Análisis de Vulnerabilidades

Documentos relacionados
Seguridad Informática en Bibliotecas

POLITICA DE SEGURIDAD DE LA INFORMACION INDEA INGENIERIA DE APLICACIONES S.L

Cómo desarrollar una Arquitectura de Red segura?

CD INTERACTIVO DE PLANES DE CONTINGENCIA Y SEGURIDAD INFORMÁTICA PARA LA MEDIANA Y GRAN EMPRESA DE EL SALVADOR.

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

Creación de un CSIRT

2.Introducción a la seguridad

Seguridad Informática

Reporte de incidente de seguridad informática.

ADMINISTRACIÓN DE LA SEGURIDAD PERIMETRAL EN REDES LAN. Ing. Mg. Miguel Ángel Valles Coral.

CONFIANZA Uno de los principales desafíos a que se enfrentan los medios telemáticos es asegurar la identidad de las partes que intervienen en cualquie

Facultad de Ingeniería Mecánica y Eléctrica SEGURIDAD EN REDES EVOLUCION DE LA SEGURIDAD EN REDES TCP/IP

IT Essentials I: PC Hardware and Software

Antes de imprimir este documento piense en el medio ambiente!

1.4.1 Inicio de la computadora por primera vez Hay problemas Causas, síntomas y soluciones a posibles averías...

Seguridad Perimetral. Mg. Ing. M. Angélica Castillo Ríos Jefa de la Oficina de Sistemas PCM

BANCO DE REACTIVOS DE OPCIÓN MÚLTIPLE CON MATRIZ DE RESPUESTAS

Principios Básicos de Seguridad en Bases de Datos

Procedimiento para Mantenimiento de Centrales de Generación

Aspectos Básicos de Networking

Estudio de los riesgos relacionado con las redes Wi-Fi. A. Alejandro González Martínez

bla bla Guard Guía del usuario

PROPUESTAS PARA IMPULSAR LA SEGURIDAD INFORMÁTICA EN MATERIA DE EDUCACIÓN. Panorama General... 1 Objetivo General... 2 Objetivos Particulares...

CONTROL INTERNO 3. ESTRUCTURA DIDACTICA 1. GENERALIDADES. Clave: CA75 H S C: 4

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

Conocimiento y evaluación del control interno

3) Ingreso a la Aplicación Usuarios Docentes / No Docentes

La migración de información hacia plataformas digitales, abiertas e interconectadas hace de la seguridad informática un asunto crítico de negocio.

Unidad Sistema de Aseguramiento de la Gestión de la Calidad

CONTROL INTERNO - EL INFORME COSO

Incluimos una lista de cotejo con requisitos de seguridad según establecido en las Reglas de NACHA.

Clasificación y valoración de "Magnitud de Daño" de los elementos de información

Política de Privacidad de Younique

Introducción al firmware 2.0 para IPCorder

MECANISMOS FUERTES DE AUTENTICACIÓN CIRCULAR 042 DE 2012 SUPERINTENDENCIA FINANCIERA

INFORMÁTICA Y COMUNICACIONES

POLICÍA FEDERAL DIVISIÓN CIENTÍFICA ROBO DE IDENTIDAD EN INTERNET: USO INDEBIDO DE DATOS PERSONALES

Control Interno basado en COSO en las Entidades Municipales

UNIVERSIDAD NACIONAL AUTONOMA DE MÉXICO FACULTAD DE ESTUDIOS SUPERIORES ARAGÓN INGENIERÍA EN COMPUTACIÓN

icloud: Solución de calendarios duplicados después de configurar la aplicación de calendarios para Calendario icloud

Grado en que el producto software satisface las necesidades expresadas o implícitas, cuando se usa bajo condiciones determinadas. ISO

Sistemas Operativos. Sesión 3: Enrutamiento estático

PROCEDIMIENTO DE EVALUACIÓN Y ACREDITACIÓN DE LAS COMPETENCIAS PROFESIONALES CUESTIONARIO DE AUTOEVALUACIÓN PARA LAS TRABAJADORAS Y TRABAJADORES

Lineamientos para el uso de equipo de cómputo

ACCIONES CORRECTIVAS Procedimiento

Interpretación Resultados Evaluación MECI Vigencia 2014

CONFIGURACIÓN DE FIRMA DIGITAL EN WORD 2013

CAPÍTULO 1. LAS REDES

Primera respuesta: antes de que llegue la policía. Luis A. Gorgona S. Csirt-CR

SEGURIDAD DE LA DATA MASTERBASE S.A.

Competencias y perfiles para el personal TIC de las Universidades

Riesgos en Banca Electrónica Una perspectiva jurídica desde la certificación digital. ERICK RINCON CARDENAS

ADMINISTRACIÓN DE RECURSOS INFORMÁTICOS SEMANA 9 ESTE DOCUMENTO CONTIENE LA SEMANA 9

Procedimiento de Respaldo de Información.

ISO 9004:2009: Gestión del éxito sostenido de una organización. Un enfoque de gestión de la calidad

TÉCNICO EN GESTIÓN DE CALIDAD

CERTIFICADO Y FIRMA DIGITAL

UNIÓN INTERNACIONAL DE TELECOMUNICACIONES. SERIE X: REDES DE DATOS Y COMUNICACIÓN ENTRE SISTEMAS ABIERTOS Seguridad

3.- RESPONSABILIDADES

Plan. ÁREAS Y ACCIONES DE MEJORA Introducción

ESCUELA TÉCNICA SUPERIOR DE INGENIERÍA INFORMÁTICA UNIVERSIDAD DE SEVILLA COMPUTADORAS Y COMUNICACIONES. Redes informáticas de área local (LAN)

Leonardo Huertas Calle SamuraiBlanco

Además, debido al incremento del parque informático actual se requiere aumentar la cantidad de licencias, ya que a la fecha resulta insuficiente.

POLÍTICA DE MGS. Fecha 23/09/2016 Versión 5 Tipo de documento POLÍTICA

EL MÓDULO DE RELACIONES EN EL EQUIPO DE TRABAJO EN LA FORMACIÓN PROFESIONAL

PO-1TI-001. Código: Versión: Elaborado por: - Gerencia de IT. Página: Revisado por: - Gerencia de IT. Page 1 of 5

norma española UNE-EN EXTRACTO DEL DOCUMENTO UNE-EN Seguridad funcional

Programa Administración Linux

Administración de la SIU Código: S-GR-06 Versión: 05 Página 1 de 5

CYBERGYM #CG002 SPA SERVICIOS INTEGRALES DE DEFENSA CIBERNÉTICA

Lectura complementaria

Ing. José Luis Alfonso Barreto & Jorge Luis Blanco Ramos

CUESTIONARIO PARA DETERMINAR LÍNEA BASE EN COMUNICACIÓN

1. Objetivo. 2. Alcance

Elementos vulnerables en el sistema informático: hardware, software y datos. Luis Villalta Márquez

Requerimientos de Software

LISTA DE VERIFICACIÓN

Vulnerabilidades de los sistemas informáticos

ADMINISTRACIÓN DE CENTROS DE CÓMPUTO

REDES DE DATOS Modelo OSI. Angélica Flórez Abril, MSc.

Guayaquil, 28 de Septiembre del 2011

ESCUELA SUPERIOR POLITECNICA DEL LITORAL

ESCUELA DE RESIDENTADO MÉDICO Y ESPECIALIZACIÓN

MCTS Exchange Server 2010 Administración. Fabricante: Microsoft Grupo: Servidores Subgrupo: Microsoft Exchange Server 2010

Sistema de Gestión de la Calidad SGC

Emisión de Comprobantes Fiscales con Código de Barras Bidimensional (CBB) con los sistemas Aspel. En Aspel-SAE 5.0

NIMF n. 7 SISTEMA DE CERTIFICACIÓN PARA LA EXPORTACIÓN (1997)

REGLAMENTO INTERNO PARA EL USO DE EQUIPO DE CÓMPUTO, INTERNET Y CORREO ELECTRONICO

Perfiles y funciones de los Profesionales evaluadores

Aplicaciones de Microsoft Dynamics CRM 4.0

Área: Microsoft SQL. Nombre del curso. Administración de Microsoft SQL Server 2014 Bases de datos

Luis Villalta Márquez

Trabajo Práctico Nº 3 Parte 1

ANÁLISIS DE LAS PRINCIPALES VULNERABILIDADES DE UN SISTEMA INFORMÁTICO

SI - Seguridad Informática

GOBERNACIÓN DEL TOLIMA

Transcripción:

Análisis de Vulnerabilidades

Las Vulnerabilidades de seguridad informática han existido siempre. A medida que se hacían conocidas diferentes vulnerabilidades, también se publicaban herramientas de seguridad y parches con el objetivo de ayudar a los administradores. Actualmente, Internet representa una gran fuente de información donde existe mucha más cantidad de referencias sobre cómo ingresar a sistemas que sobre cómo protegerlos. La seguridad de la red comprende tanto la protección física de los dispositivos como también la integridad, confidencialidad y autenticidad de las transmisiones de datos que circulen por ésta.

La siguiente lista resume los puntos que comprende la seguridad de una red: La información debe estar protegida de una posible destrucción o modificación accidental o intencional (integridad). Los datos no deben estar disponibles a los accesos no autorizados (privacidad) Las transacciones no deben ser modificadas en su trayecto y se debe asegurar que quien las generó es quien dice ser (integridad,autenticidad y no repudio). Se mantenga la integridad física de los dispositivos de red como servidores, switches, etc. El uso de la red no debe ser con fines que no estén contemplados por las políticas de utilización. La red debe estar disponible siempre y con la eficiencia necesaria, aún ante fallas inesperadas (disponibilidad).

A través de un análisis de vulnerabilidades, un analista en seguridad puede examinar la robustez y seguridad de cada uno de los sistemas y dispositivos ante ataques y obtener la información necesaria para analizar cuáles son las contramedidas que se pueden aplicar con el fin de minimizar el impacto de un ataque. El análisis de vulnerabilidades debe realizarse: Cuando ocurran cambios en el diseño de la red o los sistemas. Cuando se realicen actualizaciones de los dispositivos. Periódicamente.

Métodos Caja Negra: Al analista se le proporciona sólo la información de acceso a la red o al sistema (podría ser sólo una dirección IP). A partir de esta información, el analista debe obtener toda la información posible Caja Blanca: El analista de seguridad tiene una visión total de la red a analizar, así como acceso a todos los equipos como super usuario. Este tipo de análisis tiene la ventaja de ser más completo y exhaustivo

Test de Penetración: Durante el test de penetración el analista de seguridad simula ser un atacante. Desde esta posición, se realizan varios intentos de ataques a la red, buscando debilidades y vulnerabilidades: Estudio de la red externa. Análisis de servicios disponibles. Estudio de debilidades. Análisis de vulnerabilidades en dispositivos de red. Análisis de vulnerabilidades de implementaciones y configuraciones. Denegación de servicio. El resultado del test de penetración mostrará una idea general del estado de la seguridad de los sistemas frente a los ataques. Si se encontraran una o más vulnerabilidades, no se realiza su explotación.

Como conclusión de este paso, se debe obtener un informe que indique: Pruebas de seguridad realizadas en el test. Lista de vulnerabilidades y debilidades encontradas. Referencia técnica a estas vulnerabilidades y sus contramedidas. Recomendaciones.

Las vulnerabilidades provienen de diferentes ámbitos y las podemos clasificar en: Vulnerabilidades de implementación. Vulnerabilidades de configuración. Vulnerabilidades de dispositivo. Vulnerabilidades de protocolo. Vulnerabilidades de aplicación

Existen diversas herramientas que se pueden utilizar para realizar un análisis de vulnerabilidades: Escaneo de puertos. Detección de vulnerabilidades. Analizador de protocolos. Passwords crackers. Ingeniería social. Trashing Existen sitios donde encontrará información muy diversa, desde publicaciones y bibliografía específica en seguridad, hasta repositorios de vulnerabilidades con sus exploits: CERT Computer Emergency Response Team SANS SysAdmin, Audit, Network, Security NSA National Security Agency NIST National Institute of Standards and Technology

Los pasos a seguir para llevar a cabo un análisis de vulnerabilidades comprenden Acuerdo de confidencialidad entre las partes Establecer las reglas de juego Reunión de información Test Interior Test exterior Documentación e informe

Acuerdo de confidencialidad entre las partes Es importante realizar un acuerdo de confidencialidad entre todas las partes involucradas en el análisis. A lo largo del desarrollo del análisis se puede obtener información crítica para la organización analizada. Desde el punto de vista de la organización, debe existir confianza absoluta con la parte analizadora. Desde el punto de vista del analizador, el acuerdo de confidencialidad le ofrece un marco legal sobre el cual trabajar. Es un respaldo formal a su labor.

Establecer las reglas del juego Antes de comenzar con el análisis de vulnerabilidades es necesario definir cuáles van a ser las tareas a realizar, y cuáles serán los límites, permisos y obligaciones que se deberán respetar. Durante el análisis, deben estar informadas la menor cantidad de personas, de manera que la utilización de la red por parte del personal sea normal, se deben evitar cambios en la forma de trabajo.

Reunión de información Un análisis de vulnerabilidades comienza con la obtención de información del objetivo. Si se ha seleccionado realizar un test por caja negra, el proceso de análisis será muy similar al proceso seguido por un atacante. Si utiliza un método de caja blanca, éste es el momento para recopilar la información de acceso a servicios, hosts y dispositivos, información de direccionamiento, y todo lo que considere necesario.

Test Interior El Test Interior trata de demostrar hasta donde se puede llegar con los privilegios de un usuario típico dentro de la organización. Para realizarlo se requiere que la organización provea una computadora típica, un nombre de usuario y una clave de acceso de un usuario común. Se compone de numerosas pruebas, entre las que podemos citar:

Revisión de Privacidad Testeo de Aplicaciones de Internet Testeo de Sistema de Detección de Intrusos Testeo de Medidas de Contingencia Descifrado de Contraseñas Testeo de Denegación de Servicios Evaluación de Políticas de Seguridad

Test Exterior El principal objetivo del Test Exterior es acceder en forma remota a los servidores de la organización y obtener privilegios o permisos que no deberían estar disponibles. El Test Exterior puede comenzar con técnicas de Ingeniería Social, para obtener información que luego se utilizará en el intento de acceso. Los pasos del estudio previo de la organización deben incluir:

1. Revisión de la Inteligencia Competitiva: Información recolectada a partir de la presencia en Internet de la organización. 2. Revisión de Privacidad: Es el punto de vista legal y ético del almacenamiento, transmisión y control de los datos basados en la privacidad del cliente. 3. Testeo de Solicitud: Es un método de obtener privilegios de acceso a una organización y sus activos preguntando al personal de entrada, usando las comunicaciones como un teléfono, e-mail, chat, boletines, etc. desde una posición privilegiada fraudulenta. 4. Testeo de Sugerencia Dirigida: En este método se intenta lograr que un integrante de la organización ingrese a un sitio o reciba correo electrónico, en este sitio o correo se podrían agregar herramientas que luego serán utilizadas en el intento de acceso.

Una vez que se recopiló esta información, se procede a realizar las siguientes pruebas: Sondeo de Red Identificación de los Servicios de Sistemas Búsqueda y Verificación de Vulnerabilidades Testeo de Aplicaciones de Internet Enrutamiento Testeo de Relaciones de Confianza Verificación de Radiación Electromagnética (EMR) Verificación de Redes Inalámbricas [802.11]

Documentación e Informe Como finalización del análisis de vulnerabilidades se debe presentar un informe donde se detalle cada uno de los tests realizados y los resultados. En este informe se debe especificar: Lista de vulnerabilidades probadas Lista de vulnerabilidades detectadas Lista de servicios y dispositivos vulnerables El nivel de riesgo que involucra cada vulnerabilidad encontrada en cada servicio y dispositivo. Como anexo se deben incluir los resultados de los programas utilizados.

Fin

2026 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback