Práctica 8

Actividad 1.

En la siguiente hoja de cálculo se puede observar la relación entre las amenazas clasificadas por INCIBE y la dimensión de la seguridad a la que ataquen, en función de si los daños causantes afectan a la integridad, la disponibilidad, la confidencialidad, o varias de ellas:

Actividad 2.

La hoja de Cruces Amenaza-Activo que nos ofrece INCIBE, contiene una lista de 31 amenazas relacionadas con un activo determinado. Creo importante emplear al menos unos 5 minutos en la evaluación de cada cruce de activo con su amenaza correspondiente, ya que es importante realizar un análisis minucioso para adquirir la mayor información posible y evitar equivocarnos, puesto que podría ocasionar daños severos para la empresa. Por lo tanto, creo que podría incluso llegar a tardar unas dos o tres horas en completar la evaluación.

Actividad 3.

Boletín de Seguridad de Microsoft.

El Boletín de Seguridad investiga todos los informes de vulnerabilidades de seguridad que afectan a los productos y servicios de Microsoft, y publica estos documentos como parte del esfuerzo continuo para ayudarlo a administrar los riesgos de seguridad y ayudar a mantener sus sistemas protegidos.

Algunas de las vulnerabilidades expuestas por el Boletín son: la divulgación de información y la evasión de seguridad, que permite a los delincuentes acceder a los sistemas informáticos, siendo un peligro para la confidencialidad y la integridad de los activos.

CVE.

El CVE es una lista de información registrada sobre vulnerabilidades de seguridad conocidas, en la que cada referencia incluye un número de identificación CVE-ID, la descripción de la vulnerabilidad, qué versiones del software se ven afectadas, una posible solución al fallo en caso de que exista o cómo configurar para mitigar la vulnerabilidad, así como referencias a publicaciones o entradas de foros o blog donde se ha hecho pública la vulnerabilidad o se demuestra su explotación. Además suele también mostrarse un enlace directo a la información de la base de datos de vulnerabilidades del NIST (NVD), en la que pueden conseguirse más detalles de la vulnerabilidad y su valoración. Esta lista se utiliza en distintos productos y servicios de ciberseguridad de todo el mundo.

 

___

Entre las vulnerabilidades que se presentan, he tomado como referencia la actualización de seguridad creada el 04/09/2019 con el objetivo de resolver una vulnerabilidad de ejecución de código remoto que se presenta cada vez que Microsoft Office Access ejecuta de manera incorrecta los objetos de la memoria. El CVE de esta vulnerabilidad fue CVE 2019-0823.

 

Actividad 4.

SecurityFocus.

SecurityFocus incluye informes sobre vulnerabilidades en aplicaciones y sistemas operativos. Se puede introducir el CVE para obtener más información acerca de una determinada vulnerabilidad, y obtendremos detalles como la información del tipo de error, fecha de publicación, sistemas y software afectados. También se incluye el exploit para comprobar el ataque que podemos sufrir y las posibles soluciones, como los parches de seguridad y las actualizaciones.

Además, se puede buscar información sobre las versiones de los productos de distintos fabricantes.

He introducido el CVE de la vulnerabilidad elegida en el buscador de SecurityFocus y he obtenido la siguiente información:

Además, la última vulnerabilidad que se recoge es la siguiente:

Actividad 5.

Boletín de Vulnerabilidades. CCN-CERT.

Sirve para el análisis, la notificación y el seguimiento de aquellas vulnerabilidades más críticas, que impactan especialmente en las tecnologías empleadas en el sector público. El CCN-CERT trabajará en la recopilación y clasificación de las nuevas vulnerabilidades, realizando un análisis teórico y en laboratorio, cuando sea posible, de aquellas que por su criticidad lo requieran.

Se generarán documentos informativos o “abstracts” de dichas vulnerabilidades y se llevará a cabo un seguimiento de la evolución de la vulnerabilidad en Internet, alertando a los organismos ante cambios en la criticidad, aparición de parches, nuevas recomendaciones, constancia de explotaciones activas, etc.

Según el CCN, España se encuentra en un nivel muy alto de posibles amenazas, se necesitaría implementar más medidas y una mayor cooperación para evitar estos ataques.

En cuanto a las vulnerabilidades que podrían atacar a la Universidad, debemos tener en cuenta el tipo de ordenadores y el sistema operativo que utilizan. Los ordenadores son Windows, por lo que sería conveniente analizar las posibles vulnerabilidades de su fabricante: Microsoft. Algunos ejemplos de vulnerabilidades, en este caso, serían las siguientes: