Arquitectura de Un PenTestingInterno Para grandes Empresas

Transcripción

1 Arquitectura de Un PenTestingInterno dsteamseguridad.seguridad JUAN DAVID BERRIO LOPEZ

2 Agenda Presentación Objetivo Qué es una auditoria del tipo PenTesting aplicada al negocio Impacto del Pentesting en el CORE de un Negocio Pentesting Tradicional VS Pentesting Grandes Empresas Metodología Centuriones Ejemplo: Arquitectura de un Pentesting empresa Cliente como hacemos los PenTesting en DSTEAM Herramientas de apoyo Como nos capacitamos Conclusiones Reflexión: Anímate a participar en Conferencias de seguridad!!!

3 -Acuerdo de Confidencialidad- Criterios Legales. Arquitectura de Un Pentesting Interno para Las demostraciones, practicas, talleres y conceptos impartidos en esta Desconferencia, no buscan promocionar personas, promover el uso de programas para la Intrusión en sistemas informáticos, solo se hace con fines educativos, por lo que cualquier uso de los programas y contenidos de links aquí mencionados a los asistentes, no es responsabilidad de la Empresa DSTEAM Seguridad, o de los organizadores del evento Barcamp_SE. Si desea probar los métodos e información suministrada en esta charla en sistemas y redes ajenos y Públicos, hágalo bajo su responsabilidad. Ley Colombiana 1273 de 2009 Artículo 269 A. Acceso abusivo a un sistema informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis(96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

4 grande Empresas Arquitecto de Seguridad y creador de la empresa de Seguridad de la información DSTEAM, Ingeniero en Informática, Magíster en Seguridad Informática de la Universidad Oberta de Cataluña -España, Posgrado en Redes y Nuevas Tecnologías Universidad San Buenaventura, Posgrado en Seguridad de Redes UOC España, Certificación CCNSP Cyberoam - India, CEH- EC-Council, Professional Penetration Tester BASE64 University, Lead Auditor/Corporativo de I.T para Importante Grupo Empresarial en Medellín, Consultor e Investigador de Seguridad independiente para importantes empresas del país. Ha participado en varios diplomados y cursos internacionales en Seguridad de la Información ofensiva y defensiva, con importantes empresas como el SANS Institute, Tennable Security, Offensive Security, INFOSEC, entre otros. Docente desde hace 8 años de cátedra en redes, y de cursos y diplomados en seguridad Perimetral, Defensa en profundidad y Hacking Ético. Ha participado en diversos eventos de seguridad de la información a nivel nacional como conferencista, tales como INFOSECURITY, Hackxcolombia, BARCAMPSE/Medellín, Barcamp Parque Explora, Jornadas de seguridad ASYS, Semana de la seguridad USB, entre otros. También ha escrito artículos de seguridad para importantes diarios del país como La República. Además es el creador y el apoyo oficial del proyecto de educación continua y gratuita en seguridad informática ofensiva y defensiva llamada DSLABS, y de la certificación en seguridad Certified Offensive and Defensive Security Professional- CODSP.

5 Si alguna vez te has preguntado, o has sentido curiosidad sobre la forma en que las empresas dedicadas a seguridad de la información y Auditorias de seguridad realizan las auditorias del tipo Penetration Testing? Si la respuesta es SI, esta Desconferencia te puede ayudar mucho.

6 Objetivo Esta Desconferencia tiene como principal objetivo el compartir con los asistentes al evento Barcamp_SE, consejos TIPS y recomendaciones respecto a experiencias vividas por el personal de auditorias de seguridad técnica de la empresa DSTEAM, en lo que respecta a la ejecución de Auditorias del Seguridad del tipo Pentesting, aplicada a Empresas Grandes, con altos volúmenes de ingre$o$ y con Macro Infraestructuras Tecnológicas.

7 Auditoria del tipo Pentesting aplicada al Negocio Todos los asistentes a este evento tenemos algo en común Seguridad de la Información Seguridad Ofensiva (Hacking) Seguridad Defensiva (Defensa en Profundidad) Buenas Practicas y Gestión(SGSI, Estándares, entre otros) La auditoria del tipo Pentesting aplicada a una estructura empresarial o similar, se define como el proceso mediante el cual se identifican amenazas y riesgos tecnológicos, los cuales puedan causar algún tipo de perdida cualitativa o cuantitativa en una organización empresarial.

8 Impacto del Pentesting en el CORE de un Negocio u Organización Como se delimita el impacto en una organización al no realizar seguimientos y verificaciones a la seguridad de la información, y que posteriormente sea victima de ataques informáticos? Ejemplos. FUENTE:

9 Impacto del Pentesting en el CORE de un Negocio u Organización Este tipo de situaciones deben de evaluarse, ya que su impacto puede considerarse según el tipo de negocio como cualitativo (Posicionamiento, nivel social), o cuantitativo(robo de información, pérdidas económicas) FUENTE:

10 Impacto del Pentesting en el CORE de un Negocio u Organización Otros Ejemplos similares!! FUENTE:

11 Impacto del Pentesting en el CORE de un Negocio u Organización Que pasaría si es su organización la, que sale en estos textos y sitiosweb??? Mentiroso Baja Reputación O Simplemente no pasa nada, ya que todos los datos importantes de una empresa XYZ no están en el Hosting, están enlaredlocal

12 Pentesting Tradicional VS Pentesting Grandes Empresas El ser humano por naturaleza le teme a lo que no conoce, razón por la cual muchas organizaciones contratan auditorias de seguridad externas, de las cuales en su mayoría realizan su mayor esfuerzo en los sitios web corporativos

13 Pentesting Tradicional VS Pentesting Grandes Empresas El Pentesting Tradicional, en la mayoría de ocasiones tiene un esfuerzo representativo en los sitios web corporativos.

14 Pentesting Tradicional VS Pentesting Grandes Empresas En el Pentesting Tradicional, el evaluador de seguridad, por lo regular realizará sus labores de Recolección de Información, Scanning de Puertos, Enumeración, Análisis de Vulnerabilidades y Explotación bajo tecnologías como las siguientes: Servidores Web: Apache y Microsoft IIS Sistemas Operativos Windows Server, Linux CentOS, Ubuntu y Fedora Tecnologías de Scripting como JavaScript, PHP y ASP Infraestructuras de hosting o Virtual Server compartidas entre diversas empresas Firewalls y UTM Perimetrales(En muchas ocasiones compartidos) General: Cpanel, worpress, joomla, moodle, entre otros. BasesdedatosSQLServer,MySQL

15 Pentesting Tradicional VS Pentesting Grandes Empresas En el Pentesting Tradicional, el evaluador de seguridad, por lo regular realizará no encontrará lo siguiente: Balanceadores de Carga Switches transaccionales(para altos volúmenes de Información) Busdedatos Protocolos propietarios Servidores de aplicación de alta disponibilidad IPS a nivel Hardware Pentesting físicos no tradicionales

16 Pentesting Tradicional VS Pentesting Grandes Empresas El Pentesting que se realiza en LAS GRANDES EMPRESAS, por lo regular es una auditoria concretada directamente con la Gerencia de una empresa, y no con las direcciones ni coordinaciones de los departamentos de informática y/o Infraestructura. Este tipo de auditorias tiene las siguientes características: Debe de ejecutarse por un equipo multidisciplinario Va totalmente ligado a un análisis de riesgo y perdidas cuantitativas de un negocio Se debe hacer por criterios contractuales Debe de tener criterios de auditoria Los evaluadores de seguridad técnicos se enfrentan a grandes infraestructuras tecnológicas.

17 Arquitectura de un Pentesting empresa Cliente DSTEAM A modo de ejemplo y de trasferencia de conocimientos vamos a ver algunas de las características del tipo de auditorias que se hacen en DSTEAM en grandes organizaciones. Para este ejemplo vamos a tomar una empresas Colombianas del Sector de Juegos de Azar, Apuestas y prestación de múltiples servicios como recargas, rifas, boletas, ventas de seguros, recaudos, entre otros.!!!anotación: Por confidencialidad del Cliente de DSTEAM, las empresas de las cuales se soporta la información mostrada en este ejemplo se mantienen anónimas.

18 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Preparación Conocer el CORE del negocio(conocer que hace la empresa) Delimitar Alcances Establecer Criterios de Auditoria (Normas, Buenas Practicas, Bases de datos usadas a nivel Internacional) Aspectos legales(firmas de clausulas) Definir cronograma de Auditoria Presentar el equipo de Trabajo(Metodología Centuriones)

19 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Importante!!. Respecto a aspectos legales debemos de tener conocimiento o referencia frente a normas relacionadas con la seguridad de la información y delitos informáticos a nivel nacional o internacional, ya que muchas empresas tienen sus servidores en la nube, y localizados en otros países. En el siguiente URL se encuentra un resumen de leyes relacionadas con delitos informáticos para unos 40 países, incluyendo países de Suramérica:

20 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Algunos países que tienen implementadas leyes contra delitos informáticos son: Estados Unidos Canadá Inglaterra Alemania Australia Japon Singapore

21 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: No aplica Don Salomón!!!!!!!!!!!!!!!!!!!!!!!, el que todo lo sabe

22 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Metodología Centuriones

23 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Metodología Centuriones Max Ray Especialista en las Operaciones Marinas. Jake Rockwell Especialista en las Misiones Terrestres. Ace McCloud Especialista en las Operaciones Aéreas.

24 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 1: Arquitecto de Seguridad Metodología Centuriones Ingeniero 1 Especialista en operaciones de Infraestructura. Ingeniero 2 Especialista en operaciones de Software y Aplicaciones Ingeniero 3 Especialista en las operaciones de Micro cómputo

25 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria Al ejecutar una auditoria para una empresa del tamaño del tipo de empresas mencionados para este ejemplo, el equipo humano de auditorias de seguridad del tipo PenTesting, se enfrenta a: infraestructuras tecnológicas de alta disponibilidad Protocolos de red propietarios BasesdedatosenClúster Balanceadores de carga y Switches Transaccionales Pruebas de seguridad del tipo Criptoanálisis Test de Seguridad Físicos Recolección de evidencias y hallazgos Nosehacenpruebasdenegacióndeservicios(DoS)

26 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria

27 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria Durante la ejecución de las auditorias de ejemplo tomadas para esta Desconferencia, los auditorías de seguridad y/o Pen-Testers realizaron pruebas como estas: Pruebas de intrusión para enlaces VPN con aliados estratégicos Pruebas de intrusión físicas para tratar de obtener premios de apuestas Análisis de protocolos de red propietarios Pruebas de seguridad para servidores con buses transaccionales Pruebas de intrusión desde diferentes VLANS A nivel general tambien se hacen pruebas tradicionaels, como Ataques a Passwords, redes inalambricas, aplicaciones web, entre otros.

28 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 2: Ejecución de la Auditoria Durante la ejecución de las auditorias de ejemplo tomadas para esta Desconferencia, los auditorías de seguridad y/o Pen-Testers debieron de evaluar, fundamentarse y conocer tecnologías tales como:

29 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 3: Reportes Esta es la fase mas importante, ya que depende de lo que se justifique en los reportes, una empresa lo vuelve o no a contratar. Los reportes que se entregan son: Reporte Ejecutivo y Reporte técnico. Lo que normalmente en DSTEAM colocamos como datos en este tipo de reportes son: Introducción Reporte ejecutivo, no mas de 6 paginas, amplio en graficas y muy diciente y concluso frente a las situaciones encontradas en la auditoria de seguridad(pentesting) Registro de riesgos, amenzas e impactos mas representativos Metodología usada Registro de Hallazgos

30 Servidores B.D Nube: Balanceadores de Carga, Switches Transaccionales, Etc Internet DMZ-1 Ethical Hacker Red LAN Ethical Hacker Ethical Hacker Ethical Hacker Aliados Estratégicos

31 Arquitectura de un Pentesting empresa Cliente DSTEAM Fase Numero 3: Reportes Recomendaciones Clasificación de las vulnerabilidades Conclusiones Apéndices

32 Algunas Herramientas de Apoyo Arquitectura de Un Pentesting Interno para Trasparente a que sean grandes organizaciones, de igual forma hay aplicaciones se seguridad a nivel ofensivo que automatizan labores. En DSTEAM usamos las siguientes:

33 Como nos capacitamos Arquitectura de Un Pentesting Interno para Teniendo como un gran propósito empresarial la mejora continua, nuestro equipo de auditores de sistemas de seguridad recibe capacitaciones continuas con importantes empresas a nivel nacional e internacional, participando en cursos y diplomados tales como: Profesional Certificado en Seguridad Ofensiva y Defensiva

34 Como nos capacitamos Arquitectura de Un Pentesting Interno para Teniendo como un gran propósito empresarial la mejora continua, nuestro equipo de auditores de sistemas de seguridad recibe capacitaciones continuas con importantes empresas a nivel internacional, participando en cursos y diplomados tales como: Penetration Testing with Offensive Security Wireless Cracking the Perimeter BackTrack Attacks

35 Como nos capacitamos Penetration Testing Profesional TenableNessus vulnerability& Compliance Auditing Coliseum Web Aplication Security Learn ethical hacking, become a Pentester

36 Como nos capacitamos Arquitectura de Un Pentesting Interno para

37 Conclusiones Primero Guru, Luego Pen-Tester Es importante un equipo interdisciplinario buen preparado, y articulado para procesos de Pentesting en grandes empresas. Metasploit, Backtrack, y todos sus aliados, solo son parte del proceso de auditoria. Mas fácil un experto en un aplicativo como OAS aprende a manejar Metasploit, Backtrack, entre otros, que un experto en Metasploit, Backtrack maneje aplicativos como OAS.

38 Anímate a dictar conferencias de Seguridad

39