Servicios de Seguridad de la Información

Transcripción

1 Servicios de Seguridad de la Información Las siguientes actuaciones son medidas dirigidas a garantizar la Confidencialidad, Privacidad y Disponibilidad de los Servicios de la Información y que podemos ofrecer a través de nuestro colaborador Carlos Sánchez Santos. - Concepto: Consultoría y mejora de procesos Descripción: Acciones iniciales genéricas que no requieren un análisis profundo de los recursos técnicos de la empresa. Ayuda a conocer los procesos y a identificar las necesidades. Ejemplos de aplicación: - - Acciones formativas a medida sobre el uso seguro de los recursos técnicos de la empresa - Normativa y legislación tecnológica. Adecuación LSSICE, LOPD - Implementación del Esquema Nacional de Seguridad para la Administración Electrónica - Redacción de informes y procedimientos - Concepto: Auditoría de red Descripción: Análisis de la red empresarial. Puede realizarse desde el interior o el exterior de la empresa. Ayuda a prevenir los comportamientos habituales de hackers, trabajadores disgustados y otras amenazas comunes. Ejemplos de aplicación: 1 / 12

2 - - Test de intrusión externo e interno (*) - Redes inalámbricas y cableadas - Ataques de redes de datos (Sniffing, spoofing, mensajería personal, VoIP, ) - Análisis de riesgos - Securización de redes y comunicaciones - Cifrado y autenticación - Auditoría de tele-trabajo - Detección y detención de intrusos - Firewalls, NIDS, HIDS - Prevención de la fuga de información - Prevención del daño producido por usuarios - Concepto: Auditoria de sistemas y servicios. Fortificación Descripción: Análisis y configuración segura de los sistemas operativos y aplicaciones. Cada vez hay más servicios ofrecidos a través de aplicaciones en la nube que a su vez dependen de servidores. De esta forma aumenta la exposición de la información facilitando el uso por parte del cliente en detrimento de su seguridad. Ejemplos de aplicación: - - Test de intrusión externo e interno (*) - Detección de vulnerabilidades - Pruebas de estrés - Administración y securización de servidores basados en Windows/Linux/Unix - Auditoría de tele trabajo. - Auditoría de seguridad de aplicaciones Web (**) 2 / 12

3 - Concepto: Análisis forense digital y peritaje informático Descripción: Conjunto de actuaciones legales procedimentadas como respuesta a un incidente de seguridad o a un delito informático. Ejemplos de aplicación: - - Peritaciones - Adquisición de evidencias y cadena de custodia - Análisis forense de evidencias digitales - Análisis forense de dispositivos móviles Test de intrusión (*) Definición: Simulación de ataque informático para determinar el nivel de protección. Descripción: Cuando se quiere estudiar la seguridad de los sistemas que están accesibles desde Internet (servidores, routers, firewalls...) frente a un ataque, la mejor forma de estudiarlo es sometiéndose a un ataque pero controlado. En este tipo de análisis además de descubrir las vulnerabilidades presentes en los equipos, se procede a la explotación de las mismas con el objetivo de evaluar las repercusiones reales de cada una de ellas y su peligrosidad específica en su entorno. Con ese objetivo los auditores configuran y realizan una batería de test sobre los equipos del cliente. El proyecto se realiza con los métodos OWASP y OSSTMM. Tipos: Los test de intrusión se pueden realizar de tres maneras: - Test de caja negra: 3 / 12

4 El concepto principal de un test de caja negra es simular los métodos de ataque de un hacker con sus mismos recursos. El auditor sólo dispone de información pública sobre el objetivo, y a través de esta intenta identificar los agujeros de seguridad que puedan comprometer información sensible o las operaciones del sistema. Cuando se aplica correctamente este test, se puede simular no sólo ataques de hackers al azar, sino también de hackers que se dedican a obtener algún acceso inicial al sistema. Este test imita lo que un verdadero hacker haría, y proporciona al cliente una evaluación realista del nivel de riesgo al que está expuesto el sistema. Si el auditor puede identificar alguna vulnerabilidad a través de este test es probable que un hacker también pueda identificarla. Pros: - Proporciona una estimación real de las amenazas. - Obtiene los resultados a través de la información pública. - Requiere un esfuerzo mínimo del cliente. Contras: - Puede ser un esfuerzo recopilar la información. - Pueden pasar desapercibidas puertas traseras o vulnerabilidades parciales. - Las recomendaciones para reparar fallos son generales. Técnicas de caja negra: - Vulnerabilidades de tipo 'deface' 4 / 12

5 - Vulnerabilidades de tipo 'cross-site scripting' - Vulnerabilidades de tipo 'spoofing' - Vulnerabilidades de tipo inyección de SQL - Vulnerabilidades de tipo inyección de código - Vulnerabilidades derivadas de la validación de entrada / salida - Vulnerabilidades derivadas del análisis de tiempos - Vulnerabilidades de sincronización - Vulnerabilidades de tipo desbordamiento de memoria - Vulnerabilidades basadas en secuestro de sesiones - Vulnerabilidades en los equipos de la red local - Vulnerabilidades basadas en 'sniffing' de la red - Vulnerabilidades basadas en escaladas de privilegio 5 / 12

6 - Vulnerabilidades en la gestión de contraseñas - Inyección de código - Autentificación incompleta y gestión de sesiones - Referencias directas a objetos inseguros - Configuración incorrecta de la seguridad de aplicaciones - Almacenamiento criptográfico inseguro - Problemas de acceso a URLs restringidas - Protección del nivel de transporte insuficiente - Redirecciones no validadas - Test de caja blanca: Antes del test de caja blanca los auditores se proveen de toda la información necesaria para evaluar mejor la seguridad del entorno sometido a prueba, incluyendo el código fuente, 6 / 12

7 archivos de configuración, documentación, diagramas, etc. Esto permite una revisión a fondo del sistema, identificando no sólo las vulnerabilidades inmediatas, sino también secciones de código y configuraciones potencialmente peligrosas, puertas traseras, y defectos de construcción. El test de caja blanca puede requerir más recursos, tanto del auditor como del cliente, para proporcionar la información pertinente. Este tipo de test es más adecuado para entornos muy sensibles. Pros: - Extremadamente minucioso. - Las recomendaciones para reparar fallos son muy precisas. - Detecta las amenazas inmediatas, así como los defectos de configuración y construcción. Contras: - Requiere muchos recursos tanto del auditor como del cliente. - No simula un verdadero ataque. Técnicas de caja blanca: - Ataques con conocimientos de la arquitectura del sistema - Ataques con acceso a los detalles de las aplicaciones implantadas en la organización - Vulnerabilidades de abuso contra interfaces de programación de aplicaciones 7 / 12

8 - Vulnerabilidades de calidad de código - Vulnerabilidades derivadas de la configuración del sistema - Vulnerabilidades de los protocolos - Vulnerabilidades criptográficas - Vulnerabilidades en la gestión de contraseñas -Test de caja gris: El test de caja gris combina los test de caja negra y caja blanca. Este test hace pruebas con métodos similares a los de la caja negra, simulando ataques reales. Sin embargo, a diferencia del test de caja negra, el atacante dispone de la información técnica pertinente del sistema, y además se le permite pedir información adicional señalada con comentarios como con los del test de caja blanca. Este test es muy efectivo para identificar el mayor número real de amenazas como sea posible en el menor tiempo disponible, y por eso es la manera más efectiva para efectuar evaluaciones de seguridad cuando los valores más absolutos de las cajas blanca y negra no son necesarios. Pros: - Más rentable. 8 / 12

9 - Proporciona una estimación realista de las amenazas. Contras: - No simula un ataque real como la caja negra. Auditoría de seguridad de aplicaciones web (**) La auditoría controla la seguridad de todas las aplicaciones web de un entorno corporativo: Hoy en día gran parte de los entornos webs corporativos ofrecen una importante interacción con el usuario a través de aplicaciones. De este modo, las antiguas páginas web tipo tarjeta de presentación han derivado, por ejemplo; en aplicaciones donde el usuario puede realizar consultas de información sobre una base datos, compras a través de catálogos, así como un largo etcétera de utilidades. Esta interacción adicional también supone un nuevo riesgo en la seguridad de nuestros datos. Es necesario controlar que nuestras aplicaciones estén desarrolladas de forma segura, ya que a través de ellas es posible saltarse otros mecanismos de seguridad como pueden ser un FW o un IDS/IPS. La auditoría web permite evaluar la seguridad de estas aplicaciones y obtener una visión de su seguridad a través de los ojos de un experto. Metodología de la auditoría de aplicaciones web 9 / 12

10 Durante el periodo de tiempo contratado por el cliente, técnicos realizan una inspección de la web del cliente con el objetivo de evaluar su seguridad. Las comprobaciones se realizan tanto a través de herramientas automatizadas de escaneo y análisis de aplicaciones web, como de forma manual. Para ello se realizan diversos test de caja negra en búsqueda de vulnerabilidades. Los tipos y categorías de ataques para buscar vulnerabilidades incluyen: Técnicas de caja negra - Vulnerabilidades de tipo 'deface' - Vulnerabilidades de tipo 'cross-site scripting' - Vulnerabilidades de tipo 'spoofing' - Vulnerabilidades de tipo inyección de SQL - Vulnerabilidades de tipo inyección de código - Vulnerabilidades derivadas de la validación de entrada / salida - Vulnerabilidades derivadas del análisis de tiempos 10 / 12

11 - Vulnerabilidades de sincronización - Vulnerabilidades de tipo desbordamiento de memoria - Vulnerabilidades basadas en secuestro de sesiones - Vulnerabilidades en los equipos de la red local - Vulnerabilidades basadas en 'sniffing' de la red - Vulnerabilidades basadas en escaladas de privilegio - Vulnerabilidades en la gestión de contraseñas - Inyección de código - Autenticación incompleta y gestión de sesiones - Referencias directas a objetos inseguros - Configuración incorrecta de la seguridad de aplicaciones - Almacenamiento criptográfico inseguro 11 / 12

12 - Problemas de acceso a URLs restringidas - Protección del nivel de transporte insuficiente - Redirecciones no validadas Técnicas de caja blanca - Ataques con conocimientos de la arquitectura del sistema - Ataques con acceso a los detalles de las aplicaciones implantadas en la organización - Vulnerabilidades de abuso contra interfaces de programación de aplicaciones - Vulnerabilidades de calidad de código - Vulnerabilidades derivadas de la configuración del sistema - Vulnerabilidades de los protocolos - Vulnerabilidades criptográficas - Vulnerabilidades en la gestión de contraseñas 12 / 12