De Wikipedia, la enciclopedia libre
Saltar a navegación Saltar a búsqueda
Parte de una serie sobre
Seguridad de información
Categorías de seguridad relacionadas
Amenazas
Defensas
  • Detección de anomalías
  • Control de acceso informático
  • Seguridad de la aplicación
    • Software antivirus
    • Software de seguridad informática
    • Codificación segura
    • Seguro por defecto
    • Seguro por diseño
      • Caso de mal uso
    • Sistema operativo centrado en la seguridad
  • Autenticación
    • Autenticación multifactor
  • Autorización
  • Seguridad centrada en datos
  • Ofuscación de código
  • Cifrado
  • Cortafuegos
  • Sistema de detección de intrusos
    • Sistema de detección de intrusiones basado en host (HIDS)
  • Gestión de eventos e información de seguridad
  • Pasarela segura móvil
  • Autoprotección de la aplicación en tiempo de ejecución
  • Seguridad de la aplicación web
  • v
  • t
  • mi
Este artículo es parte de una serie sobre
Hackeo de computadoras
Historia
  • Phreaking
  • Criptovirología
  • Piratería informática de consumo
  • Lista de piratas informáticos
Cultura y ética hacker
  • Manifiesto hacker
  • Sombrero negro
  • Sombrero gris
  • sombrero blanco
  • Hackerspace
  • Hackathon
  • Hacktivismo
  • Cultura Maker
Conferencias
  • Briefings de sombrero negro
  • Congreso de Comunicación del Caos
  • DEF CON
  • Hackers en el planeta Tierra
  • Security_BSides
  • ShmooCon
  • Summercon
Crimen informático
  • Crimeware
  • Lista de delincuentes informáticos
  • Guión para niños
Herramientas de piratería
  • Sistema operativo forense
  • Vulnerabilidad
  • Explotar
  • Carga útil
  • Ingeniería social
  • Kali
Sitios de práctica
  • HackThisSite
  • Zona-H
Software malicioso
  • Rootkit
  • Puerta trasera
  • caballo de Troya
  • Virus
  • Gusano
  • Software espía
  • Secuestro de datos
  • Bomba lógica
  • Botnet
  • Registro de pulsaciones de teclas
  • HIDS
  • Shell web
  • RCE
La seguridad informática
  • Seguridad de la aplicación
  • Seguridad de la red
  • Seguridad informática en la nube
Grupos
  • Anónimo
  • Club de Computación del Caos
  • Homebrew Computer Club (desaparecido)
  • Legion of Doom (desaparecida)
  • Maestros del engaño (desaparecido)
  • LulzSec (desaparecido)
  • Equipos rojos y azules
Publicaciones
  • 2600: The Hacker Quarterly
  • Noticias de hackers
  • Nueces y voltios
  • Phrack
  • v
  • t
  • mi

En seguridad informática , una vulnerabilidad es una debilidad que puede ser aprovechada por un actor de amenazas , como un atacante, para cruzar los límites de privilegios (es decir, realizar acciones no autorizadas) dentro de un sistema informático. Para aprovechar una vulnerabilidad, un atacante debe tener al menos una herramienta o técnica aplicable que pueda conectarse a una debilidad del sistema. En este marco, las vulnerabilidades también se conocen como superficie de ataque .

La gestión de vulnerabilidades es la práctica cíclica que varía en teoría, pero contiene procesos comunes que incluyen: descubrir todos los activos, priorizar activos, evaluar o realizar un escaneo completo de vulnerabilidades, informar sobre los resultados, remediar vulnerabilidades, verificar la remediación - repetir. Esta práctica generalmente se refiere a vulnerabilidades de software en sistemas informáticos. [1] La gestión ágil de vulnerabilidades se refiere a la prevención de ataques mediante la identificación de todas las vulnerabilidades lo más rápido posible. [2]

Un riesgo de seguridad a menudo se clasifica incorrectamente como una vulnerabilidad. El uso de vulnerabilidad con el mismo significado de riesgo puede generar confusión. El riesgo es el potencial de un impacto significativo resultante de la explotación de una vulnerabilidad. Luego están las vulnerabilidades sin riesgo: por ejemplo, cuando el activo afectado no tiene valor. Una vulnerabilidad con una o más instancias conocidas de ataques en funcionamiento y completamente implementados se clasifica como una vulnerabilidad explotable, una vulnerabilidad para la que existe una explotación . La ventana de vulnerabilidad es el tiempo desde que se introdujo o manifestó el agujero de seguridad en el software implementado, hasta que se eliminó el acceso, se dispuso / implementó una solución de seguridad o se desactivó el atacante; consulte ataque de día cero .

El error de seguridad ( defecto de seguridad ) es un concepto más limitado. Hay vulnerabilidades que no están relacionadas con el software: hardware , sitio, vulnerabilidades de personal son ejemplos de vulnerabilidades que no son errores de seguridad del software.

Las construcciones en lenguajes de programación que son difíciles de usar correctamente pueden manifestar un gran número de vulnerabilidades.

Definiciones [ editar ]

ISO 27005 define la vulnerabilidad como: [3]

Una debilidad de un activo o grupo de activos que puede ser explotado por una o más amenazas, donde un activo es cualquier cosa que tenga valor para la organización, sus operaciones comerciales y su continuidad, incluidos los recursos de información que respaldan la misión de la organización [4]

Vulnerabilidad IETF RFC 4949 como: [5]

Una falla o debilidad en el diseño, implementación u operación y administración de un sistema que podría explotarse para violar la política de seguridad del sistema.

El Comité de Sistemas de Seguridad Nacional de los Estados Unidos de América definió la vulnerabilidad en la Instrucción CNSS Nº 4009 de fecha 26 de abril de 2010 Glosario de garantía de la información nacional : [6]

Vulnerabilidad: debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser aprovechada por una fuente de amenaza.

Muchas publicaciones del NIST definen la vulnerabilidad en el contexto de TI en diferentes publicaciones: FISMApedia [7] término [8] proporciona una lista. Entre ellos SP 800-30, [9] dan uno más amplio:

Una falla o debilidad en los procedimientos de seguridad del sistema, el diseño, la implementación o los controles internos que podrían ejercerse (activarse accidentalmente o explotarse intencionalmente) y resultar en una brecha de seguridad o una violación de la política de seguridad del sistema.

ENISA define la vulnerabilidad en [10] como:

La existencia de una debilidad, error de diseño o implementación que puede conducir a un evento inesperado e indeseable [G.11] que comprometa la seguridad del sistema informático, red, aplicación o protocolo involucrado (ITSEC).

El Open Group define la vulnerabilidad en [11] como

La probabilidad de que la capacidad de amenaza exceda la capacidad de resistir la amenaza .

El Análisis de factores de riesgo de la información (FAIR) define la vulnerabilidad como: [12]

La probabilidad de que un activo no pueda resistir las acciones de un agente de amenaza.

Según FAIR, la vulnerabilidad está relacionada con la Fuerza de Control, es decir, la fuerza de un control en comparación con una medida estándar de fuerza y ​​las Capacidades de amenaza , es decir, el nivel probable de fuerza que un agente de amenaza es capaz de aplicar contra un activo.

ISACA define la vulnerabilidad en el marco Risk It como:

Una debilidad en el diseño, implementación, operación o control interno.

Seguridad informática y de datos: Diccionario de conceptos y términos de estándares, los autores Dennis Longley y Michael Shain, Stockton Press, ISBN  0-935859-17-9 , definen la vulnerabilidad como:

1) En seguridad informática, una debilidad en los procedimientos de seguridad de los sistemas automatizados, controles administrativos, controles de Internet, etc., que podría ser aprovechada por una amenaza para obtener acceso no autorizado a la información o interrumpir el procesamiento crítico. 2) En seguridad informática, una debilidad en el diseño físico, organización, procedimientos, personal, gestión, administración, hardware o software que puede ser explotado para causar daño al sistema o actividad de ADP. 3) En seguridad informática, cualquier debilidad o falla existente en un sistema. El ataque o evento dañino, o la oportunidad disponible para un agente de amenaza de montar ese ataque.

Matt Bishop y Dave Bailey [13] dan la siguiente definición de vulnerabilidad informática :

Un sistema informático se compone de estados que describen la configuración actual de las entidades que componen el sistema informático. El sistema calcula mediante la aplicación de transiciones de estado que cambian el estado del sistema. Todos los estados accesibles desde un estado inicial dado utilizando un conjunto de transiciones de estado entran en la clase de autorizado o no autorizado, según lo definido por una política de seguridad. En este artículo, las definiciones de estas clases y transiciones se consideran axiomáticas. Un estado vulnerable es un estado autorizado desde el cual se puede llegar a un estado no autorizado mediante transiciones de estado autorizadas. Un estado comprometido es el estado así alcanzado. Un ataque es una secuencia de transiciones de estado autorizadas que terminan en un estado comprometido. Por definición, un ataque comienza en un estado vulnerable.Una vulnerabilidad es una caracterización de un estado vulnerable que lo distingue de todos los estados no vulnerables. Si es genérica, la vulnerabilidad puede caracterizar a muchos estados vulnerables; si es específico, puede caracterizar solo a uno ...

El Centro Nacional de Capacitación y Educación en Garantía de la Información define la vulnerabilidad : [14] [15]

Una debilidad en los procedimientos de seguridad del sistema automatizado, controles administrativos, controles internos, etc., que podría ser aprovechada por una amenaza para obtener acceso no autorizado a la información o interrumpir el procesamiento crítico. 2. Una debilidad en los procedimientos de seguridad del sistema, diseño de hardware, controles internos, etc., que podría explotarse para obtener acceso no autorizado a información confidencial o clasificada. 3. Una debilidad en el diseño físico, la organización, los procedimientos, el personal, la gestión, la administración, el hardware o el software que pueden explotarse para dañar el sistema o la actividad de ADP. La presencia de una vulnerabilidad no causa daño en sí misma; una vulnerabilidad es simplemente una condición o un conjunto de condiciones que pueden permitir que un ataque dañe el sistema o la actividad de ADP. 4.Una afirmación que se refiere principalmente a entidades del entorno interno (activos); decimos que un activo (o clase de activos) es vulnerable (de alguna manera, posiblemente involucrando a un agente o grupo de agentes); escribimos: V (i, e) donde: e puede ser un conjunto vacío. 5. Susceptibilidad a diversas amenazas. 6. Conjunto de propiedades de una determinada entidad interna que, en unión con un conjunto de propiedades de una determinada entidad externa, implica un riesgo. 7. Las características de un sistema que lo hacen sufrir una degradación definida (incapacidad para realizar la misión designada) como resultado de haber sido sometido a un cierto nivel de efectos en un ambiente hostil antinatural (creado por el hombre).e puede ser un conjunto vacío. 5. Susceptibilidad a diversas amenazas. 6. Conjunto de propiedades de una determinada entidad interna que, en unión con un conjunto de propiedades de una determinada entidad externa, implica un riesgo. 7. Las características de un sistema que lo hacen sufrir una degradación definida (incapacidad para realizar la misión designada) como resultado de haber sido sometido a un cierto nivel de efectos en un ambiente hostil antinatural (creado por el hombre).e puede ser un conjunto vacío. 5. Susceptibilidad a diversas amenazas. 6. Conjunto de propiedades de una determinada entidad interna que, en unión con un conjunto de propiedades de una determinada entidad externa, implica un riesgo. 7. Las características de un sistema que lo hacen sufrir una degradación definida (incapacidad para realizar la misión designada) como resultado de haber sido sometido a un cierto nivel de efectos en un ambiente hostil antinatural (creado por el hombre).Las características de un sistema que hacen que sufra una degradación definida (incapacidad para realizar la misión designada) como resultado de haber sido sometido a un cierto nivel de efectos en un entorno hostil antinatural (creado por el hombre).Las características de un sistema que hacen que sufra una degradación definida (incapacidad para realizar la misión designada) como resultado de haber sido sometido a un cierto nivel de efectos en un entorno hostil antinatural (creado por el hombre).

Modelos de factores de riesgo y vulnerabilidad [ editar ]

Un recurso (ya sea físico o lógico) puede tener una o más vulnerabilidades que pueden ser explotadas por un actor de amenazas. El resultado puede potencialmente comprometer la confidencialidad , integridad o disponibilidad de los recursos (no necesariamente los vulnerables) pertenecientes a una organización y / u otras partes involucradas (clientes, proveedores). La llamada tríada de la CIA es una piedra angular de la seguridad de la información .

Un ataque puede estar activo cuando intenta alterar los recursos del sistema o afectar su funcionamiento, comprometiendo la integridad o disponibilidad. Un " ataque pasivo " intenta aprender o hacer uso de la información del sistema, pero no afecta los recursos del sistema, comprometiendo la confidencialidad. [5]

OWASP: relación entre agente de amenazas e impacto empresarial

OWASP (ver figura) describe el mismo fenómeno en términos ligeramente diferentes: un agente de amenaza a través de un vector de ataque explota una debilidad (vulnerabilidad) del sistema y los controles de seguridad relacionados, causando un impacto técnico en un recurso de TI (activo) conectado a un impacto de negocios.

El panorama general representa los factores de riesgo del escenario de riesgo. [dieciséis]

Sistema de gestión de la seguridad de la información [ editar ]

Se ha desarrollado un conjunto de políticas relacionadas con el sistema de gestión de la seguridad de la información (SGSI), para gestionar, de acuerdo con los principios de gestión de riesgos , las contramedidas para asegurar que se establezca una estrategia de seguridad siguiendo las normas y reglamentos aplicables a una determinada organización. Estas contramedidas también se denominan controles de seguridad , pero cuando se aplican a la transmisión de información, se denominan servicios de seguridad . [17]

Clasificación [ editar ]

Las vulnerabilidades se clasifican según la clase de activos con la que están relacionadas: [3]

  • hardware
    • susceptibilidad a la humedad o al polvo
    • susceptibilidad al almacenamiento desprotegido
    • Desgaste basado en la edad que causa fallas.
    • calentamiento excesivo
  • software
    • pruebas insuficientes
    • codificación insegura
    • falta de pista de auditoría
    • falla de diseño
  • la red
    • líneas de comunicación desprotegidas (por ejemplo, falta de criptografía )
    • arquitectura de red insegura
  • personal
    • proceso de contratación inadecuado
    • conciencia de seguridad inadecuada
    • amenaza interna
  • sitio físico
    • área sujeta a desastres naturales (por ejemplo, inundaciones, terremotos)
    • interrupción de la fuente de energía
  • organizativo
    • falta de auditorías periódicas
    • falta de planes de continuidad
    • falta de seguridad

Causas [ editar ]

  • Complejidad: los sistemas grandes y complejos aumentan la probabilidad de fallas y puntos de acceso no deseados . [18]
  • Familiaridad: el uso de código, software, sistemas operativos y / o hardware comunes y conocidos aumenta la probabilidad de que un atacante tenga o pueda encontrar el conocimiento y las herramientas para explotar la falla. [19]
  • Conectividad: más conexiones físicas, privilegios, puertos, protocolos y servicios y el tiempo que cada uno de ellos es accesible aumenta la vulnerabilidad. [12]
  • Defectos en la administración de contraseñas: el usuario de la computadora usa contraseñas débiles que podrían ser descubiertas por fuerza bruta. [20] El usuario de la computadora almacena la contraseña en la computadora donde un programa puede acceder a ella. Los usuarios reutilizan contraseñas entre muchos programas y sitios web. [18]
  • Defectos fundamentales en el diseño del sistema operativo : el diseñador del sistema operativo opta por aplicar políticas subóptimas en la gestión de usuarios / programas. Por ejemplo, los sistemas operativos con políticas como el permiso predeterminado otorgan a todos los programas y usuarios acceso completo a toda la computadora. [18] Esta falla del sistema operativo permite que virus y malware ejecuten comandos en nombre del administrador. [21]
  • Navegación de sitios web de Internet: algunos sitios web de Internet pueden contener spyware o adware dañino que se puede instalar automáticamente en los sistemas informáticos. Después de visitar esos sitios web, los sistemas informáticos se infectan y la información personal se recopilará y se transmitirá a terceros. [22]
  • Errores de software : el programador deja un error explotable en un programa de software. El error de software puede permitir que un atacante haga un mal uso de una aplicación. [18]
  • Entrada de usuario no verificada : el programa asume que todas las entradas de usuario son seguras. Los programas que no comprueban la entrada del usuario pueden permitir la ejecución directa no intencionada de comandos o sentencias SQL (conocidas como desbordamientos de búfer , inyección SQL u otras entradas no validadas). [18]
  • No aprender de los errores del pasado: [23] [24] por ejemplo, la mayoría de las vulnerabilidades descubiertas en el software del protocolo IPv4 se descubrieron en las nuevas implementaciones de IPv6 . [25]

La investigación ha demostrado que el punto más vulnerable en la mayoría de los sistemas de información es el usuario humano, operador, diseñador u otro humano: [26] por lo que los humanos deben ser considerados en sus diferentes roles como activos, amenazas y recursos de información. La ingeniería social es un problema de seguridad cada vez mayor.

Consecuencias de la vulnerabilidad [ editar ]

El impacto de una brecha de seguridad puede ser muy alto. [27] El hecho de que los directores de TI, o la alta dirección, puedan saber (fácilmente) que los sistemas y aplicaciones de TI tienen vulnerabilidades y no realizan ninguna acción para gestionar el riesgo de TI se considera una mala conducta en la mayoría de las legislaciones. La ley de privacidad obliga a los gerentes a actuar para reducir el impacto o la probabilidad de ese riesgo de seguridad. La auditoría de seguridad de tecnología de la información es una forma de permitir que otras personas independientes certifiquen que el entorno de TI se gestiona correctamente y reduce las responsabilidades, al menos habiendo demostrado la buena fe. La prueba de penetración es una forma de verificación de la debilidad y las contramedidas adoptadas por una organización: un sombrero blanco.El hacker intenta atacar los activos de tecnología de la información de una organización para descubrir qué tan fácil o difícil es comprometer la seguridad de TI. [28] La forma adecuada de gestionar profesionalmente el riesgo de TI es adoptar un Sistema de Gestión de Seguridad de la Información , como ISO / IEC 27002 o Risk IT y seguirlos, de acuerdo con la estrategia de seguridad establecida por la alta dirección. [17]

Uno de los conceptos clave de la seguridad de la información es el principio de defensa en profundidad , es decir, establecer un sistema de defensa multicapa que pueda: [27]

  • prevenir el exploit
  • detectar e interceptar el ataque
  • averiguar los agentes de amenaza y procesarlos

El sistema de detección de intrusiones es un ejemplo de una clase de sistemas utilizados para detectar ataques .

La seguridad física es un conjunto de medidas para proteger físicamente un activo de información: si alguien puede obtener acceso físico al activo de información, se acepta ampliamente que un atacante puede acceder a cualquier información contenida en él o hacer que el recurso no esté disponible para sus usuarios legítimos.

Se han desarrollado algunos conjuntos de criterios que debe cumplir una computadora, su sistema operativo y aplicaciones para alcanzar un buen nivel de seguridad: ITSEC y Criterios comunes son dos ejemplos.

Divulgación de vulnerabilidades [ editar ]

La divulgación coordinada (algunos se refieren a ella como " divulgación responsable ", pero otros la consideran un término sesgado) de las vulnerabilidades es un tema de gran debate. Como informó The Tech Herald en agosto de 2010, " Google , Microsoft , TippingPoint y Rapid7 han emitido pautas y declaraciones sobre cómo abordarán la divulgación en el futuro". [29] El otro método suele ser la divulgación completa., cuando se publican todos los detalles de una vulnerabilidad, a veces con la intención de presionar al autor del software para que publique una solución más rápidamente. En enero de 2014, cuando Google reveló una vulnerabilidad de Microsoft antes de que Microsoft lanzara un parche para solucionarlo, un representante de Microsoft pidió prácticas coordinadas entre las empresas de software para revelar divulgaciones. [30]

Inventario de vulnerabilidades [ editar ]

Mitre Corporation mantiene una lista incompleta de vulnerabilidades divulgadas públicamente en un sistema llamado Vulnerabilidades y exposiciones comunes . Esta información se comparte inmediatamente con el Instituto Nacional de Estándares y Tecnología (NIST), donde a cada vulnerabilidad se le asigna una puntuación de riesgo mediante el sistema de puntuación de vulnerabilidad común (CVSS), el esquema de enumeración de plataforma común (CPE) y la enumeración de debilidad común .

OWASP mantiene una lista de clases de vulnerabilidades con el objetivo de educar a los diseñadores y programadores de sistemas, reduciendo así la probabilidad de que las vulnerabilidades se escriban involuntariamente en el software. [31]

Fecha de divulgación de la vulnerabilidad [ editar ]

El momento de la divulgación de una vulnerabilidad se define de manera diferente en la comunidad de seguridad y en la industria. Se denomina más comúnmente como "un tipo de divulgación pública de información de seguridad por parte de una determinada parte". Por lo general, la información sobre vulnerabilidades se analiza en una lista de correo o se publica en un sitio web de seguridad y, posteriormente, genera un aviso de seguridad.

El momento de la divulgación es la primera fecha en que se describe una vulnerabilidad de seguridad en un canal donde la información divulgada sobre la vulnerabilidad debe cumplir con el siguiente requisito:

  • La información está disponible gratuitamente para el público.
  • La información de vulnerabilidad es publicada por un canal / fuente confiable e independiente.
  • La vulnerabilidad ha sido analizada por expertos de modo que la información de calificación de riesgo se incluye al momento de la divulgación
Identificar y eliminar vulnerabilidades

Existen muchas herramientas de software que pueden ayudar en el descubrimiento (y, a veces, la eliminación) de vulnerabilidades en un sistema informático. Aunque estas herramientas pueden proporcionar al auditor una buena descripción general de las posibles vulnerabilidades presentes, no pueden reemplazar el juicio humano. Depender únicamente de los escáneres producirá falsos positivos y una visión de alcance limitado de los problemas presentes en el sistema.

Se han encontrado vulnerabilidades en todos los principales sistemas operativos [32], incluidos Windows , macOS , varias formas de Unix y Linux , OpenVMS y otros. La única forma de reducir la posibilidad de que se utilice una vulnerabilidad contra un sistema es a través de una vigilancia constante, incluido el mantenimiento cuidadoso del sistema (por ejemplo, la aplicación de parches de software), las mejores prácticas en la implementación (por ejemplo, el uso de cortafuegos y controles de acceso ) y la auditoría (tanto durante desarrollo y durante todo el ciclo de vida de la implementación).

Ejemplos de dónde se manifiestan las vulnerabilidades [ editar ]

Las vulnerabilidades están relacionadas y pueden manifestarse en:

  • entorno físico del sistema
  • el personal (es decir, empleados, dirección)
  • procedimientos de administración y política de seguridad
  • operación comercial y prestación de servicios
  • hardware, incluidos dispositivos periféricos [33] [34]
  • software (es decir, en las instalaciones o en la nube)
  • conectividad (es decir, equipos e instalaciones de comunicación)

Es evidente que un enfoque técnico puro no siempre puede proteger los activos físicos: se debe contar con un procedimiento administrativo que permita el ingreso de personal de mantenimiento a las instalaciones y personas con el conocimiento adecuado de los procedimientos, motivados a seguirlo con el debido cuidado. Sin embargo, las protecciones técnicas no necesariamente detienen los ataques de ingeniería social (seguridad) .

Ejemplos de vulnerabilidades:

  • un atacante encuentra y utiliza una debilidad de desbordamiento de búfer para instalar malware y luego exfiltrar datos confidenciales;
  • un atacante convence a un usuario de que abra un mensaje de correo electrónico con malware adjunto;
  • una inundación daña los sistemas informáticos instalados en la planta baja.

Vulnerabilidades de software [ editar ]

Los tipos comunes de fallas de software que conducen a vulnerabilidades incluyen:

  • Violaciones de seguridad de la memoria , como:
    • El búfer se desborda y se sobre lee
    • Punteros colgantes
  • Ingrese errores de validación , como:
    • Inyección de código
    • Secuencias de comandos entre sitios en aplicaciones web
    • Cruce de directorio
    • Inyección de correo electrónico
    • Formatear ataques de cadena
    • Inyección de encabezado HTTP
    • División de respuesta HTTP
    • inyección SQL
  • Errores de confusión de privilegios , como:
    • Clickjacking
    • Falsificación de solicitudes entre sitios en aplicaciones web
    • Ataque de rebote de FTP
  • Escalada de privilegios
  • Condiciones de carrera , como:
    • Carreras de enlaces simbólicos
    • La hora del registro de entrada a los tiempos de uso errores
  • Ataque de canal lateral
    • Ataque de tiempo
  • Fallos en la interfaz de usuario , como:
    • Culpar a la víctima incitando a un usuario a tomar una decisión de seguridad sin darle al usuario suficiente información para responderla [35]
    • Condiciones de carrera [36] [37]
    • Advertencia de fatiga [38] o condicionamiento del usuario .

Se ha desarrollado un conjunto de pautas de codificación y se ha utilizado una gran cantidad de analizadores de código estático para verificar que el código sigue las pautas.

Ver también [ editar ]

  • Seguridad del navegador
  • Equipo de respuesta a emergencias informáticas
  • Seguridad de información
  • Seguridad de Internet
  • Seguridad móvil
  • Escáner de vulnerabilidad
  • Divulgación responsable
  • La divulgación completa

Referencias [ editar ]

  1. ^ "Ciclo de vida de gestión de vulnerabilidades | NPCR | CDC" . www.cdc.gov . 2019-03-12 . Consultado el 4 de julio de 2020 .
  2. ^ Ding, Aaron Yi; De Jesus, Gianluca Limon; Janssen, Marijn (2019). "Hacking ético para impulsar la gestión de vulnerabilidades de IoT: un primer vistazo a los programas de recompensas de errores y divulgación responsable" . Actas de la Octava Conferencia Internacional sobre Telecomunicaciones y Percepción Remota - ICTRS '19 . Rodas, Grecia: ACM Press: 49–55. doi : 10.1145 / 3357767.3357774 . ISBN 978-1-4503-7669-3.
  3. ^ a b ISO / IEC, "Tecnología de la información - Técnicas de seguridad - Gestión de riesgos de seguridad de la información" ISO / IEC FIDIS 27005: 2008
  4. ^ British Standard Institute, Tecnología de la información - Técnicas de seguridad - Gestión de la seguridad de las tecnologías de la información y las comunicaciones - Parte 1: Conceptos y modelos para la gestión de la seguridad de las tecnologías de la información y las comunicaciones BS ISO / IEC 13335-1-2004
  5. ^ a b Glosario de seguridad de Internet del grupo de trabajo de ingeniería de Internet RFC 4949, versión 2
  6. ^ "Instrucción CNSS No. 4009" (PDF) . 26 de abril de 2010. Archivado desde el original (PDF) el 28 de junio de 2013.
  7. ^ "FISMApedia" . fismapedia.org .
  8. ^ "Término: vulnerabilidad" . fismapedia.org .
  9. ^ Guía de gestión de riesgos NIST SP 800-30 para sistemas de tecnología de la información
  10. ^ "Glosario" . europa.eu .
  11. ^ Taxonomía de riesgo estándar técnico ISBN 1-931624-77-1 Número de documento: C081 Publicado por The Open Group, enero de 2009. 
  12. ^ a b "Introducción al análisis de factores de riesgo de la información (FAIR)", Risk Management Insight LLC, noviembre de 2006 Archivado el 18 de noviembre de 2014 en la Wayback Machine ;
  13. ^ Matt Bishop y Dave Bailey. Un análisis crítico de taxonomías de vulnerabilidad. Informe técnico CSE-96-11, Departamento de Ciencias de la Computación de la Universidad de California en Davis, septiembre de 1996
  14. ^ Schou, Corey (1996). Manual de términos de INFOSEC, versión 2.0. CD-ROM (Universidad Estatal de Idaho y Organización de Seguridad de Sistemas de Información)
  15. ^ Glosario NIATEC
  16. ^ ISACA THE RISK IT FRAMEWORK (se requiere registro) Archivado el 5 de julio de 2010 en Wayback Machine.
  17. ^ a b Wright, Joe; Harmening, Jim (2009). "15". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 257. ISBN 978-0-12-374354-1.
  18. ↑ a b c d e Kakareka, Almantas (2009). "23". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 393. ISBN 978-0-12-374354-1.
  19. ^ Krsul, Ivan (15 de abril de 1997). "Informe técnico CSD-TR-97-026" . Departamento de Ciencias de la Computación del Laboratorio COAST, Universidad de Purdue. CiteSeerX 10.1.1.26.5435 . 
  20. ^ Pauli, Darren (16 de enero de 2017). "Solo ríndete: 123456 sigue siendo la contraseña más popular del mundo" . El registro . Consultado el 17 de enero de 2017 .
  21. ^ "Las seis ideas más tontas en seguridad informática" . ranum.com .
  22. ^ "El Consorcio de seguridad de aplicaciones web / Estadísticas de seguridad de aplicaciones web" . webappsec.org .
  23. ^ Ross Anderson. Por qué fallan los criptosistemas. Informe técnico, Laboratorio de Computación de la Universidad, Cambridge, enero de 1994.
  24. ^ Neil Schlager. Cuando la tecnología falla: importantes desastres, accidentes y fallas tecnológicas del siglo XX. Gale Research Inc., 1994.
  25. Hacking: The Art of Exploitation Segunda edición
  26. ^ Kiountouzis, EA; Kokolakis, SA Seguridad de los sistemas de información: frente a la sociedad de la información del siglo XXI . Londres: Chapman & Hall , Ltd. ISBN 0-412-78120-4.
  27. ↑ a b Rasmussen, Jeremy (12 de febrero de 2018). "Mejores prácticas para la ciberseguridad: Manténgase Cyber ​​SMART" . Decisiones tecnológicas . Consultado el 18 de septiembre de 2020 .
  28. ^ Bavisi, Sanjay (2009). "22". En Vacca, John (ed.). Manual de seguridad informática y de la información . Publicaciones de Morgan Kaufmann. Elsevier Inc. pág. 375. ISBN 978-0-12-374354-1.
  29. ^ "La nueva era de la divulgación de vulnerabilidades - una breve charla con HD Moore" . El Tech Herald . Archivado desde el original el 26 de agosto de 2010 . Consultado el 24 de agosto de 2010 .
  30. ^ Betz, Chris (11 de enero de 2015). "Un llamado para una divulgación de vulnerabilidades mejor coordinada - MSRC - Inicio del sitio - Blogs de TechNet" . blogs.technet.com . Consultado el 12 de enero de 2015 .
  31. ^ "Categoría: vulnerabilidad" . owasp.org .
  32. ^ David Harley (10 de marzo de 2015). "Vulnerabilidades, exploits e inseguridad del sistema operativo" . Consultado el 15 de enero de 2019 .
  33. ^ La mayoría de las computadoras portátiles son vulnerables a los ataques a través de dispositivos periféricos. http://www.sciencedaily.com/releases/2019/02/190225192119.htm Fuente: Universidad de Cambridge]
  34. ^ Explotación de impresoras de red. Instituto de seguridad informática, Universidad de Ruhr, Bochum
  35. ^ [1] Archivado el 21 de octubre de 2007 en la Wayback Machine.
  36. ^ "Jesse Ruderman» Condiciones de carrera en los diálogos de seguridad " . squarefree.com .
  37. ^ "Blog de lcamtuf" . lcamtuf.blogspot.com .
  38. ^ "Fatiga de advertencia" . freedom-to-tinker.com .

Enlaces externos [ editar ]

  • Medios relacionados con la vulnerabilidad (informática) en Wikimedia Commons
  • Enlaces de advertencias de seguridad de Open Directory http://dmoz-odp.org/Computers/Security/Advisories_and_Patches/