Hace ya unos días que Microsoft ha puesto a disposición de la comunidad la posibilidad de descargar esta herramienta en fase beta y reportarle el feedback que se considere oportuno. La herramienta, desarrollada por los ingenieros de seguridad de la empresa, es la misma que utilizan los grupos de producto internos del gigante de Redmon para catalogar los cambios realizados en ataques de superficie en el sistema operativo debido a la instalación de nuevo software en el sistema.
La herramienta en cuestión realiza instantáneas del estado del sistema antes y después de realizar la instalación de productos en el mismo y nos muestra los posibles cambios realizados en elementos clave en la superficie de ataque de Windows. Dicho esto, se puede utilizar la herramienta en los siguientes casos de uso:
· En entornos de desarrollo, donde se permite ver los cambios en la superficie de ataque a los desarrolladores una vez que hayan introducido código en plataformas Windows.
· En entornos de instalación e implantación de aplicaciones de línea de negocio, permitiendo a los profesionales IT valorar los cambios realizados en la superficie de ataque una vez implantadas dichas aplicaciones.
· En entornos de evaluación, auditando el riesgo por ejemplo, de implantar parches o hotfix de actualización del software que se encuentre instalado en nuestras plataformas. También se puede utilizar en entornos de investigación frente a la posible respuesta que se pueda dar cuando se encuentren incidentes o riesgos que planteen una amenaza a nuestra plataforma.
Como es lógico, la herramienta necesita escanear el entorno antes de realizar la instalación de la aplicación (Baseline Scan) y después de la misma (Product Scan), por lo que la acción a realizar para realizar el primer escaneo será la de ejecutar un escaneo del entorno mediante el botón (Run new scan). Una vez realizado el análisis del entorno, la herramienta genera un archivo *.CAB que se utilizará para realizar el informe (en formato XML) el cual identificará posibles problemas potenciales (Generate attack surface report).
Imagen 1: Bienvenida de la herramienta Attack Surface Analyzer
En cuando se pulse el botón Ejecutar escáner (Run Scan), empezará el análisis del entorno, recabando información por ejemplo del registro de eventos de seguridad, del firewall de Windows o de los puertos o procesos en ejecución.
Imagen 2: Recolección de datos de Attack Surface Analyzer
En cuanto finalice el primer proceso de análisis del entorno, se dispondrá de un “punto de partida” desde el cual detectar cambios en nuestra superficie de ataque que se puedan producir en nuestra plataforma como consecuencia de cambios en el entorno de software. Sólo se tendrá que volver a analizar el entorno con la herramienta a posteriori de haber ejecutado o instalado el software “sospechoso” y visualizar el impacto que se produce en el entorno.
Imagen 3: Análisis completado de Attack Surface Analyzer
Ahora tan sólo nos queda realizar el informe de superficie de ataque, comparando el entorno final resultante con respecto a cómo estaba antes de implementar el software en cuestión. En la imagen siguiente se puede apreciar como se suministran los análisis de superficie de ataque realizados antes (mediante la línea base baseline.cab) y después de aplicar el software en nuestra plataforma (mediante product.cab). Ahora tan sólo se ha de pulsar el botón Generar (Generate).
Imagen 4: Generación de informe mediante Attack Surface Analyzer
Una vez realizado el informe, se puede proceder a su análisis para valorar posibles amenazas o vulnerabilidades en el entorno. El informe se compone de tres secciones visibles en la parte superior derecha del mismo. El acceso al mismo nos muestra un resumen abreviado de la información analizada, aunque se puede acceder a mayor información de detalle a través de los otros dos botones disponibles correspondientes a problemas de seguridad (Security Issues) o a la superficie de ataque (Attack Surface). En el ejemplo realizado, se han detectado posibles servicios vulnerables a tampering.
Imagen 5: Análisis del informe de superficie de ataque
Esperamos que este post os haya sido de utilidad. Seguiremos informándoos nuevas aplicaciones que vaya liberando Microsoft.
Enviado
ene 25 2011, 01:28
por
Daniel Romero