Ayuda! Acaban de Publicar Vulnerabilidades de Seguridad en Cisco IOS y No Tengo Recursos Apropriados!

Cisco Employee

Ningún sistema o programa es inmune a los problemas de seguridad y vulnerabilidades. El tiempo entre el descubrimiento y la divulgación de vulnerabilidades de seguridad y la disponibilidad de un “exploit” es cada vez más corto. Esto impone mucha presión y le da “muchos dolores de cabeza” a los profesionales de la seguridad de redes. Ya que tienen que responder rápidamente cada vez que se publican información acerca de vulnerabilidades de seguridad y tienen que aplicar mitigaciones en sus redes.

Muchas organizaciones están luchando diariamente para poder mantenerse al día con la constante publicación de nuevas vulnerabilidades y exploits. Al mismo tiempo, estas organizaciones tienen que proporcionar disponibilidad de los servicios y sistemas críticos para la organización cerca de 100% del tiempo.

Nota: Cisco cuenta con un proceso de manejo de vulnerabilidades muy robusto. Este proceso se describe en detalle en la Política de Vulnerabilidades de Seguridad de Cisco. El equipo llamado “Product Security Incident Response Team (PSIRT)” maneja la recepción, investigación y divulgación pública de información sobre vulnerabilidades de seguridad que se relaciona con los productos de Cisco y todas sus redes.

Permítanme darles un ejemplo: cada vez que Cisco publica una vulnerabilidad de seguridad (i.e., avisos de seguridad; o en inglés “security advisories”) de Cisco IOS Software (o cualquier producto dado), los administradores de red de seguridad tienen que identificar los dispositivos afectados y (en muchos casos) actualizar estos dispositivos. Estas actividades pueden tomar horas, días o incluso semanas, dependiendo del tamaño de la organización. Por ejemplo, las grandes empresas y organizaciones pueden tener miles de “routers” y “switches” que deben ser evaluados para ver si están afectados por la vulnerabilidad determinada.

La mayoría de los administradores de red y de seguridad están buscando formas de aprovechar los estándares (o normas) y las herramientas disponibles para reducir la complejidad y el tiempo necesario para responder a los avisos de seguridad, evaluar sus sistemas y garantizar el cumplimiento de los objetivos de negocios de su organización. Todos estos problemas hacen que sea casi imposible que un administrador de seguridad o de red pueda responder efectivamente. Además, los administradores deben de encontrar la forma de aplicar esos cambios de forma rápida, correcta y consistentemente.

La comunidad de la seguridad (security community) ha tenido problemas para hacer estas tareas más fáciles. El protocolo y norma llamada “Security Content Automation Protocol (SCAP) fue desarrollado para hacer frente a la mayoría de estos problemas.

SCAP fue creado para proporcionar una solución consistente para la automatización de la seguridad. La misión de SCAP es mantener la seguridad del sistema, garantizando las mejores prácticas de seguridad de configuración se implementan en la red de la empresa, verificando la presencia de los “patches” o arreglos de software, y mantener una visibilidad completa de la postura de seguridad de los sistemas y de la organización en todo momento.

Las especificaciones actuales de SCAP incluyen los siguientes componentes:

Idiomas

  • Open Vulnerability and Assessment Language (OVAL): OVAL es un estándar usado varias organizaciones diseñado para habilitar el procesamiento automatico de información de seguridad y para evaluar sistemas. Más información sobre OVAL está disponible en http://oval.mitre.org
  • Extensible Configuration Checklist Description Format (XCCDF): XCCDF es una especificación para una colección estructurada de listas de control de seguridad y los puntos de referencia. Más información acerca de XCCDF está disponible en http://scap.nist.gov/specifications/xccdf

  • Open Checklist Interactive Language (OCIL): OCIL es un marco para la recopilación e interpretación de las respuestas de las preguntas que se ofrecen a los usuarios cuando no se puede evaluar sistemas automaticamente. Más información acerca de OCIL está disponible en: http://scap.nist.gov/specifications/ocil

  • Asset Identification (AI): AI es una especificación diseñada para correlacionar rápidamente diversos sistemas de información sobre los dispositivos y sistemas informáticos de cada empresa. Más información acerca de AI está disponible en http://scap.nist.gov/specifications/ai

  • Asset Reporting Format (ARF): ARF es una especificación que define el formato de transporte de información sobre los sistemas de la empresa y proporciona un modelo de datos normalizado para agilizar la comunicación de dicha información. Más información acerca de ARF está disponible en http://scap.nist.gov/specifications/arf

Enumeraciones

  • Common Vulnerabilities and Exposures (CVE): CVE asigna identificadores a las vulnerabilidades de seguridad. Cisco asigna identificadores CVE en las vulnerabilidades de seguridad que publica de acuerdo con la política de vulnerabilidades de seguridad. Más información acerca de CVE está disponible en http://cve.mitre.org
  • Common Platform Enumerator (CPE): CPE es un método estándar de nombrar e identificar las clases de aplicaciones, sistemas operativos y dispositivos de hardware. Más información acerca de CPE está disponible en http://cpe.mitre.org
  • Common Configuration Enumerator (CCE): CCE proporciona identificadores únicos para los documentos de orientación de configuración y las mejores prácticas. El objetivo principal del CCE es permitir que las organizaciones puedan hacer la correlación en un forma rápida y precisamente de los problemas de configuración en los sistemas empresariales. Más información acerca de CCE está disponible en http://cce.mitre.org

Nota: Hay otras especificaciones que están actualmente siendo ampliadas y desarrolladas. Un ejemplo de ellas es el Common Weakness Enumeration (CWE). CWE es un diccionario de problemas de arquitectura de software comúnes, diseño, código, y otras debilidades que podrían dar lugar a problemas de seguridad. Más información acerca de CWE está disponible de

http://cwe.mitre.org

Otro enumerador emergente es Common Remediation Enumeration (CRE). Más información acerca de CRE está disponible en http://scap.nist.gov/specifications/cre

Métricas

  • Common Vulnerability Scoring System(CVSS): CVSS es un método de puntuación basado en estándares que transmite gravedad de la vulnerabilidad y ayuda a determinar la urgencia y la prioridad de la respuesta. Cisco proporciona una puntuación de CVSS para cada vulnerabilidad que se da a conocer a través de los avisos de seguridad y otros métodos de divulgación. Los clientes pueden calcular sus propias métricas para ayudar a determinar el impacto de la vulnerabilidad de las redes individuales. Cisco tiene un FAQ relacionado con CVSS en el siguiente link: http://www.cisco.com/web/about/security/intelligence/cvss-qandas.html

Cisco ha facilitado una calculadora para calcular CVSS el impacto medioambiental de las redes individuales en el siguiente enlace: http://intellishield.cisco.com/security/alertmanager/cvss
Más información acerca de CVSS está disponible en http://www.first.org/cvss

Nota: Dos nuevas especificaciones métricas son el Common Weakness Scoring System (CWSS) y el Common Misuse Scoring System (CMSS). CWS es una metodología para calcular puntos débiles del software. CWS es parte de CWE. Más información acerca de CWS está disponible en http://cwe.mitre.org/cwss 
CMSS es una forma estándar de medir las vulnerabilidades debido al uso indebido de funciones de sistemas. Más información acerca de CMSS está disponible en http://scap.nist.gov/emerging-specs/listing.html#CMSS

Integridad

  • Trust Model for Security Automation Data (TMSAD): TMSAD es una especificación  para mantener la integridad, autenticación y trazabilidad de los datos de automatización de seguridad. Más información acerca de TMSAD está disponible en el siguiente documento PDF: http://csrc.nist.gov/publications/nistir/ir7802/NISTIR-7802.pdf

Nuevo Contenido de OVAL en Cisco

Cisco siempre se compromete a proteger a los clientes mediante el intercambio de información crítica y relacionada con la seguridad de información en diferentes formatos.

Como se recordará, en un blog reciente que yo publique hace unas semanas atras, Cisco PSIRT ahora incluye definiciones OVAL en los avisos de seguridad para vulnerabilidades en Cisco IOS.

Los siguientes son algunos de los beneficios más importantes que ofrece OVAL:

  • Escalabilidad
  • Puntos de control centralizados
  • La reducción de los riesgos debidos a errores humanos
  • La amplitud de la cobertura cuando estamos respondiendo a problemas de seguridad

A continuación se presenta un ejemplo sencillo de cómo un administrador puede utilizar un escáner OVAL para conectarse a varios routers Cisco IOS a través de SSH y verificar la presencia de vulnerabilidades, problemas de configuración y el cual es el software que esta instalado.

auto-oval-03-oval-scanner.jpg

Evaluación de Dispositivos Usando OVAL

Definiciones de OVAL

Definiciones de OVAL son archivos XML que contienen información acerca de cómo comprobar un sistema para detectar la presencia de vulnerabilidades, problemas de configuración, aplicaciones instaladas, u otras características. Hay cuatro usos principales, también llamadas "clases" de las definiciones OVAL:

  1. Vulnerabilidades: determinar la presencia de una vulnerabilidad en el sistema que se ensaya.
  2. Cumplimiento (compliance): para validar una configuración de dispositivo contra una configuración conocida, aprobada y válida.
  3. Inventario: para comprobar si hay un software específico instalado en el sistema
  4. Arreglos de seguridad: para encontrar arreglos de seguridad en el sistema

Donde Puede Encontrar el Contenido OVAL

Contenido OVAL (también llamado "definiciones") se puede descargar directamente de los avisos de seguridad (security advisories) de vulnerabilidades que afectan a Cisco IOS Software. Cada uno de estos avisos incluye un enlace de la definición de OVAL correspondiente(s). Actualmente, sólo el software Cisco IOS es compatible. Cisco está trabajando con MITRE y la comunidad OVAL para mejorar y desarrollar nuevos esquemas para apoyar otros productos. OVAL permite la interoperabilidad entre productos de seguridad y gestión de red de diferentes fabricantes en diferentes mercados verticales, lo que les permite realizar rápida y automáticamente la vulnerabilidad y la evaluación del cumplimiento de las infraestructuras de red y dispositivos de red. Muchos vendedores están trabajando en la integración de esquemas de Cisco IOS Software en sus productos.

Envíenos sus Comentarios y Sugerencias!

Si usted está explorando las capacidades de seguridad de automatización como OVAL / SCAP, o si ya ha implementado soluciones que apoyen OVAL / SCAP (o cualquier otra norma de automatización relacionada con seguridad), por favor envíeme sus comentarios
o preguntas.

1 Comentario
New Member

Excelente, muchas gracias

1146
Visitas
5
ÚTIL
1
Comentarios