Seguridad de la Información<br />Gestión de Vulnerabilidades<br />Pablo Palacios<br />Consultor de Seguridad de la Informa...
Hablaremos de:<br />Introducción a la vulnerabilidad<br />Tendencias y estadísticas<br />Gestión de Vulnerabilidades<br />...
Introducción a la vulnerabilidad<br />Información y Seguridad de la Información<br />Por que se necesita la Seguridad de l...
Información y Seguridad de la Información<br />La información se la puede definir como:<br />“Datos dotados de significado...
Información y Seguridad de la Información<br />La Seguridad de la Información busca la protección de la información de un ...
Por que se necesita la Seguridad de la Información<br />La información, los procesos, sistemas y redes de apoyo son activo...
Riesgos de la Información en la Organización<br />Las organizaciones, sus sistemas y redes de información enfrentan amenaz...
Riesgos de la Información en la Organización<br />Las causas de daño como:<br />Código malicioso<br />Pirateo computarizad...
Enemigo publico No 1<br />Las Vulnerabilidades Tecnológicas afectan a todas las plataformas tecnológicas y se convierten e...
Vulnerabilidades<br />DEFINICIONES<br />Una deficiencia en el diseño, la implementación, la operación o la ausencia de los...
Vulnerabilidades<br />	Cuando estas son expuestas o visibles, pueden ser objeto de abuso<br />Su abuso puede resultar en:<...
Tipos de vulnerabilidades<br />Vulnerabilidades no Tecnológicas1<br />Hacking no tecnológico<br />Ingeniería social<br />	...
Ejemplos de sistemas vulnerables<br />Redes y Servicios<br />Ftp, Telnet, Http, “SSL”<br />Redes inalámbricas “WIFI”<br />...
Top 10 OWASP<br />http://www.owasp.org/index.php/Top_10_2007<br />
Top 10 OWASP<br />http://www.owasp.org/index.php/Top_10_2007<br />
Los TOP 10 Externos, Diciembre 2009<br />http://www.qualys.com/research/rnd/top10/<br />
Los TOP 10 Internos, Diciembre 2009<br />http://www.qualys.com/research/rnd/top10/<br />
¿Quien puede abusar de una vulnerabilidad?<br />El hacker (el malo!)<br />El estudiante de sistemas<br />El desarrollador ...
Hackers<br />Un firewall $100.000 dólares<br />Un IPS $250.000 dólares<br />Una vulnerabilidad, no tiene precio!<br />Por:...
Vulnerabilidades<br />¡Solo puedes estar seguro de que aun hay más !<br />Por: moplin (CC) 2009<br />
Tendencias y estadísticas<br />Tendencias<br />Vulnerabilidades por impacto<br />Vulnerabilidades de “día 0”<br />Ataques ...
Tendencias<br />En el pasado, la motivación era solo diversión o demostración.<br />Existen factores económicos que impuls...
Tendencias<br />	Según la encuesta ”Crímenes de Informáticos y Encuesta de Seguridad” del Instituto de Seguridad de Comput...
Tendencias<br />“99 % de los casos de intrusión a redes son el resultado del ataque en contra de vulnerabilidades conocida...
Vulnerabilidades por impacto<br />25<br />FUENTE : SECUNIA 2008<br />
Vulnerabilidades de “día 0”<br />26<br />FUENTE : SECUNIA 2008<br />
Ataques comunes en aplicaciones WEB<br />FUENTE : WHID 2008<br />
Virus, Spyware, Gusanos, Trojanos, etc<br />1,600,000<br />1,500,000<br />1,400,000<br />1,300,000<br />1,200,000<br />1,1...
Tiempo de explotación de nuevas vulnerabilidades <br />
Herramientas disponibles en internet<br />
Gestión de Vulnerabilidades<br />A quienes les debe interesar<br />Procesos de Gestión Seguridad de la Información<br />Qu...
A quienes les debe interesar<br />Desarrolladores de software (Cliente-Servidor, Escritorio, Aplicaciones Web, Teléfonos i...
Procesos de Gestión Seguridad de la Información<br />	Forma parte parte del Gobierno de la Seguridad de la Información<br ...
Que es la Gestión de Vulnerabilidades<br />La Gestión de Vulnerabilidades, es el proceso que debe ser implementado para ha...
Objetivos principales<br />Identificar y corregir las fallas que afectan la seguridad, desempeño o funcionalidad en el sof...
Preparación inicial - Requerimientos<br />Establecimiento previo de Gestión de Políticas de Seguridad<br />Establecer los ...
Pasos<br />Alineación de la Política<br />Identificación<br />Paso 1, El inventario<br />Evaluación<br />Paso 2. La Detecc...
Alineación de la Política<br />La creación de las políticas debe iniciar en la parte mas alta de la gerencia o presidencia...
Identificación, Paso 1: El inventario<br />	Crear  el inventario y categorizar los activos<br />Para encontrar y corregir ...
Identificación, Paso 1: El inventario<br />	Priorización por impacto al negocio<br />Es importante que el activo se lo cat...
Identificación, Paso 1: El inventario<br />	Generación del mapa por exploración<br />Detectar todos los elementos conectad...
Evaluación, Paso 2: La Detección de vulnerabilidades<br />La detección de vulnerabilidades es la tarea fundamental de búsq...
Evaluación, Paso 2: La Detección de vulnerabilidades<br />La detección de vulnerabilidades debe ejecutarse de dos formas:<...
Evaluación, Paso 3: Verificación de la vulnerabilidad contra el inventario<br />Es importante revisar y verificar la exist...
El reporte de vulnerabilidades<br />Las herramientas de detección de vulnerabilidades deben tener la capacidad de generar ...
Evaluación, Paso 4: Clasificación y valoración del riesgo <br />La remediación de todos los activos es prácticamente impos...
Paso 5: Remediación <br />La remediación es el proceso de control de la vulnerabilidad.<br />La remediación puede ser dire...
Remediación inicial y endurecimiento<br />Remover servicios, funciones, usuarios no requeridos.<br />Mantener solo una fun...
Remediaciones posteriores<br />Revisar cumplimiento contra documento de estándar de configuración<br />Revisar cumplimient...
Monitoreo, Paso 6:Verificación<br />La verificación de los correctivos aplicados es importante, se debe demostrar que la p...
Establecer el proceso continuo<br />Cronograma establecido por activos (3 meses)<br />Revisar y ajustar el proceso continu...
Herramientas de Gestión de Vulnerabilidades<br />	Que buscar en la herramienta?<br />Sistema de tickets y workflow<br />Si...
Importante<br />La Gestión de Vulnerabilidades no se puede llevar a cabo con un solo producto<br />Los productos ofertados...
El Arte de la Guerra, SunTzu<br />El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enem...
Preguntas?<br />FIN<br />Lista de referencias en los comentarios de la lamina<br />
Upcoming SlideShare
Loading in...5
×

Gestión de Vulnerabilidades

9,733

Published on

Introducción a Gestión de Vulnerabilidades

Published in: Technology
1 Comment
4 Likes
Statistics
Notes



  • <b>[Comment posted from</b> http://seguridad.moplin.com/infoseg/gestion-de-vulnerabilidades?utm_source=feedburner&utm_medium=email&utm_campaign=Feed%3A+mopInfoseg+%28mOpLin+-+InfoSeg%29]
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total Views
9,733
On Slideshare
0
From Embeds
0
Number of Embeds
2
Actions
Shares
0
Downloads
462
Comments
1
Likes
4
Embeds 0
No embeds

No notes for slide

Gestión de Vulnerabilidades

  1. 1. Seguridad de la Información<br />Gestión de Vulnerabilidades<br />Pablo Palacios<br />Consultor de Seguridad de la Información y Cumplimiento PCI-DSS<br />E-Gov Solutions<br />ppalacios@e-govsolutions.net | pablo.palacios@moplin.com<br />Web: seguridad.moplin.com<br />Linkedin: http://www.linkedin.com/in/moplin/es<br />Twitter: @moplin<br />(593) 8 464-4844<br />
  2. 2. Hablaremos de:<br />Introducción a la vulnerabilidad<br />Tendencias y estadísticas<br />Gestión de Vulnerabilidades<br />http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta<br />http://hackosis.com/projects/bfcalc/bfcalc.php<br />
  3. 3. Introducción a la vulnerabilidad<br />Información y Seguridad de la Información<br />Por que se necesita la Seguridad de la Información<br />Riesgos de la Información en la Organización<br />Enemigo publico No 1<br />Vulnerabilidades<br />Tipos de vulnerabilidades<br />Ejemplos de sistemas vulnerables<br />Top 10 OWASP y otros TOP 10<br />¿Quien puede abusar de una vulnerabilidad?<br />
  4. 4. Información y Seguridad de la Información<br />La información se la puede definir como:<br />“Datos dotados de significado y propósito”<br />La información se ha convertido en un componente indispensable para realizar negocios en prácticamente todas las organizaciones. En un numero cada vez mayor de compañías, la información es el negocio*.<br />De acuerdo con el Instituto Brookings, tanto la información como otros activos intangibles de una organización representan mas del 80% de su valor de mercado*.<br />La Seguridad de la Información no es una materia específicamente tecnológica, es de personas y por tanto es un problema organizacional de amplio espectro.<br />*Manual de Preparación al examen CISM 2009 ISBN: 978-1-60420-040-9, Cap 1, Visión General de Gobierno de la Seguridad de la Información<br />
  5. 5. Información y Seguridad de la Información<br />La Seguridad de la Información busca la protección de la información de un rango amplio de amenazas para poder asegurar la continuidad del negocio, minimizar el riesgo comercial y maximizar el retorno de las inversiones y oportunidades comerciales1.<br />La seguridad de la Información se logra implementando un adecuado conjunto de controles; incluyendo políticas, procesos, procedimientos, estructuras organizacionales y funciones de software y hardware1.<br />1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)<br />
  6. 6. Por que se necesita la Seguridad de la Información<br />La información, los procesos, sistemas y redes de apoyo son activos comerciales importantes.<br /> Definir, lograr, mantener y mejorar la Seguridad de la Información es esencial para mantener una ventaja competitiva, el flujo de caja, rentabilidad, observancia legal e imagen comercial1.<br />1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)<br />
  7. 7. Riesgos de la Información en la Organización<br />Las organizaciones, sus sistemas y redes de información enfrentan amenazas de seguridad.<br /> Perdida de Confidencialidad, Disponibilidad o Integridad<br />Fuentes como: <br />Fraude por computadora<br />Espionaje<br />Sabotaje<br />Vandalismo<br />Fuego o inundación.<br />1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)<br />
  8. 8. Riesgos de la Información en la Organización<br />Las causas de daño como:<br />Código malicioso<br />Pirateo computarizado<br />Negación de servicio<br />Acceso no autorizado<br /> Amenazas que se hacen cada vez más comunes, más ambiciosas y cada vez más sofisticadas1.<br />1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)<br />
  9. 9. Enemigo publico No 1<br />Las Vulnerabilidades Tecnológicas afectan a todas las plataformas tecnológicas y se convierten en uno de los riesgos mas extenso que afrontan los profesionales de la seguridad<br />Explotar o abusar de una vulnerabilidad es el mecanismo agresivo más efectivo con el que cuenta un atacante.<br />“El 79% de todas las vulnerabilidades documentadas en la segunda mitad del 2006 fueron consideradas como fácilmente explotables.”<br />
  10. 10. Vulnerabilidades<br />DEFINICIONES<br />Una deficiencia en el diseño, la implementación, la operación o la ausencia de los controles internos en un proceso, que podría explotarse para violar la seguridad del sistema1.<br />El termino caracteriza la ausencia o riesgo de un control de reducción de riesgo. Es la condición que tienen el potencial de permitir que una amenaza ocurra con mayor frecuencia, gran impacto o cualquiera de los dos2.<br />Debilidades de un sistema que permiten a un individuo malintencionado explotarlo y violar su integridad3.<br />Manual de Preparación al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario<br />Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 RiskAnalisis and Assesment<br />Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de Datos de la PCI; Glosario de términos, abreviaturas y acrónimos<br />Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2<br />
  11. 11. Vulnerabilidades<br /> Cuando estas son expuestas o visibles, pueden ser objeto de abuso<br />Su abuso puede resultar en:<br />Acceso no autorizado a la red<br />Exposición información confidencial<br />Daño o distorsión de la información<br />Proveer de datos para el hurto o secuestro de identidad<br />Exponer secretos organizacionales<br />Desencadenar fraudes<br />Paralizar las operaciones del negocio.<br />Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2<br />
  12. 12. Tipos de vulnerabilidades<br />Vulnerabilidades no Tecnológicas1<br />Hacking no tecnológico<br />Ingeniería social<br /> Donde se considera que la vulnerabilidad es “El individuo” y “El proceso mal definido”<br />Vulnerabilidades Tecnológicas que afectan a:<br />Procesos tecnológicos<br />Los medios de comunicación (red lan, wan, voip, etc)<br />Plataforma tecnológica:<br />Sistemas operativos<br />aplicaciones de escritorio<br />aplicaciones cliente servidor<br />Aplicaciones web<br />Bases de datos<br />Equipos de red<br />Todo!<br />Jhony Long; No Tech Hacking: A Guide to Social Engineering …; ISBN 13: 978-1-59749-215-7<br />DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es<br />
  13. 13. Ejemplos de sistemas vulnerables<br />Redes y Servicios<br />Ftp, Telnet, Http, “SSL”<br />Redes inalámbricas “WIFI”<br />WEP y falta de encripción<br />Aplicaciones de escritorio<br />Office, Outlook, Acrobat, flash, Java JRE, etc.<br />Servidores Web<br />Apache, IIS, Websphere, Etc.<br />Bases de datos<br />Oracle, DB2, MySQL, MS SQL Server, etc.<br />Aplicaciones Web<br />Múltiples errores de programación (TOP 10 OWASP), Muchas ocasiones dependientes de la arquitectura establecida<br />http://www.owasp.org/index.php/Top_10_2007<br />
  14. 14. Top 10 OWASP<br />http://www.owasp.org/index.php/Top_10_2007<br />
  15. 15. Top 10 OWASP<br />http://www.owasp.org/index.php/Top_10_2007<br />
  16. 16. Los TOP 10 Externos, Diciembre 2009<br />http://www.qualys.com/research/rnd/top10/<br />
  17. 17. Los TOP 10 Internos, Diciembre 2009<br />http://www.qualys.com/research/rnd/top10/<br />
  18. 18. ¿Quien puede abusar de una vulnerabilidad?<br />El hacker (el malo!)<br />El estudiante de sistemas<br />El desarrollador o programador<br />La competencia<br />El trabajador interno (resentido)<br />El que ya no trabaja<br />Cualquier estudiante con un computador e Internet<br />El software<br />El virus, troyano, spyware, etc.<br />Ley de Murphy:<br />“Si algo puede salir mal, saldrá mal.”<br />“Si hay una vulnerabilidad… será usada”<br />
  19. 19. Hackers<br />Un firewall $100.000 dólares<br />Un IPS $250.000 dólares<br />Una vulnerabilidad, no tiene precio!<br />Por: moplin (CC) 2009<br />
  20. 20. Vulnerabilidades<br />¡Solo puedes estar seguro de que aun hay más !<br />Por: moplin (CC) 2009<br />
  21. 21. Tendencias y estadísticas<br />Tendencias<br />Vulnerabilidades por impacto<br />Vulnerabilidades de “día 0”<br />Ataques comunes en aplicaciones WEB<br />Virus, Spyware, Gusanos, Trojanos, etc<br />Tiempo de explotación de nuevas vulnerabilidades <br />Herramientas disponibles en internet<br />
  22. 22. Tendencias<br />En el pasado, la motivación era solo diversión o demostración.<br />Existen factores económicos que impulsan a miles de individuos a buscar la forma de atacar a las organizaciones y al sistema financiero (Banca electrónica, tarjetas de crédito)<br />Existe un incremento del profesionalismo y la comercialización de actividades maliciosas (crimen organizado)<br />Convergencia en los métodos de ataque<br />Expansión en el numero de aplicaciones y plataformas de ataque.<br />
  23. 23. Tendencias<br /> Según la encuesta ”Crímenes de Informáticos y Encuesta de Seguridad” del Instituto de Seguridad de Computo (CSI), las perdidas económicas en las organizaciones se deben a:<br />Fraude financiero (31%)<br />Virus/gusano/spyware (12%)<br />Penetración al sistema por un externo (10%)<br />Robo de información confidencial (8%)<br />CIS; www.gocsi.com<br />
  24. 24. Tendencias<br />“99 % de los casos de intrusión a redes son el resultado del ataque en contra de vulnerabilidades conocidas o errores de configuración solucionables“CERT, CARNEGIE MELLON UNIVERSITY<br />“Organizacionesque implementan un proceso efectivo para gestión de vulnerabilidades experimentarán una reducción del60 % en ataques exitosos externos”GARNER 2007<br />
  25. 25. Vulnerabilidades por impacto<br />25<br />FUENTE : SECUNIA 2008<br />
  26. 26. Vulnerabilidades de “día 0”<br />26<br />FUENTE : SECUNIA 2008<br />
  27. 27. Ataques comunes en aplicaciones WEB<br />FUENTE : WHID 2008<br />
  28. 28. Virus, Spyware, Gusanos, Trojanos, etc<br />1,600,000<br />1,500,000<br />1,400,000<br />1,300,000<br />1,200,000<br />1,100,000<br />1,000,000<br />900,000<br />800,000<br />700,000<br />600,000<br />500,000<br />400,000<br />300,000<br />200,000<br />100,000<br />86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08<br />La cantidad de “Malware” se incrementa cada año<br />20x <br />En los últimos 5 años<br />3x <br />Tan solo en el últimoaño<br />FUENTE : F-SECURE<br />
  29. 29. Tiempo de explotación de nuevas vulnerabilidades <br />
  30. 30. Herramientas disponibles en internet<br />
  31. 31. Gestión de Vulnerabilidades<br />A quienes les debe interesar<br />Procesos de Gestión Seguridad de la Información<br />Que es la Gestión de Vulnerabilidades<br />Objetivos principales<br />Preparación inicial y requerimientos<br />La Gestión de Vulnerabilidades<br />
  32. 32. A quienes les debe interesar<br />Desarrolladores de software (Cliente-Servidor, Escritorio, Aplicaciones Web, Teléfonos inteligentes)<br />Seguridad de Infraestructura<br />Seguridad de Aplicaciones<br />Administradores de Proyectos<br />Gerencias IT<br />Gobierno Corporativo<br />Otros<br />Todos<br />“Para un cyber-criminal, las vulnerabilidades en una red son los objetivos de mayor valor1!”<br />An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.<br />Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2<br />
  33. 33. Procesos de Gestión Seguridad de la Información<br /> Forma parte parte del Gobierno de la Seguridad de la Información<br />Gestión de Sistemas de Seguridad de la Información<br />Gestión de Usuarios y Recurso Humano<br />Gestión de Incidentes<br />Gestión de Respaldos<br />Gestión de Control de Cambios<br />…<br />Gestión de Vulnerabilidades e Implementación de Parches<br />An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.<br />Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2<br />
  34. 34. Que es la Gestión de Vulnerabilidades<br />La Gestión de Vulnerabilidades, es el proceso que debe ser implementado para hacer que las plataformas de IT sean mas seguras y para mejorar la capacidad de cumplimiento de normas en la organización1.<br />La adecuada gestión de la vulnerabilidad es la integración de los actores, procesos y tecnologías que establecen y mantienen una línea de base para la protección de una organización.<br />El proceso de la gestión de la vulnerabilidad incluye el descubrimiento de la vulnerabilidad, análisis de riesgos, medidas de mitigación, y un infraestructura que permita una adecuado y continuo monitoreo, seguimiento y mejora.<br />Gartner Research; Improve IT Security With Vulnerability Management; Number: G00127481<br />
  35. 35. Objetivos principales<br />Identificar y corregir las fallas que afectan la seguridad, desempeño o funcionalidad en el software.<br />Alterar la funcionalidad o actuar frente a una amenaza de seguridad, como al actualizar una firma de antivirus<br />Cambiar las configuraciones del software para hacerlo menos susceptible a una taque, que se ejecute con mayor velocidad o mejore su funcionalidad<br />Utilizar los medios mas efectivos para afrontar los ataques automatizados (como gusanos, negación de servicios, etc.)<br />Habilitar la forma efectiva y gestión la gestión correcta de seguridad del riesgo<br />Documentar el estado de seguridad para auditoria y cumplimiento con las leyes, regulaciones y políticas de negocio.<br />An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.<br />Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2<br />
  36. 36. Preparación inicial - Requerimientos<br />Establecimiento previo de Gestión de Políticas de Seguridad<br />Establecer los roles y responsabilidades del personal involucrado en el proceso.<br />Establecer un inventario de activos de la plataforma tecnológica (Servidores, equipos, versiones de sistemas operativos, aplicaciones cliente - servidor, bases de datos, aplicaciones web, etc.)<br />Establecer los roles de los activos del inventario<br />Desarrollar métricas de seguridad de la información<br />Establecer la línea base “Donde se comienza” y el GAP “Donde se desea llegar”<br />
  37. 37. Pasos<br />Alineación de la Política<br />Identificación<br />Paso 1, El inventario<br />Evaluación<br />Paso 2. La Detección de vulnerabilidades<br />Paso 3, Verificación de la vulnerabilidad contra el inventario<br />Paso 3, Verificación de la vulnerabilidad contra el inventario<br />Paso 4, Clasificación y valoración del riesgo<br />Remediación<br />Paso 5, Remediación<br />Monitoreo<br />Paso 6, Verificación<br />An Approach to Vulnerability Management; UmeshChavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org.<br />Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2<br />
  38. 38. Alineación de la Política<br />La creación de las políticas debe iniciar en la parte mas alta de la gerencia o presidencia de una organización, de forma que requiera de la observación ejecutiva la que asegura una implementación sistemática.<br />La creación de normas y lineamientos de seguridad que respalden los controles adecuados en para la Gestión de Vulnerabilidades, aseguran la implementación y funcionalidad de la Gestión de Vulnerabilidades.<br />
  39. 39. Identificación, Paso 1: El inventario<br /> Crear el inventario y categorizar los activos<br />Para encontrar y corregir adecuadamente las vulnerabilidades, es necesario primero identificar los elementos o activos tecnológicos (servidores, estaciones de trabajo, equipos de comunicaciones, etc.)<br />Es importante crear una base de datos, que relacione el activo a sus características técnicas (IP, Sistema Operativo, Aplicaciones, ROL)<br /> Identificar en el inventario<br />Es importante identificar en el inventario el Rol, criticidad de negocio, Unidad de negocio, agrupación geográfica o lógica.<br />
  40. 40. Identificación, Paso 1: El inventario<br /> Priorización por impacto al negocio<br />Es importante que el activo se lo categorice en base al riesgo e impacto de negocio.<br /> Que es más critico para los objetivos del negocio!<br />La misma vulnerabilidad no tendrá el mismo impacto en un sistema perteneciente al “CORE” de negocio que en un sistema con una función poco importante.<br />
  41. 41. Identificación, Paso 1: El inventario<br /> Generación del mapa por exploración<br />Detectar todos los elementos conectados a la red.<br />Detección de los elementos Públicos (Externos), Privados (Internos).<br />Permite confirmar los elementos de la plataforma tecnológica al compáralo con el inventario<br />Detección de elementos no contemplados (Conexiones inalámbricas, estaciones de trabajo, servidores, redes)<br />
  42. 42. Evaluación, Paso 2: La Detección de vulnerabilidades<br />La detección de vulnerabilidades es la tarea fundamental de búsqueda y clasificación del las vulnerabilidades en cada sistema.<br />Los productos comerciales y de código abierto dedicados a la detección de vulnerabilidades no son la solución, son la herramienta base del proceso<br />Beneficios de los productos:<br />Las herramientas prueban sistemáticamente y analiza a los elementos conectados a una red en búsqueda de errores, fallas y malas configuraciones<br />Un reporte post-detección, revela con precisión las vulnerabilidades actuales y expone las formas de corrección de las mismas.<br />
  43. 43. Evaluación, Paso 2: La Detección de vulnerabilidades<br />La detección de vulnerabilidades debe ejecutarse de dos formas:<br />Caja negra.- Sin conocimiento de autenticación u otra información<br />Caja blanca.- Con conocimiento de un usuario con privilegios de sistema e información adicional<br />(Caja gris)<br />
  44. 44. Evaluación, Paso 3: Verificación de la vulnerabilidad contra el inventario<br />Es importante revisar y verificar la existencia d una vulnerabilidad contra la base de datos del inventario, lo que permite reducir el esfuerzo que se dedica a controlar una vulnerabilidad que no aplica a la configuración del la red.<br />Eliminación de falsos positivos<br />Eliminación de falsos negativos<br />Se debe usar una segunda herramienta de detección de vulnerabilidades<br />
  45. 45. El reporte de vulnerabilidades<br />Las herramientas de detección de vulnerabilidades deben tener la capacidad de generar reporte:<br />Que mantengan la asociación del activo a las vulnerabilidades<br />Que presenta la información de la vulnerabilidad y de la remediación o control de la misma<br />Que no reporte exceso de falsos positivos o falsos negativos<br />Que se a de fácil comprensión<br />Que muestre la asociación del activo con un valor de riesgo de negocio<br />
  46. 46. Evaluación, Paso 4: Clasificación y valoración del riesgo <br />La remediación de todos los activos es prácticamente imposible<br />Las vulnerabilidades deben ser categorizadas, segmentadas y priorizadas en base a la criticidad del activo para el negocio<br />Categorización<br />Critico: El abuso puede permitir la propagación de un gusano sin intervención humana, o la ejecución de código sin restricción.<br />Importante: El abuso puede permitir el compromiso de la confidencialidad, integridad o disponibilidad de los datos de usuario o de la integridad o disponibilidad de los recursos.<br />Moderado: El abuso es serio, pero es mitigado por factores como configuración, auditoria, la necesidad de acción del usuario o dificultad de ejecución.<br />Bajo: El abuso es extremadamente difícil o su impacto es mínimo.<br />www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true<br />
  47. 47. Paso 5: Remediación <br />La remediación es el proceso de control de la vulnerabilidad.<br />La remediación puede ser directa o indirecta<br /> Siempre se debe realizar pruebas antes de colocar un parche en producción (pre-test), lo que evita la posibilidad de daño en el sistema<br />Directa:<br />Aplicación de un parche o programa de corrección (fix)<br />Cambio de configuración<br />Actualización de versión<br />Indirecta (Controles compensatorios)<br />Implementación de sistemas HIPS (Host Intrusion Prevención System)<br />Implementación de sistemas SIEM (Security Information and Event Management)<br />Sistemas de Parchado Virtual<br />Control con IPS de red o firewalls de ultima generación<br />
  48. 48. Remediación inicial y endurecimiento<br />Remover servicios, funciones, usuarios no requeridos.<br />Mantener solo una función por servidor (Controlados de dominio, Base de datos, Servidor Web, FTP, etc.)<br />Cambiar las configuraciones de fabrica (Sistema operativo y aplicaciones)<br />Instalar parches Sistema operativo<br />Instalar aplicaciones adicionales (Solo requeridas)<br />Instalar parches de aplicaciones adicionales <br />Aplicar plantillas de endurecimiento (Por producto)<br />Instalar y mantener un antivirus<br />Documentar estándar de configuración<br />Implementar respaldos y bitácoras<br />Generar lista de revisión <br />
  49. 49. Remediaciones posteriores<br />Revisar cumplimiento contra documento de estándar de configuración<br />Revisar cumplimiento contra lista de revisión<br />Aplicar parches adicionales (Sistema Operativo y aplicaciones) realizar pre-test antes de instalaciones en producción<br />Aplicar remediaciones adicionales<br />Documentar cambios en estándar de configuración y lista de revisión<br />
  50. 50. Monitoreo, Paso 6:Verificación<br />La verificación de los correctivos aplicados es importante, se debe demostrar que la plataforma ya no tiene la vulnerabilidad.<br />Permite demostrar la eliminación o permanencia de una vulnerabilidad<br />Utilización de dos productos diferente<br />Descarta falsos positivos<br />Muestra falsos negativos<br />
  51. 51. Establecer el proceso continuo<br />Cronograma establecido por activos (3 meses)<br />Revisar y ajustar el proceso continuamente<br />Educar y concientizar al personal involucrado respecto al proceso<br />Establecer roles de los involucrados<br />Revisar la documentación generada (demostrar cumplimiento)<br />El proceso debe ser verificado y respaldado por la alta gerencia <br />Suscripción A BOLETINES DE ALERTA<br />Recordar que el proceso si no es continuo, cíclico y demostrable no permitirá un nivel optimo en la seguridad de la plataforma tecnológica<br />
  52. 52. Herramientas de Gestión de Vulnerabilidades<br /> Que buscar en la herramienta?<br />Sistema de tickets y workflow<br />Sistema de Reportería en el tiempo (CUBOS)<br />Permita la clasificación y el inventario de activos<br />Permita la clasificación correcta y valoración del riesgo en los activos<br />Permita el establecimiento de pruebas por cronograma<br />Permita establecer los roles de los activos<br />La creación de los roles de personal involucrado en el proceso.<br />
  53. 53. Importante<br />La Gestión de Vulnerabilidades no se puede llevar a cabo con un solo producto<br />Los productos ofertados no son la panacea, son herramientas que permiten llevar a cabo el proceso<br />La integración del Proceso de Gestión de Vulnerabilidades y la educación apropiada sobre el tema es muchas veces mas importante que cualquier producto<br />La organización, visión, estrategia y procesos de integración permiten la ejecución apropiada de la Gestión de Vulnerabilidades<br />
  54. 54. El Arte de la Guerra, SunTzu<br />El Arte de la Guerra nos enseña que no debemos depender de la posibilidad de que el enemigo no venga, sino que debemos estar siempre listos a recibirlo.<br />No debemos depender de la posibilidad de que el enemigo no nos ataque, sino del hecho de que logramos que nuestra posición sea inatacable.<br />http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317<br />
  55. 55. Preguntas?<br />FIN<br />Lista de referencias en los comentarios de la lamina<br />
  1. ¿Le ha llamado la atención una diapositiva en particular?

    Recortar diapositivas es una manera útil de recopilar información importante para consultarla más tarde.

×