METODOLOGIA Observaciones sobre terminología

Transcripción

1 METODOLOGIA Observacionessobreterminología Paralograrlamayorclaridadtécnica,queremosprecisarmuybrevementealgunostérminos queusaremoseneldetalledelametodologíapropuesta,lacualhasidoinspiradaenel cumplimientodelacircular052delasuperintendenciafinancieradecolombia. Nombraremoscuatrosiglasprincipalmente: CVE. SigladeCommonVulnerabilitiesandExposures(verhttp://cve.mitre.org). CVSSv2. SigladelCommonVulnerabilityScoringSystem(verhttp:// OSSTMM. SigladelOpenSourceSecurityTestingMethodologyManual(verhttp:// OWASP. SigladeOpenWebApplicationSecurityProject( Hablaremosdevulnerabilidadcomoladebilidadtécnicareconocidayclasificadapor expertosenlistadoscomoeldelacve.cuandoafectaalgúnsistemadelaactualreden estudio,demaneraespecíficaenundeterminadopuertooservicio,nosreferimosadicho eventocomounaamenazadentrodelared.deestamanera,remediacióndeunaamenaza encontrada,escuandosecorrigedeterminadavulnerabilidadenunadirecciónipyparaun serviciodado,mientrasqueblindarlaredcontraunavulnerabilidad,porejemplolacve presenteen21equiposenunared,significarealizarlamismacorrecciónacada unodeestosequipos,entodoslosserviciosafectados,hastacerrarcompletamenteestas21 vulnerabilidades. Parareferirnosalaactividadtécnicaenbuscadevulnerabilidades,queincluyeinformes estándarenelmercadocondescripcionesysugerenciasdesolucióndedichavulnerabilidad, usamoslostérminossondeo,escaneooexploración.reservamoseltérminoanálisis,al estudiodedichosinformesrealizadoporfav,descartandofalsospositivos,usandofiltros, algoritmosyprocesosinternosdeactualizacióndepuntajescvssv2diariamente,para mantenerseenconformidadconloexigidoporlacircular052yqueasímismoencuentray clasificavulnerabilidadescvesegúndichosistemadepuntuación,paramostrarlos resultadosencumplimientoconloexigidoporlacorporaciónmitreparaproductos homologados.adicionalmente,favcontieneunaseccióndeanálisisquesemuestraenel anexodepresentacióndelaherramientaysedescribeensusmanuales.resultadodel procesodeanálisis,encontramossendosdiagramas,informespararemediación, clasificaciónderiesgos,históricodevulnerabilidades,entreotros. Llamamossondeodecajablancaalasexploracionesdelossistemasconprivilegios,esdecir, dondelascredencialesnecesariassonsuministradasysetienepermisoparaexplorarcon dichascredenciales.encontraste,lossondeodecajanegra,seránaquellosrealizadossin poseerlascredencialesdelossistemasobjetivo,loscualespuedenhacerseenmodoseguro oinseguro.enelmodoseguro,noseusanalgoritmosquepuedandeteneralgúnservicio; mientrasqueenelmodoinseguroexistelaposibilidaddedejarunsistemainoperantehasta

2 tantoesteseareiniciado.tambiénsedanlosllamadossondeosdecajagris,enlosquenose cuentaconcredenciales,perosiconelconocimientodesistemasoperativosyaplicacionesy serviciospresentesenlosactivossondeados.favprofundizaenestetipodesondeos,para evitarlosriesgosinherentesenlamanipulacióndecredencialesdelosactivos.paraello, incluyeensuversiónestándar,avanzadasherramientasdecorrelación. Propuestametodológica AunqueunsoloapplianceFAVessuficienteparacumplirconnormas,frutodenuestra experienciaconfavenproducción,entregamosdosappliancesfav.elprimeropara producciónyunsegundoparaapoyo,queusualmentetrabajaenvalidaciónde remediacionesefectuadasademásdepoderserusadocomocontingencia. Elappliancedeapoyoestádiseñadopararealizarcontinuossondeos,conelobjetode verificarlaremediacióndeunaamenazaeinformardesuéxitoalosresponsablesdedicha remediación.dadoquelosresultadosdesugestiónsolosonrequeridos momentáneamente,sepuedeprogramarparaqueestosseanautomáticamenteborrados cadatercerdía.estaesladiferenciafundamentalconlaconfiguracióndeproducción,enla cualnoesposibleborrarningunodelossondeosefectuados,sololosreportes. Pasosparapuestaenproducciónson: 1.Realizacióndeunapreconsultoríatécnicaparadeterminarlaubicaciónfinaldelappliance FAV,tantofísicacomológica,asícomolosrequerimientoslógicosdentrofirewalls,IPSy dispositivosdecomunicaciones.enpaticular,sepresentanlasposibilidadestécnicaspara actualizacionesdebasesdedatosdecve CVSSv2,algoritmosdesondeoysoporteenlínea. Unavezsetomandecisionessobreestostemas,sedocumentanyseprogramasu implementación. 2.Implementacióndeconfiguracioneseinstalaciónsegúnprocedimientosacordadosenla etapadepreconsultoría.loschequeossepuedenconfigurarparaverificarcumplimiento contraunanormaoestándardeterminado.sieseeselcaso,losresultadossepresentan,tal comoloexigedichanormaoestándar,lascualesusualmenterequierensondeosdecaja blanca.aunquefavsepuedeconfigurarparaentregarresultadospersonalizados,hemos desarrolladoconfiguracionesespecíficasparareportarcumplimientodelassiguientes normas: PaymentCardIndustry(PCI) BASELII CenterforInternetSecurityBenchmarks(CIS) ControlObjectivesforInformationandrelatedTechnology(COBIT) DefenseInformationSystemsAgencySTIGs FederalInformationSecurityManagement(FISMA) FederalDesktopCoreConfiguration(FDCC) Gramm Leach BlileyAct(GLBA) HealthInsurancePortabilityandAccountabilityAct(HIPAA) ISO27002/17799SecurityStandards InformationTechnologyInformationLibrary(ITIL) NationalInstituteofStandards(NIST)configurationguidelines NationalSecurityAgency(NSA)configurationguidelines

3 Sarbanes Oxley(SOX) SiteDataProtection(SDP) 3.PerfilarlaRed:Descubrimientodelosdiferentessegmentosderedvisiblesdesdeelpunto dadoparaelappliancefavdentrodelawan,incluyendodetalledelasdiferentes direccionesipencontradasencadasegmento.incluyeinformederesultados. 4.Definirfases,ciclosyactivoscríticosusandolosresultadosdelasetapasanteriores. 5.Presentacióndelcronogramafinaldeactividades,incluyendosondeos,informesyanálisis enlosdiferentesciclosyfases,asícomopruebasdepenetraciónaactivoscríticos,sus informesyactividadesdetransferenciadeconocimientos. 6.Ejecucióndeactividadesdesondeoyanálisisdevulnerabilidades.Elsiguientegrupode actividadessoncíclicasyrepetitivasdeacuerdoconlosciclosyfasesdefinidosparael proyecto: Sondeosdecajagris. Gestióndefalsospositivos. Análisisdevulnerabilidades. PresentacióndeInformes. Reunionesdeseguimiento. Losinformesenestasecciónincluyen: Diagramasejecutivosderesultados: Pasteldeestadogeneral. Histogramadefrecuenciassobreamenazas. Histogramadefrecuenciassobreservicios(top20). Navegablecondetalledelasamenazasencontradasysugerenciasdesolución. InformeespecializadopararemediaciónconWSUSdeMicrosoft. Riesgosponderadosyclasificadossegúnservicio. Comparativoentreelchequeodecajanegrayeldecajablanca. Falsospositivosdeclarados. Comparativosentrelasdiferentesfases. Estegrupodeactividadesserealizatantoporpartedelanalistadelasolución,comopor partedelosfuncionariosdesuorganizaciónqueparaellosecapaciten.estosdispondránde usuariosdentrodelappliancedecontingencia.usualmenteestasactividadesporpartede losfuncionariosdelaorganizaciónserealizancomoapoyoyseguimientoalprocesode blindajedelaredoremediacióndelasamenazasencontradas. 7.Ejecucióndepruebasdepenetraciónaactivoscríticos: EncontrardatosdeActivosCríticos CrearlaplantilladedatosdelActivoCrítico,en conformidadconosstmm. Sondeodecajanegrasegurooinseguro(adefinirconIT). Gestióndefalsospositivos. Sondeodecajagris. Esimportanterealizarunasegundarondadepruebasconlamismametodología,unavezTI informequelosactivoscríticoshansidoblindadosdeacuerdoconlasrecomendaciones.

4 Losinfomesdeestasecciónincluyen: Diagramasejecutivosderesultados: Piedeestadogeneral. Histogramadefrecuenciassobreamenazas. Histogramadefrecuenciassobreservicios(top20). Comparativoentreloschequeo. PlantilladedatosdelActivoCrítico. Dictamen(Aseguradoovulnerable). Falsospositivosdeclarados. Respaldoalagestióndeauditoríasdeacuerdoconelcaso: FAV_RHEL5_AUDIT.ImplementaloschequeosdeCISRedHatEnterpriseLinux5paraeste OS. FAV_WIN2K_AUDIT.ImplementaloschequeosdeCISWindows2008ServerOperating SystemBenchmarkConsensusBaselineSecuritySettings.Adicionalmente,contieneSMB Registrychecksparachequeodelregistrodelosservidores. FAV_DB_AUDIT.Chequeospreconfiguradosparaauditarbasesdedatos.Seconfigurapara entregarreportesparticularesdependiendodeladb(yversión):sqlserver,mysql,oracle, Postgresql,DB2. 8.Actividadesdetransferenciadelconocimiento. Capacitaciónpresencial. Participacióndeblogespecializadosobrelaherramienta. 9.Actividadesdesoporteymantenimiento. ActualizacióndiariadebasesdedatosCVE(automática) Revisionesperiódicasdecarácterpreventivo. Todosestoschequeossedandentrodeunámbitodeseguridadenelcualtantoelentorno enelcualseefectúan,comosuinformaciónylosresultadosdelaspruebas,están amparadosporacuerdosdeconfidencialidadyreglastantoparaelcliente,comoparael analista.lametodologíaosstmnorequierelaexplotacióndevulnerabilidadesdenegación deserviciosnidevulnerabilidadesdesupervivencia.laevidenciarecopiladasoloseusapara queelclienterevisesussistemasyprocesosdeseguridad. Hemosagrupadolaspruebasencincocategorías,estándar,avanzada,privada,social, política,restringidaylegal.enconjuntoconnuestrosespecialistas,sedeterminalaque realmenteaplicaasusnecesidades.mencionamoslaspruebasaefectuarencadaunade ellasysoloparalacategoríaestándarenumeramosmetodologíaeinformes,ítemsquepara lasdemáscategoríasseacuerdanjuntoconelcliente,enunaprimeraetapadesowdel proyecto. AVANZADA Análisisespecializadodefirewalls AnálisisdeSistemasdeDetección PrevencióndeIntrusiones Enestostestssedefinenpuntosdecontrol,enacuerdoconlosadministradoresdelos dispositivos,parapararoseguiradelante,unavezalcanzadoslosprimerosresultados.son chequeosextensosydispendiososquerequierenserrealizadosenestadosdebajaactividad delossistemasobjetivo,dadaelaltoriesgodecaídadelosserviciosobjetivo.

5 PRIVADA CorreoElectrónicofalseado Privacidaddeindividuos Estostestsonintensivosenhorasdeespecialistayrequierendecláusulasespecialesdentro deloscontratosdeconfidencialidad,yaqueelespecialistapuedellegarainformación altamenteconfidencial. SOCIAL IngenieríaSocial AtaqueTelefónicousandoTécnicasdeIngenieríaSocial AtaqueporCorreoElectrónicousandoTécnicasdeIngenieríaSocial AnálisisdeConfianza InformaciónCompetitiva POLITICA RevisióndePolíticasdePrivacidad RevisióndeMedidasdeContención RESTRINGIDA AtaquesaContraseñas DenegacióndeServicio(DenialofService). Estoschequeossolosehacenpreviaaceptaciónescritaporpartedesuorganización,enla queseaclaraelentendimientodelospotencialesriesgosqueconllevan. LEGAL AnálisisdeDocumentos TestsdeSeguridadLegales