SlideShare ist ein Scribd-Unternehmen logo

Herramientas de análisis de vulnerabilidades

A
Alejandro Otegui

Presentación Herramientas de análisis de vulnerabilidades

Software
1 von 20
Downloaden Sie, um offline zu lesen
Alejandro Otegui García 19/09/2017 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES
¿Qué es una VULNERABILIDAD?
Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadore, tanto en el hardware, en el software, como en el Sistema Operativo.
Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema: 1. Vulnerabilidades ya conocidas sobre aplicaciones instaladas. Las empresas que desarrollan el programa al que afecta tienen conocimiento, y para las cuales ya existe una solución. 2. Vulnerabilidades conocidas sobre aplicaciones no instaladas. También son conocidas por las empresas desarrolladoras de la aplicación, pero como nosotros no tenemos dicha aplicación instalada no tendremos que actuar. 3. Vulnerabilidades aún no conocidas. Aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este programa.
TIPO DEFINICIÓN CRÍTICA Permite la propagación de un gusano de Internet sin la acción del usuario. IMPORTANTE Pone en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, bien, la integridad o disponibilidad de los recursos de procesamiento. MODERADA El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías... BAJA Muy difícil de aprovechar o cuyo impacto es mínimo. Clasificación de las vulnerabilidades en función de su gravedad:
Principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades: ATAQUE DEFINICIÓN INTERRUPCIÓN Un recurso del sistema o la red deja de estar disponible debido a un ataque. INTERCEPCIÓN Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. MODIFICACIÓN La información ha sido modificada sin autorización, por lo que ya no es válida. FABRICACIÓN Se crea un producto (por ejemplo una página web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
Análisis de VULNERABILIDAD
El objetivo del análisis de vulnerabilidades consiste en el descubrimiento, identificación y clasificación de vulnerabilidades y/o debilidades presentes en los diferentes equipos, servidores, servicios, sistemas, etc... de la organización. Es de suma importancia realizar este tipo de análisis en la red de las empresas para estar en constante actualización de los diferentes equipos o sistemas y con ello poder llegar a prevenir incidentes de seguridad.
Beneficios ● Obtiene un inventario exacto de los activos de la infraestructura. ● Ofrece un punto inicial en materia de seguridad y cómo tomar iniciativas para fortalecerlas en el tiempo. ● Recomendaciones para reducir las vulnerabilidades de los sistemas que protegen la información y activos de la organización. ● Cumplimiento de leyes y regulaciones (ISO 27002). ● Identifica lagunas en la infraestructura tecnológica.
¿Por qué hacer un análisis de vulnerabilidades? ● Evaluación de riesgos. ● Auditoría de red. ● Proporciona orientación para los controles de seguridad. ● Validación de cumplimiento. ● Monitoreo continuo. El análisis de vulnerabilidades consiste en la identificación de vulnerabilidades en los diferentes equipos, servidores, servicios, aplicativos, etc...; con la finalidad de mostrar que dispositivos requieren de una intervención para mitigar dichas debilidades de seguridad.
Herramientas de análisis de VULNERABILIDAD
Nmap Nmap: the Network Mapper - Free Security Scanner Ayuda en la seguridad tanto de redes como de sistemas informáticos. Busca puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más. Videotutorial - Uso de NMAP para scaneado de puertos
Wireshark Wireshark · Go Deep Realiza un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella. Analiza y audita con el máximo detalle nuestra red local, tanto encontrar vulnerabilidades como posibles problemas de red. [Tutorial] Como usar Wireshark
Metasploit Penetration Testing Software Metasploit: Penetration Testing Software Comprueba si nuestro sistema está totalmente actualizado y correctamente protegido frente a vulnerabilidades.
OWASP Zed OWASP Zed Attack Proxy Project - OWASP Encuentra vulnerabilidades en aplicaciones web. Escáner automático que nos va a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.
John The Ripper John the Ripper password cracker - Openwall Audita la seguridad de nuestras contraseñas. Rompe contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios. Tutorial John Ripper en Windows7
THC Hydra THC Hydra – SecTools Top Network Security Tools Busca acceso remoto a sistemas a través de protocolos de red.. Hydra Tutorial
Aircrack-ng Aircrack-ng Lanza una serie de ataques contra la red Wi-Fi de manera que podamos comprobar si la configuración de seguridad de la misma y su contraseña son correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi. Permite crackear tanto redes Wi-Fi WEP como WPA/WPA2. Tutorial Aircrack-ng
Fuentes de información utilizadas ● Amenazas y fraudes en los sistemas de la información ● ¿Qué es un Análisis de Vulnerabilidades Informáticas? ● Las mejores herramientas de Hacking para este 2017 ● Top 10 de las herramientas más populares para crackear contraseñas ● Herramientas online para comprobar la seguridad de tu página web
GRACIAS POR VUESTRA ATENCIÓN NOS VEMOS EN PRÓXIMAS ACTIVIDADES

Empfohlen

Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Magerit
MageritMagerit
MageritKrolina Agui
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber ResilienceIan-Edward Stafrace
 

Empfohlen

Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
Magerit Metodologia
Magerit MetodologiaMagerit Metodologia
Magerit MetodologiaAndres Soto Suarez
 
Herramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSHerramientas de detección de vulnerabilidades-NESSUS
Herramientas de detección de vulnerabilidades-NESSUSseguridadelinux
 
Magerit
MageritMagerit
MageritKrolina Agui
 
La Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónLa Gestión de Riesgos en las Tecnologías de la Información
La Gestión de Riesgos en las Tecnologías de la InformaciónPECB
 
Ciberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónCiberseguridad riesgos y prevención
Ciberseguridad riesgos y prevenciónConrad Iriarte
 
Concientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfConcientización en Ciberseguridad y Change Management vFD2.pdf
Concientización en Ciberseguridad y Change Management vFD2.pdfFabián Descalzo
 
Cyber Resilience
Cyber ResilienceCyber Resilience
Cyber ResilienceIan-Edward Stafrace
 
Vulnerability Assessment Report
Vulnerability Assessment ReportVulnerability Assessment Report
Vulnerability Assessment ReportHarshit Singh Bhatia
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 NessusMeztli Valeriano Orozco
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticacarlos910042
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informáticamorfouz
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informaticaCarlos Cardenas Fernandez
 
penetration test using Kali linux ppt
penetration test using Kali linux pptpenetration test using Kali linux ppt
penetration test using Kali linux pptAbhayNaik8
 
Cybersecurity Attack Vectors: How to Protect Your Organization
Cybersecurity Attack Vectors: How to Protect Your OrganizationCybersecurity Attack Vectors: How to Protect Your Organization
Cybersecurity Attack Vectors: How to Protect Your OrganizationTriCorps Technologies
 
Penetration Security Testing
Penetration Security TestingPenetration Security Testing
Penetration Security TestingSanjulika Rastogi
 
Cyber Security Vulnerabilities
Cyber Security VulnerabilitiesCyber Security Vulnerabilities
Cyber Security VulnerabilitiesSiemplify
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgosAlexander Velasque Rimac
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosAdriana Rodriguez
 
The Six Stages of Incident Response - Auscert 2016
The Six Stages of Incident Response - Auscert 2016The Six Stages of Incident Response - Auscert 2016
The Six Stages of Incident Response - Auscert 2016Ashley Deuble
 
Vulnerability assessment and penetration testing
Vulnerability assessment and penetration testingVulnerability assessment and penetration testing
Vulnerability assessment and penetration testingAbu Sadat Mohammed Yasin
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Intrusion detection
Intrusion detectionIntrusion detection
Intrusion detectionCAS
 
STRIDE And DREAD
STRIDE And DREADSTRIDE And DREAD
STRIDE And DREADchuckbt
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10YasserElsnbary
 
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 

Weitere ähnliche Inhalte

Was ist angesagt?

Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticacarlos910042
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informaticaluismarlmg
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informáticamorfouz
 
penetration test using Kali linux ppt
penetration test using Kali linux pptpenetration test using Kali linux ppt
penetration test using Kali linux pptAbhayNaik8
 
Cybersecurity Attack Vectors: How to Protect Your Organization
Cybersecurity Attack Vectors: How to Protect Your OrganizationCybersecurity Attack Vectors: How to Protect Your Organization
Cybersecurity Attack Vectors: How to Protect Your OrganizationTriCorps Technologies
 
Penetration Security Testing
Penetration Security TestingPenetration Security Testing
Penetration Security TestingSanjulika Rastogi
 
Cyber Security Vulnerabilities
Cyber Security VulnerabilitiesCyber Security Vulnerabilities
Cyber Security VulnerabilitiesSiemplify
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaFrancisco Medina
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosAdriana Rodriguez
 
The Six Stages of Incident Response - Auscert 2016
The Six Stages of Incident Response - Auscert 2016The Six Stages of Incident Response - Auscert 2016
The Six Stages of Incident Response - Auscert 2016Ashley Deuble
 
Vulnerability assessment and penetration testing
Vulnerability assessment and penetration testingVulnerability assessment and penetration testing
Vulnerability assessment and penetration testingAbu Sadat Mohammed Yasin
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)LJ PROJECTS
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingJaime Andrés Bello Vieda
 
Intrusion detection
Intrusion detectionIntrusion detection
Intrusion detectionCAS
 
STRIDE And DREAD
STRIDE And DREADSTRIDE And DREAD
STRIDE And DREADchuckbt
 

Was ist angesagt? (20)

Vulnerability Assessment Report
Vulnerability Assessment ReportVulnerability Assessment Report
Vulnerability Assessment Report
 
3.5 Nessus
3.5 Nessus3.5 Nessus
3.5 Nessus
 
Fundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informáticaFundamentos básicos de la seguridad informática
Fundamentos básicos de la seguridad informática
 
Auditoria informatica
Auditoria informaticaAuditoria informatica
Auditoria informatica
 
Preguntas seguridad informática
Preguntas seguridad informáticaPreguntas seguridad informática
Preguntas seguridad informática
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
penetration test using Kali linux ppt
penetration test using Kali linux pptpenetration test using Kali linux ppt
penetration test using Kali linux ppt
 
Cybersecurity Attack Vectors: How to Protect Your Organization
Cybersecurity Attack Vectors: How to Protect Your OrganizationCybersecurity Attack Vectors: How to Protect Your Organization
Cybersecurity Attack Vectors: How to Protect Your Organization
 
Penetration Security Testing
Penetration Security TestingPenetration Security Testing
Penetration Security Testing
 
Cyber Security Vulnerabilities
Cyber Security VulnerabilitiesCyber Security Vulnerabilities
Cyber Security Vulnerabilities
 
Análisis de riesgos
Análisis de riesgosAnálisis de riesgos
Análisis de riesgos
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Powerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativosPowerpoint dela seguridad y proteccion de los sistemas operativos
Powerpoint dela seguridad y proteccion de los sistemas operativos
 
The Six Stages of Incident Response - Auscert 2016
The Six Stages of Incident Response - Auscert 2016The Six Stages of Incident Response - Auscert 2016
The Six Stages of Incident Response - Auscert 2016
 
Vulnerability assessment and penetration testing
Vulnerability assessment and penetration testingVulnerability assessment and penetration testing
Vulnerability assessment and penetration testing
 
Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)Computer Security and Intrusion Detection(IDS/IPS)
Computer Security and Intrusion Detection(IDS/IPS)
 
Construyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentestingConstruyendo tu propio laboratorio de pentesting
Construyendo tu propio laboratorio de pentesting
 
Intrusion detection
Intrusion detectionIntrusion detection
Intrusion detection
 
STRIDE And DREAD
STRIDE And DREADSTRIDE And DREAD
STRIDE And DREAD
 
Owasp top 10
Owasp top 10Owasp top 10
Owasp top 10
 

Ähnlich wie Herramientas de análisis de vulnerabilidades

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeatCISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTJose Gonzales
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesDaniel Fernandez Droniak
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoFranciny Salles
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetraciónDavid Thomas
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesSantiago Toribio Ayuga
 
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxDIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxjosephvasquezuns
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Idat
 
Virus y antivirus mona & anyeh
Virus y antivirus mona & anyehVirus y antivirus mona & anyeh
Virus y antivirus mona & anyehmonaclaro
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informaticagio_vani
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticasJhony Arias
 
Unidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infUnidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infivannesberto
 

Ähnlich wie Herramientas de análisis de vulnerabilidades (20)

¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat¿Cómo detectar ataques de red utilizando Snort? | CISObeat
¿Cómo detectar ataques de red utilizando Snort? | CISObeat
 
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORTWebinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
Webinar CISOBeat - Detectar Ataques de Red Utilizando SNORT
 
Herramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidadesHerramientas de analisis de vulnerabilidades
Herramientas de analisis de vulnerabilidades
 
Clase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker ÉticoClase 02 - Curso Hacker Ético
Clase 02 - Curso Hacker Ético
 
Pruebas de penetración
Pruebas de penetraciónPruebas de penetración
Pruebas de penetración
 
Ciberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma TechnologiesCiberseguridad: CAso Alma Technologies
Ciberseguridad: CAso Alma Technologies
 
Actividad 3 crs
Actividad 3 crsActividad 3 crs
Actividad 3 crs
 
Ethical Hacking
Ethical HackingEthical Hacking
Ethical Hacking
 
Antivirus
AntivirusAntivirus
Antivirus
 
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptxDIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
DIAPOSITIVAS VULNERABILIDADES INFORMATICAS.pptx
 
Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017Castaneda suarezandresfernando2017
Castaneda suarezandresfernando2017
 
Virus y antivirus mona & anyeh
Virus y antivirus mona & anyehVirus y antivirus mona & anyeh
Virus y antivirus mona & anyeh
 
Scanners Seguridad Informatica
Scanners Seguridad InformaticaScanners Seguridad Informatica
Scanners Seguridad Informatica
 
Antivirus
AntivirusAntivirus
Antivirus
 
Trabajo informatica
Trabajo informaticaTrabajo informatica
Trabajo informatica
 
Actividad3crs
Actividad3crsActividad3crs
Actividad3crs
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Virus y vacunas informáticas
Virus y vacunas informáticasVirus y vacunas informáticas
Virus y vacunas informáticas
 
Capitulo2
Capitulo2Capitulo2
Capitulo2
 
Unidad1 antivirus 3ero inf
Unidad1 antivirus 3ero infUnidad1 antivirus 3ero inf
Unidad1 antivirus 3ero inf
 

Herramientas de análisis de vulnerabilidades

  • 1. Alejandro Otegui García 19/09/2017 HERRAMIENTAS DE ANÁLISIS DE VULNERABILIDADES
  • 2. ¿Qué es una VULNERABILIDAD?
  • 3. Una vulnerabilidad es una debilidad del sistema informático que puede ser utilizada para causar un daño. Las debilidades pueden aparecer en cualquiera de los elementos de una computadore, tanto en el hardware, en el software, como en el Sistema Operativo.
  • 4. Podemos diferenciar tres tipos de vulnerabilidades según cómo afectan a nuestra sistema: 1. Vulnerabilidades ya conocidas sobre aplicaciones instaladas. Las empresas que desarrollan el programa al que afecta tienen conocimiento, y para las cuales ya existe una solución. 2. Vulnerabilidades conocidas sobre aplicaciones no instaladas. También son conocidas por las empresas desarrolladoras de la aplicación, pero como nosotros no tenemos dicha aplicación instalada no tendremos que actuar. 3. Vulnerabilidades aún no conocidas. Aún no han sido detectadas por la empresa que desarrolla el programa, por lo que si otra persona ajena a dicha empresa detectara alguna, podría utilizarla contra todos los equipos que tienen instalado este programa.
  • 5. TIPO DEFINICIÓN CRÍTICA Permite la propagación de un gusano de Internet sin la acción del usuario. IMPORTANTE Pone en peligro la confidencialidad, integridad o disponibilidad de los datos de los usuarios, bien, la integridad o disponibilidad de los recursos de procesamiento. MODERADA El impacto se puede reducir en gran medida a partir de factores como configuraciones predeterminadas, auditorías... BAJA Muy difícil de aprovechar o cuyo impacto es mínimo. Clasificación de las vulnerabilidades en función de su gravedad:
  • 6. Principales ataques que puede sufrir un sistema si se aprovechan sus vulnerabilidades: ATAQUE DEFINICIÓN INTERRUPCIÓN Un recurso del sistema o la red deja de estar disponible debido a un ataque. INTERCEPCIÓN Un intruso accede a la información de nuestro equipo o a la que enviamos por la red. MODIFICACIÓN La información ha sido modificada sin autorización, por lo que ya no es válida. FABRICACIÓN Se crea un producto (por ejemplo una página web) difícil de distinguir del auténtico y que puede utilizarse para hacerse, por ejemplo, con información confidencial del usuario.
  • 8. El objetivo del análisis de vulnerabilidades consiste en el descubrimiento, identificación y clasificación de vulnerabilidades y/o debilidades presentes en los diferentes equipos, servidores, servicios, sistemas, etc... de la organización. Es de suma importancia realizar este tipo de análisis en la red de las empresas para estar en constante actualización de los diferentes equipos o sistemas y con ello poder llegar a prevenir incidentes de seguridad.
  • 9. Beneficios ● Obtiene un inventario exacto de los activos de la infraestructura. ● Ofrece un punto inicial en materia de seguridad y cómo tomar iniciativas para fortalecerlas en el tiempo. ● Recomendaciones para reducir las vulnerabilidades de los sistemas que protegen la información y activos de la organización. ● Cumplimiento de leyes y regulaciones (ISO 27002). ● Identifica lagunas en la infraestructura tecnológica.
  • 10. ¿Por qué hacer un análisis de vulnerabilidades? ● Evaluación de riesgos. ● Auditoría de red. ● Proporciona orientación para los controles de seguridad. ● Validación de cumplimiento. ● Monitoreo continuo. El análisis de vulnerabilidades consiste en la identificación de vulnerabilidades en los diferentes equipos, servidores, servicios, aplicativos, etc...; con la finalidad de mostrar que dispositivos requieren de una intervención para mitigar dichas debilidades de seguridad.
  • 11. Herramientas de análisis de VULNERABILIDAD
  • 12. Nmap Nmap: the Network Mapper - Free Security Scanner Ayuda en la seguridad tanto de redes como de sistemas informáticos. Busca puertos abiertos, servicios en ejecución, posibles vulnerabilidades e incluso analizar rangos de direcciones IP para ver que encontramos en ellas. Gran cantidad de información sobre el host, como su sistema operativo, el tiempo que lleva encendido y mucho más. Videotutorial - Uso de NMAP para scaneado de puertos
  • 13. Wireshark Wireshark · Go Deep Realiza un escaneo mucho más profundo de la red, a nivel de los paquetes que viajan por ella. Analiza y audita con el máximo detalle nuestra red local, tanto encontrar vulnerabilidades como posibles problemas de red. [Tutorial] Como usar Wireshark
  • 14. Metasploit Penetration Testing Software Metasploit: Penetration Testing Software Comprueba si nuestro sistema está totalmente actualizado y correctamente protegido frente a vulnerabilidades.
  • 15. OWASP Zed OWASP Zed Attack Proxy Project - OWASP Encuentra vulnerabilidades en aplicaciones web. Escáner automático que nos va a permitir comprobar si existen posibles vulnerabilidades en nuestras plataformas web que puedan servir de puerta de entrada a piratas informáticos.
  • 16. John The Ripper John the Ripper password cracker - Openwall Audita la seguridad de nuestras contraseñas. Rompe contraseñas mediante ataques tanto de fuerza bruta como basados en diccionarios. Tutorial John Ripper en Windows7
  • 17. THC Hydra THC Hydra – SecTools Top Network Security Tools Busca acceso remoto a sistemas a través de protocolos de red.. Hydra Tutorial
  • 18. Aircrack-ng Aircrack-ng Lanza una serie de ataques contra la red Wi-Fi de manera que podamos comprobar si la configuración de seguridad de la misma y su contraseña son correctas o, de lo contrario, pueden estar expuestas y algún vecino pueda estar robando nuestro Wi-Fi. Permite crackear tanto redes Wi-Fi WEP como WPA/WPA2. Tutorial Aircrack-ng
  • 19. Fuentes de información utilizadas ● Amenazas y fraudes en los sistemas de la información ● ¿Qué es un Análisis de Vulnerabilidades Informáticas? ● Las mejores herramientas de Hacking para este 2017 ● Top 10 de las herramientas más populares para crackear contraseñas ● Herramientas online para comprobar la seguridad de tu página web
  • 20. GRACIAS POR VUESTRA ATENCIÓN NOS VEMOS EN PRÓXIMAS ACTIVIDADES