Módulo 23: Evaluación de

vulnerabilidades de terminales

CyberOps Associate v1.0

Objetivos del módulo
Título del Módulo: Evaluación de vulnerabilidades de terminales

Objetivo del Módulo : Explicar cómo se evalúan y administran las vulnerabilidades de los
terminales.
Título del tema Objetivo del tema
Explicar el valor de la generación de perfiles de redes y
Perfiles de redes y servidores
servidores.
Contenido
Sistema de puntuación de Explicar cómo se utilizan los informes del CVSS para describir
vulnerabilidades comunes (CVSS) las vulnerabilidades de seguridad.
Administración segura de Explicar cómo se utilizan las técnicas de administración
dispositivos segura de dispositivos para proteger los datos y los recursos.
Sistemas de administración de Explicar cómo se utilizan los sistemas de administración de
seguridad de la información seguridad para proteger los activos.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 10
23.1 Perfiles de redes y
servidores

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Información confidencial de Cisco. 11
Perfiles de redes y servidores
Perfiles de redes
La creación de perfiles de red y
dispositivos proporciona información
estadística de línea base que puede
servir como punto de referencia para el
rendimiento normal de la red y del
dispositivo.
Elementos de un perfil de red:
• Duración de sesiones
• Rendimiento total
• Espacio de direcciones de activos
críticos
• Tipo de tráfico típico Elementos de un perfil de red

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 12
Perfiles de redes y servidores
Perfiles de servidores
• Un perfil de servidor es una referencia de seguridad para un servidor específico.
• La creación de perfiles de servidor se utiliza para establecer el funcionamiento aceptado de
los servidores.
• Los elementos del perfil del servidor son los siguientes:
• Puertos de escucha
• Usuarios y cuentas que han iniciado sesión
• Cuentas de servicio
• Entorno de software

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 13
Perfiles de redes y servidores
Detección de anomalías de red
• Es posible describir el comportamiento de la red
mediante una gran cantidad de datos diferentes,
como las características del flujo de paquetes, las
particularidades de los mismos paquetes y la
telemetría derivada de múltiples fuentes.
• Las técnicas de análisis de datos masivos pueden
utilizarse para analizar estos datos y detectar
variaciones desde la línea base.
• La detección de anomalías también puede
identificar hosts infectados en la red que están
buscando otros hosts vulnerables.
• En la figura, se ejemplifica una versión
simplificada de un algoritmo diseñado para
detectar una situación inusual en los routers de
frontera de una empresa.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 14
Perfiles de redes y servidores
Pruebas de vulnerabilidad de la red
• Las pruebas de vulnerabilidades de redes pueden incluir análisis de riesgos, evaluaciones de
vulnerabilidades y pruebas de penetración.
• En la tabla se enumeran ejemplos de actividades y herramientas que se utilizan en las
pruebas de vulnerabilidades:

Actividad Descripción Herramientas

Las personas realizan un análisis integral de Consultores internos o
Análisis de riesgos los impactos de los ataques en los activos externos, marcos de gestión
centrales de la empresa y su funcionamiento de riesgos
Administración de parches, escaneos de OpenVas,
Evaluación de
hosts, escaneo de puertos, y otros servicios y Microsoft Baseline Analyzer,
vulnerabilidades
escaneos de vulnerabilidades Nessus, Qualys, Nmap
Uso de herramientas y técnicas de hacking
Metasploit, CORE Impact,
Pruebas de penetración para sortear las defensas de redes e identificar
hackers éticos
las posibilidades de penetración
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 15
23.2 Sistema de puntuación
de vulnerabilidades
comunes (CVSS)

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Información confidencial de Cisco. 16
Sistema de puntuación de vulnerabilidades comunes (CVSS)
Descripción general de CVSS
• El Sistema común de puntuación de
vulnerabilidades (Common Vulnerability Scoring
System, CVSS) es una evaluación de riesgos
diseñada para transmitir los atributos comunes y
la gravedad de las vulnerabilidades en hardware
informático y sistemas de software.
• CVSS provee calificaciones estandarizadas para
las vulnerabilidades
• Proporciona un marco abierto proporciona un
marco abierto con métricas para todos los
usuarios.
• CVSS ayuda a priorizar el riesgo.
• El Foro de respuesta a incidentes y equipos de
seguridad (FIRST, Forum of Incident Response
and Security Teams) fue designado como custodio
de CVSS para promover su adopción a nivel
mundial. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 17
Sistema de puntuación de vulnerabilidades comunes (CVSS)
Grupos de métricas de CVSS
• CVSS utiliza tres grupos de métricas
para evaluar la vulnerabilidad.
• Grupo de métricas base: representa
las características de una
vulnerabilidad que se mantienen
constantes en el tiempo y en diversos
contextos.
• Grupo de métrica temporal: mide las
características de una vulnerabilidad
que pueden cambiar con el tiempo,
pero no en cada entorno de usuario.
• Grupo de métrica del entorno: mide
los aspectos de una vulnerabilidad
que están arraigados en el entorno de
una organización específica.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 18
Sistema de puntuación de vulnerabilidades comunes (CVSS)
Grupo de métricas básicas de CVSS
• El grupo de métricas básicas “Métricas de capacidad de
ataque” incluye los siguientes criterios:
• Vector de ataque
• Complejidad de ataque
• Privilegios requeridos
• Interacción con usuario
• Alcance
• Los componentes de las métricas de impacto del grupo
de métricas básicas incluyen los siguientes criterios:
• Impacto sobre la confidencialidad
• Impacto sobre la integridad
• Impacto sobre la disponibilidad
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 19
Sistema de puntuación de vulnerabilidades comunes (CVSS)
El proceso de CVSS
• El proceso de CVSS utiliza una herramienta llamada Calculadora de CVSS v3.1.
• La calculadora es similar a un cuestionario en el que se eligen opciones que describen la
vulnerabilidad de cada grupo de métricas.
• Más tarde, se genera una puntuación y se muestra la calificación de gravedad numérica.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 20
Sistema de puntuación de vulnerabilidades comunes (CVSS)
El proceso de CVSS
• Después, los valores de las
métricas temporales y del
entorno modificarán los
resultados de las métricas
básicas para proporcionar
una puntuación general.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 21
Sistema de puntuación de vulnerabilidades comunes (CVSS)
Informes de CVSS
• Mientras mayor sea la clasificación de gravedad, mayor será el impacto potencial de un
ataque y mayor la urgencia de afrontar la vulnerabilidad.
• Debe afrontarse cualquier vulnerabilidad que supere el valor de 3,9.
• En la figura, se ven los rangos de puntuación y el significado cualitativo correspondiente:

Calificación Puntuación de CVSS

Ninguna 0
Baja 0.1 – 3.9
Medio 4.0 – 6.9
Alto 7.0 – 8.9
Crítico 9.0 – 10.0

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 22
Sistema de puntuación de vulnerabilidades comunes (CVSS)
Otras fuentes de información sobre vulnerabilidades
Vulnerabilidades y exposiciones
comunes (CVE, Common Vulnerabilities
and Exposures)

• El identificador de CVE proporciona una

manera estandarizada de investigar una
referencia a las vulnerabilidades.
• Además, los servicios de inteligencia de
amenazas utilizan identificadores de
CVE y aparecen en diversos registros de
los sistemas de seguridad.

• El sitio web con detalles sobre CVE

incluye un enlace entre las puntuaciones
de CVSS y la información de CVE.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 23
Sistema de puntuación de vulnerabilidades comunes (CVSS)
Otras fuentes de información sobre vulnerabilidades
Base de datos nacional sobre
vulnerabilidades (NVD, National
Vulnerability Database):
• Esta base utiliza identificadores de
CVE y suministra información
adicional sobre vulnerabilidades,
como puntuaciones de amenazas
de CVSS, detalles técnicos,
entidades afectadas y recursos
para la investigación posterior.
• El Instituto Nacional de Normas y
Tecnología (NIST) de los Estados
Unidos creó y mantiene esta base
de datos.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 24
23.3 Administrador de
dispositivos de seguridad

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Información confidencial de Cisco. 25
Administración segura de dispositivos
Gestión de riesgos
• La gestión de riesgos implica seleccionar y
especificar controles de seguridad para una
organización.
• Una actividad obligatoria en la evaluación de
riesgos es identificar amenazas y
vulnerabilidades.
• Formas de responder a los riesgos
identificados:
• Evasión de riesgos: dejar de realizar las
actividades que generan riesgo.
• Reducción de riesgos: tomar medidas para
reducir la vulnerabilidad.
• Distribución compartida de riesgos -
derivar parte del riesgo a otras partes.
• Retención de riesgos: aceptar el riesgo y
sus consecuencias.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 26
Administración segura de dispositivos
Administración de vulnerabilidades
La administración de vulnerabilidades es una práctica de seguridad
diseñada para prevenir de manera proactiva los ataques a las
vulnerabilidades de TI.
Los pasos del ciclo de vida de la administración de vulnerabilidades
son los siguientes:
• Descubrir - Desarrolle un valor de referencia para la red.
Identifique las vulnerabilidades de seguridad usando un
cronograma periódico automatizado.
• Priorizar activos- Categorizar los activos en grupos o
unidades comerciales, y asignar un valor comercial a los
grupos de activos en función de su importancia para las
operaciones comerciales.
• Evaluar - Determine un perfil de riesgo de referencia para
eliminar riesgos en función de la importancia de los activos, las
vulnerabilidades, las amenazas y la clasificación de los activos.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 27
Administración segura de dispositivos
Administración de vulnerabilidades
• Reportar - Medir el nivel de riesgo comercial
asociado con sus recursos de acuerdo con las
políticas de seguridad. Documentar un plan de
seguridad, monitorear la actividad sospechosa y
describir vulnerabilidades conocidas.

• Remediar: priorizar de acuerdo con el riesgo

comercial y solucionar las vulnerabilidades por
orden de riesgo.

• Verificar: implementar auditorías de

seguimiento para comprobar que las amenazas
se hayan eliminado.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 28
Administración segura de dispositivos
Administración de activos
La administración de activos implica implementar sistemas que rastrean la ubicación y
configuración de dispositivos y software en red en toda una empresa.
Herramientas y técnicas para la gestión de
activos:
• Detección automatizada e inventario del estado
actual de los dispositivos
• Articulación del estado deseado de esos
dispositivos usando políticas, planes y
procedimientos en el plan de seguridad de la
información de la organización
• Identificación de activos autorizados que no
cumplan las reglas
• Corrección o aceptación del estado del
dispositivo, posible reiteración de la definición
del estado deseado
• Repetir el proceso en intervalos regulares o de
manera continua
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 29
Administración segura de dispositivos
Administración de dispositivos móviles
• No es posible controlar
físicamente los dispositivos
móviles en las instalaciones
de una organización.

• Los sistemas de MDM, como

Cisco Meraki Systems
Manager, permiten que el
personal de seguridad
configure, monitoree y
actualice un conjunto muy
diverso de clientes móviles
desde la nube.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 30
Administración segura de dispositivos
Administración de configuraciones
• Administración de Configuración: Según la definición del NIST, la administración de
configuraciones:
Se compone de un conjunto de actividades encaminadas a establecer y mantener la
integridad de los productos y sistemas, mediante el control de los procesos de
inicialización, modificación y monitoreo de las configuraciones de esos productos y
sistemas.
• Herramientas de configuración: Puppet, Chef, Ansible y SaltStack

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 31
Administración segura de dispositivos
Administración de parches empresariales
• La administración de parches involucra
todos los aspectos de la implementación
de parches de software, entre ellos, la
identificación de parches necesarios, y la
adquisición, distribución, instalación y
comprobación de parches en todos los
sistemas que los requieran.
• La administración de parches es
necesaria por algunas regulaciones de
cumplimiento, como Sarbanes Oxley
(SOX) y la Ley de Portabilidad y
Responsabilidad de Seguros Médicos
(HIPAA).

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 32
Administración segura de dispositivos
Técnicas de administración de parches
Basado en agentes:
• Este requiere que un agente de
software se ejecute en cada host
donde se implementen parches.
• El agente informa si hay software
vulnerable instalado en el host.
• El agente se comunica con el
servidor de administración de
parches, determina si hay parches
que deban instalarse y los instala.
• Los enfoques con base en agentes
son el método preferido para
implementar parches en dispositivos
móviles.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 33
Administración segura de dispositivos
Técnicas de administración de parches
Análisis sin agentes:
• Los servidores de administración
de parches analizan la red en
busca de dispositivos que
necesiten parches.
• El servidor determina qué
parches se necesitan y los instala
en los clientes.
• Solo se pueden aplicar parches a
los dispositivos que están en
segmentos de red escaneados, lo
que puede ser un problema para
los dispositivos móviles.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 34
Administración segura de dispositivos
Técnicas de administración de parches
Monitoreo de red pasivo:
• Los dispositivos que
requieren parches se
identifican mediante el
monitoreo del tráfico en la
red.
• Este enfoque solamente es
efectivo para el software
que incluye información
sobre la versión en el
tráfico de su red.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 35
23.4 Sistemas de
administración de seguridad
de la información

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Información confidencial de Cisco. 36
Sistemas de administración de seguridad de la información (SGSI)
Sistemas de administración de la seguridad
• Un sistema de administración de seguridad de la información (ISMS, Information Security
Management System) consiste de un marco de trabajo de administración el cual es utilizado
para identificar, analizar y afrontar los riesgos de seguridad de la información.
• Los ISMS proporcionan modelos
conceptuales que orientan a las
organizaciones durante la planificación,
implementación, supervisión y evaluación de
programas de seguridad de la información.
• Suele incorporar el marco de trabajo
“planificar, hacer, comprobar y actuar”(Plan-
Do-Check-Act), conocido como el ciclo de
Deming.
Un modelo general para la funcionalidad organizacional
• ISM se ve como una elaboración del
componente del proceso del modelo de
capacidad organizativa personas-procesos-
tecnología-cultura. © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 37
Sistemas de administración de seguridad de la información
ISO-27001
• ISO/IEC 27000 family of standards – estándares aceptados internacionalmente que simplifican los negocios
entre países La certificación ISO 27001 es una especificación global de todo el sector para un ISMS.

Planificar Hacer Verificar Actuar

• Entender los • Crear e • Supervisar • Auditar
objetivos implementar un la ejecución procesos
empresariales plan de gestión • Compilar continuamente
relevantes de riesgos informes • Mejorar
• Definir el alcance • Establecer e • Apoyar las continuamente
de las actividades implementar auditorías los procesos
• Acceder y procedimientos de • Tomar medidas
administrar la y políticas de certificación correctivas
asistencia gestión de externa • Tomar medidas
• Evaluar y definir el riesgos preventivas
riesgo • Capacitar al
• Realizar la personal,
administración de asignar
activos y la recursos
evaluación de © 2020 Cisco o sus filiales. Todos los derechos reservados. Información
vulnerabilidad confidencial de Cisco. 38
Sistemas de administración de seguridad de información
Marco de ciberseguridad de NIST
• NIST Cybersecurity Framework – Conjunto de normas diseñadas para integrar estándares, pautas y
prácticas existentes con el fin de mejorar la administración y reducción del riesgo de ciberseguridad.
• La siguiente tabla describe las funciones principales de NIST Cybersecurity Framework:

Función central Descripción

Desarrollo del conocimiento organizacional para administrar el riesgo para la
IDENTIFICAR
ciberseguridad en sistemas, activos, datos y capacidades.
Desarrollar e implementar las medidas de protección apropiadas para garantizar la
PROTEGER
prestación de servicios de infraestructura crítica.
Desarrollar e implementar las actividades apropiadas para determinar que se ha registrado
DETECTAR
un evento de ciberseguridad.
Desarrollo e implementación de las actividades adecuadas para tomar medidas ante los
RESPONDER
eventos de ciberseguridad detectados.
Desarrollar e implementar las actividades apropiadas para tener planes de recuperación y
RECUPERAR restaurar cualquier funcionalidad o servicio que se viera afectado debido a un evento de
ciberseguridad.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 39
23.5 Resumen: Evaluación
de vulnerabilidades en
terminales

© 2020 Cisco y/o sus afiliados. Todos los derechos reservados.

Información confidencial de Cisco. 40
Evaluación de vulnerabilidades de terminal
Resumen de evaluación de vulnerabilidades en Terminales
• La creación de perfiles de red y dispositivos proporciona información estadística de línea
base que puede servir como punto de referencia para el rendimiento normal de la red y
del dispositivo.
• La seguridad de la red se puede probar con numerosas herramientas y servicios.

• Evaluación de vulnerabilidades, que emplea software para analizar servidores de Internet

y redes internas en busca de diferentes tipos de vulnerabilidades.
• El Sistema común de puntuación de vulnerabilidades (CVSS) es un marco abierto,
independiente y estándar del sector que se utiliza para ponderar los riesgos de una
vulnerabilidad mediante el uso de diversas métricas.
• Las vulnerabilidades se clasifican según el vector de ataque, la complejidad del ataque,
los privilegios necesarios, la interacción del usuario y el alcance.
• La gestión de riesgos implica seleccionar y especificar controles de seguridad para una
organización.
© 2020 Cisco o sus filiales. Todos los derechos reservados. Información
confidencial de Cisco. 41
Evaluación de vulnerabilidades de terminal
Resumen de evaluación de vulnerabilidades de terminal
• La gestión de vulnerabilidades es una práctica de seguridad diseñada para prevenir de
forma proactiva la explotación de las vulnerabilidades de TI que existen dentro de una
organización.
• Las organizaciones pueden utilizar un sistema de administración de seguridad de la
información (ISMS) para identificar, analizar y afrontar los riesgos de seguridad de la
información.
• ISO y NIST tienen disponibles los estándares para la administración de riesgos de
ciberseguridad.
• NIST también ha desarrollado el marco de ciberseguridad, que es similar a los estándares
ISO/IEC 27000.

© 2020 Cisco o sus filiales. Todos los derechos reservados. Información

confidencial de Cisco. 42