ANÁLISIS DE RIESGOS Y DE VULNERABILIDADES

YADFARY MONTOYA H NATALIA HERNÁNDEZ R

JULIAN CIRO RAMIREZ

GESTIÓN DE REDES DE COMPUTADORES

FICHA 230490

SENA

CENTRO DE SERVICIOS Y GESTIÓN EMPRESARIAL

MEDELLÍN

2012

INTRODUCCIÓN

Los requerimientos de seguridad que involucran las tecnologías de la información, en pocos años han cobrado un gran auge, y más aún con las de carácter globalizador como los son la de Internet y en particular la relacionada con el Web, la visión de nuevos horizontes explorando más allá de las fronteras naturales, situación que ha llevado la aparición de nuevas amenazas en los sistemas computarizados. Llevado a que muchas organizaciones gubernamentales y no gubernamentales internacionales desarrollen políticas que norman el uso adecuado de estas destrezas tecnológicas y recomendaciones para aprovechar estas ventajas, y evitar su uso indebido, ocasionando problemas en los bienes y servicios de las entidades. De esta manera, las políticas de seguridad en informática las empresas emergen como el instrumento para concientizar a sus miembros acerca de la importancia y sensibilidad de la información y servicios críticos, de la superación de las fallas y de las debilidades, de tal forma que permiten a esta con su misión.

OBJETIVOS

Objetivo General:

Determinar diversos factores que intervienen para lograr mejorar la seguridad de la información en una empresa.

Objetivos específicos:

Conocer de forma detallada la metodología que se implementara para realizar una correcta consultoría de seguridad para una empresa.

Implementar de forma correcta y eficiente la Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información.

Brindar un informe detallado en el cual se brindaran soluciones específicas para aplacar con los riesgos o amenazas con el fin de minimizar los ataques a los que enfrenta la empresa.

Realizar un planteamiento de análisis de Riesgos de seguridad con miras a identificar vulnerabilidades así como también los riesgos potenciales

1. Haga un recorrido por LA ENTIDAD e identifique todos los activos tangibles que existan, de igual forma observe y enumere todos los activos intangibles que pueda identificar. Lista de los activos tangibles e intangibles

2. Realice una descripción detallada de cada uno de los activos identificados y clasifíquelos en una tabla comparativa asignando un valor de importancia dentro de LA ENTIDAD.

GRADO DE IMPORTANCIA

Muy Alta Alta Media Baja Muy Baja

5 4 3 2 1

ACTIVOS TANGIBLES Grado de importancia

Infraestructura

Dispositivos Activos 5

Equipos 4

Cámaras 4

Materiales

Televisores 3

Tableros Acrílicos 3

ACTIVOS INTANGIBLES Grado de importancia

Activos de mercado

Marcas 2

Licencias 5

Diseño 1

Activos Humanos Capacidad de Gestión 4

Derechos de Autor

Contraseñas 5

Propiedad intelectual 5

Canales de Distribución

Servicios 5

Plataformas 4

Explicación orden de importancia de activos:

Muy Alta 5 Son de vital importancia para acceso a servicios por los usuarios

Alta 4 Son herramientas fundamentales para el usuario y departamentos externos

Media 3 Son de gran importancia pero de menor prioridad

Baja 2 Son necesarias pero no implica mayor interacción con los usuarios

Muy Baja 1 No son tan necesarias

3. Elabore un mapa/diagrama mental/conceptual del escenario a evaluar, esto es, un mapa donde se representen todos los activos tangibles e intangibles identificados en las actividades previas. Es muy importante no dejar pasar detalles, pues de esta información depende el éxito del análisis de riesgos.

4. Construya una tabla comparativa donde se comparen 10 aspectos fundamentales entre dos de las metodologías más importantes para el análisis de riesgos existentes a las fecha, como anexo a la tabla justifique con evidencias porque seleccionó las metodologías usadas en la tabla.

METODOLOGIA OWASP METODOLOGIA OCTAVE

Generador de cadenas – Cree cadenas de caracteres de casi cualquier longitud.

Es una técnica de planificación y consultoría estratégica en seguridad basada en el riesgo

Búsqueda Scroogle – Un buscador amigo de la privacidad con los resultados de Google con operadores avanzados.

Desmitifica la falsa creencia: La Seguridad Informática es un asunto meramente técnico

Consejos para pruebas – Colección de ideas de pruebas para evaluaciones

Divide los activos en dos tipos: Sistemas, (Hardware. Software y Datos)y personas

Peticiones Http- Crear manualmente y enviar peticiones HTTP hacia servidores.GET, POST, HEAD, TRACE, TRACK,OPTIONS, CONNECT, PUT, DELETE, COPY,LOCK, MKCOL, MOVE, PROPFIND,PROPPATCH, SEARCH y UNLOCK son los métodos soportados

Maneja tres métodos: auto-dirigido, flexibles y evolucionado

Lista de pruebas – Siga el progreso de sus esfuerzos de prueba y registre sus hallazgos. Las categorías de la lista difícilmente se correlacionan con las técnicas de pruebas

Presenta los principios básicos y la estructura de las mejores prácticas-internacionales que guían los asuntos no técnicos

Codifica y decodifica los siguientes tipos: URL, Hexadecimal Standard,

Se especializa en el riesgo organizacional y el foco son los temas relativos a la

Unicode,Html(Named), Html(Decimal), Html(Hex),Html(Hex Long), Javascript Escapado, XML Escapado, Straight Decimal, Straight Hex, IEHex, IE Unicode, Base64 y MD5. Codifica solo con MD4 y SHA1. Especificar mayúsculas/minúsculas, Delimitadores de caracteres.

estrategia y la práctica.

Procesado de texto seleccionado – Le permite procesar el texto seleccionado dentro de un área de texto en lugar del contenido completo

Desarrollar una estrategia de protección basada en la práctica así como planes de migración de riesgos para mantener la misión y prioridades de la organización

Guardar/Restaurar – Temporalmente retenga y recupere el contenido de áreas de texto y campos de texto

Identifican las vulnerabilidades tanto organizativas como tecnológicas que exponen a las amenazas creando un riesgo a la organización

Editor de auto ataque –Cree/Edite/Salve/Borre las listas de autoataque que son usadas para llevar a cabo las capacidades multi petición automáticas en la pagina de Peticiones HTTP

Identifica los elementos críticos y las amenazas para los activos

Guardar/Cargar estado – Le permite salvarlos contenidos de áreas de texto y campos de texto de CAL9000 y recargarlos cuando este listo para continuar con las pruebas

Consolidación de la información y creación de perfiles de amenazas

5. Investigue sobre los diferentes tipos de análisis de vulnerabilidades y las metodologías existentes, reúnase con sus compañeros y discutan las diferencias de la terminología: análisis de vulnerabilidades, hacking ético y pruebas de intrusión (pen testing). Análisis de riesgo

Es un proceso que comprende la identificación de activos informáticos, sus vulnerabilidades y amenazas a los que se encuentran expuestos así como su probabilidad de ocurrencia y el impacto de las mismas, a fin de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la ocurrencia del riesgo.

El primer paso del análisis es identificar los activos a proteger o evaluar. La evaluación de riesgos involucra comparar el nivel de riesgo detectado durante el proceso de análisis con criterios de riesgo establecidos previamente. Hacking ético

Consiste en un ataque controlado a los sistemas informáticos y/o de comunicaciones

de una empresa u organización empleando los mismos medios que un usuario

malicioso.

Se llama “Hacking Ético” debido a que las técnicas y metodologías usadas son

similares a las empleadas por los hackers, pero el único objetivo es comprobar el

estado real y actual de la seguridad.

Prueba de intrusión

Las pruebas de intrusión (abreviado como pen tests [penetration tests, pruebas de penetración]) consisten en probar los métodos de protección del sistema de información sometiendo el sistema a una situación real. Es una prueba realizada sobre los sistemas conectados a la red pública (Internet) o privada del CLIENTE; se intenta obtener acceso, escalar privilegios y determinar si existen más sistemas que puedan ser comprometidos de forma remota desde Internet.

METODOLOGIAS EXISTENTES

OSSTMM (Manual de la Metodología Abierta de Testeo de Seguridad)

Es un conjunto de reglas y lineamientos para CUANDO, QUE y CUALES eventos son

testeados. Esta metodología cubre únicamente el testeo de seguridad externo, es

decir, testear la seguridad desde un entorno no privilegiado hacia un entorno

privilegiado, para evadir los componentes de seguridad, procesos y alarmas y ganar

acceso privilegiado. Está también dentro del alcance de este documento proveer un

método estandarizado para realizar un exhaustivo test de seguridad de cada sección

con presencia de seguridad (por ejemplo, seguridad física, seguridad inalámbrica,

seguridad de comunicaciones, seguridad de la información, seguridad de las

tecnologías de Internet, y seguridad de procesos) de una organización.

ISSAF

Constituye un framework detallado respecto de las prácticas y conceptos relacionados

con todas y cada una de las tareas a realizar al conducir un testeo de seguridad. La

información contenida dentro de ISSAF, se encuentra organizada alrededor de lo que

se ha dado en llamar "Criterios de Evaluación", cada uno de los cuales ha sido escrito

y/o revisado por expertos en cada una de las áreas de aplicación. Estos criterios de

evaluación a su vez, se componen de los siguientes elementos:

Una descripción del criterio de evaluación

Puntos y Objetivos a cubrir

Los pre-requisitos para conducir la evaluación

El proceso mismo de evaluación

El informe de los resultados esperados

Las contramedidas y recomendaciones

Referencias y Documentación Externa.

OTP(OWASP Testitng Project)

OTP promete convertirse en uno de los proyectos más destacados en lo que al testeo

de aplicaciones web se refiere. La metodología consta de 2 partes, en la primera se

abarcan los siguientes puntos:

Principios del testeo

Explicación de las técnicas de testeo.

Explicación general acerca del framework de testeo de OWASP.

De este modo, y teniendo en cuenta que un programa efectivo de testeo de

aplicaciones web, debe incluir como elementos a testear: Personas, Procesos y

Tecnologías, OTP delinea en su primera parte conceptos claves a la vez que introduce

un framework específicamente diseñado para evaluar la seguridad de aplicaciones

web a lo largo de su vida.

OCTAVE

(Operationally Critical Threat, Asset, and Vulnerability Evaluation)(Amenaza de vista operativo crítico, activo, y la vulnerabilidad de Evaluación) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización. Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades. MAGERIT

Magerit es la metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica, como respuesta a la percepción de la Administración, y, en general, toda la sociedad, dependen de forma creciente de las tecnologías de la información para el cumplimiento de sumisión. MEHARI

Es la metodología de análisis y gestión de riesgos desarrollada por la CLUSIF (CLUb

de la Sécurité de l’Information Français) en 1995 y deriva de las metodologías

previas Melissa y Marion. La metodología ha evolucionado proporcionando una guía

de implantación de la seguridad en una entidad a lo largo del ciclo de vida. Del mismo

modo, evalúa riesgos en base a los criterios de disponibilidad, integridad y

confidencialidad.

ANÁLISIS HOLANDÉS A&K. Es método de análisis de riesgos, del que hay publicado un manual, que ha sido desarrollado por el Ministerio de Asuntos Internos de Holanda, y se usa en el gobierno y a menudo en empresas holandesas. CRAMM.

Es un método de análisis de riesgos desarrollado por el gobierno británico y cuenta con una herramienta, ya que es un método difícil de usar sin ella. Está basado en las mejores prácticas de la administración pública británica, por lo que es más adecuado para organizaciones grandes, tanto públicas como privadas. EBIOS.

Es un juego de guías mas una herramienta de código libre gratuita, enfocada a gestores del riesgo de TI. Desarrollada en un principio por el gobierno francés, ha tenido una gran difusión y se usa tanto en el sector público como en el privado no sólo de Francia sino en otros países.

TIPOS DE ANÁLISIS DE VULNERABILIDAD

TEST DE PENETRACION.

En este el analista simula ser un atacante, desde esta posición se realizan intentos de ataques a la red, buscando debilidades y vulnerabilidades:-estudio de la red externa-análisis de servicios disponibles-estudio de debilidades-análisis de vulnerabilidades en dispositivos de red-análisis de vulnerabilidades de implementaciones y configuraciones-denegación del servicio.

CAJA NEGRA:

Es una unidad la cual su estructura interna se desconoce, pero la función está documentada. Los diseñadores de hardware y de software utilizan este término para

hacer referencia a los circuitos o al código de programación que ejecutan determinada función. La mecánica interna de la función no es algo que interese al diseñador que utiliza una caja negra para obtener una función. Por ejemplo, un chip de memoria puede considerarse una caja negra. Muchas personas utilizan chips de memoria, e incluso los diseñan para los equipos informáticos, pero por lo general sólo los diseñadores de chips de memoria necesitan comprender su funcionamiento interno. Existe un analista al cual solo se le da la información para acceder a la red o al sistemas esta puede ser una dirección IP, por lo tanto este analista debe obtener toda la información posible.

CAJA BLANCA.

Es el Método de prueba del software que pone a prueba las estructuras internas o el funcionamiento de una aplicación en lugar de su funcionalidad (pruebas de caja negra).En las pruebas de caja blanca el código fuente o un binario compilado se evalúa desde un punto de vista interno para buscar vulnerabilidades de seguridad errores de programación. Generalmente se utiliza en fases tempranas del desarrollo, mientras el código y los módulos son creados .El analista puede tener acceso a toda la red q va a analizar, tiene el privilegio de entrar a todos los equipos de la red como súper usuario, lo cual permite que sea mas completo.

ANÁLISIS DE VULNERABILIDADES INTERNO

Se trata de pruebas de penetración desde la red interna que identifican los riesgos de las redes y sistemas internos, demostrando lo que podría hacer un usuario que ha ganado acceso a la red, simulando ser un usuario interno malintencionado. Este tipo de pruebas son muy interesantes pues estudios realizados sobre la seguridad de la información demuestran que alrededor del 80 al 90% de las violaciones de seguridad se originan desde usuarios internos.

ANÁLISIS DE VULNERABILIDADES EXTERNO

se trata de pruebas de penetración desde internet que identifican los riesgos de la red perimetral (es una red local que se ubica entre la red interna de una organización y una red externa, generalmente internet.) y analizan si estos pueden ser utilizados para acceder a su red, violando sus medidas de seguridad, y en tal caso examinar si se produce el debido registro de lo que está sucediendo y si se accionan o no las alertas apropiadas, verificando la efectividad de los firewalls, de los sistemas de detección de intrusos (IDS), de los sistemas operativos y de los dispositivos de comunicaciones visibles desde Internet.

ANÁLISIS DE VULNERABILIDADES DE APLICACIONES WEB

Identifica los riesgos de las Aplicaciones Web, verificando los esquemas de autenticación y probando las tecnologías utilizadas en la implementación de las mismas. Los análisis de vulnerabilidades deben efectuarse periódicamente, pues a diario se descubren nuevas vulnerabilidades debido a su carácter evolutivo.

6. Porque es necesario incluir los resultados de un análisis de vulnerabilidades

en el informe final de un análisis de riesgos. En el mundo de la seguridad informática, la información es uno de los temas más importantes, porque para las personas lo más valioso es todo lo que puedan obtener de dicha información. Por tal motivo muchas personas pretenden robar nuestra confidencialidad, ya que estamos en un mundo donde la gente quiere obtener toda clase de información sin importar el daño que están causando a un activo o persona como tal, por eso en las empresas u organizaciones para no ser atacados fácilmente deben realizar un análisis de vulnerabilidades donde muestren dicha información.

Viendo la situación de las empresas, cada día aumenta más las vulnerabilidades, por

lo que es un desafío diario luchar contra ellas.

Con este ensayo tengo como fin dar una clara definición acerca de la importancia que

tiene un análisis de riesgo junto con un análisis de vulnerabilidades, también a prevenir

dichos ataques que originan un gran impacto para las empresas u organizaciones a fin

de determinar los controles adecuados para aceptar, disminuir, transferir o evitar la

ocurrencia del riesgo. Es por ello que dentro de las empresas se debe tener en cuenta

la realización de un análisis para implementar un plan que sirva para disminuir la

vulnerabilidad de los métodos que den respuesta al impacto una vez ocurrida la

amenaza para defender la continuidad y la calidad para poder garantizar un buen

servicio. Por último nos parece importante que el análisis de vulnerabilidad no se

emplee solo a las organizaciones físicas del sistema si no también a la formación y

administración de las empresas para establecer sus debilidades y plantear las

medidas correctivas que deban efectuarse para disminuir o eliminar la vulnerabilidad.

Debido a los riesgos, se plantea una metodología de evaluación que distingue amenazas y vulnerabilidades. Muchas veces las escasez de datos no nos permite hacer bien un levantamiento de información y así no podremos encontrar las posibles amenazas, para permitir una eficiente gestión del riesgo es generalmente más importante identificar bien las causas más profundas, como que causa el riesgo y que influye sobre su dinámica. Para las amenazas como para las vulnerabilidades debemos de tener datos exactos en los que se plantea una metodología de trabajo basada en el análisis.

Es de vital importancia la realización del informe final, puesto que este es el resultado del análisis de riesgos y a la vez es un instrumento técnico para la prevención de daños, está dirigido básicamente a un uso administrativo en la empresa ya que pretende servir como la base para considerara los planes de desarrollo integrando las amenazas como factor potencial. De igual manera proporcionara información importante para ser utilizada en la supervisión de la empresa a nivel de susceptibilidad de amenazas. El informe final debe ser presentado usando un lenguaje claro y sencillo que no sea tan técnico, concreto y fácil de comprender ya que esto no siempre se le presentan a personas que saben del tema. Y sería difícil de comprender. El documento puede contener recomendaciones análisis y propuestas. Las recomendaciones deben orientarse a propuestas concretas, tras hacer una descripción al activo, un análisis de cómo trabaja y las posibles consecuencias potenciales. Al momento de proponer soluciones de prevención debemos de tomar en cuenta las posibles formas de ataque y la forma financiera de la empresa y el nivel de riesgo existente que tiene, una propuesta costosa o muy complicada no podría ser aplicada si no cuenta con los recursos necesarios.

7. Investigue sobre las matrices, tablas, plantillas existentes para plasmar la información obtenida en los análisis de vulnerabilidades y de riesgos, adapte, diseñe o elija una que le permita presentar su información de forma clara y concisa.

ANALISIS DE VULNERABILIDADES,AMENAZAS Y RIESGOS

ACTIVOS TANGIBLES ACTIVOS INTANGIBLES

Dispositivos Activos ISP

Servidores Bases de Datos

Equipos Aplicaciones

Estación de trabajo Software - Hardware

Herramientas Contraseñas

Soportes de Informacion Plataformas

DETALLES DE VULNERABILIDADES, RIESGOS DETECTADOS Y AMENAZAS

Incendio: Existe el riesgo de que un corto circuito provoque un incendio por la

mala distribución del cableado.

No existen sensores de humo o alarma contra incendios No existen suficientes extintores de incendios, o no están distribuidos en los sitios

claves de manejo de información.

Corte del Suministro Eléctrico: El que haya un corte permanente o corto de

energía eléctrica.

Cortes de energía prolongados requerirán que los equipos de misión crítica de la institución sean apagados.

No existirá disponibilidad de los servicios de información en la institución durante el lapso que dure el corte de energía.

Deficiencias en la climatización: excede los márgenes de trabajo de los equipos

(excesivo calor).

Existe la posibilidad de que haya filtración de agua por los conductos de aire acondicionado en los lugares donde se encuentran los equipos informáticos.

Degradación de los soportes de almacenamiento de la información: como

consecuencia del paso del tiempo.

Manipulación de la Configuración: Prácticamente todos los activos dependen de

su configuración y el manejo del administrador: privilegios de acceso, flujos de

actividades, registro de actividad, encaminamiento, contraseñas etc.

Suplantación de la Identidad del Usuario: Cuando un atacante consigue hacerse

pasar por un usuario autorizado, disfruta de los privilegios de este para sus fines

propios. Esta amenaza puede ser cometida por personal interno, por personas

ajenas a la empresa.

No hay restricciones sobre la cantidad de sesiones que un usuario puede iniciar.

Abuso de Privilegios de Acceso: cada usuario disfruta de un nivel de privilegios

para un determinado propósito; cuando un usuario abusa de su nivel de privilegios

para realizar tareas que no son de su competencia, hay problemas.

Difusión de software dañino: Propagación intencionada de virus, espías,

gusanos, troyanos, bombas lógicas, etc.

No mantienen un control para el uso de memorias USB, discos duros externos.

Destrucción de la información: eliminación intencional de información, con ánimo

de obtener un beneficio o causar un perjuicio.

Robo: a sustracción de información empresarial se puede dar mediante el robo

que pueda hacer personal interno no personal ajeno a la compañía.

Los controles y mecanismos de seguridad física orientados a prevenir el robo de activos de información en la institución son mínimos.

EQUIVALENCIA PUNTAJE

Insignificante 1

Bajo 2

Medio 3

Alto 4

ACTIVOS TASACIÓN DE ACTIVOS

DISPONIBILIDAD INTEGRIDAD CONFIDENCIALIDAD

Dispositivos Activos 2 4 4

Servidores 4 4 4

Equipos 4 3 3

Estación de trabajo 4 3 1

Herramientas 3 3 3

Soportes de Informacion 4 4 4

ISP 4 4 4

Bases de Datos 4 4 4

Aplicaciones 4 3 3

Software - Hardware 4 3 4

Contraseñas 1 4 4

Plataformas 3 3 3

8. ENTREVISTA

¿Cuáles cree usted que son los beneficios de implementar un sistema de seguridad informática?

¿Cuáles son las consecuencias de un incidente de pérdida de confidencialidad, integridad o disponibilidad de información?

¿tiene conocimiento si en la institución o torre se ha implementado anteriormente algún sistema de prevención de riesgos? ¿Cuál?

Sabemos que la vulnerabilidad más grande que puede tener una empresa es el factor humano, por ataques como la ingeniería social, y otras técnicas. ¿Que contra medidas hay para este factor y cuales nos aconseja?

Audio de la entrevista

9. Elabore una presentación donde explique cual es la relación entre las diferentes amenazas y vulnerabilidades existentes para los diferentes activos y compártala con el grupo. Amenazas y vulnerabilidades 10. Investigue acerca de las herramientas existentes para realizar un análisis de Vulnerabilidades en entornos reales, identifique cuales de estas herramientas puede usar para la ejecución de sus pruebas en esta fase del proyecto. TRACEROUTE/PING/TELNET

Estas son utilidades que básicamente _todas_ las máquinas con UNIX ya tienen. De hecho, incluso Windows NT las tiene (pero el comando `traceroute' se llama `tracert') NESSUS Auditor de Seguridad Remoto. El cliente "The Nessus Security Scanner" es una herramienta de auditoría de seguridad. Hace posible evaluar módulos de seguridad intentando encontrar puntos vulnerables que deberían ser reparados. Está compuesto por dos partes: un servidor, y un cliente. El servidor/daemon, "nessusd" se encarga de los ataques, mientras que el cliente, "nessus", se ocupa del usuario por medio de una linda interfaz para X11/GTK+. Este paquete contiene el cliente para GTK+1.2, que además existe en otras formas y para otras plataformas. NETCAT Una navaja multiuso para TCP/IP. Una utilidad simple para Unix que lee y escribe datos a través de conexiones de red usando los protocolos TCP o UDP. Está diseñada para ser una utilidad del tipo "back-end" confiable que pueda ser usada directamente o fácilmente manejada por otros programas y scripts. Al mismo tiempo, es una herramienta rica en características útil para depurar (debug) y explorar, ya que puede crear casi cualquier tipo de conexión que puedas necesitar y tiene muchas características incluidas.

SATAN

Herramienta de Auditoría de Seguridad para Analizar Redes (Security Auditing Tool for Analysing Networks). Ésta es una poderosa herramienta para analizar redes en búsqueda de vulnerabilidades creada para administradores de sistema que no pueden estar constantemente chequeando bugtraq, rootshell y ese tipo de fuentes de información. FIREWALK

Firewalking es una técnica desarrollada por MDS y DHG que emplea técnicas del estilo de `traceroute' para determinar las reglas de filtrado que se están usando en un dispositivo de transporte de paquetes (ndelt: quise traducir "packet forwarding device"). La última versión de esta herramienta, fierwalk/GTK incluye la opción de usar una interfaz gráfica y nuevos arreglos a errores. OPENSSH / SSH

Un reemplazo seguro para rlogin/rsh/rcp. Openssh deriva de la versión de ssh de openbsd, que a su vez deriva del código de ssh pero de tiempos anteriores a que la licencia de ssh se cambiara por una no libre. Ssh (secure shell) es un programa para loggearse en una máquina remota y para ejecutar comandos en una máquina remota. Provee de comunicaciones cifradas y seguras entre dos hosts no confiables ("untrusted hosts") sobre una red insegura. También se pueden redirigir conexiones de X11 y puertos arbitrarios de TCP/IP sobre este canal seguro. La intención de esta herramienta es la de reemplazar a `rlogin', `rsh' y `rcp', y puede ser usada para proveer de `rdist', y `rsync' sobre una canal de comunicación seguro. PERL Un muy poderoso lenguaje de scripting que es usado frecuentemente para crear `exploits' con el propósito de verificar vulnerabilidades de seguridad. Por supuesto, también es utilizado para todo tipo de otras cosas. NMAP ("NETWORK MAPPER")

Es un servicio gratuito y de código abierto (licencia) de utilidad para la exploración de red o de auditoría de seguridad. A muchos sistemas y administradores de red también les resulta útil para tareas como la red de inventario, gestión de horarios de servicio de actualización, seguimiento y tiempo de actividad o servicio de acogida. BACKTRACK

Es una distribución GNU/Linux en formato livecd pensada y diseñada para la auditoría de seguridad y relacionada con la seguridad informática en general. Actualmente tiene una gran popularidad y aceptación en la comunidad que se mueve en torno a la seguridad informática. NAT (NETBIOS AUDITING TOOL)

La herramienta de auditoría de NetBIOS está diseñada para explorar los servicios de NetBIOS que ofrece un sistema que permiten compartir archivos. Implementa un enfoque paso a paso para recolectar información e intenta obtener acceso a archivos con permisos de sistema (`system-access') como si se fuera un cliente local legítimo.

ETTERCAP

Ettercap es un interceptor/sniffer/registrador para LANs con switch. Soporta direcciones activas y pasivas de varios protocolos (incluso aquellos cifrados, como SSH y HTTPS). También hace posible la inyección de datos en una conexión establecida y filtrado al vuelo aun manteniendo la conexión sincronizada gracias a su poder para establecer un Ataque Man-in-the-middle (Spoofing).

13. Realice un análisis de riesgos tomando como base la información recopilada hasta el momento y los resultados del análisis de vulnerabilidades, como resultado de esta actividad, debe generar una matriz, plantilla, tabla donde se enumere uno a uno todos los activos evaluados.

GRADO DE RIESGO VALOR

Alto 3

Medio 2

Bajo 1

ACTIVOS

TABLA DE RIESGOS

Grado de Riesgo

Dispositivos Activos 3

Servidores 3

Equipos 2

Estación de trabajo 2

Herramientas 1

Soportes de Información 3

ISP 3

Bases de Datos 2

Aplicaciones 2

Software - Hardware 2

Contraseñas 3

Plataformas 1

17. Escriba un informe ejecutivo y un informe técnico donde se resuma y se detallen respectivamente los análisis realizados hasta este punto (riesgos y vulnerabilidades), comparta la documentación creada con el grupo de instructores expertos para recibir retroalimentación y realizar las correcciones pertinentes.

MANUAL DE SEGURIDAD INFORMÁTICA

AMENAZAS Y VULNERABILIDADES

Una vulnerabilidad es cualquier situación que pueda desembocar en un problema de seguridad, y una amenaza es la acción específica que aprovecha una vulnerabilidad para crear un problema de seguridad; entre ambas existe una estrecha relación: sin vulnerabilidades no hay amenazas, y sin amenazas no hay vulnerabilidades.

IDENTIFICACIÓN DE VULNERABILIDADES: Para la identificación de vulnerabilidades sobre la plataforma de tecnología, se utilizan herramientas como listas de verificación y herramientas de software que determinan

vulnerabilidades a nivel del sistema operativo. Seguridad Física:

Control de acceso

Desastres naturales

Control de incendios

Seguridad en la infraestructura de comunicaciones: Routers

Switches

Firewall

Hubs

Seguridad en las aplicaciones Críticas: Se define las aplicaciones que son críticas para la organización y por cada una de ellas se obtendrá una matriz de riesgo. Es importante considerar que las aplicaciones están soportadas por: Sistemas operativos, hardware servidor, redes LAN y WAN, y el Centro de cómputo. IDENTIFICACIÓN DE AMENAZAS: Una vez conocemos los recursos que debemos proteger y de identificar las vulnerabilidades es hora de identificar de igual manera las amenazas que se ciernen contra ellos. Desastres del entorno:

Dentro de este grupo se incluyen todos los posibles problemas relacionados con la ubicación del entorno de trabajo informático o de la propia organización, así como con las personas que de una u otra forma están relacionadas con el mismo. Por ejemplo, se han de tener en cuenta desastres naturales (terremotos, inundaciones...), desastres producidos por elementos cercanos, como los cortes de fluido eléctrico, y peligros relacionados con operadores, programadores o usuarios del sistema. Amenazas en el sistema: Bajo esta denominación se contemplan todas las vulnerabilidades de los equipos y su software que pueden acarrear amenazas a la seguridad, como fallos en el sistema operativo, medidas de protección que éste ofrece, fallos en los programas, copias de seguridad.

Amenazas en la red:

Cada día es menos común que una máquina trabaje aislada de todas las demás; se tiende a comunicar equipos mediante redes locales, intranets o la propia Internet, y esta interconexión acarrea nuevas - y peligrosas - amenazas a la seguridad de los equipos, peligros que hasta el momento de la conexión no se suelen tener en cuenta. Por ejemplo, es necesario analizar aspectos relativos al cifrado de los datos en tránsito por la red, a proteger una red local del resto de internet, o a instalar sistemas de autenticación de usuarios remotos que necesitan acceder a ciertos recursos internos a la organización. NOTA: No siempre hemos de contemplar a las amenazas como actos

intencionados contra nuestro sistema. Priorización De Riesgos: En este paso de la estimación de riesgos, se estiman su prioridad de forma que se tenga forma de centrar el esfuerzo para desarrollar la gestión de riesgos. Cuando se realiza la priorización (elementos de alto riesgo y pequeños riesgos), estos últimos no deben ser de gran preocupación, pues lo verdaderamente crítico se puede dejar en un segundo plano. Sin importar cual sea el proceso que se siga, el análisis de riesgos comprende los siguientes pasos: 1. Definir los activos informáticos a analizar. 2. Identificar las amenazas que pueden comprometer la seguridad de los activos. 3. Determinar la probabilidad de ocurrencia de las amenazas. 4. Determinar el impacto de las amenaza, con el objeto de establecer una

priorización de las mismas. 5. Recomendar controles que disminuyan la probabilidad de los riesgos. 6. Documentar el proceso.

GLOSARIO

Activos: Los recursos del sistema de información o relacionados con

éste, necesarios para que la Organización funcione correctamente y alcance los objetivos propuestos por su dirección.

Autenticidad: (de quién hace uso de los datos o servicios), que no haya

duda de quién se hace responsable de una información o prestación de un servicio, tanto a fin de confiar en él como de poder perseguir posteriormente los incumplimientos o errores. Contra la autenticidad se dan suplantaciones y engaños que buscan realizar un fraude. La autenticidad es la base para poder luchar contra el repudio y, como tal, fundamenta el comercio electrónico o la administración electrónica, permitiendo confiar sin papeles ni presencia física.

Análisis de riesgos: proceso sistemático para estimar la magnitud de

los riesgos a que está expuesta una Organización.

Amenazas: las amenazas siempre existen y son aquellas acciones que

pueden ocasionar consecuencias negativas en la operativa de la empresa. Comúnmente se indican como amenazas a las fallas, a los ingresos no autorizados, a los virus, uso inadecuado de software, los desastres ambientales como terremotos o inundaciones, accesos no autorizados, facilidad de acceso a las instalaciones, etc.

Confidencialidad: Característica de la información por la que la misma

sólo puede ser revelada a los usuarios autorizados.

Disponibilidad: disposición de los servicios a ser usados cuando sea

necesario. La carencia de disponibilidad supone una interrupción del servicio. La disponibilidad afecta directamente a la productividad de las organizaciones.

Gestión de riesgos: selección e implantación de salvaguardas para

conocer, prevenir, impedir, reducir o controlar los riesgos identificados.

Integridad: mantenimiento de las características de completitud y

corrección de los datos. Contra la integridad, la información puede aparecer manipulada, corrupta o incompleta. La integridad afecta directamente al correcto desempeño de las funciones de una Organización.

Impactos: las consecuencias de la ocurrencia de las distintas amenazas

son siempre negativas. Las pérdidas generadas pueden ser financieras, no financieras, de corto plazo o de largo plazo.

Malware informático: es el término para el código malicioso diseñado

para molestar o destruir un sistema informático.

Magerit: es una metodología de Análisis y Gestión de Riesgos de los

Sistemas de información elaborada por el Consejo Superior de Administración Electrónica para minimizar los riesgos de la implantación y uso de las Tecnologías de la Información, enfocada a las Administraciones Públicas.

Probabilidad: predicción calculada de la ocurrencia de un accidente en un cierto periodo de tiempo.

Riesgo: estimación del grado de exposición a que una amenaza se

materialice sobre uno o más activos causando daños o perjuicios a la Organización.

Seguridad: es la capacidad de las redes o de los sistemas de

información para resistir, con un determinado nivel de confianza, los accidentes o acciones ilícitas o malintencionadas que comprometan la disponibilidad, autenticidad, integridad y confidencialidad de los datos almacenados o transmitidos y de los servicios que dichas redes y sistemas ofrecen o hacen accesibles.

Virus informático: es un programa de ordenador que puede infectar otros programas modificándolos, para incluir una copia de si mismo también Programa que se duplica a sí mismo en un sistema informático incorporándose a otros programas que son utilizados por varios sistemas.

Vulnerabilidades: son ciertas condiciones inherentes a los activos o

presentes en su entorno que facilitan que las amenazas se materialicen llevan a esos activos a ser vulnerables. Mediante el uso de las debilidades existentes es que las amenazas logran materializarse, o sea, las amenazas siempre están presentes, pero sin la identificación de una vulnerabilidad no podrán ocasionar ningún impacto.