Master in Business Administration TÓPICOS SELECTOS De Hacker a C-Level Alejandro Hernández nitrousenador@gmail.com http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs México, D.F. 24 de Febrero de 2010
AGENDA Hacker mindset Vulnerabilidades / Investigación Pentesting / Evaluación de vulnerabilidades / Espionaje Industrial CVSS Amenazas Certificaciones C-Level mindset CIA Triad Administración de Riesgos Gobierno de TI Estrategia de Defensa en Profundidad Regulaciones, estándares y mejores prácticas Certificaciones Comparación de enfoques (Hacker C-Level)
Punto de partida Hacker
Punto de partida C-Level - CEO (Chief Executive Officer) - CISO (Chief Information Security officer) - CSO (Chief Security Officer)
HACKER MINDSET
Vulnerabilidades / Investigación Vulnerabilidades Stack/Brain/Heap overflows blah blah SQL Injections, blah blah, XSS, blah!... CVSS Investigación R+D En México? De repente todos hacen research en (in)seguridad pero lo que no saben Es que enviar A x1000000 a una aplicación, o poner <script>alert( h4ck3r );</script> en cualquier formulario Web, NO ES HACER INVESTIGACIÓN!!!
Penetration Testing Tiger Teaming Black/Gray/White Box Explotación táctica Evaluación de Vulnerabilidades Espionaje Corporativo Industrial Político
CVSS (Common Vulnerability Scoring System) Fuente: A Complete Guide to the CVSS v2.0
Amenazas Malware Ciber-crimen Spam Ciber-terrorismo Botnets Script-kiddies Phishing Servicios de Inteligencia? Narcotráfico? Y la lista sigue.. Sigue y.. Sigue!!!
Certificaciones Algunos ejemplos: CEH (Certified Ethical Hacker) OPST (OSSTMM Professional Security Tester) GPEN (GIAC Certified Penetration Tester) LPT (Licensed Penetration Tester) CPTS (Certified Penetration Testing Specialist) CEPT (Certified Expert Penetration Tester)
C-LEVEL MINDSET
CIA Triad
Administración de Riesgos Riesgos The CISA Review Manual provides the following definition of risk management: "Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization." Operacionales Reputacionales Internos/Externos Naturales Etc. Amenazas Probabilidad Impacto Contramedidas (Controles)
Gobierno de TI The primary goals for Information Technology governance are to assure that the investments in IT generate business value, and mitigate the risks that are associated with IT. This can be done by implementing an organizational structure with well-defined roles for the responsibility of information, business processes, applications, infrastructure, etc. Gobierno Corporativo Cumplimiento P.e. Sarbanes Oxley
Defensa en Profundidad Origen militar En vez de una sola línea de defensa, varias líneas consecutivas Principio / Estrategia
Regulaciones, estándares y mejores prácticas ISO 27001 / 27002 PCI DSS Sarbanes Oxley CobiT ITIL NIST-800 CNBV (CUB)
Certificaciones Algunos ejemplos: CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) Lead Auditor ISO 27001 CGEIT (Certified in the Governance of Enterprise IT) CISSP (Certified Information Systems Security Professional) CBCP (Certified Business Continuity Professional)
Finalmente Una (divertida) COMPARACIÓN DE ENFOQUES (Hacker C-level)
Riesgo Hacker Mi sniffer será detectado en modo promiscuo por la flag PROMISC en mi NIC? Y si no completo la ejecución remota de código, y %EIP queda apuntando a una dirección de memoria inválida y el proceso me manda SIGSEGV? Y si el BOFH (Baster Operator From Hell = Sysadmin) está conectado en el momento que ingreso y ve mi $export HISTFILE=/dev/null? Y si troyanizo el servidor Web Apache con mod_rootme y al reiniciar el módulo no es compatible con la versión y es imposible iniciar el demonio httpd nuevamente? Y si al hacer back-connect el Firewall detiene mi conexión y a la ves el NIDS reporta la intrusión? C-Level
Disponibilidad Hacker C-Level
Herramientas de trabajo Hacker C-Level
Lugar de trabajo Hacker C-Level
Lecturas Hacker C-Level
Eventos / Reuniones Hacker C-Level Mexicanos saliendo de DefCon17, haciendo wardriving desde una limosina en Las Vegas, discutiendo si los algoritmos de encripción de la redes WiFi de Casinos/Hoteles son inseguros y si la antena tiene suficiente alcance para romper las contraseñas. hkm sirdarckcat scp nitr0us lightos C-levels, en la sala de juntas del piso 25, discutiendo la estrategia de seguridad de la información a seguir en el próximo periodo, la cual debe estar alienada a los objetivos de la Compañía.
GRACIAS Alejandro Hernández nitrousenador@gmail.com http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs México, D.F. 24 de Febrero de 2010