Cuatro años atrás, el SANS Institute y el National Infrastructure Protection Center
(NIPC) del FBI lanzaron un documento resumiendo las Diez Vulnerabilidades Más
Críticas de Seguridad de Internet. Cientos de organizaciones utilizaron esa lista, y
las listas Top-20 ampliadas que siguieron uno, dos, y tres años después, con el fin
de priorizar sus esfuerzos para así poder cerrar de antemano los agujeros más
peligrosos. Los servicios vulnerables que condujeron a gusanos como Blaster,
Slammer, y Code Red han estado en estas listas.
La presente lista Top-20 2005 del Instituto SANS representa un acentuado desvío
de las listas Top-20 de años anteriores. Además de las categorías de Windows y
UNIX, hemos incluido Aplicaciones Multiplataforma y Productos de Red. Los cambios
reflejan la naturaleza dinámica del panorama creciente de amenazas. Contrario a
las listas Top-20 previas, esta lista no es "acumulativa" en su naturaleza. Sólo
hemos listado vulnerabilidades críticas del pasado año y medio aproximadamente.
Si no ha actualizado sus sistemas durante algún tiempo, es altamente
recomendable que primero solucione las vulnerabilidades que se encuentran en la
lista Top-20 2004.
Hemos hecho nuestro mejor esfuerzo por hacer esta lista significativa para la
mayoría de las organizaciones. Por lo tanto la Top-20 2005 es un consenso de
vulnerabilidades que requieren solución inmediata. Es el resultado de un proceso
que unió a docenas de reconocidos especialistas en seguridad. Ellos provienen de
las agencias gubernamentales más conscientes en materia de seguridad de UK,
USA, y Singapur; de los vendedores de software de seguridad y empresas
consultoras líderes del mercado; y del Instituto SANS. Al final del documento se
encuentra una lista de los participantes.
La lista SANS Top-20 es un documento dinámico. Incluye instrucciones paso a paso
y referencias a información adicional útil para corregir las falencias de seguridad.
Actualizaremos la lista y las instrucciones en la medida que se identifiquen nuevas
amenazas críticas y se encuentren métodos de protección más recientes o más
apropiados, y agradecemos sugerencias durante el camino. Este es un documento
de consenso de la comunidad -- su experiencia en combatir a atacantes y en
eliminar las vulnerabilidades puede ayudar a otras personas. Por favor envíe sus
sugerencias a través de email a
top20@sans.org