* Este post corresponde a la serie de apuntes del Learning Path «Become an Ethical Hacker» de LinkedIn Learning.
* Todos los comandos mencionados son para ser ejecutados desde Linux a no ser que se diga lo contrario.
Risk = Threats x Vulnerabilities
Si hay amenazas pero no vulnerabilidades, no habrá riesgos. Igualmente, si hay vulnerabilidades pero no amenazas, no habrá riesgo.
Vulnerability management life cycle
- Baseline: es un snapshot del tráfico de red durante una ventana de tiempo (~2 días).
- Valorar las vulnerabilidades: podemos ayudarnos de herramientas como Nessus.
- Valorar los riesgos: detallar las vulnerabilidades encontradas y a qué afectan, así como valorar el tiempo de solucionarlas. (How to read a Nessus report)
- Remediar o solucionar las vulnerabilidades.
- Verificar que los problemas se han resuelto re-escaneando y comparando resultados.
- Monitorizar