Autor: SANS Institute. SANS Security 2008 Versión 8.0 - 28 de Noviembre de 2007.
Copyright © 2007, SANS Institute. Preguntas y comentarios deben ser dirigidas a [email protected]
Traducción: Lenis Hernandez para Segu-Info
Hace siete años, el instituto SANS y el National Infrastucture Protection Center (NIPC) en el FBI publicaron un documento sumarizando las diez vulnerabilidades de Internet más críticas. Miles de organizaciones confiaron en esa lista, y en la lista expandida Top-20 Lists que siguieron en los siguientes años, para priorizar sus esfuerzos para así poder cerrar los agujeros más peligrosos primero.
Ahora, el panorama de las amenazas es muy dinámico, lo que hace necesario adoptar nuevas medidas de seguridad. Durante el año pasado, los tipos de vulnerabilidades que fueron explotadas fueron muy diferentes de las que habían sido explotadas en los años anteriores.
Aquí hay algunas observaciones:
El SANS Top 2007 es una lista de vulnerabilidades que requieren solución inmediata. Es el resultado de un proceso que reunió docenas de expertos líderes en seguridad. Estos provinieron de las agencias de gobierno de UK, US y Singapur con mas conciencia sobre seguridad; de los distribuidores líderes de programas de seguridad y firmas consultoras; de los mejores programas de seguridad basado en universidades; del ISC (Internet Storm Center) [2] y de otras muchas organizaciones de usuarios.
La lista del SANS Top 2007 no es "acumulativa". Nosotros incluimos solamente las vulnerabilidades críticas del año pasado. Si no ha parcheado los sistemas por un largo tiempo, sería sabio parchear las vulnerabilidades listadas en el Top 20 del 2006 también como aquellas de las listas anteriores.
La lista de los mayores riesgos de este año difiere de las listas de años anteriores que se concentraban en vulnerabilidades técnicas muy especificas que podían ser reparadas afinando una configuración o aplicando un parche. Porque los atacantes se están moviendo muy rápido hoy en día, esos arreglos quedan desactualizados casi inmediatamente.
Por esa razón, la lista de riesgos de este año se concentra más en áreas a las que los atacante están apuntando y donde las organizaciones necesitan mejorar sus procesos de seguridad para asegurar aplicaciones consistentes de arreglos técnicos.
El SANS Top 2007 es un documento vivo. Este incluye instrucciones paso a paso y notas para información adicional útiles para corregir los defectos de seguridad. Se actualiza la lista y las instrucciones en la medida que más amenazas sean identificadas y agradecemos su retroalimentación en el camino.
Este es un documento de consenso de comunidad, tu experiencia en el combate de atacantes y en eliminación de vulnerabilidades puede ayudar a otros que vienes después de tí.
Buenos Aires, 16 de diciembre de 2007