Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
YADFARY MONTOYA H
NATALIA HERNÁNDEZ R
FICHA 230490
SENA
MEDELLÍN
2012
INTRODUCCIÓN
Objetivo General:
Objetivos específicos:
GRADO DE IMPORTANCIA
Muy Alta Alta Media Baja Muy Baja
5 4 3 2 1
Muy Alta 5 Son de vital importancia para acceso a servicios por los usuarios
Alta 4 Son herramientas fundamentales para el usuario y departamentos externos
Media 3 Son de gran importancia pero de menor prioridad
Baja 2 Son necesarias pero no implica mayor interacción con los usuarios
Muy Baja 1 No son tan necesarias
3. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar,
esto es, un mapa donde se representen todos los activos tangibles e
intangibles identificados en las actividades previas. Es muy importante no
dejar pasar detalles, pues de esta información depende el éxito del
análisis de riesgos.
Análisis de riesgo
El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación
de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de
análisis con criterios de riesgo establecidos previamente.
Hacking ético
Se llama “Hacking Ético” debido a que las técnicas y metodologías usadas son
similares a las empleadas por los hackers, pero el único objetivo es comprobar el
estado real y actual de la seguridad.
Prueba de intrusión
Las pruebas de intrusión (abreviado como pen tests [penetration tests, pruebas de
penetración]) consisten en probar los métodos de protección del sistema de
información sometiendo el sistema a una situación real.
Es una prueba realizada sobre los sistemas conectados a la red pública (Internet) o
privada del CLIENTE; se intenta obtener acceso, escalar privilegios y determinar si
existen más sistemas que puedan ser comprometidos de forma remota desde Internet.
METODOLOGIAS EXISTENTES
ISSAF
Constituye un framework detallado respecto de las prácticas y conceptos relacionados
con todas y cada una de las tareas a realizar al conducir un testeo de seguridad. La
información contenida dentro de ISSAF, se encuentra organizada alrededor de lo que
se ha dado en llamar "Criterios de Evaluación", cada uno de los cuales ha sido escrito
y/o revisado por expertos en cada una de las áreas de aplicación. Estos criterios de
evaluación a su vez, se componen de los siguientes elementos:
Una descripción del criterio de evaluación
Puntos y Objetivos a cubrir
Los pre-requisitos para conducir la evaluación
El proceso mismo de evaluación
El informe de los resultados esperados
Las contramedidas y recomendaciones
Referencias y Documentación Externa.
MAGERIT
Magerit es la metodología de análisis y gestión de riesgos elaborada
por el Consejo Superior de Administración Electrónica, como respuesta a la percepción
de la Administración, y, en general, toda la sociedad, dependen de forma creciente de las
tecnologías de la información para el cumplimiento de sumisión.
MEHARI
Es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb
de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías
previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía
de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo
modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y
confidencialidad.
CRAMM.
Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta
con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las
mejores prácticas de la administración pública británica, por lo que es más adecuado
para organizaciones grandes, tanto públicas como privadas.
EBIOS.
Es un juego de guías mas una herramienta de código libre gratuita, enfocada a
gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha
tenido una gran difusión y se usa tanto en el sector público como en el privado no sólo
de Francia sino en otros países.
TEST DE PENETRACION.
En este el analista simula ser un atacante, desde esta posición se realizan intentos de
ataques a la red, buscando debilidades y vulnerabilidades:-estudio de la red externa-
análisis de servicios disponibles-estudio de debilidades-análisis de vulnerabilidades en
dispositivos de red-análisis de vulnerabilidades de implementaciones y
configuraciones-denegación del servicio.
CAJA NEGRA:
Es una unidad la cual su estructura interna se desconoce, pero la función está
documentada. Los diseñadores de hardware y de software utilizan este término para
hacer referencia a los circuitos o al código de programación que ejecutan determinada
función. La mecánica interna de la función no es algo que interese al diseñador que
utiliza una caja negra para obtener una función. Por ejemplo, un chip de memoria
puede considerarse una caja negra. Muchas personas utilizan chips de memoria, e
incluso los diseñan para los equipos informáticos, pero por lo general sólo los
diseñadores de chips de memoria necesitan comprender su funcionamiento interno.
Existe un analista al cual solo se le da la información para acceder a la red o al
sistemas esta puede ser una dirección IP, por lo tanto este analista debe obtener toda
la información posible.
CAJA BLANCA.
Es el Método de prueba del software que pone a prueba las estructuras internas o el
funcionamiento de una aplicación en lugar de su funcionalidad (pruebas de caja
negra).En las pruebas de caja blanca el código fuente o un binario compilado se
evalúa desde un punto de vista interno para buscar vulnerabilidades de seguridad
errores de programación. Generalmente se utiliza en fases tempranas del desarrollo,
mientras el código y los módulos son creados .El analista puede tener acceso a toda la
red q va a analizar, tiene el privilegio de entrar a todos los equipos de la red como
súper usuario, lo cual permite que sea mas completo.
se trata de pruebas de penetración desde internet que identifican los riesgos de la red
perimetral (es una red local que se ubica entre la red interna de una organización y
una red externa, generalmente internet.) y analizan si estos pueden ser utilizados para
acceder a su red, violando sus medidas de seguridad, y en tal caso examinar si se
produce el debido registro de lo que está sucediendo y si se accionan o no las alertas
apropiadas, verificando la efectividad de los firewalls, de los sistemas de detección
de intrusos (IDS), de los sistemas operativos y de los dispositivos de comunicaciones
visibles desde Internet.
Viendo la situación de las empresas, cada día aumenta más las vulnerabilidades, por
lo que es un desafío diario luchar contra ellas.
Con este ensayo tengo como fin dar una clara definición acerca de la importancia que
tiene un análisis de riesgo junto con un análisis de vulnerabilidades, también a prevenir
dichos ataques que originan un gran impacto para las empresas u organizaciones a fin
de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la
ocurrencia del riesgo. Es por ello que dentro de las empresas se debe tener en cuenta
la realización de un análisis para implementar un plan que sirva para disminuir la
vulnerabilidad de los métodos que den respuesta al impacto una vez ocurrida la
amenaza para defender la continuidad y la calidad para poder garantizar un buen
servicio. Por último nos parece importante que el análisis de vulnerabilidad no se
emplee solo a las organizaciones físicas del sistema si no también a la formación y
administración de las empresas para establecer sus debilidades y plantear las
medidas correctivas que deban efectuarse para disminuir o eliminar la vulnerabilidad.
Es de vital importancia la realización del informe final, puesto que este es el resultado
del análisis de riesgos y a la vez es un instrumento técnico para la prevención de
daños, está dirigido básicamente a un uso administrativo en la empresa ya que
pretende servir como la base para considerara los planes de desarrollo integrando las
amenazas como factor potencial. De igual manera proporcionara información
importante para ser utilizada en la supervisión de la empresa a nivel de susceptibilidad
de amenazas. El informe final debe ser presentado usando un lenguaje claro y sencillo
que no sea tan técnico, concreto y fácil de comprender ya que esto no siempre se le
presentan a personas que saben del tema. Y sería difícil de comprender. El documento
puede contener recomendaciones análisis y propuestas. Las recomendaciones deben
orientarse a propuestas concretas, tras hacer una descripción al activo, un análisis de
cómo trabaja y las posibles consecuencias potenciales. Al momento de proponer
soluciones de prevención debemos de tomar en cuenta las posibles formas de ataque
y la forma financiera de la empresa y el nivel de riesgo existente que tiene, una
propuesta costosa o muy complicada no podría ser aplicada si no cuenta con los
recursos necesarios.
7. Investigue sobre las matrices, tablas, plantillas existentes para plasmar
la información obtenida en los análisis de vulnerabilidades y de riesgos,
adapte, diseñe o elija una que le permita presentar su información de
forma clara y concisa.
Existe la posibilidad de que haya filtración de agua por los conductos de aire
acondicionado en los lugares donde se encuentran los equipos informáticos.
EQUIVALENCIA PUNTAJE
Insignificante 1
Bajo 2
Medio 3
Alto 4
TASACIÓN DE ACTIVOS
ACTIVOS
DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD
Dispositivos Activos 2 4 4
Servidores 4 4 4
Equipos 4 3 3
Estación de trabajo 4 3 1
Herramientas 3 3 3
Soportes de Informacion 4 4 4
ISP 4 4 4
Bases de Datos 4 4 4
Aplicaciones 4 3 3
Software - Hardware 4 3 4
Contraseñas 1 4 4
Plataformas 3 3 3
8. ENTREVISTA
Sabemos que la vulnerabilidad más grande que puede tener una empresa es
el factor humano, por ataques como la ingeniería social, y otras técnicas. ¿Que
contra medidas hay para este factor y cuales nos aconseja?
Audio de la entrevista
Amenazas y vulnerabilidades
TRACEROUTE/PING/TELNET
Estas son utilidades que básicamente _todas_ las máquinas con UNIX ya tienen. De
hecho, incluso Windows NT las tiene (pero el comando `traceroute' se llama `tracert')
NESSUS
NETCAT
Una navaja multiuso para TCP/IP. Una utilidad simple para Unix que lee y escribe
datos a través de conexiones de red usando los protocolos TCP o UDP. Está diseñada
para ser una utilidad del tipo "back-end" confiable que pueda ser usada directamente o
fácilmente manejada por otros programas y scripts. Al mismo tiempo, es una
herramienta rica en características útil para depurar (debug) y explorar, ya que puede
crear casi cualquier tipo de conexión que puedas necesitar y tiene muchas
características incluidas.
SATAN
Herramienta de Auditoría de Seguridad para Analizar Redes (Security Auditing Tool for
Analysing Networks). Ésta es una poderosa herramienta para analizar redes en
búsqueda de vulnerabilidades creada para administradores de sistema que no pueden
estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de
información.
FIREWALK
Firewalking es una técnica desarrollada por MDS y DHG que emplea técnicas del
estilo de `traceroute' para determinar las reglas de filtrado que se están usando en un
dispositivo de transporte de paquetes (ndelt: quise traducir "packet forwarding device").
La última versión de esta herramienta, fierwalk/GTK incluye la opción de usar una
interfaz gráfica y nuevos arreglos a errores.
OPENSSH / SSH
PERL
BACKTRACK
TABLA DE RIESGOS
ACTIVOS Grado de Riesgo
Dispositivos Activos 3
Servidores 3
Equipos 2
Estación de trabajo 2
Herramientas 1
Soportes de Información 3
ISP 3
Bases de Datos 2
Aplicaciones 2
Software - Hardware 2
Contraseñas 3
Plataformas 1
AMENAZAS Y VULNERABILIDADES
IDENTIFICACIÓN DE VULNERABILIDADES :
Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se utilizan
herramientas como listas de verificación y herramientas de software que determinan
vulnerabilidades a nivel del sistema operativo .
Seguridad Física:
Control de acceso
Desastres naturales
Control de incendios
IDENTIFICACIÓN DE AMENAZAS:
Una vez conocemos los recursos que debemos proteger y de identificar las
vulnerabilidades es hora de identificar de igual manera las amenazas que se
ciernen contra ellos.
Amenazas en el sistema:
Bajo esta denominación se contemplan todas las vulnerabilidades de los
equipos y su software que pueden acarrear amenazas a la seguridad, como
fallos en el sistema operativo, medidas de protección que éste ofrece, fallos en
los programas, copias de seguridad.
Amenazas en la red:
Cada día es menos común que una máquina trabaje aislada de todas las
demás; se tiende a comunicar equipos mediante redes locales, intranets o la
propia Internet, y esta interconexión acarrea nuevas - y peligrosas - amenazas
a la seguridad de los equipos, peligros que hasta el momento de la conexión no
se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos
relativos al cifrado de los datos en tránsito por la red, a proteger una red local
del resto de internet, o a instalar sistemas de autenticación de usuarios remotos
que necesitan acceder a ciertos recursos internos a la organización.
Priorización De Riesgos:
En este paso de la estimación de riesgos, se estiman su prioridad de forma que
se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos.
Cuando se realiza la priorización (elementos de alto riesgo y pequeños
riesgos), estos últimos no deben ser de gran preocupación, pues lo
verdaderamente crítico se puede dejar en un segundo plano.
Sin importar cual sea el proceso que se siga, el análisis de riesgos comprende
los siguientes pasos:
Autenticidad: (de quién hace uso de los datos o servicios), que no haya
duda de quién se hace responsable de una información o prestación de
un servicio, tanto a fin de confiar en él como de poder perseguir
posteriormente los incumplimientos o errores. Contra la autenticidad se
dan suplantaciones y engaños que buscan realizar un fraude. La
autenticidad es la base para poder luchar contra el repudio y, como tal,
fundamenta el comercio electrónico o la administración electrónica,
permitiendo confiar sin papeles ni presencia física.