de todas y cada una de las vulnerabilidades descubiertas durante el curso de la auditoría que realice para el Cliente. Se acuerda que STEALTH – ISS Inc.  no podrá divulgar estos detalles a terceros a menos que obtenga la autorización previa por escrito del Cliente. El Cliente es libre de utilizar estos detalles para cualquier propósito permitido por ley.

El cliente obtiene acceso a los informes de la auditoría por medio de un mecanismo seguro de inicio de sesión en STEALTH – ISS Inc. o de dispositivos codificadores. El cliente tiene la responsabilidad de asegurarse de no divulgar su nombre de usuario o contraseña a ninguna persona no autorizada y de escoger combinaciones de nombre de usuario y contraseña lo suficientemente seguras.

 

Preguntas frecuentes

• ¿Qué es escaneo de seguridad?  

• ¿Cómo funciona?  

• ¿Cuáles son los beneficios de utilizar sus auditorías?

• ¿Ocasionará el escaneo que se caiga mi red?  

• ¿Realizan ataques de Negación de Servicio (DoS)?  

• ¿Cuántas rutinas de exploración ejecutarán contra mi dirección IP?  

• ¿Qué herramientas utilizan?  

• ¿Cuántas máquinas puedo explorar?  

• ¿Qué plataformas verifican?  

• Cuento con un firewall. ¿Tengo necesidad de este servicio?

• ¿Puede un escaneado de seguridad solucionar los problemas de vulnerabilidad de forma automática?

• ¿Asegurará esto la seguridad de mi red?

• Si ya tengo un escáner de puertos ¿por qué debería necesitar sus servicios? 

• Ya poseo mi propio escáner de vulnerabilidad,¿por qué necesito el suyo?  

• ¿Cuales son los problemas de vulnerabilidad encontrados con más frecuencia?  

• ¿Qué tipo de personalización permite?  

• ¿Qué son las opciones de servicio de auditoria?

• ¿Qué es CVE?

• ¿Qué son los puertos y servicios muy conocidos?

• ¿Por que no verifica usted todos los puertos de TCP y UDP?

• ¿Cuando dura una revision?

• ¿Con qué frecuencia se actualiza la base de datos de las pruebas de vulnerabilidad?

• ¿Con qué frecuencia debería ejecutar este tipo de operaciones?  

• ¿Puedo escanear cualquier equipo?  

• ¿Se me enviará una notificación cuando se haya terminado el escaneo?  

• ¿Qué tipo de informe recibiré?  

• ¿Cuanto tiempo falta para alcanzar el informe de la dirección?  

• ¿Pueden enviarme los resultados de la revisión?  

• ¿Cuales precauciones nos aseguran de que ningún otro, al incluso de empleados STEALTH – ISS Inc. tenga acceso a mis informes?  

• ¿Va a  haber apoyo têcnico si  tengo preguntas acerca de los informes?  

• ¿Como puedo comprar un plan de seguridad del escán? 

 

¿Qué es escaneo de seguridad?

El “Security Scan” (escaneo de seguridad) es una manera sencilla de evaluar su entorno de red y descartar problemas de seguridad conocidos. Se puede escanear en su propia red o desde fuera. Nosotros hacemos todo el trabajo con la tecnología más actual presente en el mercado comercial.

¿Cómo funciona?

Un escaneo de seguridad simula las actividades típicas de un “hacker” probando la presencia de más de 1000 vulnerabilidades conocidas, puertos abiertos y mucho más.

¿Cuáles son los beneficios de utilizar sus auditorías?

Captando a miles de usuarios en todo el mundo, “Security Audits” (auditorías de seguridad) son los servicios de auditoría de seguridad en Internet más completos, actuales y  eficaces en función de los costes. La herramienta fácil de usar.

• Le da una visión externa de su red, desde Internet.

• Escanea todos los 65 535 puertos de un PI para descartar vacíos de seguridad potenciales.

• Examina su sistema con 2052 pruebas de vulnerabilidad para descartar debiliades de seguridad, inclusive ataques basados en Windows, denegación de ataques de servicios, explotaciones de raíz, abusos CGI, vulnerabilidades del servidor de correo y vulnerabilidades de „firewall“.

• Da un informe detallado y completo acerca de los hallazgos y sugiere soluciones potenciales.

Incluye regularmente las pruebas de vulnerabilidad más actuales.

¿Ocasionará el escaneo que se caiga mi red?

Por cierto esperamos que no, pero recientemente no hay garantías. Tenga en cuenta que una auditoría es considerada como una operación intrusa. Escanearemos sus sistema para ver si hay vulnerabilidades y si fuera necesario, entraremos en él.

Las diversas auditorías tienen niveles de riesgo diferentes asociados con las mismas. Nuestra auditoria básica es un escaneo de puerto que no influirá en ningún sistema. Es un ancho de banda relativamente bajo (< 50K por pico), y si detiene su sistema, usted debería pensar en hacer algo al respecto, ya que es muy probable que alguien escanee su puerto más adelante.

Parte de las pruebas de vulnerabilidad son los ataques de negación de servicio (DoS), diseñados para probar la integridad del hardware y software. Estas pruebas se enfocan en problemas conocidos de distintos sistemas computarizados y pueden afectar el equipo al que estén dirigidas: routers, firewalls, etc. Para una descripción de los diversos ataques DoS incluidos en la suite de prueba (?). Ninguna de las pruebas DoS implica intentos deliberados de saturar su ancho de banda (un ataque trivial inevitable). Las pruebas DoS están deshabilitadas por omisión para reducir la posibilidad de que el sistema se caiga pero pueden habilitarse a criterio del usuario.

¿Realizan ataques de Negación de Servicio (DoS)?

No, las exploraciones de seguridad están diseñadas para no afectar la red o la infraestructura de seguridad.

¿Cuántas rutinas de exploración ejecutarán contra mi dirección IP?

Se realizarán pruebas contra 1,000 vulnerabilidades conocidas. Para ofrecer una prueba precisa podremos explorar varias veces para verificar los resultados.

¿Qué herramientas utilizan?

We use a numbers of different security tools and techniques, including commercially available software and open sources tools. The major tools that are being used are eeye, ISS and Syhunt products as well as other commercial and free available products that meet the latest technology and security standards and have been approved by governmental institutions or are being used by large corporations such as American Airlines, Department of Defense, Visa, NASA, Bank of America, Honeywell, Chrystler etc. Using a combination of these tools and techniques we are able to identify known security problems in your network.

¿Cuántas máquinas puedo explorar?

No hay límite del número de exploraciones o de IPs que pueda solicitar. Tenemos varios paquetes y servicios para nuestros clientes. Por favor póngase en contacto con nosotros para mayores detalles y ofertas especiales.

¿Qué plataformas verifican?

Nuestro servicio incluye pruebas para virtualmente cualquier plataforma existente y no está limitado a sistemas operativos o suites de aplicación particulares. Encontrará pruebas para Windows, Linux, Unix, Macintosh, Web servers, productos de Bases de datos y muchos más. Siempre que sea posible verificar a distancia, trataremos de tener una prueba disponible. 

Cuento con un firewall. ¿Tengo necesidad de este servicio?

Los firewalls son excelentes para restringir el acceso a su red pero no pueden prevenir todos los problemas. Dos de los problemas más comunes con firewalls son:

• una mala configuración que permite el acceso no deseado

• servicios vulnerables detrás de un firewall (p. ej. un web server en el puerto 80) que permiten al atacante crear un túnel a través del firewall, vía el servicio vulnerable, hacia la máquina que ejecuta el servicio vulnerable desde dónde podrá atacar el resto de su red detrás del firewall mismo.

Muchas veces los firewalls están mal configurados, e incluso cuando están bien configurados, cada vez que se cambian las Reglas Básicas se presenta una situación potencial de error. Además, los firewalls suelen generalmente estar orientados a la conexión y no protegen contra vulnerabilidades de productos específicos tales como su webserver, que pueden ser explotados utilizando los protocolos admitidos.

¿Puede un escaneado de seguridad solucionar los problemas de vulnerabilidad de forma automática?

No, el informe del escáner identificará la vulnerabilidad de la red y le informará sobre las acciones correctivas que puede llevar a cabo.

¿Asegurará esto la seguridad de mi red?

No, los informes le aportan la información sobre las áreas potenciales que deben examinarse por motivos de seguridad, pero deberá seguir los pasos necesarios para asegurar su red.

Si ya tengo un escáner de puertos ¿por qué debería necesitar sus servicios?

Una sencilla herramienta de escaneado de puertos no es suficiente. Nosotros utilizamos tres productos independientes. También necesitará el hardware correspondiente para ejecutar un escaneado intensivo del procesador y, si desea escanear el perímetro de su red desde el exterior (tal y como hacen los hackers), deberá instalar conexiones adicionales de red.

Todavía más importante es la ayuda de los expertos. Los empleados de seguridad de STEALTH – ISS Inc. poseen los niveles de experiencia y pericia necesarios, que pocas empresas poseen. Y, como  en otros procesos de verificación, la evaluación de vulnerabilidad de la red siempre está mejor dirigida por un tercero independiente, ya que asegura una evaluación y consejo completamente objetivos e imparciales.

Ya poseo mi propio escáner de vulnerabilidad,¿por qué necesito el suyo?

Existen muchos escáners en el mercado, tanto comerciales como con de dominio público. Los beneficios de este servicio, sin embargo, no se basan en la tecnología específica que se utiliza sino en que ofrece:

• Una visión externa de su red. Esto normalmente implica el acceso a una máquina fuera de su red para la ejecución del escáner. El coste de la configuración y mantenimiento de este tipo de acceso puede ser a menudo mayor que el coste del servicio por sí solo.

• Reproducible. Puesto que se trata de un mecanismo de verificación, Security Audits  es una verificación de bajo coste y reproducible que puede ejecutarse siempre que sea necesario.

• Bajo esfuerzo. La configuración y definición de un escáner para su funcionamiento adecuado puede llevar mucho tiempo.

Actualización. El uso de este servicio le asegura la recepción automática de los últimos tests de vulnerabilidad sin que tenga que instalarlos en su propio escáner. Le podemos asegurar que nuestra suite de tests siempre se encuentra actualizada. Suministramos nuevos tests de vulnerabilidad de forma regular, en el momento en que aparecen nuevos problemas o agujeros de seguridad. Puede, por ejemplo, comprobar los tests añadidos en los últimos 30 días. Además, mediante nuestra lista de anuncios de vulnerabilidad, le comunicamos el momento en que los nuevos tests sobre nuevas vulnerabilidades se encuentran disponibles, ayudándole a mantenerse informado sobre los problemas que pueden afectar a su red

¿Cuales son los problemas de vulnerabilidad encontrados con más frecuencia?

Los problemas que encontramos de forma repetida se encuentran en alguna de las siguientes áreas:

• Software sin sus correspondientes parches o desfasado, con conocidas vulnerabilidades.

• Servicios peligrosos o innecesarios, objeto de explotación.

Software configurado inapropiadamente, que permite el acceso no deseado a los recursos.

¿Qué tipo de personalización permite?

Ud. puede especificar con que  frecuencia desea que se realice el escaneo. Programaremos el escaneo de acuerdo a ello.

Es la intención que el escaneo de seguridad sea tan exhaustivo como sea posible sin afectar la operación o disponibilidad del sistema. Un escaneo personalizado puede  producir resultados incompletos.

¿Qué son las opciones de servicio de auditoria?

Proveemos un número de diferentes servicios y tipos de suscripciones. Una comparación de características y precios provee una rápida visión acerca de lo que se obtiene de los diferentes paquetes.

Los 5 tipos de auditorias disponibles son:

1.      Auditoria Básica: Un escaneo de puerto TCP de más de 1500 puertos;

2. Examen individual de vulnerabilidad, una selección de 2052 exámenes diferentes de vulnerabilidad.

3. Auditorias de escritorio: Un escaneo de puerto TCP de más de 1500 puertos y 611 exámenes de vulnerabilidad en DoS, Windows, puertas traseras, categorías misceláneas  y firewalls

4. Auditoria estándar: le provee una  auditoria básica (escaneo de puerto) y la ejecución de los 2052 exámenes de vulnerabilidad disponibles.

5. Auditoria Completa, le provee un escaneo de 65.535 escaneos de puerto TCP y la ejecución de los 2052 exámenes de vulnerabilidad disponibles;

Nuestra auditoria de riesgo 0 es equivalente a la auditoria estándar en su ejecución pero no le muestra los detalles de los problemas que encontramos. Es útil como una manera de determinar si tiene problemas antes de decidir la compra de cualquiera de nuestros servicios.

 

¿Qué es CVE?

CVE quiere decir Vulnerabilidades y exposiciones comunes. Representa la manera estándar de numerar y describir vulnerabilidades conocidas. El motor de escaneo que utilizamos incluye identificadores CVE cuando estén disponibles. Nuestro reporte posterior al examen se vincula al sitio oficial CVE, www.mitre.org

Todos nuestros exámenes incluyen, cuando está disponible, la remisión al sitio en línea, proveyendo información adicional acerca de las vulnerabilidades.

Este tipo de remisión en línea incluye:

• Consultores Cert/CC,

• Identificación de BugTraq,

• Vulnerabilidades/soluciones relacionadas al proveedor del producto.

• Listas de correo, discusión y más.

Hay más de 6000 recursos disponibles en línea asociados con los identificadores de CVE de nuestros exámenes. Puede buscar en nuestra base de datos  los exámenes por CVE o por número de candidato de CVE.

¿Qué son los puertos y servicios muy conocidos?

Los servicios muy conocidos son servicios que habitualmente existen en puertos específicos.. Esto es diferente a la definición de un puerto muy conocido, que es el rango de puerto 0 a través de 1023. En los sitios de IANA, las definiciones de puerto son las siguientes:

Los numeros de puertos estan divididos en tres rangos: Los puertos mas conocidos, Los puertos ya registrados, y los Puertos Dinamicos y/o Privados.

• Los Puertos mas conocidos se encuentran de 0 a 1023.

• Los Puertos ya registrados son aquellos de 1024 a 49151

• Los Puertos Dinamicos y/o Privados son aquellos de 49152 a 65535.

Los puertos que nosotros intervenimos son puertos muy conocidos (1-1023), al igual que 500 puertos que estan dentro de el rango de 1024-65535. Estos puertos adicionales consisten de servicios legitimos al igual que los comunmente conocidos Trojans.

Para poder ver los puertos mas conocidos de IANA que han sido asignados, puede revisar su sitio a www.iana.org.

¿Por que no verifica usted todos los puertos de TCP y UDP?

Para poder explorar todos los puertos posibles, significa que hay que explorar mas de 130,000 puertos. Mientras que esto se hace de manera indigante, hay varios problemas asociados al hacer esto:

• Explorar puede tomar bastante tiempo. Tomaria varias horas el poder explorar todos los puertos de TCP 64K.

• Los puertos de UDP no pueden ser explorados de manera segura. El problema con los puertos UDP es que ellos no responden cuando el puerto no se encuentra abierto. Esto estaria bien, con exepcion a que varios firewalls tampoco responderian cuando se pruebe el puerto de UDP, aun si el puerto no esta abierto. El resultado llega a ser un gran numero de falsas positivas. Los examenes de vulneravilidad si revisan un numero de servicios de UDP, pero aun aqui, si su sistema se encuentra bajo un firewall , resultados falsos positivos pueden occurrir.

• Los sistemas de solaris  pueden ser explorados mediante UDP no mas rapido que 2 puertos por segundo, debido a el mecanismo de sofocamiento que se aplica por medio de el sistema Solaris. Aunque, una verificacion UPD de puerto 1500 podria durar hasta mas de 10 minutos, y una exploracion completa de un puerto de 64K podria durar mas de 9 horas.

Nuestro metodo es poder asegurar que podemos presentar resultados exactos, y los ultimos dos puntos  hacen  esto dificultoso y/o imposible de realizar exploraciones UDP completas y efectivas, por ello hemos optado por limitar exploraciones de UDP a servicios de chequeo (e.j. Trojans) que residen en puertos conocidos de UDP.

¿Cuando dura una revision?

Esto depende el el tipo de revision que se este haciendo, la red entre usted y yo, y como esta su sistema configurado. Para una red sin proteccion el tiempo de duracion seria un estimado.

• Revisiones Basicas: 30 segundos

• Un examen de vulnerabilidad: 5- 60 segundos

• Revision de Tablero: 10 minutos

• Revision Normal: 20 minutos

• Revision Avanzada: 90 minutos

En el caso de sistemas blindados mediante paquetes filtrados de una u otra forma, los tiempos aproximados serían los siguientes:

• Auditoría Básica: 10 minutos

• Prueba Sencilla de Vulnerabilidad: 60 segundos

• Auditoría del Escritorio: 30 minutos

• Auditoría Estándar: 1,5 horas

• Auditoría Avanzada: 2,5 horas (en raras ocasiones, hasta 8 horas).

Independientemente del tiempo que tarde en completarse, cuando se termina una auditoría, le enviamos un email para notificarle que usted había solicitado una auditoría, y que los resultados de la misma están disponibles on-line.

Los usuarios de auditorias avanzadas tienen, por defecto, dos canales disponibles, lo que quiere decir que pueden ejecutar dos auditorías simultáneamente. Tanto los usuarios de auditorías avanzadas como los de auditorías estándar pueden adquirir canales adicionales para realizar auditorías de redes de mayor tamaño en menos tiempo.

¿Con qué frecuencia se actualiza la base de datos de las pruebas de vulnerabilidad?

La base de datos de la vulnerabilidad conocida se actualiza diariamente.

¿Con qué frecuencia debería ejecutar este tipo de operaciones?

La frecuencia con la que escanee su sistema depende en parte de la frecuencia con la que usted cambie la configuración. Le recomendamos volver a escanear después de haber realizado cambios importantes. No obstante, las nuevas vulnerabilidades salen a la luz diariamente. Le recomendamos que escanee los sistemas críticos semanalmente, y el resto de sistemas, menos críticos, cada mes o cada trimestre.

¿Puedo escanear cualquier equipo?

No. Solamente puede escanear su propio equipo. Es decir, normalmente, solo podrá escanear el equipo desde el que usted navega.

Si desea escanear una máquina desde la que no puede navegar (Vg. un servidor corporativo), utilice el formulario para solicitud de permisos IP para especificar el rango de direcciones IP a las que usted desea acceder para auditarlas. Tras recibir nuestra autorización para auditar las direcciones IP solicitadas, le concederemos los privilegios necesarios para auditar dichas direcciones IP independientemente del equipo a través del cual entre usted en la red. Nota: Solamente ofrecemos este servicio a los clientes que hayan adquirido los servicios de auditoría.

¿Se me enviará una notificación cuando se haya terminado el escaneo?

Sí, le avisaremos por email cuando haya finalizado el escaneo.

¿Qué tipo de informe recibiré?

Cada escaneo produce un informe que estará disponible on-line en formato PDF o HTML. Las vulnerabilidades encontradas se ordenarán de menor a mayor e irán acompañadas de una explicación de las acciones correctivas y recomendadas.

¿Cuanto tiempo falta para alcanzar el informe de la dirección?

El informe de dirección se produce automáticamente después del fin de la exploración. El tiempo necesario para producir el informe depende de la complejidad del escanear, tipicamente los informes están disponibles entre doce y veinticuatro horas después del escanear.

¿Pueden enviarme los resultados de la revisión?

Les daremos por correo electrónico un aviso de que el escanear se ha terminado. Sin embargo, por razones de seguridad, no les mandaremos los resultados por correo electrónico, puesto que el correo electrónico es una manera no muy segura de enviar la información. Aunque empezaríamos con una revisión en su provecho, la revisión corre de su cuenta en nuestro sistema, y el informe está listo para ser recogido de la misma cuenta.

¿Cuales precauciones nos aseguran de que ningún otro, al incluso de empleados STEALTH – ISS Inc. tenga acceso a mis informes?

Todos los informes y datos de los clientes son protegidos por nombre usuario y contraseña. Usamos mensajes fuertemente cifrados y nuestro sede emplea SSL 128 bit para permitir descargo seguro  de datos. Acuérdese, las vulnerabilidades encontrados por nuestro servicio pueden también ser halladas por un pirata intruso.

¿Va a  haber apoyo têcnico si  tengo preguntas acerca de los informes?

Sobre asuntos del proceder del escán/informes etc.  Sí.  Para ayuda específica con vulnerabilidades de la red/sistema nuestro equipo de seguridad puede ayudarle con consultas suplementarias y realizaciones de seguridad. Este servicio de seguridad no es una parte del escán. 

¿Como puedo comprar un plan de seguridad del escán?

Puede ponerse in contacto directo con nuestro departamento de seguridad para considarar sus mejores posibilidades, llenar nuestra petitición de escán y mandarla a nosotros.

 

Si desea más información sobre evaluaciones de seguridad, visite, por favor, nuestras páginas de pruebas de penetración, evaluación de vulnerabilidades, cumplimiento de pautas de seguridad y control de redes internas.