SlideShare ist ein Scribd-Unternehmen logo

Auditoría de Seguridad ACME

Als PPT, PDF herunterladen
Conferencias FIST
Conferencias FIST
Technologie
1 von 27
Gestión de Proyectos de Auditoría de Seguridad 1 18 de julio de 2003 Rafael.Ausejo@dvc.es Consultor de Seguridad
Índice – Detección de necesidades – Introducción a las Auditorías de Seguridad – Dimensionamiento de la Auditoría – La metodología OSSTMM 2 – El informe de Auditoría – Para qué sirve la auditoría
Detección de necesidades Cuando ACME dice: ¡Quiero una auditoría de seguridad! ¿Necesita Certificación? • Auditoría de Cuentas • Certificación ISO 9000-900X 3 ¿Necesita normativas? • Adecuación legal LOPD / LSSI-CE • Buenas Prácticas (ISO-IEC 17799)
Detección de necesidades ¿Necesita Seguridad?… • Protección contra intrusiones (IDS, IPS, etc.) • Protección contra virus, troyanos, malware... • Securización de sistemas internos (Hardening) 4 Asumimos que realmente necesita una Auditoría de Seguridad…
Introducción a las Auditorías de Seguridad Tipos de Auditorías Auditoría de Seguridad Auditoría de Sistemas de Información Test de Intrusión • Interna (Caja Blanca) • Externa (Caja Negra) • Realizada en las instalaciones de • Realizada de forma remota 5 ACME • Se parte de un rango de IPs o de • Se parte de un esquema de red un dominio DNS • Información proporcionada por el • Información desconocida cliente
Introducción a las Auditorías de Seguridad Peligros de una Auditoría Interna Auditoría de Seguridad Auditoría de Sistemas de Información Al final se convierte en Análisis remoto • Interna (Caja Blanca) • No es posible conectar un portátil • Realizada en las instalaciones del • No se puede acceder al CPD 6 cliente • Se parte de un esquema de red • No existe esquema de red • Información proporcionada por el • El cliente no sabe o no cliente proporciona la información
Introducción a las Auditorías de Seguridad Peligros de un Test de Intrusión Auditoría de Seguridad Test de Intrusión Al final se convierte en Intrusión interna • Externa (Caja Negra) • Oye, necesito que te pases por ACME • Realizado de forma remota • Ya que estás aquí, échame una mano con el firewall 7 • Se parte de un rango de IPs o de • Inclúyeme el pasword cracking un dominio DNS • Revísame los IDSs • Información desconocida • Necesito un hardening de las máquinas • ¡Tienes dos semanas!
Introducción a las Auditorías de Seguridad Hay más posibilidades • Análisis de Vulnerabiliades Hacking ético Auditoría de Seguridad • Test de Intrusión • Auditoría de Seguridad Penetration Testing 8 • Comprobación de la Comprobación de Seguridad Seguridad • Hacking ético coste Análisis de Vulnerabilidades Fuente: OSSTMM tiempo
Introducción a las Auditorías de Seguridad Solución: Auditoría de Seguridad Internet: fase I OSSTMM Auditoría de Seguridad Internet • Externa (Caja Negra) • Realizada de forma remota 9 • Se parte de un rango de IPs o de un dominio DNS • Información desconocida • Cobertura: detección remota de vulnerabilidades • Se realiza en dos-tres semanas • Se sigue la metodología OSSTMM
Dimensionamiento de la Auditoría El tiempo es dinero • Con la cobertura propuesta se calcula el tiempo y recursos necesarios para realizarla • Con el tiempo y los recursos necesarios se calcula el presupuesto de la auditoría 1 El dinero es tiempo • Con el presupuesto inicial se calculan el tiempo y los recursos asignados • Con el tiempo y los recursos es posible llegar hasta determinada cobertura en la metodología OSSTMM.
Dimensionamiento de la Auditoría Gestión del Proyecto 1
Dimensionamiento de la Auditoría Batería de preguntas • ¿Cuántos son los dispositivos a Auditar? Ej: 100 dispositivos físicos con 150 IPs en la misma clase C • ¿Cuál es la cobertura necesaria? Ej: Determinación y análisis de vulnerabilidades de cada uno 1 • ¿Cuál es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NÚMERO DE RECURSOS
Dimensionamiento de la Auditoría ACME: Seguimiento de la Auditoría de Seguridad Descripción de tareas Horas Horas Horas Día Fecha Descripción de tareas (Consultor 1) (Jefe de Proyecto) C1 JP Totales Lunes 16 de junio de 2003 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16 Martes 17 de junio de 2003 Búsqueda de información pública Documentación inicial 8 8 16 Miércoles 18 de junio de 2003 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8 Jueves 19 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) 8 0 8 Viernes 20 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10 Sábado 21 de junio de 2003 Domingo 22 de junio de 2003 Total Semana 40 18 58 Lunes 23 de junio de 2003 Análisis de Datos Análisis de Datos 8 8 16 Martes 24 de junio de 2003 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16 Miércoles 25 de junio de 2003 Determinación de SSOO y puertos TCP/UDP 8 0 8 Jueves 26 de junio de 2003 Comprobación manual de sistemas y servicios 8 0 8 Viernes 27 de junio de 2003 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10 Sábado 28 de junio de 2003 Domingo 29 de junio de 2003 Total Semana 40 18 58 1 Lunes 30 de junio de 2003 Mapa de Red Análisis de Datos 8 8 16 Martes 1 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16 Miércoles 2 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8 Jueves 3 de julio de 2003 Comprobación manual de vulnerabilidades 8 0 8 Viernes 4 de julio de 2003 Eliminación de falsos positivos Análisis de Datos 8 4 12 Sábado 5 de julio de 2003 Domingo 6 de julio de 2003 Total Semana 40 20 60 Lunes 7 de julio de 2003 Documentación Documentación 8 8 16 Martes 8 de julio de 2003 Documentación Documentación 8 8 16 Miércoles 9 de julio de 2003 Reunión final y Entrega Reunión 8 8 16 Total Semana 24 24 48 Total Auditoría 144 80 224 28 días
Dimensionamiento de la Auditoría Problemática Las tareas de gestión de El Jefe de Proyecto debe proyecto consumen tiempo ser real, no virtual, aunque esté al 33% en MS Project Los escaneos consumen 1 tiempo y ocupan un Deben asignarse equiposm portátil portátile y fomentar la simultaneidad de tareas Lo que no esté analizado Documentar todo lo que se en el informe no existe haga y poner una fecha de congelación de escaneos
La metodología OSSTMM Metodología OSSTMM 1 The Security Testing Professional and the OSSTMM “Open Source Security Testing Methodology Manual”
La metodología OSSTMM 1
La metodología OSSTMM Diagrama de Red Internet Usuario Router de Remoto acceso Segmento Segmento externo DMZ Red de Seguridad Web, FTP DNS externo Relay de Cortafuegos Segmento de Correo 1 Anti Virus Red Interna CVP PC PC PC DNS Servidor Servidor de Bases de Interno de Correo ficheros Datos
La metodología OSSTMM Auditoría de Seguridad Internet – Exploración de red – Escaneo de puertos – Identificación de Servicios – Identificación de Sistemas – Búsqueda y Verificación de Vulnerabilidades 1 – Comprobación de Aplicaciones Internet
La metodología OSSTMM Análisis de la red Objetivo Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar. Resultados Nombres de Dominio Nombres de Servidores 1 Direcciones IP Mapa de Red Información administrativa del Proveedor de Servicios Propietarios y administradores de las máquinas Posibles limitaciones en las pruebas de la auditoría
La metodología OSSTMM Escaneo de puertos Objetivo El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna. Resultados Puertos abiertos, cerrados y filtrados Direcciones IP de sistemas activos 2 Lista de túneles descubiertos y encapsulación de protocolos Lista de protocolos de enrutamiento soportados descubiertos. Servicios activos Mapa de red
La metodología OSSTMM Detección Remota de Sistemas Operativos Objetivo Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar unívocamente al Sistema Operativo remoto utilizado y el nivel de versión.. Resultados Tipo de máquina 2 Tipo de Sistema Operativo Nivel de parches y Service Packs
La metodología OSSTMM Prueba de Servicios Objetivo Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, existe más de una aplicación tras un servicio, escuchando, además, en distintos puertos. Resultados Tipos de Servicio Activo 2 Tipos de Aplicación y nivel de versión Mapa de Red
La metodología OSSTMM Análisis de Vulnerabilidades Objetivo Se realizará la búsqueda de vulnerabilidades usando herramientas automáticas para determinar agujeros de seguridad en aplicaciones y en versiones de parches. Se realizará un análisis básico de vulnerabilidades de los distintos sistemas, mediante procedimientos automáticos y manuales Resultados Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad 2 Descripción de cada vulnerabilidad y forma de explotarla Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
El informe de Auditoría Análisis de Vulnerabilidades Resultados Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad Descripción de cada vulnerabilidad y forma de explotarla 2 Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
Para qué sirve la auditoría • Auditoría, adecuación y definición de la Política, Normativas y Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501) ISO/IEC/UNE 717799-1:2002 1 Política de Seguridad 6 Comunicaciones y Gestión de Explotación 2 Organización de la Seguridad 7 Control de Acceso al Sistema 3 Organización y Control de Activos 8 Desarrollo y Mantenimiento 2 4 Seguridad Ligada al Personal 9 Plan de Continuidad y Mantenimiento 5 Seguridad Física y del Entorno 10 Conformidad Legal y a la Política de Seguridad Establece el marco normativo de “obligado cumplimento”, para todos los ámbitos de la seguridad: seguridad lógica, física, del personal, cumplimiento legal, etc.
Conclusiones 2
Gracias 2 DAVINCI Consulting Tecnológico, s.a.u. Parque Empresarial Alvento. Vía de los Poblados, 1 Edificio A 6ª planta 28033 Madrid Tlf: 902 464 546 Fax: 91 561 3175 htttp://www.dvc.es PPTs disponibles en ww.ausejo.net

Empfohlen

Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_desCarlos Ansotegui Pardo
 
Tests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/LinuxTests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/Linuxseguridadelinux
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Kali_Linux_v2_ReYDeS.pdf
Kali_Linux_v2_ReYDeS.pdfKali_Linux_v2_ReYDeS.pdf
Kali_Linux_v2_ReYDeS.pdfJoelAlfredoCadenasBr
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezTecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 

Empfohlen

Intrusion Detection System V1.2
Intrusion Detection System V1.2Intrusion Detection System V1.2
Intrusion Detection System V1.2Roger CARHUATOCTO
 
Kali linux v2_re_y_des
Kali linux v2_re_y_desKali linux v2_re_y_des
Kali linux v2_re_y_desCarlos Ansotegui Pardo
 
Tests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/LinuxTests de intrusión. Análisis de seguridad en GNU/Linux
Tests de intrusión. Análisis de seguridad en GNU/Linuxseguridadelinux
 
IDS (Intrusion Detection System)
IDS (Intrusion Detection System)IDS (Intrusion Detection System)
IDS (Intrusion Detection System)krush kr
 
Kali_Linux_v2_ReYDeS.pdf
Kali_Linux_v2_ReYDeS.pdfKali_Linux_v2_ReYDeS.pdf
Kali_Linux_v2_ReYDeS.pdfJoelAlfredoCadenasBr
 
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)Jhonny D. Maracay
 
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezTecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel Ramirez
Tecnicas de intrusion y contramedidas Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Introduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanIntroduccion seguridad informatica - chakan
Introduccion seguridad informatica - chakanch4k4n
 
Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]RootedCON
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Riesgos de Seguridad
Riesgos de SeguridadRiesgos de Seguridad
Riesgos de Seguridadmaheza3613
 
Unidad 6 seguridad informatica
Unidad 6 seguridad informaticaUnidad 6 seguridad informatica
Unidad 6 seguridad informaticaFrancisco Hernandez
 
Seguridad en sistemas computacionales
Seguridad en sistemas computacionalesSeguridad en sistemas computacionales
Seguridad en sistemas computacionalesUniversidad Nororiental Gran Mariscal de Ayacucho
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasArturo Hoffstadt
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroJavier Antunez / CISSP / LA27001 / IA9001
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redEventos Creativos
 
Tesis toth | Introducción a OSSTMM 3
Tesis toth | Introducción a OSSTMM 3 Tesis toth | Introducción a OSSTMM 3
Tesis toth | Introducción a OSSTMM 3 Atril Universal
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmmprogramadorjavablog
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiLoloUBD
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.mITSM
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteriaAlexander Velasque Rimac
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaJuan Carlos Broncanotorres
 
OSS TMM
OSS TMMOSS TMM
OSS TMMMaria Villalba
 
Oss tmm
Oss tmmOss tmm
Oss tmmYadi De La Cruz
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Cmm
CmmCmm
CmmUTCH
 
Expo
ExpoExpo
ExpoDESEMPLEADO BUSCANDO NUEVOS RETOS
 

Weitere ähnliche Inhalte

Was ist angesagt?

Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Alejandro Ramos
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]RootedCON
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusosJuan Manuel García
 
Riesgos de Seguridad
Riesgos de SeguridadRiesgos de Seguridad
Riesgos de Seguridadmaheza3613
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasArturo Hoffstadt
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingAlonso Caballero
 

Was ist angesagt? (8)

Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010Pentest curso de verano - valencia 2010
Pentest curso de verano - valencia 2010
 
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
Eduardo Sanchez & Rafael Sojo - Taller de CTF [rooted2018]
 
Modulo VI: Detección de intrusos
Modulo VI: Detección de intrusosModulo VI: Detección de intrusos
Modulo VI: Detección de intrusos
 
Riesgos de Seguridad
Riesgos de SeguridadRiesgos de Seguridad
Riesgos de Seguridad
 
Unidad 6 seguridad informatica
Unidad 6 seguridad informaticaUnidad 6 seguridad informatica
Unidad 6 seguridad informatica
 
Seguridad en sistemas computacionales
Seguridad en sistemas computacionalesSeguridad en sistemas computacionales
Seguridad en sistemas computacionales
 
Seguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de SistemasSeguridad Computacional y Administración de Sistemas
Seguridad Computacional y Administración de Sistemas
 
Penetration Testing / Ethical Hacking
Penetration Testing / Ethical HackingPenetration Testing / Ethical Hacking
Penetration Testing / Ethical Hacking
 

Andere mochten auch

Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezOscar Gonzalez
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redEventos Creativos
 
Tesis toth | Introducción a OSSTMM 3
Tesis toth | Introducción a OSSTMM 3 Tesis toth | Introducción a OSSTMM 3
Tesis toth | Introducción a OSSTMM 3 Atril Universal
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiLoloUBD
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.mITSM
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaJuan Carlos Broncanotorres
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Sebastián Bortnik
 
Cmm
CmmCmm
CmmUTCH
 
Cmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCesar Dueñas
 

Andere mochten auch (20)

Owasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carroOwasp Latam tour 2014 - Poniendo el caballo delante del carro
Owasp Latam tour 2014 - Poniendo el caballo delante del carro
 
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel RamirezFuga de informacion, Oscar Gonzalez - Gabriel Ramirez
Fuga de informacion, Oscar Gonzalez - Gabriel Ramirez
 
Análisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la redAnálisis forense en una fuga de datos. trampas en la red
Análisis forense en una fuga de datos. trampas en la red
 
Tesis toth | Introducción a OSSTMM 3
Tesis toth | Introducción a OSSTMM 3 Tesis toth | Introducción a OSSTMM 3
Tesis toth | Introducción a OSSTMM 3
 
7iSF-5 cmm
7iSF-5 cmm7iSF-5 cmm
7iSF-5 cmm
 
Mejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmiMejora de procesos y Transicion sw cmm a cmmi
Mejora de procesos y Transicion sw cmm a cmmi
 
Cmmi eufemia m.m
Cmmi eufemia m.mCmmi eufemia m.m
Cmmi eufemia m.m
 
Orange book common criteria
Orange book common criteriaOrange book common criteria
Orange book common criteria
 
Fundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetricaFundamentos matematicos para la criptografia asimetrica
Fundamentos matematicos para la criptografia asimetrica
 
OSS TMM
OSS TMMOSS TMM
OSS TMM
 
Oss tmm
Oss tmmOss tmm
Oss tmm
 
Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)Seguridad En Sistemas Operativos (segunda parte)
Seguridad En Sistemas Operativos (segunda parte)
 
Cmm
CmmCmm
Cmm
 
Expo
ExpoExpo
Expo
 
Cmmi piña, martin 7° b ti
Cmmi piña, martin 7° b tiCmmi piña, martin 7° b ti
Cmmi piña, martin 7° b ti
 
Exposicion
ExposicionExposicion
Exposicion
 
Osstmm.3
Osstmm.3Osstmm.3
Osstmm.3
 
Ensayo
EnsayoEnsayo
Ensayo
 
ISO 15408 Common Criteria
ISO 15408 Common CriteriaISO 15408 Common Criteria
ISO 15408 Common Criteria
 
Estándar CMM
Estándar CMMEstándar CMM
Estándar CMM
 

Ähnlich wie Auditoría de Seguridad ACME

Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridadoscar lopez
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informaticaLorena Arroyo
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...RootedCON
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)YuniorGregorio2
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Polo Perez
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umhAlejandro Quesada
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informaticaPedro Colmenares
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Internet Security Auditors
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidosTensor
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloadedFutura Networks
 
TARSecurity : Pruebas de intrusión, más allá de requisitos regulatorios
TARSecurity : Pruebas de intrusión, más allá de requisitos regulatoriosTARSecurity : Pruebas de intrusión, más allá de requisitos regulatorios
TARSecurity : Pruebas de intrusión, más allá de requisitos regulatoriosTAR Security
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetMailjet
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...RootedCON
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testxavazquez
 

Ähnlich wie Auditoría de Seguridad ACME (20)

Gestiondeauditoriasdeseguridad
GestiondeauditoriasdeseguridadGestiondeauditoriasdeseguridad
Gestiondeauditoriasdeseguridad
 
TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)TIA PENTEST 2018 (PART 1)
TIA PENTEST 2018 (PART 1)
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
Andrés Tarasco y Miguel Tarasco - OWISAM - Open WIreless Security Assessment ...
 
Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)Tema 9 comando kali linux (1)
Tema 9 comando kali linux (1)
 
Semana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUMSemana de la I+D - Proyecto OPOSSUM
Semana de la I+D - Proyecto OPOSSUM
 
Pruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open SourcePruebas de Intrusión utilizando Open Source
Pruebas de Intrusión utilizando Open Source
 
Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)Kali linux v2_re_y_des (1)
Kali linux v2_re_y_des (1)
 
Summer boot camp sciende umh
Summer boot camp sciende umhSummer boot camp sciende umh
Summer boot camp sciende umh
 
Creando un programa de seguridad informatica
Creando un programa de seguridad informaticaCreando un programa de seguridad informatica
Creando un programa de seguridad informatica
 
Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.Informatica forense: Recuperación de la Evidencia Digital.
Informatica forense: Recuperación de la Evidencia Digital.
 
Administración de la seguridad
Administración de la seguridadAdministración de la seguridad
Administración de la seguridad
 
Seguridad en sistemas distribuidos
Seguridad en sistemas distribuidosSeguridad en sistemas distribuidos
Seguridad en sistemas distribuidos
 
Cpmx3 computo forense reloaded
Cpmx3 computo forense reloadedCpmx3 computo forense reloaded
Cpmx3 computo forense reloaded
 
TARSecurity : Pruebas de intrusión, más allá de requisitos regulatorios
TARSecurity : Pruebas de intrusión, más allá de requisitos regulatoriosTARSecurity : Pruebas de intrusión, más allá de requisitos regulatorios
TARSecurity : Pruebas de intrusión, más allá de requisitos regulatorios
 
3.redes seguridad
3.redes seguridad3.redes seguridad
3.redes seguridad
 
04 ai seguridad
04 ai seguridad04 ai seguridad
04 ai seguridad
 
La seguridad de tus emails en Mailjet
La seguridad de tus emails en MailjetLa seguridad de tus emails en Mailjet
La seguridad de tus emails en Mailjet
 
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
rooted2020 Sandbox fingerprinting -_evadiendo_entornos_de_analisis_-_victor_c...
 
Interesante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-testInteresante 23 pags 229594550-01-penetration-test
Interesante 23 pags 229594550-01-penetration-test
 

Mehr von Conferencias FIST

Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceConferencias FIST
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseConferencias FIST
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiConferencias FIST
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security ForumConferencias FIST
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes WirelessConferencias FIST
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la ConcienciaciónConferencias FIST
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloConferencias FIST
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseConferencias FIST
 

Mehr von Conferencias FIST (20)

Seguridad en Open Solaris
Seguridad en Open SolarisSeguridad en Open Solaris
Seguridad en Open Solaris
 
Seguridad en Entornos Web Open Source
Seguridad en Entornos Web Open SourceSeguridad en Entornos Web Open Source
Seguridad en Entornos Web Open Source
 
Spanish Honeynet Project
Spanish Honeynet ProjectSpanish Honeynet Project
Spanish Honeynet Project
 
Seguridad en Windows Mobile
Seguridad en Windows MobileSeguridad en Windows Mobile
Seguridad en Windows Mobile
 
SAP Security
SAP SecuritySAP Security
SAP Security
 
Que es Seguridad
Que es SeguridadQue es Seguridad
Que es Seguridad
 
Network Access Protection
Network Access ProtectionNetwork Access Protection
Network Access Protection
 
Las Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática ForenseLas Evidencias Digitales en la Informática Forense
Las Evidencias Digitales en la Informática Forense
 
Evolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFiEvolución y situación actual de la seguridad en redes WiFi
Evolución y situación actual de la seguridad en redes WiFi
 
El Information Security Forum
El Information Security ForumEl Information Security Forum
El Information Security Forum
 
Criptografia Cuántica
Criptografia CuánticaCriptografia Cuántica
Criptografia Cuántica
 
Inseguridad en Redes Wireless
Inseguridad en Redes WirelessInseguridad en Redes Wireless
Inseguridad en Redes Wireless
 
Mas allá de la Concienciación
Mas allá de la ConcienciaciónMas allá de la Concienciación
Mas allá de la Concienciación
 
Security Metrics
Security MetricsSecurity Metrics
Security Metrics
 
PKI Interoperability
PKI InteroperabilityPKI Interoperability
PKI Interoperability
 
Wifislax 3.1
Wifislax 3.1Wifislax 3.1
Wifislax 3.1
 
Network Forensics
Network ForensicsNetwork Forensics
Network Forensics
 
Riesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el DesarrolloRiesgo y Vulnerabilidades en el Desarrollo
Riesgo y Vulnerabilidades en el Desarrollo
 
Demostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis ForenseDemostracion Hacking Honeypot y Análisis Forense
Demostracion Hacking Honeypot y Análisis Forense
 
Security Maturity Model
Security Maturity ModelSecurity Maturity Model
Security Maturity Model
 

Kürzlich hochgeladen

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIAWilbisVega
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan JosephBRAYANJOSEPHPEREZGOM
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxLolaBunny11
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...silviayucra2
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricKeyla Dolores Méndez
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfJulian Lamprea
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudianteAndreaHuertas24
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfsoporteupcology
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITMaricarmen Sánchez Ruiz
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveFagnerLisboa3
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíassuserf18419
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)GDGSucre
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx241521559
 

Kürzlich hochgeladen (13)

CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIACLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
CLASE DE TECNOLOGIA E INFORMATICA PRIMARIA
 
guía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Josephguía de registro de slideshare por Brayan Joseph
guía de registro de slideshare por Brayan Joseph
 
Presentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptxPresentación guía sencilla en Microsoft Excel.pptx
Presentación guía sencilla en Microsoft Excel.pptx
 
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
POWER POINT YUCRAElabore una PRESENTACIÓN CORTA sobre el video película: La C...
 
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft FabricGlobal Azure Lima 2024 - Integración de Datos con Microsoft Fabric
Global Azure Lima 2024 - Integración de Datos con Microsoft Fabric
 
Desarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdfDesarrollo Web Moderno con Svelte 2024.pdf
Desarrollo Web Moderno con Svelte 2024.pdf
 
9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante9egb-lengua y Literatura.pdf_texto del estudiante
9egb-lengua y Literatura.pdf_texto del estudiante
 
Redes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdfRedes direccionamiento y subredes ipv4 2024 .pdf
Redes direccionamiento y subredes ipv4 2024 .pdf
 
pruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNITpruebas unitarias unitarias en java con JUNIT
pruebas unitarias unitarias en java con JUNIT
 
EPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial UninoveEPA-pdf resultado da prova presencial Uninove
EPA-pdf resultado da prova presencial Uninove
 
Trabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnologíaTrabajo Mas Completo De Excel en clase tecnología
Trabajo Mas Completo De Excel en clase tecnología
 
International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)International Women's Day Sucre 2024 (IWD)
International Women's Day Sucre 2024 (IWD)
 
Proyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptxProyecto integrador. Las TIC en la sociedad S4.pptx
Proyecto integrador. Las TIC en la sociedad S4.pptx
 

Auditoría de Seguridad ACME

  • 1. Gestión de Proyectos de Auditoría de Seguridad 1 18 de julio de 2003 Rafael.Ausejo@dvc.es Consultor de Seguridad
  • 2. Índice – Detección de necesidades – Introducción a las Auditorías de Seguridad – Dimensionamiento de la Auditoría – La metodología OSSTMM 2 – El informe de Auditoría – Para qué sirve la auditoría
  • 3. Detección de necesidades Cuando ACME dice: ¡Quiero una auditoría de seguridad! ¿Necesita Certificación? • Auditoría de Cuentas • Certificación ISO 9000-900X 3 ¿Necesita normativas? • Adecuación legal LOPD / LSSI-CE • Buenas Prácticas (ISO-IEC 17799)
  • 4. Detección de necesidades ¿Necesita Seguridad?… • Protección contra intrusiones (IDS, IPS, etc.) • Protección contra virus, troyanos, malware... • Securización de sistemas internos (Hardening) 4 Asumimos que realmente necesita una Auditoría de Seguridad…
  • 5. Introducción a las Auditorías de Seguridad Tipos de Auditorías Auditoría de Seguridad Auditoría de Sistemas de Información Test de Intrusión • Interna (Caja Blanca) • Externa (Caja Negra) • Realizada en las instalaciones de • Realizada de forma remota 5 ACME • Se parte de un rango de IPs o de • Se parte de un esquema de red un dominio DNS • Información proporcionada por el • Información desconocida cliente
  • 6. Introducción a las Auditorías de Seguridad Peligros de una Auditoría Interna Auditoría de Seguridad Auditoría de Sistemas de Información Al final se convierte en Análisis remoto • Interna (Caja Blanca) • No es posible conectar un portátil • Realizada en las instalaciones del • No se puede acceder al CPD 6 cliente • Se parte de un esquema de red • No existe esquema de red • Información proporcionada por el • El cliente no sabe o no cliente proporciona la información
  • 7. Introducción a las Auditorías de Seguridad Peligros de un Test de Intrusión Auditoría de Seguridad Test de Intrusión Al final se convierte en Intrusión interna • Externa (Caja Negra) • Oye, necesito que te pases por ACME • Realizado de forma remota • Ya que estás aquí, échame una mano con el firewall 7 • Se parte de un rango de IPs o de • Inclúyeme el pasword cracking un dominio DNS • Revísame los IDSs • Información desconocida • Necesito un hardening de las máquinas • ¡Tienes dos semanas!
  • 8. Introducción a las Auditorías de Seguridad Hay más posibilidades • Análisis de Vulnerabiliades Hacking ético Auditoría de Seguridad • Test de Intrusión • Auditoría de Seguridad Penetration Testing 8 • Comprobación de la Comprobación de Seguridad Seguridad • Hacking ético coste Análisis de Vulnerabilidades Fuente: OSSTMM tiempo
  • 9. Introducción a las Auditorías de Seguridad Solución: Auditoría de Seguridad Internet: fase I OSSTMM Auditoría de Seguridad Internet • Externa (Caja Negra) • Realizada de forma remota 9 • Se parte de un rango de IPs o de un dominio DNS • Información desconocida • Cobertura: detección remota de vulnerabilidades • Se realiza en dos-tres semanas • Se sigue la metodología OSSTMM
  • 10. Dimensionamiento de la Auditoría El tiempo es dinero • Con la cobertura propuesta se calcula el tiempo y recursos necesarios para realizarla • Con el tiempo y los recursos necesarios se calcula el presupuesto de la auditoría 1 El dinero es tiempo • Con el presupuesto inicial se calculan el tiempo y los recursos asignados • Con el tiempo y los recursos es posible llegar hasta determinada cobertura en la metodología OSSTMM.
  • 11. Dimensionamiento de la Auditoría Gestión del Proyecto 1
  • 12. Dimensionamiento de la Auditoría Batería de preguntas • ¿Cuántos son los dispositivos a Auditar? Ej: 100 dispositivos físicos con 150 IPs en la misma clase C • ¿Cuál es la cobertura necesaria? Ej: Determinación y análisis de vulnerabilidades de cada uno 1 • ¿Cuál es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NÚMERO DE RECURSOS
  • 13. Dimensionamiento de la Auditoría ACME: Seguimiento de la Auditoría de Seguridad Descripción de tareas Horas Horas Horas Día Fecha Descripción de tareas (Consultor 1) (Jefe de Proyecto) C1 JP Totales Lunes 16 de junio de 2003 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16 Martes 17 de junio de 2003 Búsqueda de información pública Documentación inicial 8 8 16 Miércoles 18 de junio de 2003 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8 Jueves 19 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) 8 0 8 Viernes 20 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10 Sábado 21 de junio de 2003 Domingo 22 de junio de 2003 Total Semana 40 18 58 Lunes 23 de junio de 2003 Análisis de Datos Análisis de Datos 8 8 16 Martes 24 de junio de 2003 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16 Miércoles 25 de junio de 2003 Determinación de SSOO y puertos TCP/UDP 8 0 8 Jueves 26 de junio de 2003 Comprobación manual de sistemas y servicios 8 0 8 Viernes 27 de junio de 2003 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10 Sábado 28 de junio de 2003 Domingo 29 de junio de 2003 Total Semana 40 18 58 1 Lunes 30 de junio de 2003 Mapa de Red Análisis de Datos 8 8 16 Martes 1 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16 Miércoles 2 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8 Jueves 3 de julio de 2003 Comprobación manual de vulnerabilidades 8 0 8 Viernes 4 de julio de 2003 Eliminación de falsos positivos Análisis de Datos 8 4 12 Sábado 5 de julio de 2003 Domingo 6 de julio de 2003 Total Semana 40 20 60 Lunes 7 de julio de 2003 Documentación Documentación 8 8 16 Martes 8 de julio de 2003 Documentación Documentación 8 8 16 Miércoles 9 de julio de 2003 Reunión final y Entrega Reunión 8 8 16 Total Semana 24 24 48 Total Auditoría 144 80 224 28 días
  • 14. Dimensionamiento de la Auditoría Problemática Las tareas de gestión de El Jefe de Proyecto debe proyecto consumen tiempo ser real, no virtual, aunque esté al 33% en MS Project Los escaneos consumen 1 tiempo y ocupan un Deben asignarse equiposm portátil portátile y fomentar la simultaneidad de tareas Lo que no esté analizado Documentar todo lo que se en el informe no existe haga y poner una fecha de congelación de escaneos
  • 15. La metodología OSSTMM Metodología OSSTMM 1 The Security Testing Professional and the OSSTMM “Open Source Security Testing Methodology Manual”
  • 17. La metodología OSSTMM Diagrama de Red Internet Usuario Router de Remoto acceso Segmento Segmento externo DMZ Red de Seguridad Web, FTP DNS externo Relay de Cortafuegos Segmento de Correo 1 Anti Virus Red Interna CVP PC PC PC DNS Servidor Servidor de Bases de Interno de Correo ficheros Datos
  • 18. La metodología OSSTMM Auditoría de Seguridad Internet – Exploración de red – Escaneo de puertos – Identificación de Servicios – Identificación de Sistemas – Búsqueda y Verificación de Vulnerabilidades 1 – Comprobación de Aplicaciones Internet
  • 19. La metodología OSSTMM Análisis de la red Objetivo Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar. Resultados Nombres de Dominio Nombres de Servidores 1 Direcciones IP Mapa de Red Información administrativa del Proveedor de Servicios Propietarios y administradores de las máquinas Posibles limitaciones en las pruebas de la auditoría
  • 20. La metodología OSSTMM Escaneo de puertos Objetivo El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna. Resultados Puertos abiertos, cerrados y filtrados Direcciones IP de sistemas activos 2 Lista de túneles descubiertos y encapsulación de protocolos Lista de protocolos de enrutamiento soportados descubiertos. Servicios activos Mapa de red
  • 21. La metodología OSSTMM Detección Remota de Sistemas Operativos Objetivo Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar unívocamente al Sistema Operativo remoto utilizado y el nivel de versión.. Resultados Tipo de máquina 2 Tipo de Sistema Operativo Nivel de parches y Service Packs
  • 22. La metodología OSSTMM Prueba de Servicios Objetivo Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, existe más de una aplicación tras un servicio, escuchando, además, en distintos puertos. Resultados Tipos de Servicio Activo 2 Tipos de Aplicación y nivel de versión Mapa de Red
  • 23. La metodología OSSTMM Análisis de Vulnerabilidades Objetivo Se realizará la búsqueda de vulnerabilidades usando herramientas automáticas para determinar agujeros de seguridad en aplicaciones y en versiones de parches. Se realizará un análisis básico de vulnerabilidades de los distintos sistemas, mediante procedimientos automáticos y manuales Resultados Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad 2 Descripción de cada vulnerabilidad y forma de explotarla Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
  • 24. El informe de Auditoría Análisis de Vulnerabilidades Resultados Lista de vulnerabilidades del sistema Tipos de aplicación o servicio por vulnerabilidad Descripción de cada vulnerabilidad y forma de explotarla 2 Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad
  • 25. Para qué sirve la auditoría • Auditoría, adecuación y definición de la Política, Normativas y Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501) ISO/IEC/UNE 717799-1:2002 1 Política de Seguridad 6 Comunicaciones y Gestión de Explotación 2 Organización de la Seguridad 7 Control de Acceso al Sistema 3 Organización y Control de Activos 8 Desarrollo y Mantenimiento 2 4 Seguridad Ligada al Personal 9 Plan de Continuidad y Mantenimiento 5 Seguridad Física y del Entorno 10 Conformidad Legal y a la Política de Seguridad Establece el marco normativo de “obligado cumplimento”, para todos los ámbitos de la seguridad: seguridad lógica, física, del personal, cumplimiento legal, etc.
  • 27. Gracias 2 DAVINCI Consulting Tecnológico, s.a.u. Parque Empresarial Alvento. Vía de los Poblados, 1 Edificio A 6ª planta 28033 Madrid Tlf: 902 464 546 Fax: 91 561 3175 htttp://www.dvc.es PPTs disponibles en ww.ausejo.net

Hinweis der Redaktion

  1. Buenos días mi nombre es nombre , y soy jobtitle de daVinci ciudad_mad/bcn/.. . Voy a presentar cuales son las soluciones que ofrece daVinci en el Á rea de Seguridad Informática o, como la denominamos internamente, el á rea de solución e-Security.
  2. Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
  3. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  4. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  5. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  6. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  7. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  8. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  9. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  10. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  11. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  12. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  13. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  14. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  15. Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
  16. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  17. Haciendo un breve repaso a las estadísticas, en este caso de EEUU pero perfectamente extrapolables a España (como demuestran, por ejemplo, los datos de la encuesta de Ernst & Young sobre la situación de la seguridad en España) ...como decía, la estadísticas demuestran dos puntos importantes: 1. Primer punto: existen pérdidas económicas. Es decir, existen riesgos reales . Ante estos riesgos, ¿ cúal es la actitud sensata ?: la actitud sensata es implementar medidas tecnológicas o contramedidas para minimizarlos (por supuesto de forma proporcional al valor de los activos que protegen) y respecto al riesgo residual (la parte de riesgo que sigue existiendo), bien asumirlo, o bien transferirlo (de hecho daVinci ofrece pólizas de seguros específicas que dan cobertura a los riesgos informáticos como pérdida de información, responsabilidad civil, etc. tanto si se deben a ataques de hackers, como si deben a negligencia de los propios empleados o incluso causas físicas). Esto que es de sentido común (es lo que hacemos en nuestra vivienda: implementar medidas como cerraduras etc. mejores o no en función del mayor o menor riesgo, y luego un seguro de hogar ya que un riesgo siempre queda)...como digo esta misma actitud es la que las empresas están empezando a implementar internamente. ¿Cómo?: mediante estudios y análisis de riesgos, implementación de medidas tecnológicas y pólizas de seguro. 2. El segundo punto importante que revelan las estadísticas es que los problemas no solo vienen de Internet o de personas externas sino que en igual o mayor medida vienen de empleados descontentos ,es decir desde el interior (a veces los empleados descontentos acceden desde Internet pero explotando puertas traseras en los sistemas que previamente han dejado o descubierto desde el interior de la empresa). (siguiendo con el ejemplo de la vivienda, sería como blindar la puerta pero dejar la ventana abierta. Las empresas se han concienciado de la necesidad de implementar también medidas para proteger sus propias redes 3. Un último comentario es que no se sufren ataques únicos o desde un único origen, sino múltiples (de hecho se puede ver que los porcentajes no suman 100 sino más de cien). A modo de ejemplo en los logs de cortafuegos de empresas importantes en España (como varios de nuestros clientes) pueden llegar a registrarse cientos de intentos de ataque diarios.
  18. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  19. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  20. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  21. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  22. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  23. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  24. 2006 $4.8 b 71%, $3.4 b 78%, $2.6 b 44%, $1.4 b 44%, $660 m
  25. Ya hemos comentado la importancia de realizar las cosas con “método”. Prueba de ello es la elaboración de una metodología de desarrollo propia basada en el proceso unificado (RUP) y teniendo en cuenta los criterios de modelo CMM. (modelo que permite valorar el grado de madurez de los procesos de desarrollo de una organización). Actualmente estamos posicionándonos para poder ofrecer la asesoría necesaria para que nuestros clientes de seguridad obtengan la certificación ISO-17799 (basada en la inglesa BS7799) que acredita a las empresas como poseedoras de un riguroso nivel de seguridad. Del mismo modo queremos orientar nuestras soluciones de seguridad para que sean respetuosas con dicho estándard. Finalmente, estamos integrados en el grupo de desarrollo de OSSTMM, metodología para poder protocolizar los análisis de vulnerabilidades y la gestión del riesgo.
  26. Ya hemos comentado la importancia de realizar las cosas con “método”. Prueba de ello es la elaboración de una metodología de desarrollo propia basada en el proceso unificado (RUP) y teniendo en cuenta los criterios de modelo CMM. (modelo que permite valorar el grado de madurez de los procesos de desarrollo de una organización). Actualmente estamos posicionándonos para poder ofrecer la asesoría necesaria para que nuestros clientes de seguridad obtengan la certificación ISO-17799 (basada en la inglesa BS7799) que acredita a las empresas como poseedoras de un riguroso nivel de seguridad. Del mismo modo queremos orientar nuestras soluciones de seguridad para que sean respetuosas con dicho estándard. Finalmente, estamos integrados en el grupo de desarrollo de OSSTMM, metodología para poder protocolizar los análisis de vulnerabilidades y la gestión del riesgo.