Proyecto integrador. Las TIC en la sociedad S4.pptx
Auditoría de Seguridad ACME
1. Gestión de Proyectos de
Auditoría de Seguridad 1
18 de julio de 2003
Rafael.Ausejo@dvc.es
Consultor de Seguridad
2. Índice
– Detección de necesidades
– Introducción a las Auditorías de Seguridad
– Dimensionamiento de la Auditoría
– La metodología OSSTMM
2
– El informe de Auditoría
– Para qué sirve la auditoría
3. Detección de necesidades
Cuando ACME dice:
¡Quiero una auditoría de seguridad!
¿Necesita Certificación?
• Auditoría de Cuentas
• Certificación ISO 9000-900X
3
¿Necesita normativas?
• Adecuación legal LOPD / LSSI-CE
• Buenas Prácticas (ISO-IEC 17799)
4. Detección de necesidades
¿Necesita Seguridad?…
• Protección contra intrusiones (IDS, IPS, etc.)
• Protección contra virus, troyanos, malware...
• Securización de sistemas internos (Hardening) 4
Asumimos que realmente necesita
una Auditoría de Seguridad…
5. Introducción a las Auditorías de Seguridad
Tipos de Auditorías
Auditoría de Seguridad
Auditoría de Sistemas de Información Test de Intrusión
• Interna (Caja Blanca) • Externa (Caja Negra)
• Realizada en las instalaciones de • Realizada de forma remota
5
ACME
• Se parte de un rango de IPs o de
• Se parte de un esquema de red un dominio DNS
• Información proporcionada por el • Información desconocida
cliente
6. Introducción a las Auditorías de Seguridad
Peligros de una Auditoría Interna
Auditoría de Seguridad
Auditoría de Sistemas de Información Al final se convierte en Análisis remoto
• Interna (Caja Blanca) • No es posible conectar un portátil
• Realizada en las instalaciones del • No se puede acceder al CPD
6
cliente
• Se parte de un esquema de red • No existe esquema de red
• Información proporcionada por el • El cliente no sabe o no
cliente proporciona la información
7. Introducción a las Auditorías de Seguridad
Peligros de un Test de Intrusión
Auditoría de Seguridad
Test de Intrusión Al final se convierte en Intrusión interna
• Externa (Caja Negra) • Oye, necesito que te pases por ACME
• Realizado de forma remota
• Ya que estás aquí, échame una mano
con el firewall
7
• Se parte de un rango de IPs o de • Inclúyeme el pasword cracking
un dominio DNS
• Revísame los IDSs
• Información desconocida
• Necesito un hardening de las máquinas
• ¡Tienes dos semanas!
8. Introducción a las Auditorías de Seguridad
Hay más posibilidades
• Análisis de
Vulnerabiliades Hacking ético
Auditoría de Seguridad
• Test de Intrusión
• Auditoría de Seguridad Penetration Testing
8
• Comprobación de la Comprobación de Seguridad
Seguridad
• Hacking ético
coste Análisis de Vulnerabilidades
Fuente: OSSTMM
tiempo
9. Introducción a las Auditorías de Seguridad
Solución:
Auditoría de Seguridad Internet: fase I OSSTMM
Auditoría de Seguridad Internet
• Externa (Caja Negra)
• Realizada de forma remota 9
• Se parte de un rango de IPs o de un dominio DNS
• Información desconocida
• Cobertura: detección remota de vulnerabilidades
• Se realiza en dos-tres semanas
• Se sigue la metodología OSSTMM
10. Dimensionamiento de la Auditoría
El tiempo es dinero
• Con la cobertura propuesta se calcula el
tiempo y recursos necesarios para realizarla
• Con el tiempo y los recursos necesarios se
calcula el presupuesto de la auditoría
1
El dinero es tiempo
• Con el presupuesto inicial se calculan el
tiempo y los recursos asignados
• Con el tiempo y los recursos es posible llegar
hasta determinada cobertura en la
metodología OSSTMM.
12. Dimensionamiento de la Auditoría
Batería de preguntas
• ¿Cuántos son los dispositivos a Auditar?
Ej: 100 dispositivos físicos con 150 IPs en la misma clase C
• ¿Cuál es la cobertura necesaria?
Ej: Determinación y análisis de vulnerabilidades de cada uno
1
• ¿Cuál es el tiempo necesario?
Ej: Tres semanas
SE DETERMINA EL TIEMPO NECESARIO
Y EL NÚMERO DE RECURSOS
13. Dimensionamiento de la Auditoría
ACME: Seguimiento de la Auditoría de Seguridad
Descripción de tareas Horas Horas Horas
Día Fecha Descripción de tareas (Consultor 1)
(Jefe de Proyecto) C1 JP Totales
Lunes 16 de junio de 2003 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16
Martes 17 de junio de 2003 Búsqueda de información pública Documentación inicial 8 8 16
Miércoles 18 de junio de 2003 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8
Jueves 19 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) 8 0 8
Viernes 20 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10
Sábado 21 de junio de 2003
Domingo 22 de junio de 2003
Total Semana 40 18 58
Lunes 23 de junio de 2003 Análisis de Datos Análisis de Datos 8 8 16
Martes 24 de junio de 2003 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16
Miércoles 25 de junio de 2003 Determinación de SSOO y puertos TCP/UDP 8 0 8
Jueves 26 de junio de 2003 Comprobación manual de sistemas y servicios 8 0 8
Viernes 27 de junio de 2003 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10
Sábado 28 de junio de 2003
Domingo 29 de junio de 2003
Total Semana 40 18 58
1
Lunes 30 de junio de 2003 Mapa de Red Análisis de Datos 8 8 16
Martes 1 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16
Miércoles 2 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8
Jueves 3 de julio de 2003 Comprobación manual de vulnerabilidades 8 0 8
Viernes 4 de julio de 2003 Eliminación de falsos positivos Análisis de Datos 8 4 12
Sábado 5 de julio de 2003
Domingo 6 de julio de 2003
Total Semana 40 20 60
Lunes 7 de julio de 2003 Documentación Documentación 8 8 16
Martes 8 de julio de 2003 Documentación Documentación 8 8 16
Miércoles 9 de julio de 2003 Reunión final y Entrega Reunión 8 8 16
Total Semana 24 24 48
Total Auditoría 144 80 224 28 días
14. Dimensionamiento de la Auditoría
Problemática
Las tareas de gestión de El Jefe de Proyecto debe
proyecto consumen tiempo ser real, no virtual, aunque
esté al 33% en MS Project
Los escaneos consumen 1
tiempo y ocupan un Deben asignarse equiposm
portátil portátile y fomentar la
simultaneidad de tareas
Lo que no esté analizado Documentar todo lo que se
en el informe no existe haga y poner una fecha de
congelación de escaneos
15. La metodología OSSTMM
Metodología OSSTMM
1
The Security Testing Professional and the OSSTMM
“Open Source Security Testing Methodology Manual”
17. La metodología OSSTMM
Diagrama de Red
Internet
Usuario
Router de
Remoto
acceso
Segmento
Segmento
externo
DMZ
Red de
Seguridad
Web, FTP DNS externo Relay de Cortafuegos
Segmento de
Correo
1
Anti Virus
Red Interna CVP
PC PC PC DNS Servidor Servidor de Bases de
Interno de Correo ficheros Datos
18. La metodología OSSTMM
Auditoría de Seguridad Internet
– Exploración de red
– Escaneo de puertos
– Identificación de Servicios
– Identificación de Sistemas
– Búsqueda y Verificación de Vulnerabilidades 1
– Comprobación de Aplicaciones Internet
19. La metodología OSSTMM
Análisis de la red
Objetivo
Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de
actuación y localizar las máquinas que se van a auditar.
Resultados
Nombres de Dominio
Nombres de Servidores 1
Direcciones IP
Mapa de Red
Información administrativa del Proveedor de Servicios
Propietarios y administradores de las máquinas
Posibles limitaciones en las pruebas de la auditoría
20. La metodología OSSTMM
Escaneo de puertos
Objetivo
El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de
transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar
puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y
acceder a la red interna.
Resultados
Puertos abiertos, cerrados y filtrados
Direcciones IP de sistemas activos 2
Lista de túneles descubiertos y encapsulación de protocolos
Lista de protocolos de enrutamiento soportados descubiertos.
Servicios activos
Mapa de red
21. La metodología OSSTMM
Detección Remota de Sistemas Operativos
Objetivo
Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión
que puedan identificar unívocamente al Sistema Operativo remoto utilizado y el nivel
de versión..
Resultados
Tipo de máquina
2
Tipo de Sistema Operativo
Nivel de parches y Service Packs
22. La metodología OSSTMM
Prueba de Servicios
Objetivo
Se examinan de forma activa las aplicaciones que están escuchando en los puertos
abiertos. En ciertos casos, existe más de una aplicación tras un servicio, escuchando,
además, en distintos puertos.
Resultados
Tipos de Servicio Activo
2
Tipos de Aplicación y nivel de versión
Mapa de Red
23. La metodología OSSTMM
Análisis de Vulnerabilidades
Objetivo
Se realizará la búsqueda de vulnerabilidades usando herramientas automáticas para
determinar agujeros de seguridad en aplicaciones y en versiones de parches. Se
realizará un análisis básico de vulnerabilidades de los distintos sistemas, mediante
procedimientos automáticos y manuales
Resultados
Lista de vulnerabilidades del sistema
Tipos de aplicación o servicio por vulnerabilidad
2
Descripción de cada vulnerabilidad y forma de explotarla
Recomendaciones de niveles de parche de sistemas y
aplicaciones que corrigen la vulnerabilidad
24. El informe de Auditoría
Análisis de Vulnerabilidades
Resultados
Lista de vulnerabilidades del sistema
Tipos de aplicación o servicio por vulnerabilidad
Descripción de cada vulnerabilidad y forma de explotarla
2
Recomendaciones de niveles de parche de sistemas y
aplicaciones que corrigen la vulnerabilidad
25. Para qué sirve la auditoría
• Auditoría, adecuación y definición de la Política, Normativas y
Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501)
ISO/IEC/UNE 717799-1:2002
1 Política de Seguridad 6 Comunicaciones y Gestión de Explotación
2 Organización de la Seguridad 7 Control de Acceso al Sistema
3 Organización y Control de Activos 8 Desarrollo y Mantenimiento
2
4 Seguridad Ligada al Personal 9 Plan de Continuidad y Mantenimiento
5 Seguridad Física y del Entorno 10 Conformidad Legal y a la Política de Seguridad
Establece el marco normativo de “obligado cumplimento”, para
todos los ámbitos de la seguridad: seguridad lógica, física, del
personal, cumplimiento legal, etc.
27. Gracias
2
DAVINCI Consulting Tecnológico, s.a.u.
Parque Empresarial Alvento.
Vía de los Poblados, 1 Edificio A 6ª planta
28033 Madrid
Tlf: 902 464 546 Fax: 91 561 3175
htttp://www.dvc.es
PPTs disponibles en ww.ausejo.net
Hinweis der Redaktion
Buenos días mi nombre es nombre , y soy jobtitle de daVinci ciudad_mad/bcn/.. . Voy a presentar cuales son las soluciones que ofrece daVinci en el Á rea de Seguridad Informática o, como la denominamos internamente, el á rea de solución e-Security.
Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
Ya hemos comentado la importancia de realizar las cosas con “método”. Prueba de ello es la elaboración de una metodología de desarrollo propia basada en el proceso unificado (RUP) y teniendo en cuenta los criterios de modelo CMM. (modelo que permite valorar el grado de madurez de los procesos de desarrollo de una organización). Actualmente estamos posicionándonos para poder ofrecer la asesoría necesaria para que nuestros clientes de seguridad obtengan la certificación ISO-17799 (basada en la inglesa BS7799) que acredita a las empresas como poseedoras de un riguroso nivel de seguridad. Del mismo modo queremos orientar nuestras soluciones de seguridad para que sean respetuosas con dicho estándard. Finalmente, estamos integrados en el grupo de desarrollo de OSSTMM, metodología para poder protocolizar los análisis de vulnerabilidades y la gestión del riesgo.
Ya hemos comentado la importancia de realizar las cosas con “método”. Prueba de ello es la elaboración de una metodología de desarrollo propia basada en el proceso unificado (RUP) y teniendo en cuenta los criterios de modelo CMM. (modelo que permite valorar el grado de madurez de los procesos de desarrollo de una organización). Actualmente estamos posicionándonos para poder ofrecer la asesoría necesaria para que nuestros clientes de seguridad obtengan la certificación ISO-17799 (basada en la inglesa BS7799) que acredita a las empresas como poseedoras de un riguroso nivel de seguridad. Del mismo modo queremos orientar nuestras soluciones de seguridad para que sean respetuosas con dicho estándard. Finalmente, estamos integrados en el grupo de desarrollo de OSSTMM, metodología para poder protocolizar los análisis de vulnerabilidades y la gestión del riesgo.