retoques simples curiosos por los investigadores en la década de 1970 marcó el inicio informal de las evaluaciones de vulnerabilidad de seguridad. Desde entonces , los equipos especializados de los agentes de seguridad de información , tales como carro del FBI (Análisis PC y Equipo de Respuesta ) , han trabajado para investigar y solucionar los agujeros de seguridad en los sistemas informáticos de hoy en día . Prácticamente todos los principales software y la empresa de desarrollo de hardware emplea personal de seguridad que regularmente productos veterinarios para los insectos y el diseño inadecuado. Evaluaciones de la vulnerabilidad de seguridad a descubrir y fijar tantas imperfecciones como sea posible antes de que los hackers pueden utilizar para fines maliciosos .
Importancia
Como primer paso y más importante de la respuesta de la seguridad ciclo de vida, la evaluación de la vulnerabilidad o prueba de penetración permite al personal de seguridad las tareas específicas para proteger a la organización de los ataques. Una evaluación de la vulnerabilidad que no logra descubrir defectos es una invitación a un ataque con éxito . Evaluaciones de la vulnerabilidad con éxito allanar el camino para una drástica reducción en el potencial de ataque .
Tipos
empresas emplean a menudo fuera de las pruebas firmas para simular un ataque desde el exterior, llamada prueba de " recuadro negro " . Pruebas de recuadro negro son una forma rápida y efectiva para encontrar vulnerabilidades comunes en los sistemas de red , especialmente para los sitios web y bases de datos . Empresas de desarrollo de software optan por intensa prueba más exhaustiva y hora " caja blanca " , que consiste en una inspección cuidadosa del sistema - hardware y software. En la industria de la defensa , la división de seguridad de la información de la Agencia de Seguridad Nacional lleva a cabo tanto en las pruebas de recuadro negro y caja blanca para grandes contratistas .
Conceptos erróneos
El objetivo de evaluaciones de la vulnerabilidad es encontrar tantos agujeros de seguridad como sea posible , reduciendo la posibilidad de un ataque exitoso . Sin embargo, es imposible encontrar cada vulnerabilidad en un sistema como algo tan inocuo como una variable del tipo incorrecto o un puerto abierto puede ser explotada por un atacante inteligente. Auditorías de vulnerabilidades de seguridad no son el final de todo un programa de seguridad , en lugar de un punto de partida para los controles de seguridad. Dado que los sistemas evolucionan y crecen las demandas de seguridad , evaluaciones de vulnerabilidad siguen siendo importantes, pero no las piezas infalibles de un programa de seguridad integral.
Marco de tiempo
Información administradores de tecnología de la realización periódica pruebas de penetración y evaluaciones de vulnerabilidad para mantenerse por delante de las vulnerabilidades descubiertas recientemente . Las evaluaciones de vulnerabilidad deben llevarse a cabo antes de la integración y actualización de cualquier sistema informático principal y luego a intervalos regulares - por lo menos anualmente . Como parte de una cultura continua de la seguridad, los administradores de sistemas deben estar atentos a los resultados de cada evaluación de la vulnerabilidad . Desde los estudios de vulnerabilidad rápidos descubren vulnerabilidades mayores o ya publicados , cada vez que un aviso de seguridad o parche sale , el personal de tecnología de la información debe llevar a cabo una nueva auditoría .