Scribd Logo
Unggah

Selamat datang di Scribd!

  • Gest I On de Auditori As de Seguridad

    Diunggah oleh

    Oscar Lopez Paredes
    28 tayangan29 halaman

    Judul Asli

    Gest i on de Auditori as de Seguridad

    Hak Cipta

    © Attribution Non-Commercial (BY-NC)

    Format Tersedia

    PDF, TXT atau baca online dari Scribd

    Apakah menurut Anda dokumen ini bermanfaat?

    Apakah konten ini tidak pantas?

    Laporkan Dokumen Ini

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    28 tayangan29 halaman

    Gest I On de Auditori As de Seguridad

    Diunggah oleh

    Oscar Lopez Paredes

    Hak Cipta:

    Attribution Non-Commercial (BY-NC)
    Unduh sebagai PDF, TXT atau baca online dari Scribd
    Tandai sebagai konten tidak pantas
    dari 29

    Gestin de Proyectos de Auditora de Seguridad v1.

    3
    Rafael.Ausejo@dvc.es
    Consultor de Seguridad
    2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados con permiso. Esta versin es una modificacin de la presentacin original usada en el FIST 2003.

    29 diapositivas

    ndice
    Introduccin a las Auditoras de Seguridad Dimensionamiento de la Auditora La metodologa OSSTMM Seguridad en las aplicaciones 2 El informe de Auditora Para qu sirve la Auditora Conclusiones

    Introduccin a las Auditoras de Seguridad

    Tipos de Auditora de Seguridad


    Anlisis de Vulnerabiliades
    Auditora de Seguridad Hacking tico

    Test de Intrusin Auditora de Seguridad Comprobacin de la Seguridad Hacking tico


    Penetration Testing

    3
    Comprobacin de Seguridad

    coste

    Anlisis de Vulnerabilidades

    Fuente: OSSTMM

    tiempo

    Introduccin a las Auditoras de Seguridad

    Dos grandes grupos


    Auditora de Seguridad Auditora de Sistemas de Informacin Test de Intrusin

    Interna (Caja Blanca) Realizada en las instalaciones de ACME Se parte de un esquema de red Informacin proporcionada por el cliente

    Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Informacin desconocida

    Introduccin a las Auditoras de Seguridad

    Peligros de una Auditora Interna


    Auditora de Seguridad Auditora de Sistemas de Informacin Al final se convierte en Anlisis remoto

    Interna (Caja Blanca) Realizada en las instalaciones del cliente Se parte de un esquema de red Informacin proporcionada por el cliente

    No es posible conectar un porttil No se puede acceder al CPD

    No existe esquema de red El cliente no sabe o no proporciona la informacin

    Introduccin a las Auditoras de Seguridad

    Peligros de un Test de Intrusin


    Auditora de Seguridad Test de Intrusin Al final se convierte en Auditora interna
    Oye, necesito que te pases por ACME Ya que ests aqu, chame una mano con el firewall Inclyeme el password cracking Necesito un hardening de las mquinas

    Externa (Caja Negra) Realizado de forma remota Se parte de un rango de IPs o de un dominio DNS Informacin desconocida

    Revsame los IDSs Tienes dos semanas!

    Introduccin a las Auditoras de Seguridad

    Solucin:
    Auditora de Seguridad Internet: fase I OSSTMM

    Auditora de Seguridad Internet Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Informacin desconocida Cobertura: deteccin remota de vulnerabilidades Se realiza en dos o tres semanas Se sigue la metodologa OSSTMM

    Dimensionamiento de la Auditora

    El tiempo es dinero
    Cobertura propuesta Tiempo y recursos necesarios Presupuesto final

    El dinero es tiempo
    Presupuesto inicial Tiempo y recursos asignados Cobertura alcanzable

    Dimensionamiento de la Auditora

    Gestin del Proyecto

    Dimensionamiento de la Auditora

    Batera de preguntas
    Cuntos son los dispositivos a Auditar? Ej: 100 dispositivos fsicos con 150 IPs en la misma clase C Cul es la cobertura necesaria? Ej: Determinacin y anlisis de vulnerabilidades de cada uno Cul es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NMERO DE RECURSOS 10

    Dimensionamiento de la Auditora
    ACME: Seguimiento de la Auditora de Seguridad
    Da Lunes Martes Mircoles Jueves Viernes Sbado Domingo Lunes Martes Mircoles Jueves Viernes Sbado Domingo Lunes Martes Mircoles Jueves Viernes Sbado Domingo Lunes Martes Mircoles Fecha 14 de junio de 2004 15 de junio de 2004 16 de junio de 2004 17 de junio de 2004 18 de junio de 2004 19 de junio de 2004 20 de junio de 2004 21 de junio de 2004 22 de junio de 2004 23 de junio de 2004 24 de junio de 2004 25 de junio de 2004 26 de junio de 2004 27 de junio de 2004 28 de junio de 2004 29 de julio de 2004 30 de julio de 2004 1 de julio de 2004 2 de julio de 2004 3 de julio de 2004 4 de julio de 2004 Descripcin de tareas (Consultor 1) Recopilacin de informacin y reunin inicial Bsqueda de informacin pblica Bsqueda DNSs, traceroutes, AS Numbers, etc. Exploracin de red y escaneo "bulk" (nmap) Exploracin de red y escaneo "bulk" (nmap) Descripcin de tareas (Jefe de Proyecto) Recopilacin, Project y reunin Documentacin inicial Horas Horas Horas C1 JP Totales 8 8 16 8 8 16 8 0 8 8 0 8 8 2 10

    Seguimiento del proyecto

    Total Semana Anlisis de Datos Determinacin de SSOO y puertos TCP/UDP Determinacin de SSOO y puertos TCP/UDP Comprobacin manual de sistemas y servicios Comprobacin manual de sistemas y servicios Anlisis de Datos Documentacin

    Seguimiento del proyecto

    40 8 8 8 8 8

    18 8 8 0 0 2

    58 16 16 8 8 10

    11
    Total Semana Mapa de Red Anlisis de vulnerabilidades "bulk" (nessus) Anlisis de vulnerabilidades "bulk" (nessus) Comprobacin manual de vulnerabilidades Eliminacin de falsos positivos Anlisis de Datos Documentacin 40 8 8 8 8 8 18 8 8 0 0 4 58 16 16 8 8 12

    Anlisis de Datos

    Total Semana 5 de julio de 2004 Documentacin 6 de julio de 2004 Documentacin 7 de julio de 2004 Reunin final y Entrega Documentacin Documentacin Reunin Total Semana Total Auditora

    40 8 8 8 24 144

    20 8 8 8 24 80

    60 16 16 16 48 224

    28 das

    Dimensionamiento de la Auditora

    Problemtica

    Las tareas de gestin de proyecto consumen tiempo Los escaneos consumen tiempo y necesitan de equipos porttiles

    El Jefe de Proyecto debe ser real, no virtual, aunque est al 33% en MS Project Deben asignarse equipos porttiles y fomentar la simultaneidad de tareas
    12

    Lo que no est analizado en Documentar todo lo que se el informe no existe haga y poner una fecha de congelacin de escaneos

    La metodologa OSSTMM

    Metodologa OSSTMM
    13

    The Security Testing Professional and the OSSTMM


    Open Source Security Testing Methodology Manual

    La metodologa OSSTMM

    14

    La metodologa OSSTMM

    15

    La metodologa OSSTMM

    Auditora de Seguridad Internet


    Exploracin de red Escaneo de puertos Identificacin de Servicios Identificacin de Sistemas Bsqueda y Verificacin de Vulnerabilidades Seguridad en las Aplicaciones

    16

    La metodologa OSSTMM
    Anlisis de la red
    Objetivo Se realiza un anlisis preliminar, con el fin de delimitar especficamente el mbito de actuacin y localizar las mquinas que se van a auditar.

    Resultados

    Nombres de Dominio Nombres de Servidores Direcciones IP Mapa de Red Informacin administrativa del Proveedor de Servicios Propietarios y administradores de las mquinas Posibles limitaciones en las pruebas de la Auditora

    17

    La metodologa OSSTMM
    Escaneo de puertos
    Objetivo El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, as como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirn utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.

    Resultados

    Puertos abiertos, cerrados y filtrados Direcciones IP de sistemas activos Lista de tneles descubiertos y encapsulacin de protocolos Lista de protocolos de enrutamiento soportados descubiertos. Servicios activos Mapa de red

    18

    La metodologa OSSTMM
    Deteccin Remota de Sistemas Operativos
    Objetivo Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexin que puedan identificar el Sistema Operativo remoto utilizado y el nivel de versin.

    Resultados

    Tipo de mquina Tipo de Sistema Operativo Nivel de parches y Service Packs

    19

    La metodologa OSSTMM
    Prueba de Servicios
    Objetivo Se examinan de forma activa las aplicaciones que estn escuchando en los puertos abiertos. En ciertos casos, una misma aplicacin puede abrir distintos puertos para servicios diferentes.

    Resultados

    Tipos de Servicio Activo Tipos de Aplicacin y nivel de versin Mapa de Red

    20

    La metodologa OSSTMM
    Anlisis de Vulnerabilidades
    Objetivo Se realizar la bsqueda y anlisis bsico de las vulnerabilidades de los distintos sistemas, usando herramientas automticas y procedimientos manuales para determinar agujeros de seguridad en aplicaciones y en versiones de parches.

    Resultados

    Lista de vulnerabilidades del sistema Tipos de aplicacin o servicio por vulnerabilidad Descripcin de cada vulnerabilidad y forma de explotarla Recomendaciones de niveles de parche de sistemas y aplicaciones que corrigen la vulnerabilidad

    21

    Seguridad en las Aplicaciones

    22

    Seguridad en las Aplicaciones

    23

    El Informe de Auditora
    El contenido del Informe de Auditora es crtico para el xito de la misma 1. Sumario Ejecutivo (Introduccin, Problemas encontrados y Conclusin) El proceso de Auditora de Seguridad (Introduccin, Objeto, mbito, Objetivo, Perodo, Metodologa, Acuerdo de Confidencialidad) Resultados del Test (Recopilacin inicial de datos, Exploracin de Red, Perfil de la Red, Identificacin de Sistemas, Informacin sobre Servicios, Identificacin y Anlisis de Vulnerabilidades) Resumen (Conclusiones y Recomendaciones) Apndices Glosario

    2.

    3.

    24

    4. 5. 6.

    Para qu sirve la Auditora


    La auditora de Seguridad no es fin en s mismo, sino normalmente un medio para conseguir un fin:

    Justificacin de las inversiones a realizar Descubrimiento de nuevas amenazas 25 Adecuacin a la Poltica de Seguridad Adecuacin a la legislacin vigente (LOPD) Certificacin en estndares (ISO 900X)

    Para qu sirve la Auditora


    Buenas Prcticas de Gestin de la Seguridad ISO17799 / UNE 71501

    ISO/IEC/UNE 717799-1:2002 1 Poltica de Seguridad 2 Organizacin de la Seguridad 3 Organizacin y Control de Activos 4 Seguridad Ligada al Personal 5 Seguridad Fsica y del Entorno 6 Comunicaciones y Gestin de Explotacin 7 Control de Acceso al Sistema 8 Desarrollo y Mantenimiento 9 Plan de Continuidad y Mantenimiento 10 Conformidad Legal y a la Poltica de Seguridad

    26

    El Plan de Seguridad muestra de forma cualitativa los puntos ms prioritarios en que es necesario invertir en Seguridad de la Informacin.

    Para qu sirve la Auditora

    Dnde invertir?
    Seguridad perimetral (cortafuegos, routers) Proteccin contra intrusiones (IDS, IPS) Proteccin antivirus y filtrado de contenidos Securizacin del acceso (autenticacin, SSO, PKI) Securizacin de datos (integridad, cifrado VPN) Securizacin de sistemas (hardening, mantenimientos) Adecuacin legal y a la Poltica de Seguridad 27

    La auditora y el anlisis de riesgos justifican con mtricas, cuales son las prioridades de inversin.

    Conclusiones

    El peligro de las vulnerabilidades es que existe la amenaza de que sean explotadas Una gestin inadecuada del proyecto puede hacer fracasar al mejor equipo de Auditores de Seguridad

    28

    Toda auditora de seguridad debera complementarse con un anlisis de riesgos y una mtrica para medir el impacto

    Gracias

    29

    DAVINCI Consulting Tecnolgico, s.a.u. Parque Empresarial Alvento. Va de los Poblados, 1 Edificio A 6 planta 28033 Madrid Tlf: 902 464 546 htttp://www.dvc.es Fax: 91 561 3175

    Presentacin disponible en www.ausejo.net

    Anda mungkin juga menyukai