Volviendo a lo básico. Seguridad a través de Penetration Testing H Hay at acar alguna una forma fuerza de diez ve eces mayor que la mía? Sun Tzu Confere encista: it Andrés R. Almanza, Msc andres_almanza@hotmail.com
Propó ósitos Mostrar la habilidad de los hackers al servicio de la organización, con el propósito de replantear l as estrategias de seguridad de la organización. Administrar la inseguridad de de las estrategias, tácticas y planes de seguridad de la organización. Hackers al servicio i de la organización ió ysurelación con los modelos de gestión de seguridad de la información. No solo de bits y de bytes se puede hablar. la información mediante la validación Metodologías que se pueden utilizar en el proceso.
Agen nda Introducción La organización y la seguridad de la información El hacker y la Organización Rol del hacker Que y Como? Retos y conclusiones
Aumentan día a día el número de vulnerabilidades. Mayor grado de exposición. Problemas al momento de justificar las inversiones en seguridad (ROI) Introdu ucción Tendencia de Vulnerabilidades 6000 5500 5000 4500 4000 3784 3780 3500 5990 3997 Por lo tanto hay dificultad en los procesos de gestión del riesgo. 3000 2500 2000 1500 1000 2437 1597 1090 2000 2001 2002 2003 2004 2005 2006
Costos en seguridad crecen exponencialmente. Existen problemas para encontrar los puntos de equilibrio entre Costos, Riesgos y Seguridad. Los puntos de equilibrio normalmente no reflejan las realidades de la organización en seguridad. Introd ucción
Organización y la Seguridad Seguridad de la Información = conjunto de elementos de la organización combinados. Todos los elementos deben procurar estar alineación con los objetivos del negocio. Activos de Información
Organización y la Seguridad Se debe plantear la SI organización como un componente estratégico de la Se deben plantear estr rategias y tácticas de seguridad de la información que garanticen n: Gobierno de SI Gestión de SI Continuidad del Negocio Valorar Proteger Activos de Informació n
Organización La seguridad debe ser vista como un Proceso. Por lo tantot se debe gestionar. y la Seguridad Planear La gestión busca garantizar que los activos de información, Actuar Seguridad de la Información Hacer tenga la mejor protección(controles) de acuerdo al valor de los activos. Verificar
Identificación, Valoración del Riesgo Plan estratégico de seguridad y protección de los activos de información Creación de la Postura de Inseguridad Organización y la Seguridad Planear implementación de controles, para mitigar riesgo Estratégicos Operativos Tácticos Actuar Segur ridad de la Info ormación Hacer Auditaría y retroalimentación Mejoramiento y aprendizaje Ajustes j y acciones en pro del mejoramiento Ver rificar Probar el correcto funcionamiento del sistema Cumplimiento con lo establecido Mediciones de los controles implementados
Hacker y la Organización La diferencia básica entre un hacker y un cracker, es que un hacer construye cosas y un cracker las destruye. Eric Raymon
Hacker y la Organización La organización debe verlo como un elemento de apoyo en el proceso de seguridad de la información. Continuamente replantean la postura de inseguridad, generando un mejoramiento continuo. Su habilidad debe ser aprovechadaa al máximo para identificar los posibles puntos vulnerables en la arquitectura de seguridad establecida. Ejecución, coordinación, y consenso de las soluciones propuestas. p Debe plantear soluciones que se acomoden a las necesidades de la organización.
Rol del Hacker Solu El hacker debe ofrecer uciones Que Problemas Como resolverlos Reglas claras de lo que se va a realizar Reducción de los niveles de riesgos. Lo que se propone puede ser la mejor solución Actuar Planear Seg guridad de la In nformación Hacer Medición que permita: Identificar grado o postura de seguridad Demostrar el ROI en temas de seguridad Verificar Garantía 2006 Todos los derechos reservados. Andrés Ricardo Almanza Junco. Mediciones
Rol del Hacker Dentro de sus actividades y cualidades están: Utilizar sus conocimientos en pro de la defensa Continuo autoestudio de la arquitectura de seguridad e infraestructura Habilidad d para ver la seguridad d como un proceso el cual se gestiona Dedicación, entusiasmo y paciencia. Imparcialidad en la organización, no sujeto de juicios que sesguen su visión. Embebido el principio. Conoce a tu enemigo. Para protegerte a ti mismo.
Buscar responder los siguientes interrogantes Con ello puede crear planes y estrategias para validar los esquemas de seguridad En caso de que exista la intrusión, que puede hacer con la Información? Rol del Hacker Que pasa si existe una falla de seguridad? Que pasa con las intrusiones, sean exitosas o no?
Rol del Hacker Tres grandes premisas son las que debe vender y tener muy claras, y con ellas empieza a impactar la organización. estrategia y proceso de seguridad de la G estión de Activos Contra que nos debemos proteger? Que estamos protegiendo? Gestión de Amenazas ROI en Seguridad Cuanto debem mos gastar en tiempo, e sfuerzo y dinero para co onseguirlo?
Que y Como? Para ello el hacker debe utilizar la mayor cantidad de herramientas y metodologías disponibles, que creen una postura de seguridad dentro de las cuales están: Visión Técnica Visión de Seguridad Visión de Negocio
Que y Como?
Que y Como? Se cuestiona acerca de lo que podrá suceder si se ingresa de manera no autorizada. Cuan críticos pueden llegar a ser los activos de información. Identifica las limitaciones de los mecanismos de protección Visión de Seguridad Evalúa y cuestiona las necesidades d en términos de seguridad y protección de la organización. Cuan preparado se frente a una intrusión. esta Como manejar el riesgo al que se esta expuesto Como se puede fortalecer medidas de protección de organización las la
Que y Como? Obtener Ingreso Jugar el rol de un atacante Validez por tiempo definidos Obtener un trofeo. Ingreso al sistema de manera no autorizada INTR USIÓN Se buscan vulnerabilidades del sistema y se aprovechan Objetivo y alcance claramente definido id Producir soluciones para mitigar vulnerabilidades Contem mplar todos los escenarios. Intern no/ Externo Entender la severidad de la exposición
Que y Como? Test de Penetración Black-Box Box White-box Calculado Agresivo Or rientado Desde donde Tipo va a de ser ejecutado visibilidad el del ataque test Nivel de conocimiento o Pasivo acerca del Red objetivo. Intern net (BB)/ Intranet Total (WQ Que WB) tan agresivo será el test durante su Cubierto Cuidado ejecución Otros Medios A cuales sistemas se les realizara la Li mitado prueba Descubierto Acceso Físico Ingeniería Social Externo Que técnicas serán utilizadas en el test Interno
Que y Como? Resultados Finales Planeación Intrusión Propiedad de Información Propiedad Física Reconocimiento Seguri dad Inhalám mbrica Análisis de Vulnerabilidades d
Que y Como?
Se validan las debilidades y fortalezas de los mecanismos de control. Que y Como? Normalmente buscan identificar y cuantifican las vulnerabilidades y amenazas a los activos de información Identificar áreas que requieren mejoramiento Cual es exposición el nivel de Visión Técnica Enfocadas identificar los detalles técnicos de las debilidades de seguridad Evalúan los sistemas y sus contextos t, buscando balance entre uso y seguridad. Se considera un estudio amplio, en el sentido de elementos que involucra más los
Que y Como? Estudio amplio de la seguridad buscando identificar vulnerabilidades La organización completa conoce de la acción a realizarse Nivel de detalle en el reporte, debe atacar las causas del problema Realiza análisis TOP-Down/ Button- up, desde la política hasta la práctica. EVALU UACIÓN Pueden utili izar las misma as herramienta as que un P.T T. Cooperación total por parte de la organización Analiza las implicaciones de las vulnerabilidades identificadas Ayuda a construir el plan de seguridad de la información
Que y Como? Técnicas No técnicas Vulnerability Assessment Security Scanning Phisical Security Assessment Perimeter assessment Internal assessment Host assessment Polcy assessment Risk assessment Infromation Security Assessment Personal skills assessment
Que y Como? Resultados Finales Recolección de datos Aspec ctos legales l Propiedad de Información Propiedad Física Reporte Parcial Visitas Entrevistas Seguri dad Inhalám mbrica Análisis
Que y Como?
Cumplimiento basado premisas puntuales. Que y en Como? Visión de Negocio Busca dar garantía cumplimiento del CID al Busca que las mejores prácticas puedan ser aplicables ala infraestructura bajo estudio Examinar y medir todo en términos de eficiencia, eficacia y efectividad Apuntan a crear un continuo de seguridad. proceso Mide aspectos de alto nivel desde el punto de vista de la organización, que estén alineados con el negocio Proceso, organizados, consistente y exacto de recoger y analizar datos, para producir unos hallazgos que puedan ser medibles
Que y Como? Revisiones independiente s y autónomas Buscan la continuidad Alinear los procesos a las mejores prácticas AUDI ITORIA Revisión en diferentes niveles dependiendo el nivel de detalle Cumplimiento de políticas, normas y procedimientos i Busca encontrar los incumplimientos frente a un procedimiento o norma Vali ida los proced dimientos estratég gicos de la organiz zación en seg guridad Definido como un proceso en el cual participa la organización
Que y Como? Monitoreo Planeación de la auditoria Reportes Trabajo de Campo
Comparaciones Punto de vista Intrusión (Pen-Test) Destrucción Intrusión Evaluación (Sec-Asses) Mejoramiento Cumplimiento (Sec-Aud) Cumplimiento Interacción Autónomo Cooperación Cooperación Frecuencia de Ejecución Ejecución por parte de Tareas Conocimientos de la organización Tiempo de Ejecución Anual Misma área Técnicas Pocos Corto Semestral Misma área Técnicas No Técnicas Altos Medio Trimestral Terceros No técnicas Medio Largo Resultados Intrusión Identificación Verificación Que muestra Riesgos Exposición Incumplimiento
Retos y Co onclusiones Su valor estará determinado d en la medida que impacte de manera pro activa toda la organización. Compromiso por parte del hacker continuo de la postura de inseguridad. El hacker debe pensar comoo integrar todas las herramientas y metodologías disponibles y como ellas pueden producir un resultado. Los resultados de sus pruebas tendrán valor si estas se convierten en planes de ejecución en pro del mejoramiento. que se traduce en un mejoramiento
Retos y Co nclusiones Entender que no solo es un procesoo mecánico y de nivel operativo. La gestión del riesgo, las polític cas de seguridad y protección, y la clasificación y valoración de activos serán claves a la hora de definir la postura de seguridad. El ROI del test estará dado en la medida en que productividad del usuario, gene eración de ingresos, costos en el negocio, reducción de riesgos. se hable de reducción de Disciplinai y autoestudio, t son sus herramientas más importantes t a la hora de combatir un ataque.
Por lo tanto... Si Utilizas al enemigo para enfrentarlo, serás poderoso en cualquier lugar a donde vayas. Sun Tzu
Bibliog grafía James S. Tiller. The ethical hack. A framework for Bussines Value Penetration Testing. Carlos Crembil. Vulnerabillity Scanning y P enetration Testing. Congreso Argentino de Seguridad de la Información Alejandro Corletti Estrada. Auditoria, Evaluación, Test de seguridad. Universidad Politécnica de Madrid. Dominic Baier. Improving Application Security Through Penetration Testing. Char van der Walt. Assessing Internet Security Risk. Cesar Colado. Calidad en la pruebas de intrus sión. CANO J. Auditoria de seguridad, Evaluación de seguridad y Pruebas de Penetración: Tres paradigmas de la Seguridad Informática Scott Berinato(2005).The Global State of Information Security
Bibliog grafía John Wack, Miles Tracy, Murugiah Souppaya. Guideline on Network Security Testing.. NIST SP-800-42 Peter Herzog. Open Source Security Testing Metodology Manual 2.1. John Chirillo(2001). Hack Attacks Reveled. Wiley Computer Publishing Aggresive Network Self-Defense(2005). Neil Archibald. Seth Fogie. Chirs Hurley. Dan Kamisky. Johnny Long (2005). Penetration Tester's Open Source Toolkit. Winkler. IRA (2000). Audit, Assessment Security Magazine Peake. Crihs (2003). Red Teaming: The art & Test (OH, MY). P1,P2,P3,P4. Information of Ethical Hacking. SANS GIAC Sans Institute. (2002). Penetration Testing Is it right for you?. SANS GIAC
Biblio ografía Vincent LeVeque. Information Security: A Strategic Approach. Chapter 1 Amanda Andress. Surviving Security: How Second Edition to Integrate People, Process, and Technology, T. J. Klevinsky Scott Laliberte Ajay Gupta.Hack I.T.: Security Through Penetration Testing Is auditing procedure. ISACA Bill Hayes. Conducting a Security Audit: An Introductory Overview Steven Purser. A practical Guide to Managing Information Security Sans Institue. 2001. A MODEL FOR PEER VULNERABILITY ASSESSMENT Wan. Lee (2001). Security Life Cycle. SANSS GIAC Lowery, Jessica. Penetration testing: The Third Party Hacker, SANS GIAC