¿Quiénes somos?
Proyecto para la gestión de vulnerabilidades desarrollado como proyecto final de carrera para el "Máster Oficial Universitario de la Seguridad en las Tecnologías y las Comunicaciones" de la UEM.
Y de qué va esto...
Hemos desarrollado una herramienta web para ayudarte en la gestión de vulnerabilidades que puedan darse en tus redes o equipos. La extracción de éstas vulnerabilidades las haremos mediante Nessus y una vez realizado el escaneo de éstas y extraido el fichero .nessus, lo subimos a VulnerabilityChaser
y... voilà!, veremos toda la información, de manera amigable y podremos jugar con ella :)
El proyecto va orientado al mundo empresarial para que el responsable de seguridad de nuestra compañía pueda tener una visión global de la seguridad que existe en nuestros sistemas. Podrá así clasificar los sistemas analizados según su criticidad y asignar responsables a éstos, clasificar las vulnerabilidades según su nivel de riesgo, analizar la evolución de las vulnerabilidades en el tiempo, envío de alertas, realizar estadísticas para análisis posteriores, en definitiva, gestionar el ciclo de vida de las vulnerabilidades que tratará de identificar, clasificar y priorizar, mitigar, mantener y controlar los riesgos provocados por estas vulnerabilidades.
VulnerabilityChaser
nos dará la posibilidad, como administradores, de hacer un seguimiento de manera exhaustiva de la evolución de las vulnerabilidades y nos ayudará a tomar decisiones acerca de la manera de gestionar las vulnerabilidades, como por ejemplo, si éstas se parchean, si se tratan más adelante en el tiempo, si se toman como asumidas, etc.
Descárgate la aplicación!...
Solo tienes que darle a los botones de arriba .zip o tar.gz dependiendo de tu gusto! Y para ayudarte a instalarla hemos desarrollado un HowTo para que todo vaya sobre ruedas
y para aprender a gestionar la aplicación descárgate
Motivación, todo tiene su por qué
Muchas de las empresas que existen en el mercado, sólo realizan escaneos de vulnerabilidades en épocas de auditorías. Error! ya que surgen múltiples problemas: no se actualizan los sistemas a tiempo, desconocemos los activos de los que disponemos y sus responsables, se desconocen las vulnerabilidades de nuestros sistemas y como todos sabemos, las vulnerabilidades son "malas", evolucionan de manera vertiginosa y cada año hay más vulnerabilidades y más sofisticadas... lo que nos da de comer a los profesionales de la seguridad! ;)
El primer punto de motivación que nos llevó al desarrollo de VulnerabilityChaser
fue que los escáneres de vulnerabilidades no permiten hacer un seguimiento exhaustivo del ciclo de vida de las vulnerabilidades. Observamos que existen una serie de funcionalidades que se ven limitadas en éste tipo de escaneos como la posibilidad de poder etiquetar los sistemas escaneados, establecer el propietario de éstos sistemas, evaluar la criticidad de las vulnerabilidades encontradas, establecer la posibilidad de que esas vulnerabilidades sean parcheadas o solucionadas más adelante, etc.
Cómo segundo punto de motivación, descubrimos que las soluciones del mercado no permiten mantener la privacidad y confidencialidad de nuestros datos. Nos dedicamos a estudiar herramientas similares y descubrimos que, evidentemente existen y algunas muy buenas! pero, el principal problema que nos encontramos, fue que éstas, guardan los escaneos y los datos enviados en la nube o en sistemas propietarios, es decir, que si realizamos un escaneo de nuestra red, posteriormente para analizar los datos, deberemos subir los ficheros a una web donde no podemos asegurar que esa información, que es confidencial y de carácter crítico para nuestra compañía, estará guardada de forma segura, ya que si por algún motivo éstas webs se ve comprometidas, nuestros datos también estarían expuestos.
Acercas de los autores y contribuciones
Los autores del proyecto, nosotros!,
Ibrahim Peraza Kelly @ibrapk
María Ángeles Caballero Velasco @angelescaballero
Y nuestro querido tutor y sensei del proyecto,
Alejandro Ramos Fraile
Contacto
Si se te ocurre cualquier sugerencia para seguir mejorando VulnerabilityChaser
o tienes cualquier incidencia instalando la aplicación, no dudes en contactar con nosotros.
Email vulnerabilitychaser@gmail.com.
Síguenos en Twitter!!! @vul_chaser
Y en Facebook!! VC | Facebook
Nosotros seguiremos WIP!