Pruebas de Intrusión de Aplicación



Documentos relacionados
Algunas estadísticas Problemática actual Gestionando la Inseguridad en las aplicaciones Conclusiones Información adicional Preguntas

AUDITORÍAS TÉCNICAS PARA LA CERTIFICACIÓN DE LOS SISTEMAS DE RECOGIDA DE INICIATIVAS CIUDADANAS EUROPEAS

XITH. Auditorias de seguridad en TI. Presentación del servicio CONOCIMIENTO ESTRATEGIA CRECIMIENTO

Gestión de la Seguridad de Activos Intelectuales

Capítulo VII PLAN DE IMPLEMENTACIÓN DE ALTO NIVEL

Deloitte Training. Riesgos de tecnología de información implicaciones y retos para la auditoria

MAESTRÍA EN INGENIERÍA DE COMPUTACIÓN Y SISTEMAS CON MENCIÓN EN GESTIÓN DE TECNOLOGÍAS DE LA INFORMACIÓN

Auditorías de Seguridad: revisión como método de prevención. Vicente Aguilera Díaz Internet Security Auditors, S.L.

Seguridad en tiempos de Big Data

IDENTIFICACIÓN DE VULNERABILIDADES Y PRUEBAS DE PENETRACIÓN EN REDES

Seguridad de la Información. Seguridad. Ing. Max Lazaro Oficina Nacional de Gobierno Electrónico e Informática

Information Security Network Management Solutions

Servicios de Seguridad de la Información

IRONWALL Grupo MNEMO. Fernando García Vicent Director General. Zona para Logotipo organización (es)

SEGURIDAD INFORMATICA GENERALIDADES DE LA SEGURIDAD INFORMATICA

MANUAL DE USUARIO CONFIGURACION INICIAL

Midiendo la efectividad de su programa de seguridad de información. Iván Campos 28 de Mayo de 2014

Haga clic para modificar el estilo de título del patrón Haga clic para modificar el estilo de texto del patrón

Anexo I. Politicas Generales de Seguridad del proyecto CAT

Implantación Exitosa de la Normativa sobre Seguridad de la Información en el Estado Uruguayo

OBLIGACIONES DE HACER INSTITUCIONES PÚBLICAS (INSTITUCIONES EDUCATIVAS, HOSPITALES Y CENTROS DE SALUD) DECRETO 2044 DE 2013

POLÍTICA DE SEGURIDAD DE LA INFORMACIÓN PARA LOS ORGANISMOS DE LA ADMINISTRACIÓN PÚBLICA PROVINCIAL

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

TEMA: DESARROLLO DE APLICACIONES WEB INTERACTIVAS UTILIZANDO LA TÉCNICA AJAX AUTOR: MERY SUSANA ZAMBONINO BAUTISTA

REGLAMENTACIÓN POLÍTICA DE SEGURIDAD DE INFORMACIÓN GEOGRÁFICA VERSIÓN: 1.1

Ciberdefensa Desafíos tecnológicos. Hugo Carrión G. Junio, 2014

Presentación. Porqué formarte con nosotros?

Cómo hacer que el CEO nos invite a cenar a su casa. SI como Unidad de Negocio

ANEXO TÉCNICO No. 2 SERVICIOS DE SEGURIDAD DE LA INFORMACION PARA LA SOLUCIÓN PROVISTA

La interoperabilidad se consigue mediante la adopción de estándares abiertos. Las organizaciones OASIS y W3C son los comités responsables de la

UNIDAD 3: GOBERNABILIDAD DE TECNOLOGÍA DE INFORMACIÓN

Basado en la ISO 27001:2013. Seguridad de la Información

[Guía de auditoría AudiLacteos]

SEGURIDAD GESTIONADA

Distintas experiencias sobre la seguridad de las bases de datos


TERMINOS DE REFERENCIA CONTRATACION CONSULTORIA NACIONAL

Condiciones para que la Gerencia de Seguridad de. permanezca vigente.

Métricas para la Seguridad de las Aplicaciones. MAI. Andrés Casas CISSP - CISA - CISM - CRISC - ITIL - COBIT Deloitte & Touche, S.A.

SERVICIO NACIONAL DE APRENDIZAJE SENA SISTEMA INTEGRADO DE GESTIÓN Procedimiento Ejecución de la Formación Profesional Integral GUÍA DE APRENDIZAJE

1. OBJETIVO: 2. ALCANCE: Inicia con el monitoreo y/o requerimiento y termina con la solución del servicio

Integración de la seguridad en el proceso de desarrollo de las aplicaciones Seguridad en e-business y e-commerce

La Evolución de la Seguridad en Aplicaciones de Pago

Privacidad y Protección de la Información, Mito o Realidad

ESCUELA DE POSTGRADO DE LA UNIVERSIDAD PRIVADA DE TACNA. Programa de Maestría en Informática PLAN DE ESTUDIOS MAESTRÍA EN INFORMÁTICA

Auditoria Técnica en seguridad de la Informacion

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

Panorámica de la asignatura

Norma NTC-ISO/IEC Sistema de Gestión de Seguridad de Información

ADMINISTRACIÓN Y SEGURIDAD DE API A ESCALA EMPRESARIAL

Seguridad de la Información. Juan Heguiabehere

Planeación del Proyecto de Software:

Políticas y Seguridad de la Información ECR EVALUADORA PREFIN S.A

3-ANÁLISIS DE VULNERABILIDADES

Proceso: AI2 Adquirir y mantener software aplicativo

5051 Monitoring and Troubleshooting Microsoft Exchange Server 2007

RESUMEN DE TRABAJO DE GRADO

Tecnología en Seguridad Perimetral

LICENCIA PLATAFORMA ERM

Cloud Computing: Definición, generalidades, beneficios y controversias. Marianella Granados Saavedra Ministerio de Justicia y Paz Costa Rica

Proyectos Finales. Redes de Computadoras Proyecto 1. Sistema de almacenamiento virtual sobre una plataforma P2P utilizando JXTA.

CURSO SERVICIOS DE SEGURIDAD INFORMÁTICA, BASADO EN TÉCNICAS DE HACKING ÉTICO

ILTICS.org. Seguridad Informática Orientada al Gobierno de las Tecnologías de la Información

Anexo 4 Documento de Arquitectura

Soluciones para la Gestión Corporativa del Esquema Nacional de Seguridad Taller T11

Título: Optimización de Procesos de Negocio con SOA / BPM Nombre y Apellido: Mario Bolo bolo@ar.ibm.com Fecha: 15/08/2012

UNIVERSIDAD DEL VALLE DE MÉXICO PROGRAMA DE ESTUDIO DE LICENCIATURA PRAXIS MES XXI

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Seguridad en Aplicaciones Web

UNIVERSIDAD DE LA RIOJA

SERVICE ORIENTED ARCHITECTURE (SOA) CONTENIDO

Gestión de proyectos en tiempos de crisis

Mestrado em Tecnologia da Informação. Segurança da Informação

MÁSTER EN SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN DE LA UNED

Tema 1: Organización, funciones y responsabilidades de la función de TI.

Sistema de Administración del Riesgos Empresariales

PROCEDIMIENTO PARA ADMINISTRACIÓN, GESTIÓN Y MANTENIMIENTO DE LA RED DE DATOS

Situación Actual. Al presupuesto asignado. Supervisión y Control a los servicios proporcionados por proveedores. Retraso en la atención oportuna

La Administración n de Servicios ITIL

Sistemas de Gestión de Documentos Electrónicos de Archivo (SGDEA)

Identificación del cargo: Analista NOC. Descripción del cargo. Lugar Físico y Horario Laboral

Seguridad en el desarrollo

COSO II: Enterprise Risk Management Primera Parte

ISO/IEC Sistema de Gestión de Seguridad de la Información

FEDERACIÓN COLOMBIANA DE MUNICIPIOS- DIRECCIÓN NACIONAL SIMIT

Protección de Datos y Adecuación al Esquema Nacional. Puntos de encuentro y diferencias entre las normativas

Instituto Tecnológico de Tláhuac ESPECIALIDADES SISTEMA DE TRANSPORTE COLECTIVO METRO (STCM)

Desarrollo y servicios web

Curso Fundamentos de ITIL

2524 Developing XML Web Services Using Microsoft ASP.NET

Ciber-ataques en la Industria y sus Oportunidades

Alumno: Erika Plata Otavo Director: Alejandro Pizarro López

PLAN ESTRATÉGICO DEL SERVICIO DE GESTIÓN DE PERSONAL ( )

DIPLOMADO SEGURIDAD EN REDES Y NORMA ISO IEC 27001

OWASP: Un punto de vista. aplicaciones web seguras

Prevención y detección de fraude en un mundo automatizado

10232 Designing and Developing Microsoft SharePoint Server 2010 Applications

Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

w w w. l o c a t i o n - w o r l d. c o m

Soluciones Tecnológicas

Transcripción:

Pruebas de Intrusión de Aplicación Enero 23, 2013 Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc.

Agenda Que significa Pruebas de Intrusión de Aplicación? Motivos Limitaciones Beneficios Metodología Definición del Escenario Obtención de Información Intrusión Preparación de Reporte Conclusiones Preguntas y Respuestas 2

Qué Significa Pruebas de Intrusión de Aplicación? Técnica de evaluación de vulnerabilidades a nivel de aplicación Utilizar técnicas de hacking para ingresar a los sistemas/aplicaciones Encontrar debilidades en una aplicación antes que un hacker lo haga 3

Pruebas de intrusión de Red vs. Aplicación Thick client / Cliente Pesado Internet Celulares / teléfonos Inteligentes Red Routers Switches Firewalls Sistemas Operativos Servicios como ser HTTP, Telnet, etc. Aplicación Controles de Autenticación Mensajes de error Cifrado de datos Inyección de código 4

Motivos Ausencia de metodologías de desarrollo formales. Falta de comunicación efectiva entre las diferentes áreas. Falta de tiempo. Falta de participación del responsable de seguridad. Delegación de desarrollos a terceros. 5

Limitaciones Riesgos en las pruebas Limitado a métodos legales únicamente Los hacker tienen tiempo ilimitado No garantiza la seguridad Es una visión en un momento determinado en el tiempo 6

Beneficios Identificación de vulnerabilidades no detectadas en una auditoría de sistemas Pruebas del monitoreo de los sistemas, como se reacciona y se reporta Prueba los niveles de conocimiento sobre seguridad del personal (analistas/desarrolladores) Determinar patrones de debilidades indicando posibles causas de origen Identificación de errores o fallas en los mecanismos de seguridad existentes 7

Metodología Definición del Escenario Obtención de Información Intrusión Preparación de Reporte Proceso iterativo 8

Definición del Escenario Obtención de Información Análisis de las posibles amenazas Definición de los escenarios Ejemplos de escenarios: Usuario con perfil de administrador Usuario sin acceso Usuario que puede transferir wires Usuario conectado a través de un celular 9

Arquitecturas Interfaz del Usuario Browser Aplicación / Lógica Servidor Web Servidor Web Servidor de Aplicación Servidor de Aplicación Servidor de Aplicación Servidor de Base de Datos Almacenamiento de Datos Cliente Servidor de Aplicación Servidor de Base de Datos 10

Obtención de Información Determinar que tecnología fue utilizada para desarrollar la aplicación (C, C++, C#, ASP, PHP, ASPX, AJAX, SOAP) Determinar los componentes que soportan a la aplicación (Framework (J2EE, Web Services, ASP.Net), RPC, DCOM, Bases de Datos) Entender la lógica de la aplicación Determinar lo controles implementados Armado del plan de pruebas y análisis de impacto OWASP - Estándares de seguridad para aplicaciones y servicios Web (www.owasp.org) 11

Aplicabilidad de OWASP 12

Intrusión Intentar acceder a la aplicación Eludir los controles implementados Explotar/Ejecutar las vulnerabilidades detectadas Escalar privilegios Ingeniería reversa binaria 13

Preparación del Reporte Documentación de las vulnerabilidades identificadas Evaluación de su nivel de riesgo (alto, medio, bajo) Evaluación del nivel de esfuerzo requerido para su solución tiempo - costo Identificación de la causa origen de las vulnerabilidades detectadas 14

Conclusión Estas pruebas deben hacerse a lo largo del ciclo de vida del desarrollo de software Análisis de Riesgo Definición de escenarios que generen valor agregado a la organización El personal técnico tiene que ser experimentado Alto grado de coordinación entre el cliente y el proveedor 15

Q&A 16

Pruebas de Intrusión de Aplicación Esteban O. Farao Information Security Director CISSP, CISA, CRISC, PCIP, PCI-QSA, PCI-ASV Enterprise Risk Management, Inc. 305-447-6750 (o) 305-777-7723 (m) efarao@emrisk.com www.emrisk.com

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback