Este documento presenta técnicas para impedir ataques en redes y computadoras. Explica conceptos como pruebas de penetración, fortificación de sistemas usando los principios de mínimo privilegio posible, mínima superficie de exposición y defensa en profundidad. También introduce el enfoque de asumir la brecha y el uso de equipos rojo y azul para mejorar la seguridad mediante la simulación de ataques y respuestas.
RETO MES DE ABRIL .............................docx
TIA BASTIONADO y ASUME LA BRECHA 2018 (PART 2)
1. Técnicas para impedir ataques en
redes y computadoras.
Presentado por
Jhonny D .Maracay
Bloque programático IV:
Hacia la Ciberseguridad
2. Contenido
• Pruebas de penetración
• Contexto en seguridad informática
• Normas/Certificación
• Herramientas
• Sistemas operativos especializados
• Software para “Pentesting“.
• En la práctica
• Fortificar un sistema
• Mínimo Privilegio Posible
• Mínima superficie de Exposición
• Defensa en profundidad
• En la práctica
2
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
• Asume la brecha
• Red/Blue Team
• En la práctica
• Barridos de red
• Escaneo de puertos
• Huellas digitales del sistema
operativo.
• Secuencias de comandos para
extraer información.
• Herramientas para obtención de
información del sistema destino.
3. Fortificación de Sistemas
Define una línea base de seguridad
3
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras 3
4. • Según Francis Muñoz (Procedimientos de Bastionado: Securización de
servidores Solaris, Red Hat Linux, Windows 2003 Server ) “Se conoce
como bastionado, al proceso de securización de un sistema mediante la
reducción de su nivel de vulnerabilidad ante ataques”
• Según Turnbull James (Hardening Linux: Chpater 1, Hardening the
Basics) “Es el proceso de protección de un sistema y sus aplicaciones
contra amenazas desconocidas. ”
Fortificación de Sistemas
Definición
4
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
5. • Según Francis Muñoz (Procedimientos de Bastionado: Securización de
servidores Solaris, Red Hat Linux, Windows 2003 Server ) “Se conoce
como bastionado, al proceso de securización de un sistema mediante la
reducción de su nivel de vulnerabilidad ante ataques”
• Según Turnbull James (Hardening Linux: Chpater 1, Hardening the
Basics) “Es el proceso de protección de un sistema y sus aplicaciones
contra amenazas desconocidas. ”
Fortificación de Sistemas
Definición
5
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
6. • Un sistema debe ejecutar exclusivamente los componentes
necesarios para el cumplimiento funcional de su rol
• Reducir la superficie de posible ataque
• Servicios necesarios
• Exponer puertos del servicio
• Simplificar la infraestructura
• Separar roles
• No acumular servicios
Fortificación de Sistemas
Mínima Superficie de Exposición (MSE)
6
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
7. • Todo componente dentro de un sistema debe ejecutarse
con los privilegios únicos para cumplir con su rol y nada
más.
• No menos, porque entonces no funcionaría el sistema, no más
porque entonces se está subiendo el riesgo
• La concesión de esos privilegios nada más por el tiempo
que sean necesarios
• Reduce la superficie de ataque, haciendo las cosas más
difíciles para los atacantes/usuarios que buscan realizar
acciones no autorizadas
Fortificación de Sistemas
Mínimo Privilegio Posible (MPP)
7
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
8. • Un sistema debe aplicar tantas medidas de seguridad
como sea posible teniendo en cuenta que las medidas de
seguridad de las capas adyacentes pueden haber sido
comprometidas
• Siempre y cuando la aplicación de una medida no anule la
aplicación de otra y que el sistema siga ofertando su
servicio.
8
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
Fortificación de Sistemas
Defensa en Profundidad (DP)
9. Fortificación de Sistemas
Servidores (Linux)
9
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
MPP
Separar funciones
de técnicos de red,
soporte, seguridad,
administración, etc.
Accesos remotos
cifrado y sólo el
necesario
Particiones de disco
MSE
Clientes y servicios
Desplegar
servidores con una
sola función.
Zona DMZ + fw BD*
ACL’s, ¿IPv6?
Actualizaciones
Políticas DROP
firewall
DP
Acceso físico al
DataCenter
Manipulación de
credenciales
Trazabilidad de
eventos
Anti-malware
Respaldos
IDS en la red
10. Fortificación de Sistemas
Prueba de concepto
root@servidor~#
10
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
11. 11
Fortificación de Sistemas
Base de datos (PostgreSQL)
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
• Pg_hba.conf (database,
user)
• Usuarios/roles
• Tablas y permisos
• Disparadores*
MPP
• Pg_hba.conf (controlar
autenticación del
cliente)
• Cambia puerto de
escucha
• Cambia root directory
/var/lib/postgres
MSE
• Cifrado
• Inventario y
mantenimiento
• Política de credenciales
• Archivos con
información sensible
DP
12. 12
Fortificación de Sistemas
Prueba de concepto
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
root@servidor~#
13. Asume la brecha
Dos equipos y un objetivo, la seguridad
13
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
14. • Según Yuri Diogenes, Tom Shinder, Debra Shinder (Microsoft Azure
Security Center, Capitulo 1: The threat landscape ) “Significa que
usted espera nunca ser hackeado, pero se debe asumir que ya ha sido
hackeado o será pronto.”
• Según Yuri Diogenes, Tom Shinder, Debra Shinder (Microsoft Azure
Security Infrastructure, Capitulo 1: Cloud Security )“Nos ayuda a
entender cómo los atacantes obtienen acceso al sistema y los
métodos de desarrollo que nos permiten capturar al atacante tan
pronto como sea posible”
14
Asume la brecha
Definiciones
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
15. Para esta metodología, se da por perdida la primera
parte de la batalla, consiste en detectar brechas en
Tácticas, Técnicas y Procedimientos (TTP)
• Detección de ataque y penetración
• Respuesta al ataque y la penetración
• Recuperación de fuga de datos, alteración o compromiso
• Prevención de futuros ataques y penetración
15
Asume la brecha
Metodología
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
17. • Es un equipo que se centra en “romper” la
infraestructura del cliente, su plataforma y aplicaciones.
Son el “adversario (hackers éticos) que ejecutan ataques
dirigidos y persistentes”
• Tiempo medio para comprometer –Mean Time to
Compromise(MTTC)
• Tiempo medio para escalar privilegios –Mean Time to
PrivilegeEscalation(MTTP)
17
Asume la brecha
Equipo Rojo
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
18. • Credenciales:
• Contraseñas en los comentarios del LDAP o Directorio activo
• Usuarios sin contraseñas
• Contraseñas Fáciles Marzo2018
• Vulnerabilidades
• Shellshock, spectre, etc
• Configuraciones por DEFAULT
• Actualizaciones, Wordpress, etc.
• Proxy HTTP
18
Asume la brecha
Equipo Rojo (5 Objetivos comunes)
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
19. • Ataques a usuarios
• MITM
• Privilegios
• Servicios con privilegios incorrectos
• Usuarios con privilegios de admin local/dominio
• Mala utilización de sudo
•In/Exfiltranción
• Mediante correos electrónicos
• Túneles DNS
19
Asume la brecha
Equipo Rojo (5 Objetivos comunes)
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
20. • Es un equipo que se centra en “responder” a los
ataques recibidos, investigar los incidentes y aplicar
las contramedidas necesarias para que no se vuelva a
repetir. Suelen formar parte del equipo de
operaciones.
• Tiempo medio de detección –Mean Time to Detect(MTTD)
• Tiempo medio de recuperación –Mean Time to
Recovery(MTTR)
20
Asume la brecha
Equipo Azul
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
21. • Credenciales:
• Implementar políticas para contraseñas (passfilt/cracklib)
• Implementar doble factor de autenticación
• Monitorizar logueos fallidos
• Vulnerabilidades
• Despliegue automático de actualizaciones Puppet, Wsus.
• IDS/ISP
• Firewalls internos
21
Asume la brecha
Equipo Azul (5 Objetivos comunes)
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras
22. Ataques a usuarios
• Inspecciones de tablas ARP
• Protocolos cifrados en los servicios
• Segmentar la red
Privilegios
• Eliminar accesos a Shell
• Revisar permisos en tareas programadas
• Revisar registros de bitácoras
• Educar usuarios sobre Seguridad de la Información
• Ex/Infiltración
• Inspección de SSL en navegación
• Bloquear descargas de ejecutable sy derivados
• Limitar peticiones POST, cabeceras no mayores a 50 kb
• Bloqueo y cifrado de USB
• Antivirus
22
Asume la brecha
Equipo Azul (5 Objetivos comunes)
Hacia la Ciberseguridad:
Técnicas para impedir ataques en redes y computadoras