Preguntas frecuentes
¿Qué elementos escanea Barracuda Vulnerability Manager?
Barracuda Vulnerability Manager escanea únicamente las aplicaciones web, por lo que solo apuntará al servidor web al que se dirige. No escanea su red ni su infraestructura. Por ejemplo, Vulnerability Manager no atacará ni escaneará firewalls de capa 3, dispositivos VPN, servidores de correo electrónico o dispositivos, servidores FTP, sistemas telefónicos ni ningún otro dispositivo de red.
¿Qué tipos de vulnerabilidades detecta Barracuda Vulnerability Manager?
Referencia de tipo de vulnerabilidad de Barracuda Vulnerability Manager.
Barracuda Vulnerability Manager detecta muchas vulnerabilidades comunes en aplicaciones web, incluidas la inyección SQL, el Cross-Site Scripting (XSS), el Cross-Site Request Forgery (CSRF) y otras. Para obtener una lista más detallada, consulte la "Referencia de tipos de vulnerabilidad de Barracuda Vulnerability Manager".
¿Desde dónde se realizan los análisis?
Los análisis de Barracuda Vulnerability Manager se realizan desde el centro de datos de Barracuda en Southfield, Michigan. El rango de IP es 64.235.153.0/24
¿Cómo se lleva a cabo el análisis?
Para escanear la aplicación web, Barracuda Vulnerability Manager enviará solicitudes especialmente diseñadas a su servidor web y analizará las respuestas. Los servidores vulnerables responderán de maneras que el escáner pueda detectar, y le informaremos de ello. Las solicitudes que envía Barracuda Vulnerability Manager están especialmente diseñadas para no causar ningún daño a sus servidores; solo detectarán las vulnerabilidades, no las explotarán de ninguna manera.
¿Qué datos recopila Barracuda Vulnerability Manager durante el análisis?
Durante el escaneo, Barracuda Vulnerability Manager recopila diversa información sobre su aplicación; esta información se utiliza para aumentar la precisión y detectar vulnerabilidades en la aplicación. Esta información puede incluir datos sobre las tecnologías y los componentes en uso por su aplicación, la estructura de su aplicación, así como listas de páginas, formularios, campos y cookies.
Barracuda Vulnerability Manager no recopila ninguna información de identificación personal (PII) ni registros de la base de datos de su aplicación, ya sea que esta información sea de acceso público o no. Si Barracuda Vulnerability Manager detecta una vulnerabilidad que pueda comprometer la confidencialidad de los datos en su aplicación web, no recopila ninguno de los datos que podrían verse comprometidos; en su lugar, solo le alerta sobre el problema.
Barracuda Vulnerability Manager tampoco recopila el código fuente (ya sea del lado del cliente o del servidor) de su aplicación.
¿Cuánto tiempo tarda un escaneo?
La duración del escaneo varía considerablemente según el tamaño de su aplicación, desde unos minutos hasta varios días. Puede supervisar el progreso del escaneo desde la pantalla de Escaneos activos de Barracuda Vulnerability Manager. Si lo desea, también puede limitar la duración del escaneo; en este caso, solo verá las vulnerabilidades que se encontraron dentro de este periodo de tiempo. Siempre puede cancelar un escaneo en ejecución; nuevamente, solo verá las vulnerabilidades encontradas hasta que se haya cancelado.
¿Cuáles son los riesgos de realizar el escaneo?
El escaneo está especialmente diseñado para no causar daños a su aplicación web, servidor web, base de datos o infraestructura de red. Durante el proceso de escaneo, el escáner envía todos los formularios web encontrados en su aplicación numerosas veces para probar vulnerabilidades. Si tiene formularios no protegidos que escriben datos en una base de datos o envían correos electrónicos basados en envíos de formularios, es posible que observe un gran número de registros en la base de datos o correos electrónicos enviados durante el análisis. Puede ignorar o eliminar estos registros o correos electrónicos de forma segura; no causan ningún daño.
¿Sobrecargará el escaneo mi servidor web?
Barracuda Vulnerability Manager cuenta con una función de protección automática contra sobrecargas: si detecta una carga alta en su servidor web, reducirá automáticamente la velocidad de escaneo hasta que la carga alta ya no se detecte. Independientemente de la protección contra sobrecargas, Barracuda Vulnerability Manager envía un máximo de 15 solicitudes por segundo a su servidor. Si lo desea, puede ajustar este número en la pestaña de Rastreo del cuadro de diálogo de configuración del escaneo. Por ejemplo, puede querer aumentar este número si está escaneando un servidor que no es de producción y desea que el escaneo se complete más rápido.
¿Puedo escanear aplicaciones alojadas en servidores de nube pública, en las instalaciones, colocalizadas, etc.?
Barracuda Vulnerability Manager puede escanear cualquier aplicación web de acceso público, independientemente de dónde esté alojada. Si cualquier usuario en Internet puede introducir la URL de su aplicación y acceder a ella, esta puede ser escaneada.
¿Puedo escanear aplicaciones que están detrás de un balanceador de carga o un firewall?
Sí. Barracuda Vulnerability Manager puede realizar un escaneo sin importar los equilibradores de carga o cortafuegos que haya frente a la aplicación, siempre que la aplicación sea accesible públicamente.
¿Barracuda Vulnerability Manager "hackeará" su aplicación para detectar vulnerabilidades?
No. Barracuda Vulnerability Manager determinará si su aplicación podría ser comprometida por un atacante malicioso, pero no comprometerá su aplicación. En particular, Barracuda Vulnerability Manager no hará que su aplicación ejecute ningún código dañino, robe datos de su aplicación ni provoque que se bloquee.
¿Tendrán los empleados de Barracuda acceso a los datos de mi aplicación?
No. Aunque Barracuda Vulnerability Manager puede almacenar datos de solicitud y respuesta para ayudarle a localizar vulnerabilidades, los datos de su aplicación no se almacenarán en los servidores de Barracuda ni estarán accesibles para los empleados de Barracuda.
¿Se almacenan los informes de escaneo en la nube de Barracuda? ¿Cómo puede garantizar la confidencialidad de los informes?
Los informes de escaneo se almacenan en servidores especialmente designados en el centro de datos dedicado de Barracuda. Solo usted puede acceder a sus informes utilizando sus credenciales de Barracuda Cloud Control. Si tiene requisitos normativos que exigen que sus datos se guarden en servidores físicamente separados o de forma local, póngase en contacto con nosotros para hablar de las opciones en local.
¿Puede alguien con acceso a Barracuda Vulnerability Manager escanear mi aplicación?
No. Por razones de seguridad y para evitar abusos, los usuarios deben verificar cada dominio que deseen escanear, ya sea a través del proceso de verificación de dominios de Cloud Control o mediante el propio Barracuda Vulnerability Manager. Se solicitará a los usuarios que realicen este proceso de verificación, el cual es sencillo y solo requiere hacer clic en un enlace de un correo electrónico.
Barracuda Vulnerability Manager encontró una vulnerabilidad en mi aplicación. ¿Qué debería hacer?
Debe tomar medidas inmediatas para remediar las vulnerabilidades detectadas por Barracuda Vulnerability Manager, especialmente aquellas con niveles de gravedad Alta o Crítica.
La manera más fácil de remediar las vulnerabilidades de las aplicaciones web es usar un Barracuda Web Application Firewall (WAF). El WAF de Barracuda puede importar los resultados de un escaneo de Barracuda Vulnerability Manager y remediar automáticamente todas las vulnerabilidades encontradas por el escaneo. Para obtener más información, consulte el documento técnico "Vulnerabilidades en aplicaciones web: de la detección a la remediación".
Los desarrolladores de su aplicación web también pueden utilizar la información proporcionada en el informe de Barracuda Vulnerability Manager para encontrar y solucionar el problema manualmente en el código fuente de la aplicación.
¿Cómo puedo contactar con el servicio de asistencia técnica?
Envíe un correo electrónico a BVM_Support@barracuda.com para obtener asistencia.
Para obtener respuestas a otras preguntas, póngase en contacto con Barracuda Networks llamando al +1 888 268 4772.
