• Like
Gestión de Auditorías de Seguridad
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

Gestión de Auditorías de Seguridad

  • 326 views
Published

 

Published in Technology
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Be the first to comment
    Be the first to like this
No Downloads

Views

Total Views
326
On SlideShare
0
From Embeds
0
Number of Embeds
0

Actions

Shares
Downloads
15
Comments
0
Likes
0

Embeds 0

No embeds

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
    No notes for slide
  • Buenos días mi nombre es nombre , y soy jobtitle de daVinci ciudad_mad/bcn/.. . Voy a presentar cuales son las soluciones que ofrece daVinci en el Á rea de Seguridad Informática o, como la denominamos internamente, el á rea de solución e-Security.
  • Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  • Ya hemos comentado la importancia de realizar las cosas con “método”. Prueba de ello es la elaboración de una metodología de desarrollo propia basada en el proceso unificado (RUP) y teniendo en cuenta los criterios de modelo CMM. (modelo que permite valorar el grado de madurez de los procesos de desarrollo de una organización). Actualmente estamos posicionándonos para poder ofrecer la asesoría necesaria para que nuestros clientes de seguridad obtengan la certificación ISO-17799 (basada en la inglesa BS7799) que acredita a las empresas como poseedoras de un riguroso nivel de seguridad. Del mismo modo queremos orientar nuestras soluciones de seguridad para que sean respetuosas con dicho estándard. Finalmente, estamos integrados en el grupo de desarrollo de OSSTMM, metodología para poder protocolizar los análisis de vulnerabilidades y la gestión del riesgo.
  • Ya hemos comentado la importancia de realizar las cosas con “método”. Prueba de ello es la elaboración de una metodología de desarrollo propia basada en el proceso unificado (RUP) y teniendo en cuenta los criterios de modelo CMM. (modelo que permite valorar el grado de madurez de los procesos de desarrollo de una organización). Actualmente estamos posicionándonos para poder ofrecer la asesoría necesaria para que nuestros clientes de seguridad obtengan la certificación ISO-17799 (basada en la inglesa BS7799) que acredita a las empresas como poseedoras de un riguroso nivel de seguridad. Del mismo modo queremos orientar nuestras soluciones de seguridad para que sean respetuosas con dicho estándard. Finalmente, estamos integrados en el grupo de desarrollo de OSSTMM, metodología para poder protocolizar los análisis de vulnerabilidades y la gestión del riesgo.

Transcript

  • 1. Gestión de Proyectos de Auditoría de Seguridad 1 18 de julio de 2003Rafael.Ausejo@dvc.esConsultor de Seguridad
  • 2. Índice– Detección de necesidades– Introducción a las Auditorías de Seguridad– Dimensionamiento de la Auditoría– La metodología OSSTMM 2– El informe de Auditoría– Para qué sirve la auditoría
  • 3. Detección de necesidadesCuando ACME dice: ¡Quiero una auditoría de seguridad! ¿Necesita Certificación? • Auditoría de Cuentas • Certificación ISO 9000-900X 3 ¿Necesita normativas? • Adecuación legal LOPD / LSSI-CE • Buenas Prácticas (ISO-IEC 17799)
  • 4. Detección de necesidades¿Necesita Seguridad?…• Protección contra intrusiones (IDS, IPS, etc.)• Protección contra virus, troyanos, malware...• Securización de sistemas internos (Hardening) 4 Asumimos que realmente necesita una Auditoría de Seguridad…
  • 5. Introducción a las Auditorías de Seguridad Tipos de Auditorías Auditoría de SeguridadAuditoría de Sistemas de Información Test de Intrusión• Interna (Caja Blanca) • Externa (Caja Negra)• Realizada en las instalaciones de • Realizada de forma remota 5 ACME • Se parte de un rango de IPs o de• Se parte de un esquema de red un dominio DNS• Información proporcionada por el • Información desconocida cliente
  • 6. Introducción a las Auditorías de SeguridadPeligros de una Auditoría Interna Auditoría de Seguridad Auditoría de Sistemas de Información Al final se convierte en Análisis remoto • Interna (Caja Blanca) • No es posible conectar un portátil • Realizada en las instalaciones del • No se puede acceder al CPD 6 cliente • Se parte de un esquema de red • No existe esquema de red • Información proporcionada por el • El cliente no sabe o no cliente proporciona la información
  • 7. Introducción a las Auditorías de SeguridadPeligros de un Test de Intrusión Auditoría de Seguridad Test de Intrusión Al final se convierte en Intrusión interna • Externa (Caja Negra) • Oye, necesito que te pases por ACME • Realizado de forma remota • Ya que estás aquí, échame una mano con el firewall 7 • Se parte de un rango de IPs o de • Inclúyeme el pasword cracking un dominio DNS • Revísame los IDSs • Información desconocida • Necesito un hardening de las máquinas • ¡Tienes dos semanas!
  • 8. Introducción a las Auditorías de Seguridad Hay más posibilidades• Análisis de Vulnerabiliades Hacking ético Auditoría de Seguridad• Test de Intrusión• Auditoría de Seguridad Penetration Testing 8• Comprobación de la Comprobación de Seguridad Seguridad• Hacking ético coste Análisis de VulnerabilidadesFuente: OSSTMM tiempo
  • 9. Introducción a las Auditorías de SeguridadSolución: Auditoría de Seguridad Internet: fase I OSSTMM Auditoría de Seguridad Internet • Externa (Caja Negra) • Realizada de forma remota 9 • Se parte de un rango de IPs o de un dominio DNS • Información desconocida • Cobertura: detección remota de vulnerabilidades • Se realiza en dos-tres semanas • Se sigue la metodología OSSTMM
  • 10. Dimensionamiento de la AuditoríaEl tiempo es dinero• Con la cobertura propuesta se calcula el tiempo y recursos necesarios para realizarla• Con el tiempo y los recursos necesarios se calcula el presupuesto de la auditoría 1El dinero es tiempo• Con el presupuesto inicial se calculan el tiempo y los recursos asignados• Con el tiempo y los recursos es posible llegar hasta determinada cobertura en la metodología OSSTMM.
  • 11. Dimensionamiento de la AuditoríaGestión del Proyecto 1
  • 12. Dimensionamiento de la AuditoríaBatería de preguntas• ¿Cuántos son los dispositivos a Auditar?Ej: 100 dispositivos físicos con 150 IPs en la misma clase C• ¿Cuál es la cobertura necesaria?Ej: Determinación y análisis de vulnerabilidades de cada uno 1• ¿Cuál es el tiempo necesario?Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NÚMERO DE RECURSOS
  • 13. Dimensionamiento de la AuditoríaACME: Seguimiento de la Auditoría de Seguridad Descripción de tareas Horas Horas Horas Día Fecha Descripción de tareas (Consultor 1) (Jefe de Proyecto) C1 JP Totales Lunes 16 de junio de 2003 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16 Martes 17 de junio de 2003 Búsqueda de información pública Documentación inicial 8 8 16 Miércoles 18 de junio de 2003 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8 Jueves 19 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) 8 0 8 Viernes 20 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10 Sábado 21 de junio de 2003 Domingo 22 de junio de 2003 Total Semana 40 18 58 Lunes 23 de junio de 2003 Análisis de Datos Análisis de Datos 8 8 16 Martes 24 de junio de 2003 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16 Miércoles 25 de junio de 2003 Determinación de SSOO y puertos TCP/UDP 8 0 8 Jueves 26 de junio de 2003 Comprobación manual de sistemas y servicios 8 0 8 Viernes 27 de junio de 2003 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10 Sábado 28 de junio de 2003 Domingo 29 de junio de 2003 Total Semana 40 18 58 1 Lunes 30 de junio de 2003 Mapa de Red Análisis de Datos 8 8 16 Martes 1 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16 Miércoles 2 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8 Jueves 3 de julio de 2003 Comprobación manual de vulnerabilidades 8 0 8 Viernes 4 de julio de 2003 Eliminación de falsos positivos Análisis de Datos 8 4 12 Sábado 5 de julio de 2003 Domingo 6 de julio de 2003 Total Semana 40 20 60 Lunes 7 de julio de 2003 Documentación Documentación 8 8 16 Martes 8 de julio de 2003 Documentación Documentación 8 8 16 Miércoles 9 de julio de 2003 Reunión final y Entrega Reunión 8 8 16 Total Semana 24 24 48 Total Auditoría 144 80 224 28 días
  • 14. Dimensionamiento de la Auditoría ProblemáticaLas tareas de gestión de El Jefe de Proyecto debeproyecto consumen tiempo ser real, no virtual, aunque esté al 33% en MS ProjectLos escaneos consumen 1tiempo y ocupan un Deben asignarse equiposmportátil portátile y fomentar la simultaneidad de tareasLo que no esté analizado Documentar todo lo que seen el informe no existe haga y poner una fecha de congelación de escaneos
  • 15. La metodología OSSTMMMetodología OSSTMM 1The Security Testing Professional and the OSSTMM “Open Source Security Testing Methodology Manual”
  • 16. La metodología OSSTMM 1
  • 17. La metodología OSSTMMDiagrama de Red Internet Usuario Router de Remoto acceso Segmento Segmento externo DMZ Red de SeguridadWeb, FTP DNS externo Relay de Cortafuegos Segmento de Correo 1 Anti Virus Red Interna CVPPC PC PC DNS Servidor Servidor de Bases de Interno de Correo ficheros Datos
  • 18. La metodología OSSTMMAuditoría de Seguridad Internet – Exploración de red – Escaneo de puertos – Identificación de Servicios – Identificación de Sistemas – Búsqueda y Verificación de Vulnerabilidades 1 – Comprobación de Aplicaciones Internet
  • 19. La metodología OSSTMM Análisis de la redObjetivo Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar.Resultados Nombres de Dominio Nombres de Servidores 1 Direcciones IP Mapa de Red Información administrativa del Proveedor de Servicios Propietarios y administradores de las máquinas Posibles limitaciones en las pruebas de la auditoría
  • 20. La metodología OSSTMM Escaneo de puertosObjetivo El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.Resultados Puertos abiertos, cerrados y filtrados Direcciones IP de sistemas activos 2 Lista de túneles descubiertos y encapsulación de protocolos Lista de protocolos de enrutamiento soportados descubiertos. Servicios activos Mapa de red
  • 21. La metodología OSSTMM Detección Remota de Sistemas OperativosObjetivo Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar unívocamente al Sistema Operativo remoto utilizado y el nivel de versión..Resultados Tipo de máquina 2 Tipo de Sistema Operativo Nivel de parches y Service Packs
  • 22. La metodología OSSTMM Prueba de ServiciosObjetivo Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, existe más de una aplicación tras un servicio, escuchando, además, en distintos puertos.Resultados Tipos de Servicio Activo 2 Tipos de Aplicación y nivel de versión Mapa de Red
  • 23. La metodología OSSTMM Análisis de VulnerabilidadesObjetivo Se realizará la búsqueda de vulnerabilidades usando herramientas automáticas para determinar agujeros de seguridad en aplicaciones y en versiones de parches. Se realizará un análisis básico de vulnerabilidades de los distintos sistemas, mediante procedimientos automáticos y manualesResultados Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad 2 Descripción de cada vulnerabilidad y forma de explotarla Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
  • 24. El informe de Auditoría Análisis de VulnerabilidadesResultados Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad Descripción de cada vulnerabilidad y forma de explotarla 2 Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
  • 25. Para qué sirve la auditoría• Auditoría, adecuación y definición de la Política, Normativas yProcedimientos de Seguridad, según estándar (ISO17799 / UNE 71501) ISO/IEC/UNE 717799-1:20021 Política de Seguridad 6 Comunicaciones y Gestión de Explotación2 Organización de la Seguridad 7 Control de Acceso al Sistema3 Organización y Control de Activos 8 Desarrollo y Mantenimiento 24 Seguridad Ligada al Personal 9 Plan de Continuidad y Mantenimiento5 Seguridad Física y del Entorno 10 Conformidad Legal y a la Política de Seguridad Establece el marco normativo de “obligado cumplimento”, para todos los ámbitos de la seguridad: seguridad lógica, física, del personal, cumplimiento legal, etc.
  • 26. Conclusiones 2
  • 27. Gracias 2DAVINCI Consulting Tecnológico, s.a.u.Parque Empresarial Alvento.Vía de los Poblados, 1 Edificio A 6ª planta28033 MadridTlf: 902 464 546 Fax: 91 561 3175htttp://www.dvc.es PPTs disponibles en ww.ausejo.net