Reconocimiento y exploración de sitios web de gobierno

servicio-EM

¿En qué consiste el escaneo?

El reconocimiento y exploración es un escaneo de la mayoría de servicios y aplicaciones en la Red de Conectividad del Estado. El propósito del escaneo es encontrar aplicaciones, sistemas o servicios vulnerables, e informar al encargado de ciberseguridad respectivo sobre las vulnerabilidades encontradas.

El escaneo no es invasivo y se realiza una vez al mes en horarios de baja demanda. El escaneo es automático; no es necesario solicitarlo. Cada institución puede pedir excluirse del monitoreo, o incluir nuevas URL o direcciones IP a ser monitoreadas.

¿Cómo puedo saber qué sitios son escaneados? ¿Puedo agregar o quitar sitios de esa lista?

Si quieres obtener la lista de sitios pertenecientes a tu institución que están siendo monitoreados, o quieres agregar o eliminar sitios de la lista de monitoreo, envíanos un mensaje a [email protected].

¿Qué tipos de escaneos se realizan?

La lista de escaneos es dinámica, y cambia dependiendo de las vulnerabilidades encontradas y publicadas, de la gravedad de las vulnerabilidades, y de otros factores.

Algunos de los escaneos que realizamos actualmente son:

  • Detección de versiones de PHP vulnerables
  • Detección de versiones de servidor web vulnerable
  • Detección de versiones de Wordpress vulnerables
  • Detección de sitios con wp-login expuesto
  • Detección de sitios con login y falta de cifrados SSL/TLS
  • Detección de sitios con versiones de ASP.NET expuesta
  • Detección de sitios con cifrados SSL/TLS vulnerables y/o algoritmos obsoletos
  • Detección de sitios con cifrados SSL/TLS expirados y por expirar
  • Detección de versiones de bibliotecas Javascript vulnerables

¿Quién puede acceder al servicio?

Este servicio es exclusivo para servicios públicos. Sus resultados son confidenciales y son entregados, vía correo electrónico, al encargado de ciberseguridad informado por la institución al CSIRT de Gobierno.

La información recolectada y su tratamiento están sujetos a la Política de Privacidad del CSIRT, y a los Términos del Servicio de Escaneo de Vulnerabilidades.

¿Cómo se realiza el escaneo?

El escaneo de reconocimiento y exploración es un análisis de cliente-servidor y las detecciones son a nivel de aplicativos como Sistemas de Gestores de Contenido (CMS) y de servidor. El escaneo tiene las siguientes etapas (footprinting):

  1. Se recolectan todos los dominios y direcciones IP de infraestructuras de gobierno conectadas a Internet a través de la RCE.
  2. Se identifican los servicios que expone cada servidor, tanto a nivel de aplicativo web como servidor.
  3. Comienza el proceso de revisión por el escáner.

El proceso de revisión realiza entre 20 y 30 solicitudes por sitio (análisis web).

¿Cuándo se realiza el escaneo?

Los escaneos son ejecutados entre el primer día de cada mes a medianoche, GMT-4, hasta el tercer día de cada mes a medianoche, GMT-4.

¿Se debe solicitar el escaneo?

No, no es necesario. Lo hacemos automáticamente a todos los sitios de gobierno que tenemos registrados. No obstante, si las instituciones lo requieren, pueden agregar dominios que no estén en el listado utilizado por el CSIRT de Gobierno, o pueden pedir dar de baja un dominio en desuso.

Para agregar un sitio a la lista de escaneo, o eliminar un sitio de ésta, envía un correo a [email protected].

¿Cómo pido que no escaneen mis sitios web?

Si no quieres que el CSIRT de Gobierno realice un escaneo a un dominio o IP de tu organización, envía un correo a [email protected] indicando qué IP o dominio quieres que saquemos de la lista de escaneo.

Lo anterior evita que el sitio indicado sea escaneado en el siguiente escaneo, pero no para los subsiguientes. Si quieres que no volvamos a escanear un sitio nunca más, entonces debes pedirnos que saquemos el sitio de nuestra lista de escaneos.

¿Cómo se les informa a las instituciones sobre los resultados del escaneo?

Cuando se detecta una vulnerabilidad o un fallo de configuración en un sitio web, el CSIRT de Gobierno, a través del SOC, notifica a cada institución por correo electrónico. En esta página describimos en detalle el formato de alerta que utilizamos.

¿Cómo termina el proceso?

Finalmente, se genera un ticket de seguimiento por cada vulnerabilidad identificada, para hacer seguimiento de las acciones correctivas realizadas por la entidad.