Presentación de los diferentes modos de escaneo de Cyberwatch

Cyberwatch ofrece un conjunto de métodos para añadir activos al perímetro Cyberwatch a fin de que la aplicación los analice.

El menú de Gestión de activos de la aplicación enumera los siguientes elementos:

  1. Agentes
  2. Conexiones en modo sin agente
  3. Activos air gap
  4. Imágenes Docker
  5. Objetivos de red y sitios web
  6. Cloud

Los tres primeros métodos de escaneo se califican como métodos de “escaneos autenticados de activos”, descritos con más detalle a continuación. Estos métodos de escaneo autenticado ofrecen exactamente los mismos resultados de análisis.

Escaneos autenticados de activos

Esta sección tiene como objetivo describir los siguientes métodos de escaneo:

  1. Escaneos en modo “con agente”
  2. Escaneos en “conexión en modo sin agente”
  3. Escaneos en modo “air gap”

Estos tres métodos de escaneo:

  • tienen como objetivo escanear activos de forma autenticada, como servidores, estaciones de trabajo, equipos de red, hipervisores y equipos industriales
  • proporcionan exactamente los mismos resultados funcionales
  • quedan a elección del usuario cuando varios de estos métodos permiten escanear un mismo tipo de activo

Las diferencias entre estos métodos de escaneo son las siguientes:

  • el sentido y/o tipo de flujos requeridos entre el servidor Cyberwatch y los activos a supervisar
  • el tipo de activos que pueden ser escaneados por estos métodos

Hay información adicional sobre los sistemas que pueden escanearse con cada uno de estos métodos en la lista de sistemas operativos soportados.

Nuestro equipo, por supuesto, está disponible para aconsejarle sobre la elección de los métodos de escaneo a implementar en su arquitectura.

A continuación se presenta una breve descripción de estos tres métodos.

Escaneos en modo “con agente”

El modo “con agente” se basa en la instalación de un agente en cada activo a supervisar.

Este agente, desarrollado en Python, se distribuye como paquete:

  • APT / YUM / ZYPPER / PACMAN para sistemas Linux
  • MSI para sistemas Windows
  • PKG para sistemas macOS

Se ejecuta periódicamente mediante un servicio, realiza un diagnóstico del activo supervisado y envía los resultados al nodo Cyberwatch al que está asociado.

Consulte la sección de documentación del agente de Cyberwatch para más información.

Escaneos “conexión en modo sin agente”

La conexión en modo sin agente se basa en una conexión a través de las interfaces de administración clásicas SSH (Linux) / WinRM (Windows) / SNMP (equipos de red), desde un nodo Cyberwatch hacia cada activo a supervisar.

La conexión es iniciada periódicamente por Cyberwatch, que se conecta al activo a supervisar, realiza un diagnóstico y analiza los resultados.

Consulte la documentación de las Conexiones en modo sin agente para más información.

Escaneos en modo “air gap”

Este modo de escaneo permite analizar activos sin requerir flujos entre el nodo Cyberwatch y los activos a supervisar.

Presenta la ventaja de permitir escanear activos completamente desconectados de la red o en los que la instalación de un agente o la iniciación de una conexión remota no es posible.

Todo se basa en el siguiente procedimiento:

  1. Recuperación de los scripts de escaneo desde la interfaz de Cyberwatch (scripts idénticos a los ejecutados mediante escaneos con o sin agente)
  2. Transferencia de los scripts al activo a escanear, mediante un método a discreción del usuario
  3. Ejecución de estos scripts en el activo, produciendo una salida en formato de archivos de texto
  4. Recuperación de estos resultados e importación en la aplicación Cyberwatch para el análisis

Para más información sobre el uso de este método de escaneo, consulte añadir un activo air gap mediante formulario o añadir un activo air gap mediante API.

Escaneos de imágenes Docker

Este modo de escaneo permite a Cyberwatch escanear imágenes Docker procedentes de un registro de imágenes.

El escaneo de imágenes Docker sigue el siguiente proceso:

  1. descarga de la imagen Docker desde el registro,
  2. lanzamiento de un contenedor a partir de la imagen,
  3. ejecución de los análisis de Cyberwatch en el contenedor,
  4. limpieza del contenedor y de la imagen descargada.

Consulte la documentación que describe cómo añadir una imagen Docker para más información.

Escaneos de objetivos de red y sitios web

Este modo de escaneo permite utilizar el módulo de escaneo externo de Cyberwatch para escanear:

  • objetivos de red, en el sentido de “activo escaneado por un escaneo de red”
  • sitios web, en el sentido de aplicaciones web que ofrecen páginas HTML y funcionalidades que pueden ser probadas

En ambos casos, el escaneo intentará identificar elementos como puertos abiertos, tecnologías presentes y visibles desde el exterior.

Para los sitios web, también se realizará un escaneo OWASP mediante módulos que permiten identificar posibles inyecciones, defectos de configuración, etc.

Estos escaneos de sitios web pueden realizarse sin autenticación, en modo “caja negra”; o mediante una autenticación dependiente del sitio web, en modo “caja gris”.

Consulte la documentación para añadir un objetivo de red o un sitio web para más información.

Escaneos de activos Cloud

Esta funcionalidad permite añadir infraestructuras Cloud en Cyberwatch, para realizar controles de cumplimiento sobre estas entidades.

Las entidades Cloud que pueden añadirse en Cyberwatch son actualmente:

  • Google Cloud Platform
  • Amazon Web Services
  • Microsoft Azure
  • Active Directory

Active Directory se incluye en estas entidades, aunque es más bien un elemento de infraestructura local, porque la adición y el funcionamiento de los escaneos de cumplimiento en esta entidad se comportan de la misma manera que en los demás activos Cloud.

Consulte la página de documentación sobre los escaneos cloud para más información.

Volver arriba

English Français Español