Auditoría de Seguridad

Transcripción

1

2 Auditoría de Seguridad Introducción Tipos auditoría Externa Caja Negra Interna Caja Blanca Informes Valoración sistema Oferta y Tarificación Recursos Formación - certificaciones

3 Auditoría de Seguridad Qué es lo que va a ofrecer QB? Auditorías de seguridad. Tanto externas como internas. Qué se quiere auditar? Aplicaciones Web y todo lo relacionado con estas. En qué nos basamos? OWASP: mayor comunidad abierta de seguridad en apps web. Proporciona metodologías, herramientas, documentación, etc. Cosas menos interesantes : congresos, membership (a nivel individual o a nivel de empresa), etc.

4 Auditoría de Seguridad Empresas Qué buscan? Creoquelomásimportanteeslaproteccióndedatosdetodotipodeusuariosquetengaregistradoselportal: direcciones, tarjetas de crédito... También la suplantación de identidad del portal... creo que es preferible queelsistemadejedefuncionaraquesufraunataquedeestetipo. Miguel Gerente La diversidad de ataques hace difícil a pequeñas y medianas empresas debido a la falta de recursos filtraciones de datos (públicas) filtraciones de datos. Grupos como Anonymous y LulzSec han concienciado de la importancia de la seguridad.

5 Auditoría Externa Caja Negra Se interpreta el papel de un hacker, cracker, etc. Basada en pruebas de penetración. En un sistema que está en producción, se intenta acceder de manera no autorizada en el sistema, obtener datos, descubrir configuraciones erróneas, etc. Necesidad de revisar una extensa serie de criterios para garantizar la seguridad del sistema. 10 categorías, con un total de 67 puntos a revisar. Manejo de sesión, inyección de código, autenticación, etc. Uso de herramientas automáticas y test de intrusión manual. Tiempo realización estudio primario: 8 horas. Tiempo realización completa: entre 4-5 días (prolongable).

6 Auditoría Externa Caja Negra Ejemplo Categoría Validación datos entrada: Reflected Cross Site Scripting (Reflected XSS) Stored XSS DOM XSS SQL Injection LDAP Injection Cross Site Flashing Buffer Overflow Xpath Injection OS Commanding

7 Auditoría Externa Caja Blanca Revisión del código del cliente de forma manual. Detección de posibles vulnerabilidades a nivel de código. Herramientas automáticas, poco fiables. Tiempo realización: variable. Dependiente de muchos factores. Cantidad de código a revisar. Lenguaje, herramienta usada, etc. Compatible con auditoría de caja negra.

8 Informes generados Auditoría externa: dos modelos de informe para el cliente Modelo sencillo: Gratuito. Indica por encima la gravedad de la vulnerabilidad y en que campo se da. Modelo complejo: De pago. Indica en detalle la vulnerabilidad, gravedad, corrección, impacto y referencias. Auditoría interna: dependiente de la herramienta utilizada. Java,.NET: OWASP Code Crawler PHP: RIP.

9 Informes generados Ejemplo Caja Negra Informe sencillo Severidad GRAVE GRAVE GRAVE MEDIA BAJA INFORMATIVA Descripción Obtención datos usuarios. Suplantación de identidad. Manipulación datos sistema. Navegación ilegal

10 Informes generados

11 Valoración del sistema Caja Negra Nota final = NSA NSN NSA: Nivel Seguridad Actual NSN: Nivel Seguridad Necesario Nivel 10: Seguridad máxima (ISBAN). Nivel 1: Seguridad mínima. Evaluación nota final (NF) NF >= 0 : Sistema seguro. -2 <= NF < 0: Parches corrección vulnerabilidades. NF < 2 Corrección vulnerabilidades. Auditoría caja blanca. Formación.

12 Valoración del sistema Caja Negra Partimos de NSA = 10. Encontrar vulnerabilidad grave y común (ejecución código, obtención datos, etc.) es NSA = 1. Grave (denegación de sistema): NSA 5 Media y común : NSA 2. Media: NSA 1. Baja e informativa: NSA 0,5.

13 Oferta Comercial QB ofrece una auditoría externa a coste cero y proporciona de forma gratuita un informe modelo sencillo con los resultados (vulnerabilidades). Posteriormente, hay varias opciones, todas de pago: Entrega modelo complejo: tarificación por informe. Servicio de corrección de vulnerabilidades: tarificación por horas. Auditoría de caja blanca: tarificación por horas. Formación: tarificación por sesión.

14 Muchas gracias!