Escaneo de seguridad eficaz

El escaneo de seguridad es un procedimiento habitual utilizado para evaluar la postura de seguridad de un sistema o aplicación. El escaneo puede adoptar muchas formas, desde escaneos automatizados que comprueban una serie de reglas o condiciones de fallo, hasta herramientas que hacen ejecutan tareas aleatorias contra las API proporcionando entradas intencionadamente aleatorias o maliciosas para buscar vulnerabilidades, pasando por medidas activas como las pruebas de penetración llevadas a cabo por equipos de profesionales.

El escaneo de seguridad puede llevarse a cabo contra una aplicación específica, como una que esté construida con un SDK de ArcGIS o incluida como una app de ArcGIS integrada, o puede aplicarse a todo un sistema, utilizando tantos tipos y planteamientos de escaneo como sistemas haya que escanear. Muchos escaneos de seguridad darán como resultado un número de problemas notificados que varían en su gravedad, desde alertas leves, o informativas, hasta graves o críticas, y se basan en situaciones potencialmente explotables o vulnerabilidades explotables conocidas (KEV). La evaluación de lo que es un riesgo bajo o un riesgo alto suele ser muy subjetiva, y puede depender del marco de escaneo o del proveedor que presta los servicios, o puede basarse en una evaluación de riesgos externa, como la puntuación del CVSS (Common Vulnerability Scoring System, sistema de puntuación de vulnerabilidades comunes). En cualquier caso, el riesgo inicial debe sopesarse con la posibilidad de explotación, que tiene que ver con la accesibilidad del sistema, si el software afectado está expuesto a las peticiones de usuarios finales y si se utiliza o implementa de forma que deje al sistema vulnerable al problema identificado.

ArcGIS está construido con una amplia matriz de bibliotecas de terceros y expone un rango de API y extremos desarrollados por Esri. Es habitual que los escaneos de seguridad den como resultado problemas potenciales que deben ser revisados y verificados por la organización para evaluar su potencial de explotación y relevancia antes de enviarlos a Esri para que los revise y actúe en consecuencia. Por ejemplo, un escaneo que detecta una vulnerabilidad en un extremo administrativo de ArcGIS Server puede no tener en cuenta el hecho de que, en ese entorno, los extremos administrativos no se ponen a disposición de los usuarios finales (deshabilitando el acceso administrativo en el ArcGIS Web Adaptor, por ejemplo) y, como tal, el hallazgo puede considerarse un falso positivo, ya que no existe ninguna explotación realista para ese problema.

Recomendaciones

Tenga en cuenta estas importantes notas y recomendaciones relacionadas con el escaneado de seguridad:

• Antes de ejecutar un escaneado automatizado, asegúrese de que su sistema ha sido configurado para seguir las prácticas recomendadas de seguridad de Esri. Esto puede hacerse utilizando la herramienta Supervisor de seguridad y privacidad de ArcGIS o siguiendo las recomendaciones de las herramientas serverScan.py y portalScan.py. Encontrará más información sobre cómo proteger su configuración en ArcGIS Trust Center.
• Las pruebas de penetración activas (o pen testing) contra ArcGIS Online no están permitidas en virtud del Contrato marco de licencia principal de Esri. Póngase en contacto con el equipo de su cuenta de Esri si tiene más preguntas sobre las pruebas de seguridad con ArcGIS Online.
• Los informes de escaneado de seguridad deben revisarse primero con el equipo de seguridad de su organización para comprender qué nivel de gravedad es el más preocupante, y si estos problemas son realmente preocupantes o posibles falsos positivos o vulnerabilidades realmente explotables.
• Muchas bibliotecas o módulos de software de origen abierto solucionan los problemas de seguridad mediante parches o nuevas versiones, pero tenga en cuenta que actualizar manualmente un componente interno de ArcGIS dejará su sistema en un estado no admitido y potencialmente inestable. La única forma correcta de mitigar un problema de este tipo es mediante un parche o una nueva versión de software de Esri que actualice el componente o la biblioteca de terceros. Esri revisa activamente los problemas anunciados públicamente e introduce actualizaciones de componentes de terceros con cada versión para mitigar estos riesgos.

Encontrará recursos adicionales relacionados con el escaneo de seguridad en el documento ArcGIS Vulnerability Scanning Guidance (Guía para el escaneo de vulnerabilidades de ArcGIS) en el ArcGIS Trust Center (requiere iniciar sesión en ArcGIS para acceder).