Probabilidad de Ocurrencia, Impacto, y Riesgo Global en las Evaluaciones de Vulnerabilidades

  • Posted on: 23 September 2020
  • By: ReYDeS

Probabilidad de Ocurrencia

De acuerdo al Instituto Nacional de Estándares y Tecnologías (NIST), la probabilidad de ocurrencia se basa en la probabilidad de un amenaza particular sea capaz de explotar una vulnerabilidad en particular, con posibles puntuaciones de bajo, medio o alto.

  • Alto:
  • Un potencial adversario tiene alta capacitación y motivación, además las medidas implementadas para protegerse contra la vulnerabilidad son insuficientes.

  • Medio:
  • El potencial adversario está motivado y tiene capacitación, pero las medidas implementadas para protegerse contra la vulnerabilidad pueden impedir su éxito.

  • Bajo:
  • Un potencial adversario no está capacitado o no tiene motivación, además existen medidas implementadas para protegerse contra la vulnerabilidad, las cuales son parcialmente o completamente efectivas.

Impacto

El nivel de impacto es determinado por la evaluación de la cantidad de daño el cual podría ocurrir si una vulnerabilidad en cuestión fuese explotada, o aprovechada de otra manera.

  • Alto:
  • Aprovecharse de una vulnerabilidad podría resultar en perdidas financieras muy significativas, daño serio hacia la misión o reputación de la organización, o incluso lesiones serias, incluyendo la pérdida de vidas.

  • Medio:
  • Aprovecharse de una vulnerabilidad podría conducir a pérdidas financieras, daño a la misión o reputación de la organización, o lesiones humanas.

  • Bajo:
  • Aprovecharse de una vulnerabilidad podría resultar en algún grado de pérdida financiera o impacto hacia la misión y reputación de la organización.

Una vez la probabilidad de ocurrencia e impacto han sido determinados, se puede luego determinar la puntuación del riesgo global, el cual se define como una función de las dos puntuaciones. El riesgo global puede ser calificado como Bajo, Medio, o Alto, lo cual proporciona una guía a aquellos responsables de asegurar y mantener los sistemas en cuestión.

  • Alto:
  • Existe un fuerte requerimiento de medidas adiciones a implementar para protegerse contra la vulnerabilidad. En algunos casos el sistema puede ser permitido de continuar operando, pero un plan debe ser designado e implementado tan pronto como sea posible.

  • Medio:
  • Existe un requerimiento de medidas adicionales a implementar para protegerse contra la vulnerabilidad. Un plan a implementar requiere las medidas deban ser hechas de manera oportuna.

  • Bajo:
  • El propietario del sistema determinará si implementará medidas adicionales para protegerse contra la vulnerabilidad, o puede opcionalmente aceptar el riesgo y dejar el sistema sin cambio.

En Resúmen

Con tantos factores constituyendo el verdadero riesgo de una vulnerabilidad descubierta, la calificación previamente definida del riesgo generado como resultado de una herramienta, no debe únicamente ser utilizada como un punto de partida para determinar el verdadero riesgo para la organización.

Reportes creados de manera competente desde una evaluación de vulnerabilidades, cuando son analizados por un profesional, pueden proporcionar un fundamento inicial para otras evaluaciones como pruebas de penetración. Como tal, es importante entender como obtener los mejores resultados posibles desde esta evaluación inicial.

Kali Linux constituye una excelente plataforma para realizar evaluaciones de vulnerabilidades, y no necesita ninguna configuración especial. En el menú de aplicaciones de Kali se encontrarán numerosas herramientas para evaluaciones de vulnerabilidades, en las categorías de Captura de Información, Análisis de Vulnerabilidades, y Análisis de Aplicaciones Web. Muchos sitios incluyendo el propio sitio web de Kali Linux y su documentación oficial, proporcionan excelentes recursos para utilizar Kali Linux durante una evaluación de vulnerabilidades.

Fuentes:

https://kali.training/downloads/Kali-Linux-Revealed-1st-edition.pdf

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1