Seguridad & Hacking Actualización: Octubre 2013
Introducción El objetivo principal es compartir información. En un inicio, era seguro. Sin embargo, los accesos remotos e Internet han cambiado esto. Los usuarios quieren fácil acceso a los recursos. Los administradores quieren mantener seguridad.
Amenazas internas Son aquellas que provienen desde dentro de la organización. Incluye a los empleados que sin ninguna intención específica de causar daño, lo ocasionan El 42% de los fallos de seguridad son ocasionados por errores humanos. El 80% de los cortes de servicio son ocasionados por errores de las personas o en los procesos.
Amenazas externas Vienen de fuera de la organización Internet Contratistas con acceso físico a infraestructura.
Seguridad La seguridad esta asociada a la probabilidad. Debe llevarse a las diferentes áreas de la organización, no solo en TI. Elevar el nivel de: confidencialidad, integridad y disponibilidad. La seguridad siempre está asociada a los riesgos. Es necesario tener controles para evitar los riesgos. NADIE tiene el 100% de seguridad. Asociada a la probabilidad.
Riesgo Amenazas Vulnerabilidades Probabilidad de que una amenaza use una vulnerabilidad y provoque un impacto en la organización.
Ataques Reconocimiento Activo/Pasivo Escaneo Obtener Acceso Nivel de Sistema Operativo / Aplicación Nivel de Red Negación de Servicio Mantener Acceso Subir / Alterar / Descargar programas o datos Borrar las Huellas Reconocimiento Escaneo Obtener Acceso Borrar Huellas Mantener Acceso
Consecuencias A los Hackers no les importa en que tipo de negocio estés. Si los datos son alterados o robados, la organización puede perder credibilidad. Hay un continuo incremento en el malware que instala proxys abiertos, para crear zombies. Las organizaciones con mayor riesgo, son aquellas que tienen transacciones financieras en línea. Si el hacker desea entrar al sistema, lo hará y no hay nada que se pueda hacer al respecto. Lo único que se puede hacer, es que sea más difícil su acceso.
Hacktivismo Se refiere a la idea del hacking por alguna causa. Compromiso del hacker con alguna agenda política Apunta a enviar un mensaje a través de sus actividades y obtener atención para su causa. Sus blancos comunes son las agencias de gobierno, o alguna entidad que perciban que está mal o equivocada con sus ideas. Pero, permanece el factor de que el acceso no autorizado es un crimen, no importa cual sea su intención.
Clases de Hackers Sombrero Negro Individuos con habilidades extraordinarias de cómputo y lo utiliza para actividades maliciosas o destructivas. También conocidos como crackers. Sombrero Blanco Individuos profesionales con habilidades de hacker, y las utiliza con fines defensivos. Conocidos como analistas de seguridad Sombrero Gris Individuos que trabajan ofensiva y defensivamente. Hacker Suicida Individuos que intentan destruir infraestructura crítica por una causa, y no les importa pasar n años en la cárcel.
Hacker Ético Ex Sombrero Negro Crackers Reformados Experiencia de primera mano Se les percibe con baja credibilidad Sombrero Blanco Consultores independientes de seguridad. Afirman saber acerca de las actividades de los Sombrero Negro. Firmas de Consultoría Buenas Credenciales
Hacker Ético Preparación: En esta fase, se firma un contrato formal para proteger al hacker ético. El contrato también incluye la infraestructura, las actividades, y los tiempos Conducción: En esta fase, se prepara el reporte, con base en las vulnerabilidades potenciales investigadas. Conclusión: En esta fase, se comunica el reporte a la organización, y las acciones sugeridas.
Tipos de controles Un control efectivo disminuye la posibilidad de que suceda el riesgo PREVENTIVO Reducir La probabilidad De que el riesgo Se materialice Controles, Medidas de Seguridad DETECTIVO Aviso en el Momento en Que el riesgo se Materializa CORRECTIVO Cuando se minimiza El impacto, una vez Que el riesgo se materializa
Estándares / Buenas Prácticas ITIL (Information Technology Infraestructure Library). ISO 2000 (Sistema de Gestión de Servicios TI). Rainbow Series (6 libros). Common Criteria. ISO 27000 (Sistema de Gestión de Seguridad de Información). COBIT (Control Objectives for Information and Related Technology). OSSTMM (Open Source Security Testing Methodology Manual).
Estándares / Buenas Prácticas ISO 13000 (Seguridad en Redes). ISO 17000 (Seguridad de Información). ISO 31000 (Gestión de Riesgos).
Resumen Planeación Implementación Verificación Corrección
Gracias Juan Carlos Pedral Valencia ccsc@correo.azc.uam.mx