Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Introducción 3
Rol del CSO 10
Definición de malware (malicious software): 10
Definición de crimeware (criminal software): 10
Definición de virus: 10
Métodos de detección de los antivirus 12
Detección basada en firmas 12
Identificación por comportamiento (heurística) 12
Spam 12
AntiSpam (MailServer, Workstations y Gateway) 13
Anti-Phishing 13
Pharming 13
Firewalls 13
Alcance de protección 13
Funcionamiento 13
¿Qué filtran? 13
Reglas 14
Topologías 14
IPS (Intrude Protection System) 15
Análisis forense 18
Investigación post-evento 18
Recolección de evidencia 18
Procedimientos forenses 18
Arquitectura de redes seguras 19
Pasos para registrar un incidente 19
Hacking ético 21
Técnicas 21
Sigla CIA 21
Norma ISO/IEC 27002-2013 21
Fases para la implementación de la ISO/IEC 27001-2013 22
BCP (Business Continuity Plan) 23
Objetivo 23
Definición 23
Plan de contingencia de IT (Disaster Recovery Plan) 23
Plan de recuperación de servicios de IT (Disaster Recovery Service) 23
Estados del BCP 23
BIA (Business Impact Analysis) 24
¿Cómo se relacionan BIA y RTO? 24
¿Cuál es el tipo de sitio que me permite recuperar la operación en el mínimo tiempo?
24
¿Cuáles son las fases para desarrollar un BCP? 25
Legislación y normas 26
Vulnerabilidades, riesgos y amenazas 26
¿Qué es un riesgo? 26
Riesgo 26
Amenaza 26
Vulnerabilidad 26
Auditoría en sistemas y auditoría de seguridad 27
Confección del informe final 27
Primer parcial 28
Segundo parcial 32
Introducción
Privacidad:
Contraseñas.
Ransomware.
El valor de la información:
Robar – Espionaje.
Copiar – Plagio.
Adulterar – Fraude.
Destruir – Vandalismo.
Involucrar en delito informático – Cómplice.
Leyes importantes
Ley 25326: Ley de protección de datos personales.
Ley 26488: Ley de delitos informáticos.
Protección en capas:
Control físico.
Control técnico.
Control administrativo.
Datos y activos de la empresa.
Alta dirección
La seguridad tiene que ser empleada de arriba hacia abajo, es decir, el CSO
(Chief Security Officer) de seguridad tiene que estar en la misma posición que
los demás gerentes y estar abajo solo de la alta dirección.
Procedimientos:
Una vez que la política ya fue aprobada e implementada. Mientras se
implementa se tiene que redactar el procedimiento para que todo el mundo
pueda cumplir con esa política.
Estándares:
En el caso de latam seguimos la ISO 27002, 27001. En EEUU siguen el IS.
Documentación:
Todo tiene que estar documentado porque es la única forma que yo tengo de
hacer auditorías y verificar incumplimientos o desvíos. Porque si no tengo
como constatar que el empleado sabiendo que algo lo tenía que hacer de una
forma determinada que está especificado en un documento y lo hace de otra
forma, no tengo forma de demostrar que hubo un desvío.
Entrenamiento:
Cada nueva política va a estar aplicando necesidad de productos distintos,
entonces, voy a tener que capacitar a la gente que va a tener que usar ese
producto y gestionarlo, pero además tengo que hacer un trabajo de
concientización en seguridad para todo el personal (también llamado security
awareness).
Esto se coordina con RRHH (porque sé quién tiene la responsabilidad de
convocar a la gente y llevar control de presentismo), con el armado del
contenido de los cursos con la gente de seguridad o si no hay gente para
armar eso van a tener que contratar a algún proveedor tercerizado que arme
los contenidos y dicte las charlas.
Contratación:
Si no tenes los recursos suficientes para gestionar una determinada solución
que está justificada por una política tengo que ver que tengo que contratar.
Puede ser por incorporación directa (que esté bajo contrato) o que tenga que
contratar a una empresa, que el empleado sea de ellos y me brinde el servicio
a mí.
Certificación:
Apunta a si la certificación de seguridad (ISO 27001) genera algún tipo de
beneficio a la empresa. Por ejemplo, puede generar mayor cantidad de
clientes, o va a permitir que a los clientes les cobre más.
Auditoría:
Cuales van a ser los mecanismos que la gente de auditoría va a seguir para
poder verificar cumplimientos o desvíos de esas políticas.
Identificando tecnología
Con qué productos voy a estar sustentando las distintas políticas que yo definí
para poder hacer la definición. Y esos productos van a tener que estar
documentados su uso en los procedimientos (recordar que la política no debe
nombrar nada de tecnología y debe ser totalmente objetiva).
Tecnologías que se pueden utilizar:
Analizadores de vulnerabilidades.
Firewalls (Appliances; Software): Se pueden utilizar como equipos o
como software.
IDS (Intrusion Detection System) e IPS (Intrusion Prevention System).
IDS solo detecta y avisa, IPS surgió posteriormente y además previene.
Antivirus; AntiSpywares.
Encriptación, también conocido como cifrado. Puede aplicarse a tráfico
(VPNs) en caso que se necesite conexión a distancia, a partes de una
base de datos (enmascaramiento) en los casos en que se necesite que
un dba no pueda ver información sensible, ejemplo, encriptar el salario
de todos los empleados.
VPN (IPsec, SSL). Sirve para cifrar tráfico. IPsec lo utilizo cuando los
equipos que se van a conectar son conocidos por la empresa, son
administrados por la empresa, por ejemplo, si la notebooks a todos los
empleados y se conectan en forma remota pueden usar el protocolo
IPsec porque la empresa sabe que elementos de seguridad posee cada
equipo y lo gestiona.
En cambio, cuando se quiere dar la facilidad que los empleados puedan
llegar a trabajar como teletrabajadores utilizando las pcs de sus casas
ahí tengo que trabajar con SSL (Secure Socket Layer), protocolo muy
utilizado por ejemplo cuando nos conectamos a un sitio de homebanking
y el sitio se convierte en https, en este caso esa conexión pasa a estar
encriptada con SSL.
Autenticación fuerte, si voy a necesitar soluciones de tokens, por
ejemplo, para tener un segundo nivel de validación de un usuario que se
quiera conectar (ademas de usuario y contraseña tiene que colocar el
número de token y el pin que tiene asignado a su token).
Sistemas biométricos, como lectores de huella digital, lector de iris,
lector de palma de mano completa, etc.
Consolas centralizadas, de tener varios servicios de seguridad,
consiste en tratar de utilizar herramientas que me permitan centralizar
cada una de esas consolas cosa de que yo pueda tener una sola persona
mirando un solo monitor y no que tenga que tener 7 personas mirando
distintas consolas porque son distintas soluciones. Y como suelen ser
trabajos por turno eso significa tener contratadas a 21 personas solo
para controlar consolas.
Control de accesos, se evalúan políticas de contraseñas y también se
van a evaluar los controles de acceso físico.
Gestión
Si se implementan solo dirección y tecnología se tiene a la seguridad
informática corriendo en piloto automático porque se terminan de implementar
todas las herramientas y se cree que están funcionando bien pero no tengo la
certeza. Para tener la certeza de que están funcionando bien hace falta la
gestión.
Herramientas de gestión:
Monitoreo 7x24x365.
Detección y seguimiento de incidentes, porque cada vez que se
produce un incidente debo averiguar porque se produjo y como se
resolvió, eso sirve para actualizar mi política de seguridad o mis reglas
de seguridad. Puede que haya que agregar una regla más al firewall para
que cubra una situación que no estaba contemplada.
Actualización de sistemas y plataformas, sistemas operativos
actualizados al último nivel porque actualmente las actualizaciones de
sistemas operativos aplican parches de seguridad y no solamente
agregan funcionalidad.
Mejoramiento del nivel de seguridad.
Análisis forenses, lo tengo que hacer cuando el activo de información
que se vió afectado lo justifica. Tiene que ser un activo de información
que sea de misión crítica para la compañía o cuyo valor es muy
importante para la compañía. Entonces tengo que averiguar no solo
como es que lo hicieron sino quién.
Pruebas de penetración y análisis de vulnerabilidades,
◦ Penetration test:
Se hace cuando la aplicación que tengo que evaluar es de misión
crítica, maneja dinero o maneja un activo de información totalmente
crítico para la empresa (por ejemplo, una aplicación de
homebanking). Un penetration test se ejecuta haciendo uso de una
batería de aplicaciones (23 o 26 programas dependiendo las
herramientas) y elegir entre ellos para ver si alguno de ellos puede
tirar abajo la aplicación o no, y esta hecha para el SO para el cual
está corriendo. Ejecutó ese exploit contra el servidor, y si el servidor
es robusto y está bien parcheado va a repeler el ataque y la aplicación
se va a mantener. En cambio si el exploit tira la aplicación se hace
que la aplicación aborte.
◦ Análisis de vulnerabilidades:
En el vulnerability assessment, la diferencia está en que estoy usando
herramientas que internamente tienen una secuencia de comandos de
hacking ético, entonces van a evaluar si tengo vulnerabilidades a nivel
aplicaciones, si tengo contraseñas triviales, si las contraseñas no
están protegidas, etc. Y va a hacer una cosa y después otra solo, sin
que yo le tenga que decir nada, solamente se le tuvo que apuntar una
dirección IP o una URL. Cuando termina genera un reporte diciendo
todas las cosas que encontró, pero en todos los casos todo lo que
encontró no lo explotó.
Por eso es que penetration test me puede provocar DDOS pero el análisis
de vulnerabilidad no. Por lo que un análisis de vulnerabilidad se puede
ejecutar en cualquier momento del día, mientras que un penetration test
se puede ejecutar luego de que la gente dejó de trabajar en la empresa.
Generación de informes y reportes, porque la alta gerencia tiene que
saber permanentemente que es lo que pasa en la parte de seguridad. Si
no recibo información, la imágen que se da es que no se está trabajando
en el área de seguridad informática y luego sucede que cuando el
gerente de seguridad pide presupuesto al director financiero porque
quiere reemplazar soluciones de firewall de una marca por otra más
robusta se lo niegan y quizá este cambio es realmente necesario debido
a que en área de seguridad detectaron muchos intentos de penetración.
Debido a esto hay que mantener informada a la gente de la alta gerencia
con los reportes de seguridad y también a los directores departamentales
respecto de lo que pasa con su gente porque también se puede llegar a
detectar que necesito una estrategia de capacitación de un sector
determinado con un departamento determinado porque la gente de ese
sector cuando fueron citadas a las charlas no participó o no fue o no
prestó atención.
Normas ISO importantes:
27002: Una de las cosas que dice es que el responsable tiene que tener
el mismo rango jerárquico que sus pares responsables departamentales.
Ejemplo, si son directores, el de seguridad será director, si son gerentes,
el de seguridad será gerente. El único que está por arriba será el
presidente o gerente general.
Definición de virus:
Es un archivo o porción de archivo dañino que es capaz de reproducirse,
autoejecutarse y ocultarse para no ser identificado. Por lo general necesitan un
huésped. Tipos:
Gusano: Se propagan por canales de comunicación, no necesitan un
huésped ni infectan archivos, y explotan vulnerabilidades.
Troyano: Necesita ser ejecutado, no se propaga por sí mismo, y suele
descargar otras piezas de malware.
Spyware: Se instala sin consentimiento del usuario, genera perfiles de
usuario y de navegación, y roban información.
Rogue: Falsos antivirus, realizan falsos escaneos, genera falsas alarmas,
e intenta que el usuario “compre” la aplicación.
Rootkit: Esconde recursos en el sistema, se ejecuta en el Ring 0, y son
difíciles de detectar.
Backdoor: Suelen ser instalados por Rootkits, permite al atacante
acceder al sistema víctima para lograr control total sobre él.
Anti-Phishing
Se verifica URL, contenidos, título o palabras clave, se detectan emails de
phishing y pueden ser bloqueados o eliminados.
Pharming
Ataque a servidores DNS (Domain Name Servers) donde se modifica su
memoria caché, modificando el destino de las URLs mapeadas.
De esta manera, el usuario nunca se entera que está siendo dirigido a otro
sitio distinto del legítimo.
Es un ataque común hacia los ISP’s, y al archivo HOST en Windows.
Firewalls
Alcance de protección
Funcionamiento
Protección y control de accesos básicos de tráfico hacia las redes del cliente y
viceversa. Es pasa o no-pasa. (Análisis de Encabezado) Políticas de seguridad
para permitir o no el acceso a la Red de IP’s de origen, IP’s de destino, ports y
protocolos.
¿Qué filtran?
Acceso a redes y servidores, inspeccionan el estado, puertos, protocolos y
paquetes. Hay que cerciorarse de que las operaciones sean realizadas en base
a políticas definidas.
Control del encabezado de datos (Header de un datagrama IP):
Es una primera medida de seguridad, pero no suficiente ahora
Reglas
Permit: Permite la regla establecida. Ejemplo: permit tcp host 1.1.1.1
any eq 53, permite que 1.1.1.1 haga un telnet a cualquier dirección ip.
Deny: Deniega la regla establecida. Ejemplo: deny tcp host 1.1.1.1 any
eq 53, deniega que 1.1.1.1 haga un telnet a cualquier dirección ip.
Drop: Tiene la misma función que el Deny, tanto Drop como Deny
cuando descarta un paquete no avisan al destino que se descartó el
paquete. Existe una cuarta regla que se llama Reject que tiene la
función del Drop o Deny pero cuando se descarta un paquete se suele
mandar un mensaje ICMP al destino avisando porque se descartó el
paquete.
Topologías
El análisis se realiza a nivel de header:
IPS (Intrude Protection System)
Protege el acceso a redes, servidores y aplicaciones. Inspecciona paquetes,
protocolos y perfiles a nivel profundo y se cerciora de que los intentos de
intrusión a todo nivel sean bloqueados. Se analizan los contenidos de datos a
fin de identificar si son correctas o si son ataques directos, encapsulados o
fragmentados
Tiene:
Análisis de comportamiento.
Políticas de seguridad para que determinados eventos generen alarmas y
decidan el bloqueo automático de los intrusos.
Motivación
Pérdida de productividad y/o de moral:
El acceso a sitios no relacionados con la ocupación laboral genera pérdida
de productividad y de recursos de red.
El acceso a sitios de contenido inapropiado genera atentados a la moral,
y más aún si sucede con menores en casa.
Content Filtering:
Bloqueo de sitios de internet por URL, categoría y/o contenidos.
En casa, tenemos la herramienta de Parental Control (Control de Padres)
para impedir que se accedan a sitios no convenientes (pornografía
infantil, pedofilia, phishing, etc).
Criptografía
¿Qué es?
Arte o ciencia de cifrar o descifrar información utilizando técnicas que hagan
posible el intercambio de mensajes de manera segura que sólo puedan ser
leídos por las personas a quienes van dirigidos.
La criptografía puede aplicarse en el almacenamiento y en la transmisión de la
información.
Conceptos
Criptografía: Ciencia que usa las matemáticas para cifrar y descifrar
datos, utilizando algoritmos y claves.
Criptoanálisis: Ciencia de obtener el descifrado de datos cifrados, sin
conocer la clave respectiva (ej. Ataque de Fuerza Bruta: probar todas las
claves posibles en sus combinaciones, hasta poder ingresar).
Complejidad: Cantidad de combinaciones posibles de claves.
Firma digital
¿Cómo funciona?
Se establece un túnel segurizado y encriptado desde el origen hasta el destino.
La información viaja sin riesgos de alteración, ni pérdida, ni vulnerabilidades.
El destino sabe que el origen es válido por funciones de validación, por usuario
y contraseñas, autenticación fuerte mediante tokens, y protocolos de
encriptación (IPSec cuando el endpoint es conocido, SSL cuando el endpoint
desconocido o público).
Análisis forense
Investigación post-evento
1. Análisis del hecho: Se analizan los logs, registros de video, eventos
correlacionados, para la determinación de los daños si existieron, o el
recurso que ha sido víctima del intento de delito.
2. Adquirir evidencias: Se adquieren evidencias (ante Escribano o
privadas). Tomar evidencias ante Escribano si se las quiere presentar en
procesos judiciales como pruebas (ej. archivos o correos eliminados).
3. Determinar ataque: Con el análisis de la información y eventos,
determinar el origen del ataque, tipo de ataque, país de origen, ISP que
da servicios a esa IP.
4. Iniciar acciones legales: Con esos datos, si se desea y justifica, iniciar
acciones legales.
5. Ajustar políticas: Ajustar las políticas de seguridad para que eso no
suceda en el futuro, o se vea mitigado.
Recolección de evidencia
1. Autenticidad: Quien haya recolectado la evidencia debe poder probar
que es auténtica.
2. Cadena de custodia: Registro detallado del tratamiento de la evidencia,
incluyendo quiénes, cómo y cuándo la transportaron, almacenaron y
analizaron, a fin de evitar alteraciones o modificaciones que
comprometan la misma.
3. Validación: Garantizar que la evidencia recolectada es la misma que la
presentada ante las autoridades.
Procedimientos forenses
1. Identificación: Origen de la evidencia (computadoras, celulares,
Tablet-PC, memorias, servidores, backup tapes, Memorias USB, virtual
drives, SAN, discos rígidos externos, CD, DVD, diskettes, SIM cards, etc).
2. Preservación: Protección del área de trabajo, técnicas forenses de
adquisición cadena de custodia, integridad, confidencialidad.
3. Procesamiento: Extraer valor de la información sin modificarla (por ej,
recuperar archivos eliminados).
4. Revisión/Análisis: No modificar la evidencia durante la revisión,
registros de auditoría de lo realizado.
Arquitectura de redes seguras
Técnicas
Footprinting: Consiste en obtener información.
Scanning: Consiste en escanear sistemas activos y puertos abiertos de
los sistemas operativos.
Enumeración: Consiste en enumerar recursos de red, cuentas de
usuario y aplicaciones.
Ataque o hacking.
Wardriving: Consiste en detectar redes sin protección o con protección
vulnerable para poder atacarlas.
Sigla CIA
Confidencialidad: Activo que no será revelado a ninguna persona,
entidad o proceso a no ser que se tenga la autoridad suficiente.
Integridad: Mantenimiento de la exactitud y la completitud de la
información.
Disponibilidad: Acceso y utilización de la información para cuando lo
requieran aquellas personas, entidades o procesos con autoridad para
hacerlo.
Objetivo
Lograr que las operaciones de negocios continúen desarrollándose ante la
ocurrencia de desastres naturales o humanos.
Definición
Plan para recuperar la continuidad de operaciones de negocios, ante la
ocurrencia imprevista de desastres naturales o humanos.
Su contenido incluye al DRP (Disaster Recovery Plan) de IT, y su producto es
el BCP (Business Contingency Plan). Su gestión en régimen, manteniéndolo
actualizado y vigente, se llama BCM (Business Continuity Management).
El RTO con el BIA tienen la relación de que me permite determinar dónde está
mi punto de quiebre. Esto significa que tengo que tratar de recuperar la
operación antes de llegar al RTO de estar parado, si me excedo, me excedo
también en las pérdidas del BIA porque son costos que no puedo calcular
(penalidades, multas, juicios por incumplimiento de service level agreement),
en cambio hasta el punto de quiebre tengo pérdidas tangibles como se puede
ver en la figura (ausencia de ventas y ausencia de cobranzas).
¿Qué es un riesgo?
Potencial de que cierta amenaza pueda explotar las vulnerabilidades de un
activo o grupo de activos, y causar daños a la organización (ISO/IEC
27005-2008).
Dado un riesgo, digamos un desastre natural, no vamos a poder evitarlo pero
si teniendo conciencia de esto podemos mitigar el riesgo.
Riesgo
Probabilidad de que algo ocurra dadas determinadas circunstancias. Es decir, si
dejo la puerta de casa abierta de par en par todo el día es un riesgo, hay
probabilidad de que ocurra algo como puede que no ocurra nada.
Amenaza
Materialización del riesgo. Deje la puerta abierta y se metió un ladrón.
Vulnerabilidad
Debilidad o grado de exposición. Por ej, tener en tu casa una puerta de papel.
Nº Pregunta Si No Respuesta
En la implementación de soluciones de
data loss prevention en entorno
windows con active directory, ¿cuál es
22 el nivel de privilegio que debe tener el Administrador de dominio
usuario para realizar la
implementación? (en un entorno
corporativo)
1. Nombrar al CSO.
Para implementar seguridad en una
2. Crear el comité de
organización desde el inicio, mencione
25 seguridad.
los 3 primeros pasos que se deben
3. Realizar el risk
concretar.
assessment.
Nº Pregunta Si No
ISO/IEC 22301 X
1 ¿Cuáles de estas normas son certificables actualmente? ISO/IEC 27005 X
ISO/IEC 27001 X
Porque intuyo que me han
X
provocado algún daño
Porque he tenido un
ataque involucrando un
¿Por qué debo realizar un proceso de análisis informático X
2 forense?
activo de información
crítico
Porque estimo que sufriré
un ataque en los próximos X
días
Autenticidad
¿Cuáles son las 3 condiciones que hacen que una evidencia sea reconocida como Cadena de
3 válida? Guarda
Validacion
Listar las evidencias
X
disponibles
Sacar una fotografía del
entorno donde se hará la X
Cuando se realiza el proceso de recolección de evidencias, investigación
4 ¿cuál es la primera acción que se debe llevar a cabo?
Rotular las evidencias X
Confeccionar las planillas
identificatorias de cada X
evidencia
Realizar copias de las
evidencias digitales X
originales
Las copias debe hacerlas
El perito informático forense, ¿cómo debe organizar su
5 trabajo?
delante de un escribano X
público
Puede trabajar sobre el
original si no dispone de X
tiempo para las copias
Realiza la investigación de
X
acuerdo con su curiosidad
Registro
Identificación
¿Cuál sería el circuito de tratamiento de este incidente? Clasificación
(desde su registro e identificación hasta su resolución y Asignación
cierre, indicando las funciones de acuerdo con un sistema Tratamiento
de gestión de incidentes) Seguimiento
Resolución
Catalogación y guarda
Una vez identificado el responsable, el responsable de Si el responsable es interno:
seguridad debe elevar las evidencias y el informe
correspondiente a la alta gerencia y a RRHH y/o legales
según corresponda.
Si el responsable es externo:
¿Cuál es el procedimiento que debería seguir el
responsable de RRHH y/o legales, según sea identificado el
responsable interno u externo?