Prácticas recomendadas de escaneo de red

El escaneo de redes es una herramienta esencial para proteger su superficie de ataque. Le ayuda a descubrir dispositivos, puertos abiertos, vulnerabilidades y errores de configuración que podrían ser puntos de entrada para atacantes. 

Sin escaneo frecuentes y exhaustivos, corre el riesgo de pasar por alto nuevas amenazas, dispositivos no autorizados o software obsoleto con fallos explotables.

Sin embargo, si se hace de forma incorrecta, un escaneo de red puede causar interrupciones como ralentizaciones de la red o activar falsas alarmas que hagan perder el tiempo a su equipo. 

Estas son algunas de las mejores prácticas de escaneo de redes que debe tener en cuenta:

Configure escaneos periódicos para detectar nuevos dispositivos y vulnerabilidades tan pronto como aparezcan en su red. 

El monitoreo continuo impide que los atacantes se aprovechen de exposiciones desconocidas o pasadas por alto.

Configure sus escaneos para que se ejecuten automáticamente durante las horas tranquilas, como las noches o los fines de semana, cuando su organización no utilice tanto la red, para evitar ralentizaciones o interrupciones de la actividad. 

En algunos casos, escanear una base de datos ocupada durante las horas de trabajo podría hacer que las aplicaciones se ralenticen o frustrar a los usuarios.

La frecuencia del escaneo depende de la criticidad de los activos, la tolerancia al riesgo y los requisitos de cumplimiento de la normativa. 

Como punto de partida:

• Sistemas externos accesibles desde Internet: escanee al menos semanalmente ya que son los más expuestos.
• Servidores de producción internos: realice escaneos autenticados semanal o quincenalmente.
• Puntos de conexión y dispositivos de usuario: escanee mensualmente o como parte de los ciclos rutinarios de colocación de parches.
• Mandatos de cumplimiento: siga los calendarios requeridos, como los escaneos externos trimestrales para PCI DSS.

Para entornos muy dinámicos, como cargas de trabajo en la nube o contenedores, opte por el escaneo continuo. Las herramientas de escaneo de redes pueden supervisar los activos casi en tiempo real para obtener una visibilidad instantánea a medida que surgen nuevas vulnerabilidades.

Una estrategia de escaneo exhaustiva utiliza dos métodos complementarios: el escaneo activo y el escaneo pasivo.

El escaneo activo envía sondas a los dispositivos para identificar puertos abiertos, servicios y vulnerabilidades. 

Si bien le ofrece información más a profundidad, en ocasiones puede interrumpir a los sistemas sensibles. 

Por ejemplo, los escaneos agresivos a veces pueden hacer que las impresoras heredadas, los teléfonos VoIP o los frágiles equipos de OT se bloqueen o se comporten de forma impredecible.

Empareje el escaneo activo con el escaneo pasivo para evitar estas interrupciones y obtener una visibilidad total. Este método escucha continuamente el tráfico de la red para identificar activos y vulnerabilidades sin interactuar directamente con los dispositivos. 

El escaneo pasivo es especialmente valioso para detectar dispositivos transitorios (como computadoras portátiles de invitados) y TI oculta (software y hardware no autorizados) que los escaneos activos programados suelen pasar por alto.

El uso de ambos le ofrece un panorama completo y en tiempo real de su red, para que pueda detectar las amenazas conocidas y emergentes sin interferir en las operaciones críticas.

Los escáneres de red utilizan dos tipos de escaneo: no autenticado (desde el exterior, como un atacante) y autenticado (con credenciales). 

Para obtener los resultados más precisos, necesita un escaneo autenticado. Al iniciar sesión en los sistemas con credenciales válidas, el escáner puede recopilar información detallada sobre el software instalado, el estado de los parches y los ajustes de configuración locales.

Esta vista más profunda encuentra vulnerabilidades que no se ven desde fuera, como parches faltantes o configuraciones de software riesgosas. También reduce las falsas alertas al comprobar directamente los sistemas.

Aunque el escaneo con credenciales requiere que gestione las credenciales, puede hacerlo de forma segura utilizando una bóveda segura para almacenar cuentas de servicio con privilegios de sólo lectura o los mínimos necesarios en los sistemas de destino.

Un informe de escaneo en bruto puede ser abrumador. 

Para centrarse en el riesgo real, priorice la corrección utilizando un abordaje moderno basado en datos que vaya más allá de la gravedad e incluya la inteligencia de amenazas y el contexto de negocios.

En primer lugar, utilice el sistema de puntuación de vulnerabilidades comunes (CVSS) para comprender la gravedad intrínseca de una vulnerabilidad. Una puntuación CVSS alta (7,0-10,0) indica un fallo potencialmente dañino que debe tomarse en serio.

A continuación, se aplica el sistema de puntuación de predicción de exploit (EPSS). El EPSS proporciona una puntuación de probabilidad (0-100 %) sobre la posibilidad de que un agente malicioso explote una vulnerabilidad en la realidad en los próximos 30 días. Esto le ayuda a distinguir entre una vulnerabilidad grave que nadie está atacando y un peligro claro y presente.

Por último, hay que tener en cuenta la importancia del activo. Una vulnerabilidad con una alta puntuación CVSS y una alta puntuación EPSS en una base de datos de producción crítica y accesible desde Internet es su prioridad absoluta. Puede abordar la misma vulnerabilidad en una máquina de prueba aislada más adelante.

Para poner en práctica esta teoría de priorización, las plataformas de gestión de vulnerabilidades modernas utilizan los resultados del escaneo de red como base para un análisis más profundo impulsado por IA. 

Por ejemplo, una plataforma como Tenable ingiere los hallazgos de su escáner y aplica su Índice de Priorización de Vulnerabilidades (Vulnerability Priority Rating, VPR) predictivo para identificar qué vulnerabilidades descubiertas tienen la mayor probabilidad de que sean explotadas por los agentes maliciosos. 

Para añadir un contexto de negocios crucial, a continuación se aplica un Índice de Criticidad del Activo (ACR) para activos escaneados.

Los sistemas más avanzados incluso utilizan estos datos combinados para trazar rutas de ataque potenciales, mostrando cómo un hallazgo de bajo riesgo en una máquina podría poner en riesgo un activo crítico en otro lugar.

Este abordaje transforma los resultados brutos de su escáner de red en un plan de acción con prioridades.

Sus escaneos de vulnerabilidades son tan buenos como su conocimiento de lo que hay en su red. Los atacantes suelen explotar dispositivos no autorizados o no gestionados que pasan desapercibidos. Mantener un inventario de activos preciso y continuamente actualizado es crucial para una seguridad eficaz.

Utilice sus herramientas de escaneo de red para detectar nuevos dispositivos automáticamente, de modo que siempre sepa qué está conectado. Esto es especialmente importante en entornos en los que se añaden, retiran o trasladan dispositivos con frecuencia, como oficinas con políticas BYOD o redes en la nube e híbridas.

Un inventario de activos actualizado también facilita la elaboración de informes de cumplimiento y la respuesta ante incidentes, facilitando el seguimiento, la contención y la corrección de las amenazas.

Debería integrar el escaneo de redes en sus operaciones de seguridad más amplias para crear un sistema automatizado de ciclo cerrado para la gestión del ciclo de vida de las vulnerabilidades, como conectar su escáner de vulnerabilidades a las soluciones SOAR y SIEM.

Esto genera un potente flujo de trabajo. 

Por ejemplo, cuando un escáner descubre una vulnerabilidad crítica en un servidor clave, puede activar una alerta en tiempo real en el SIEM. A continuación, el SIEM puede iniciar un manual de estrategias SOAR que abra automáticamente un ticket de alta prioridad en un sistema como Jira o ServiceNow, lo asigne al administrador de TI correcto y rellene el ticket con todos los detalles de corrección necesarios. 

Este proceso automatizado le garantiza el seguimiento de las vulnerabilidades desde su descubrimiento hasta su resolución, con métricas claras de cumplimiento, y acelera significativamente el tiempo de respuesta.

Una política de escaneo única es ineficaz y puede ser peligrosa. 

Personalice sus perfiles de escaneo en función de los riesgos, tecnologías y requisitos operativos específicos de los distintos segmentos de la red.

Aunque siempre debe utilizar escaneos más ligeros y menos frecuentes para los segmentos de bajo riesgo, preste especial atención a estos entornos únicos:

Nube (AWS, Azure, GCP): los escáneres de red tradicionales tienen puntos ciegos en la nube. Complemente su estrategia con herramientas nativas. En estos entornos altamente dinámicos, en los que los activos se activan y desactivan constantemente, el escaneo ligero basado en agentes suele ser más eficaz que los escaneos periódicos basados en red.

OT/sistemas de control industrial (ICS): estos entornos requieren extrema precaución. Nunca ejecute un escaneo de red de TI estándar en una red de OT. Comience siempre con un abordaje de escaneo pasivo para detectar e identificar activos de forma segura sin riesgo de interrumpir procesos industriales críticos. Si necesita una exploración activa, utilice políticas específicamente diseñadas y certificadas para entornos de OT.

El escaneo genera grandes cantidades de datos, que pueden resultar abrumadores sin los conocimientos adecuados. Capacite a sus equipos de seguridad y TI para que lean los informes de escaneo, comprendan la gravedad de las vulnerabilidades y prioricen los esfuerzos de corrección.

Una capacitación adecuada evita que los equipos pierdan tiempo yendo tras problemas de bajo riesgo o malinterpretando los resultados de escaneo. Fomente la colaboración entre los equipos de seguridad, redes y operaciones para mejorar la comunicación y acelerar la solución de vulnerabilidades.

La capacitación continua y el desarrollo de habilidades también ayudan a su equipo a mantenerse al día de las amenazas en evolución, las nuevas tecnologías de escaneo y las prácticas recomendadas.

Por último, aproveche la automatización siempre que sea posible. Automatice la programación de escaneos, el análisis de resultados y el seguimiento de vulnerabilidades.

Configure alertas de vulnerabilidades críticas, activos recién detectados o hallazgos inusuales en los escaneos para que su equipo pueda responder rápidamente a las amenazas emergentes. La automatización acelera la detección y corrección, al mismo tiempo que reduce los errores humanos y los gastos operativos.

Muchas plataformas modernas de escaneo y gestión de vulnerabilidades ofrecen funciones de automatización incorporadas que se integran a la perfección con sus herramientas de seguridad existentes.

Si sigue estas prácticas recomendadas de escaneo de red, mejorará la visibilidad, reducirá los falsos positivos, se centrará en los riesgos reales y mantendrá su red segura sin interrumpir las operaciones de la empresa. Estas estrategias crean una base sólida para una seguridad proactiva que se adapta a medida que evoluciona su red.

¿Desea mejorar el escaneo de vulnerabilidades y la gestión de vulnerabilidades de su red? Descubra cómo Tenable Vulnerability Management puede ayudarlo a automatizar el escaneo, priorizar los riesgos y acelerar la corrección.