• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Gestión de Vulnerabilidades
 

Gestión de Vulnerabilidades

on

  • 10,105 views

Introducción a Gestión de Vulnerabilidades

Introducción a Gestión de Vulnerabilidades

Statistics

Views

Total Views
10,105
Views on SlideShare
9,892
Embed Views
213

Actions

Likes
4
Downloads
403
Comments
1

3 Embeds 213

http://seguridad.moplin.com 188
http://www.slideshare.net 23
http://www.linkedin.com 2

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

CC Attribution-NonCommercial LicenseCC Attribution-NonCommercial License

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel

11 of 1 previous next

  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…



  • <b>[Comment posted from</b> http://seguridad.moplin.com/infoseg/gestion-de-vulnerabilidades?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+mopInfoseg+%28mOpLin+-+InfoSeg%29]
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Gestión de Vulnerabilidades Gestión de Vulnerabilidades Presentation Transcript

    • Seguridad de la Información
      Gestión de Vulnerabilidades
      Pablo Palacios
      Consultor de Seguridad de la Información y Cumplimiento PCI-DSS
      E-Gov Solutions
      ppalacios@e-govsolutions.net | pablo.palacios@moplin.com
      Web: seguridad.moplin.com
      Linkedin: http://www.linkedin.com/in/moplin/es
      Twitter: @moplin
      (593) 8 464-4844
    • Hablaremos de:
      Introducción a la vulnerabilidad
      Tendencias y estadísticas
      Gestión de Vulnerabilidades
      http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta
      http://hackosis.com/projects/bfcalc/bfcalc.php
    • Introducción a la vulnerabilidad
      Información y Seguridad de la Información
      Por que se necesita la Seguridad de la Información
      Riesgos de la Información en la Organización
      Enemigo publico No 1
      Vulnerabilidades
      Tipos de vulnerabilidades
      Ejemplos de sistemas vulnerables
      Top 10 OWASP y otros TOP 10
      ¿Quien puede abusar de una vulnerabilidad?
    • Información y Seguridad de la Información
      La información se la puede definir como:
      “Datos dotados de significado y propósito”
      La información se ha convertido en un componente indispensable para realizar negocios en prácticamente todas las organizaciones. En un numero cada vez mayor de compañías, la información es el negocio*.
      De acuerdo con el Instituto Brookings, tanto la información como otros activos intangibles de una organización representan mas del 80% de su valor de mercado*.
      La Seguridad de la Información no es una materia específicamente tecnológica, es de personas y por tanto es un problema organizacional de amplio espectro.
      *Manual de Preparación al examen CISM 2009 ISBN: 978-1-60420-040-9, Cap 1, Visión General de Gobierno de la Seguridad de la Información
    • Información y Seguridad de la Información
      La Seguridad de la Información busca la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y oportunidades comerciales1.
      La seguridad de la Información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware1.
      1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
    • Por que se necesita la Seguridad de la Información
      La información, los procesos, sistemas y redes de apoyo son activos comerciales importantes.
      Definir, lograr, mantener y mejorar la Seguridad de la Información es esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial1.
      1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
    • Riesgos de la Información en la Organización
      Las organizaciones, sus sistemas y redes de información enfrentan amenazas de seguridad.
      Perdida de Confidencialidad, Disponibilidad o Integridad
      Fuentes como:
      Fraude por computadora
      Espionaje
      Sabotaje
      Vandalismo
      Fuego o inundación.
      1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
    • Riesgos de la Información en la Organización
      Las causas de daño como:
      Código malicioso
      Pirateo computarizado
      Negación de servicio
      Acceso no autorizado
      Amenazas que se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas1.
      1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
    • Enemigo publico No 1
      Las Vulnerabilidades Tecnológicas afectan a todas las plataformas tecnológicas y se convierten en uno de los riesgos mas extenso que afrontan los profesionales de la seguridad
      Explotar o abusar de una vulnerabilidad es el mecanismo agresivo más efectivo con el que cuenta un atacante.
      “El 79% de todas las vulnerabilidades documentadas en la segunda mitad del 2006 fueron consideradas como fácilmente explotables.”
    • Vulnerabilidades
      DEFINICIONES
      Una deficiencia en el diseño, la implementación, la operación o la ausencia de los controles internos en un proceso, que podría explotarse para violar la seguridad del sistema1.
      El termino caracteriza la ausencia o riesgo de un control de reducción de riesgo. Es la condición que tienen el potencial de permitir que una amenaza ocurra con mayor frecuencia, gran impacto o cualquiera de los dos2.
      Debilidades de un sistema que permiten a un individuo malintencionado explotarlo y violar su integridad3.
      Manual de Preparación al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario
      Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 RiskAnalisis and Assesment
      Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de Datos de la PCI; Glosario de términos, abreviaturas y acrónimos
      Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
    • Vulnerabilidades
      Cuando estas son expuestas o visibles, pueden ser objeto de abuso
      Su abuso puede resultar en:
      Acceso no autorizado a la red
      Exposición información confidencial
      Daño o distorsión de la información
      Proveer de datos para el hurto o secuestro de identidad
      Exponer secretos organizacionales
      Desencadenar fraudes
      Paralizar las operaciones del negocio.
      Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
    • Tipos de vulnerabilidades
      Vulnerabilidades no Tecnológicas1
      Hacking no tecnológico
      Ingeniería social
      Donde se considera que la vulnerabilidad es “El individuo” y “El proceso mal definido”
      Vulnerabilidades Tecnológicas que afectan a:
      Procesos tecnológicos
      Los medios de comunicación (red lan, wan, voip, etc)
      Plataforma tecnológica:
      Sistemas operativos
      aplicaciones de escritorio
      aplicaciones cliente servidor
      Aplicaciones web
      Bases de datos
      Equipos de red
      Todo!
      Jhony Long; No Tech Hacking: A Guide to Social Engineering …; ISBN 13: 978-1-59749-215-7
      DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es
    • Ejemplos de sistemas vulnerables
      Redes y Servicios
      Ftp, Telnet, Http, “SSL”
      Redes inalámbricas “WIFI”
      WEP y falta de encripción
      Aplicaciones de escritorio
      Office, Outlook, Acrobat, flash, Java JRE, etc.
      Servidores Web
      Apache, IIS, Websphere, Etc.
      Bases de datos
      Oracle, DB2, MySQL, MS SQL Server, etc.
      Aplicaciones Web
      Múltiples errores de programación (TOP 10 OWASP), Muchas ocasiones dependientes de la arquitectura establecida
      http://www.owasp.org/index.php/Top_10_2007
    • Top 10 OWASP
      http://www.owasp.org/index.php/Top_10_2007
    • Top 10 OWASP
      http://www.owasp.org/index.php/Top_10_2007
    • Los TOP 10 Externos, Diciembre 2009
      http://www.qualys.com/research/rnd/top10/
    • Los TOP 10 Internos, Diciembre 2009
      http://www.qualys.com/research/rnd/top10/
    • ¿Quien puede abusar de una vulnerabilidad?
      El hacker (el malo!)
      El estudiante de sistemas
      El desarrollador o programador
      La competencia
      El trabajador interno (resentido)
      El que ya no trabaja
      Cualquier estudiante con un computador e Internet
      El software
      El virus, troyano, spyware, etc.
      Ley de Murphy:
      “Si algo puede salir mal, saldrá mal.”
      “Si hay una vulnerabilidad… será usada”
    • Hackers
      Un firewall $100.000 dólares
      Un IPS $250.000 dólares
      Una vulnerabilidad, no tiene precio!
      Por: moplin (CC) 2009
    • Vulnerabilidades
      ¡Solo puedes estar seguro de que aun hay más !
      Por: moplin (CC) 2009
    • Tendencias y estadísticas
      Tendencias
      Vulnerabilidades por impacto
      Vulnerabilidades de “día 0”
      Ataques comunes en aplicaciones WEB
      Virus, Spyware, Gusanos, Trojanos, etc
      Tiempo de explotación de nuevas vulnerabilidades
      Herramientas disponibles en internet
    • Tendencias
      En el pasado, la motivación era solo diversión o demostración.
      Existen factores económicos que impulsan a miles de individuos a buscar la forma de atacar a las organizaciones y al sistema financiero (Banca electrónica, tarjetas de crédito)
      Existe un incremento del profesionalismo y la comercialización de actividades maliciosas (crimen organizado)
      Convergencia en los métodos de ataque
      Expansión en el numero de aplicaciones y plataformas de ataque.
    • Tendencias
      Según la encuesta ”Crímenes de Informáticos y Encuesta de Seguridad” del Instituto de Seguridad de Computo (CSI), las perdidas económicas en las organizaciones se deben a:
      Fraude financiero (31%)
      Virus/gusano/spyware (12%)
      Penetración al sistema por un externo (10%)
      Robo de información confidencial (8%)
      CIS; www.gocsi.com
    • Tendencias
      “99 % de los casos de intrusión a redes son el resultado del ataque en contra de vulnerabilidades conocidas o errores de configuración solucionables“CERT, CARNEGIE MELLON UNIVERSITY
      “Organizacionesque implementan un proceso efectivo para gestión de vulnerabilidades experimentarán una reducción del60 % en ataques exitosos externos”GARNER 2007
    • Vulnerabilidades por impacto
      25
      FUENTE : SECUNIA 2008
    • Vulnerabilidades de “día 0”
      26
      FUENTE : SECUNIA 2008
    • Ataques comunes en aplicaciones WEB
      FUENTE : WHID 2008
    • Virus, Spyware, Gusanos, Trojanos, etc
      1,600,000
      1,500,000
      1,400,000
      1,300,000
      1,200,000
      1,100,000
      1,000,000
      900,000
      800,000
      700,000
      600,000
      500,000
      400,000
      300,000
      200,000
      100,000
      86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08
      La cantidad de “Malware” se incrementa cada año
      20x
      En los últimos 5 años
      3x
      Tan solo en el últimoaño
      FUENTE : F-SECURE
    • Tiempo de explotación de nuevas vulnerabilidades
    • Herramientas disponibles en internet
    • Gestión de Vulnerabilidades
      A quienes les debe interesar
      Procesos de Gestión Seguridad de la Información
      Que es la Gestión de Vulnerabilidades
      Objetivos principales
      Preparación inicial y requerimientos
      La Gestión de Vulnerabilidades
    • A quienes les debe interesar
      Desarrolladores de software (Cliente-Servidor, Escritorio, Aplicaciones Web, Teléfonos inteligentes)
      Seguridad de Infraestructura
      Seguridad de Aplicaciones
      Administradores de Proyectos
      Gerencias IT
      Gobierno Corporativo
      Otros
      Todos
      “Para un cyber-criminal, las vulnerabilidades en una red son los objetivos de mayor valor1!”
      An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.
      Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
    • Procesos de Gestión Seguridad de la Información
      Forma parte parte del Gobierno de la Seguridad de la Información
      Gestión de Sistemas de Seguridad de la Información
      Gestión de Usuarios y Recurso Humano
      Gestión de Incidentes
      Gestión de Respaldos
      Gestión de Control de Cambios

      Gestión de Vulnerabilidades e Implementación de Parches
      An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.
      Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
    • Que es la Gestión de Vulnerabilidades
      La Gestión de Vulnerabilidades, es el proceso que debe ser implementado para hacer que las plataformas de IT sean mas seguras y para mejorar la capacidad de cumplimiento de normas en la organización1.
      La adecuada gestión de la vulnerabilidad es la integración de los actores, procesos y tecnologías que establecen y mantienen una línea de base para la protección de una organización.
      El proceso de la gestión de la vulnerabilidad incluye el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación, y un infraestructura que permita una adecuado y continuo monitoreo, seguimiento y mejora.
      Gartner Research; Improve IT Security With Vulnerability Management; Number: G00127481
    • Objetivos principales
      Identificar y corregir las fallas que afectan la seguridad, desempeño o funcionalidad en el software.
      Alterar la funcionalidad o actuar frente a una amenaza de seguridad, como al actualizar una firma de antivirus
      Cambiar las configuraciones del software para hacerlo menos susceptible a una taque, que se ejecute con mayor velocidad o mejore su funcionalidad
      Utilizar los medios mas efectivos para afrontar los ataques automatizados (como gusanos, negación de servicios, etc.)
      Habilitar la forma efectiva y gestión la gestión correcta de seguridad del riesgo
      Documentar el estado de seguridad para auditoria y cumplimiento con las leyes, regulaciones y políticas de negocio.
      An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.
      Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
    • Preparación inicial - Requerimientos
      Establecimiento previo de Gestión de Políticas de Seguridad
      Establecer los roles y responsabilidades del personal involucrado en el proceso.
      Establecer un inventario de activos de la plataforma tecnológica (Servidores, equipos, versiones de sistemas operativos, aplicaciones cliente - servidor, bases de datos, aplicaciones web, etc.)
      Establecer los roles de los activos del inventario
      Desarrollar métricas de seguridad de la información
      Establecer la línea base “Donde se comienza” y el GAP “Donde se desea llegar”
    • Pasos
      Alineación de la Política
      Identificación
      Paso 1, El inventario
      Evaluación
      Paso 2. La Detección de vulnerabilidades
      Paso 3, Verificación de la vulnerabilidad contra el inventario
      Paso 3, Verificación de la vulnerabilidad contra el inventario
      Paso 4, Clasificación y valoración del riesgo
      Remediación
      Paso 5, Remediación
      Monitoreo
      Paso 6, Verificación
      An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.
      Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
    • Alineación de la Política
      La creación de las políticas debe iniciar en la parte mas alta de la gerencia o presidencia de una organización, de forma que requiera de la observación ejecutiva la que asegura una implementación sistemática.
      La creación de normas y lineamientos de seguridad que respalden los controles adecuados en para la Gestión de Vulnerabilidades, aseguran la implementación y funcionalidad de la Gestión de Vulnerabilidades.
    • Identificación, Paso 1: El inventario
      Crear el inventario y categorizar los activos
      Para encontrar y corregir adecuadamente las vulnerabilidades, es necesario primero identificar los elementos o activos tecnológicos (servidores, estaciones de trabajo, equipos de comunicaciones, etc.)
      Es importante crear una base de datos, que relacione el activo a sus características técnicas (IP, Sistema Operativo, Aplicaciones, ROL)
      Identificar en el inventario
      Es importante identificar en el inventario el Rol, criticidad de negocio, Unidad de negocio, agrupación geográfica o lógica.
    • Identificación, Paso 1: El inventario
      Priorización por impacto al negocio
      Es importante que el activo se lo categorice en base al riesgo e impacto de negocio.
      Que es más critico para los objetivos del negocio!
      La misma vulnerabilidad no tendrá el mismo impacto en un sistema perteneciente al “CORE” de negocio que en un sistema con una función poco importante.
    • Identificación, Paso 1: El inventario
      Generación del mapa por exploración
      Detectar todos los elementos conectados a la red.
      Detección de los elementos Públicos (Externos), Privados (Internos).
      Permite confirmar los elementos de la plataforma tecnológica al compáralo con el inventario
      Detección de elementos no contemplados (Conexiones inalámbricas, estaciones de trabajo, servidores, redes)
    • Evaluación, Paso 2: La Detección de vulnerabilidades
      La detección de vulnerabilidades es la tarea fundamental de búsqueda y clasificación del las vulnerabilidades en cada sistema.
      Los productos comerciales y de código abierto dedicados a la detección de vulnerabilidades no son la solución, son la herramienta base del proceso
      Beneficios de los productos:
      Las herramientas prueban sistemáticamente y analiza a los elementos conectados a una red en búsqueda de errores, fallas y malas configuraciones
      Un reporte post-detección, revela con precisión las vulnerabilidades actuales y expone las formas de corrección de las mismas.
    • Evaluación, Paso 2: La Detección de vulnerabilidades
      La detección de vulnerabilidades debe ejecutarse de dos formas:
      Caja negra.- Sin conocimiento de autenticación u otra información
      Caja blanca.- Con conocimiento de un usuario con privilegios de sistema e información adicional
      (Caja gris)
    • Evaluación, Paso 3: Verificación de la vulnerabilidad contra el inventario
      Es importante revisar y verificar la existencia d una vulnerabilidad contra la base de datos del inventario, lo que permite reducir el esfuerzo que se dedica a controlar una vulnerabilidad que no aplica a la configuración del la red.
      Eliminación de falsos positivos
      Eliminación de falsos negativos
      Se debe usar una segunda herramienta de detección de vulnerabilidades
    • El reporte de vulnerabilidades
      Las herramientas de detección de vulnerabilidades deben tener la capacidad de generar reporte:
      Que mantengan la asociación del activo a las vulnerabilidades
      Que presenta la información de la vulnerabilidad y de la remediación o control de la misma
      Que no reporte exceso de falsos positivos o falsos negativos
      Que se a de fácil comprensión
      Que muestre la asociación del activo con un valor de riesgo de negocio
    • Evaluación, Paso 4: Clasificación y valoración del riesgo
      La remediación de todos los activos es prácticamente imposible
      Las vulnerabilidades deben ser categorizadas, segmentadas y priorizadas en base a la criticidad del activo para el negocio
      Categorización
      Critico: El abuso puede permitir la propagación de un gusano sin intervención humana, o la ejecución de código sin restricción.
      Importante: El abuso puede permitir el compromiso de la confidencialidad, integridad o disponibilidad de los datos de usuario o de la integridad o disponibilidad de los recursos.
      Moderado: El abuso es serio, pero es mitigado por factores como configuración, auditoria, la necesidad de acción del usuario o dificultad de ejecución.
      Bajo: El abuso es extremadamente difícil o su impacto es mínimo.
      www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true
    • Paso 5: Remediación
      La remediación es el proceso de control de la vulnerabilidad.
      La remediación puede ser directa o indirecta
      Siempre se debe realizar pruebas antes de colocar un parche en producción (pre-test), lo que evita la posibilidad de daño en el sistema
      Directa:
      Aplicación de un parche o programa de corrección (fix)
      Cambio de configuración
      Actualización de versión
      Indirecta (Controles compensatorios)
      Implementación de sistemas HIPS (Host Intrusion Prevención System)
      Implementación de sistemas SIEM (Security Information and Event Management)
      Sistemas de Parchado Virtual
      Control con IPS de red o firewalls de ultima generación
    • Remediación inicial y endurecimiento
      Remover servicios, funciones, usuarios no requeridos.
      Mantener solo una función por servidor (Controlados de dominio, Base de datos, Servidor Web, FTP, etc.)
      Cambiar las configuraciones de fabrica (Sistema operativo y aplicaciones)
      Instalar parches Sistema operativo
      Instalar aplicaciones adicionales (Solo requeridas)
      Instalar parches de aplicaciones adicionales
      Aplicar plantillas de endurecimiento (Por producto)
      Instalar y mantener un antivirus
      Documentar estándar de configuración
      Implementar respaldos y bitácoras
      Generar lista de revisión
    • Remediaciones posteriores
      Revisar cumplimiento contra documento de estándar de configuración
      Revisar cumplimiento contra lista de revisión
      Aplicar parches adicionales (Sistema Operativo y aplicaciones) realizar pre-test antes de instalaciones en producción
      Aplicar remediaciones adicionales
      Documentar cambios en estándar de configuración y lista de revisión
    • Monitoreo, Paso 6:Verificación
      La verificación de los correctivos aplicados es importante, se debe demostrar que la plataforma ya no tiene la vulnerabilidad.
      Permite demostrar la eliminación o permanencia de una vulnerabilidad
      Utilización de dos productos diferente
      Descarta falsos positivos
      Muestra falsos negativos
    • Establecer el proceso continuo
      Cronograma establecido por activos (3 meses)
      Revisar y ajustar el proceso continuamente
      Educar y concientizar al personal involucrado respecto al proceso
      Establecer roles de los involucrados
      Revisar la documentación generada (demostrar cumplimiento)
      El proceso debe ser verificado y respaldado por la alta gerencia
      Suscripción A BOLETINES DE ALERTA
      Recordar que el proceso si no es continuo, cíclico y demostrable no permitirá un nivel optimo en la seguridad de la plataforma tecnológica
    • Herramientas de Gestión de Vulnerabilidades
      Que buscar en la herramienta?
      Sistema de tickets y workflow
      Sistema de Reportería en el tiempo (CUBOS)
      Permita la clasificación y el inventario de activos
      Permita la clasificación correcta y valoración del riesgo en los activos
      Permita el establecimiento de pruebas por cronograma
      Permita establecer los roles de los activos
      La creación de los roles de personal involucrado en el proceso.
    • Importante
      La Gestión de Vulnerabilidades no se puede llevar a cabo con un solo producto
      Los productos ofertados no son la panacea, son herramientas que permiten llevar a cabo el proceso
      La integración del Proceso de Gestión de Vulnerabilidades y la educación apropiada sobre el tema es muchas veces mas importante que cualquier producto
      La organización, visión, estrategia y procesos de integración permiten la ejecución apropiada de la Gestión de Vulnerabilidades
    • El Arte de la Guerra, SunTzu
      El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enemigo no venga, sino que debemos estar siempre listos a recibirlo.
      No debemos depender de la posibilidad de que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posición sea inatacable.
      http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317
    • Preguntas?
      FIN
      Lista de referencias en los comentarios de la lamina