Vamos a dar otro pequeño artículo de la serie OSSIM
En esta ocasión vamos a dar a los lectores un pequeño truco para realizar un tipo de análisis bastante útil en algunos procesos de auditoria, generalmente del tipo Compliance, o simplemente para control interno del departamento.
Como todos sabéis, mantener los sistemas operativos actualizados es un MUST en la seguridad.
En esta blog hemos hablado largo y tendido sobre ello, incluso de herramientas para comprobar las actualizaciones, como MBSA.
En esta ocasión vamos a aprovechar una de las funciones que nos ofrece OSSIM para el análisis de Vulnerabilidades mediante OpenVas.
La idea es crear un perfil de análisis, pero en vez de usar los plugins típicos, vamos a seleccionar los plugins de comprobación de actualizaciones de Microsoft, vamos a configurar un usuario y contraseña válido en el dominio, y vamos a comprobar los resultados.
Comenzamos con la configuración del Profile o perfil del escaneo.
Como se aprecia en las capturas, creamos un perfil habilitando solo la familia de plugins relativa a los boletines de seguridad de Microsoft.
Ahora iniciamos el proceso de configuración de credenciales.
Como puedes ver, se pueden proporcionar credenciales para SSH y SMB. Si necesitas credenciales para otro tipo de análisis, como pueda ser un usuario FTP o un usuario POP3 deberías configurarlo en la parte del plugin concreto. No es el caso.
Una vez configurada la autenticación podemos comprobarla si elegimos un equipo.
Una vez configuradas las credenciales, podemos crear un nuevo trabajo de escaneo normal.
Una vez terminado el análisis, vamos a comprobar alguna de las "vulnerabilidades" que nos presenta el sistema.
El color púrpura, lila, violeta, o como diga mi mujer que se llama... no es decisión mia, es debido a la criticidad de la "vulnerabilidad".
Si programamos un análisis completo de la red, digamos... dos días después del ciclo de actualizaciones clásico de los servidores Windows (segundo martes de cada mes) podemos tener un buen punto de vista del estado de las actualizaciones.
En entornos empresariales se suele usar un sistema WSUS que contiene sus propios reports, pero no todo el mundo instala el complemento en el servidor, y tener otra perspectiva, digamos "aparte" del área de sistemas, y mas focalizada para el SOC o el departamento/responsable de seguridad, nunca está de mal.
Espero que os guste esta mini guía o ayuda para vuestros procesos de actualización.
Gracias por leerme !!!