Metodologías y herramientas para el análisis de vulnerabilidades

Documentos relacionados
Auditoría Técnica de Seguridad de Aplicaciones Web

DIPLOMADO. Administración Avanzada de Redes de Comunicaciones con base en las Mejores Prácticas de ITIL

Proceso de Implementación de actividades de Control en las Unidades de Tecnología de la Información

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

Tecnología de Información y Comunicaciones: usos y potenciales impactos para la administración de justicia

Certified Professional Offensive and Defensive Security

GENEXUS & OWASP TOP 10

SISTEMAS DE GESTIÓN DE SEGURIDAD DE LA INFORMACIÓN, RIESGOS Y CONTINUIDAD DE NEGOCIOS

MINISTERIO DE EDUCACIÓN COORDINACIÓN DE PLANIFICACIÓN DIRECCIÓN NACIONAL DE ANÁLISIS E INFORMACIÓN EDUCATIVA. Ayuda Memoria

Hacking ético y Seguridad en Red

El Ordenamiento Territorial y la Adaptación al Cambio Climático

Medidas de seguridad. Tema 1 SAD. Vicente Sánchez Patón. I.E.S Gregorio Prieto

Sitios y programas recomendados

Convocatoria meses, 2 etapas, Inicio julio 2014

Año 2012 ENHACKE ENHACKE CERTIFICATE IN WEBAPP PENTESTING. Curso Oficial de Certificación ENHACKE CURSOS

Certified Offensive and Defensive SecurityProfessional-CODSP v1.0

SISTEMA DE GESTIÓN DE

LOGO COLABORADOR

Escáner de vulnerabilidades para aplicaciones web y gestores de contenido

TÉCNICO SUPERIOR UNIVERSITARIO EN TECNOLOGÍAS DE LA INFORMACIÓN Y COMUNICACIÓN ÁREA SISTEMAS INFORMÁTICOS.

DESPLIEGUE DE MACROPROCESO DE GESTIÓN DE INFORMACIÓN (GESTIÓN DE TECNOLOGÍA INFORMÁTICA Y DE TELECOMUNICACIONES Y GESTIÓN DOCUMENTAL)

Información de Gestión por Procesos del Ministerio de Finanzas. Quito, 4 de abril de 2014.

Gerencia de Proyectos

Nombre de la asignatura: Análisis y modelado de sistemas de información

SISTEMA DE MEJORA CONTINUA DE LA GESTIÓN DE LOS GOBIERNOS REGIONALES

.com [IN]SEGURIDAD WEB ING. SAUL MAMANI M.

LEY No SOBRE COMERCIO ELECTRONICO, DOCUMENTOS Y FIRMAS DIGITALES AGENDA REGULATORIA DEL INDOTEL

ArCERT Jornadas de Seguridad Informática 2009

100% Laboratorios en Vivo

Riesgo Operacional. La visión del Comité de Auditoría. VIII Jornadas Rioplatenses de Auditoría Interna

CURSO DE INTELIGENCIA DE FUENTES ABIERTAS

Perfiles y funciones de los Profesionales evaluadores

II. Antecedentes y Contexto Organizacional Antecedentes

Norma Técnica de Administración por Procesos y Prestación de Servicios. Registro Oficial Nro. 739

RESUMEN DEL INFORME DE GESTIÓN DE RIESGO OPERACIONAL

CIO. Colombia. Nuevo Vice MinisterioTI. Darle impulso a la industria de software, hardware y servicios en el país

Tema 6. Seguridad Perimetral Parte 3. Análisis de seguridad en redes Tests de intrusión

La etapa de Ejecución

La Estadística Oficial Básica El DANE en el marco de las buenas prácticas

Curso de Experto en. Inicio OCTUBRE 2016 INFORMACIÓN Y RESERVA DE PLAZA: ,

SISTEMA DE CONTROL INTERNO GENERALIDADES.

ChileCalidad. Los Modelos de Excelencia y el Mejoramiento de la Calidad en la Gestión Municipal

Banco de Desarrollo del Ecuador B.P.

Práctica 1. Ethical Haking. Pentest en la red.

Informes de Seguimiento y Control de actualización de Indicadores

GUIA 6 TABLA DE CONTENIDO

Webinar Gratuito OWASP WebScarab

RESUMEN DE INFORME DE GESTIÓN DE RIESGO OPERACIONAL

Día 23, Hacking ético: Auditoria web y perspectiva desde la Administración Publica

Hacking Ético y Defensa en Profundidad "Versión 3.2.2

PROCESO: ADMINISTRACIÓN DEL SISTEMA DE GESTIÓN SOCIO AMBIENTAL GUÍA ALCANCES DEBIDA DILIGENCIA SOCIO AMBIENTAL GU-ASG-01-V0

Sustantiva Órgano Interno de Control. Subdirector de Infraestructura. Dirección de Infraestructura

PARTE I. TECNICAS DE DESARROLLO

CONVERSATORIO No. 30. NICC-1 Norma Internacional de Control de Calidad 1. Moderador: Luis Armando Leal. Relator: Dra. Maribel Albarracín

Secretariado Ejecutivo

AUDITORÍA SUPERIOR DEL ESTADO PROGRAMA OPERATIVO ANUAL 2016 PROGRAMA DE TRABAJO

SISTEMA DE CONTROL INTERNO DE GESTION PRESIDENCIAL

UNIVERSIDAD NACIONAL DE ITAPUA U.N.I. Creada por Ley Nº:1.009/96 del 03/12/96 Facultad de Ingeniería PROGRAMA DE ESTUDIOS

UNIVERSIDAD CATÓLICA DE SANTIAGO DE GUAYAQUIL DIPLOMADO INTERNACIONAL EN SEGURIDAD INFORMÁTICA CON CERTIFICACIÓN ISO 27001

Guía práctica Excel 2007

Facultad de Ciencias Naturales e Ingenierías Tecnología en Desarrollo de Sistemas Informáticos Selección y Evaluación de Tecnologías ITIL

Código: P-CC-SE-02 SG. Procedimiento de Servicio No Conforme, Acciones Correctivas y Acciones Preventivas. Edición: 01. Fecha: 20/Abr/2011

AGENCIA DE REGULACIÓN Y CONTROL DEL AGUA

METRICA VERSION MÉTRICA versión 3. Metodología de Planificación, Desarrollo y Mantenimiento de Sistemas de Información

3-ANÁLISIS DE VULNERABILIDADES

Fábricas de Software y Líneas de Producto: del Estado de la Práctica al Estado del Arte. Jorge A. Villalobos.

Centro de Coordinación para la Prevención de los Desastres Naturales en América Central. Ing. Roy Barboza Secretario Ejecutivo CEPREDENAC

Tabla de Contenido. Introducción Justificación Estado del Arte y Antecedentes 4 3. Objetivos Objetivo General...

Ingeniero Técnico en Informática - UCA Máster en Ingeniería del Software - US Máster en Seguridad de las TIC - US

Esquema Nacional de la Seguridad. RSA, la División de Seguridad de EMC

Plan Operativo Anual 2012

El Instituto Nacional de la Leche (INALE) es una persona jurídica de derecho público no estatal, creada por el artículo 6 de la ley 18.

Curso de Capacitación Técnica: Gestión de la Identidad Digital

Consejo Departamental de Competitividad de Cochabamba Programa de Servicios para el Desarrollo Productivo Rural

Plan Estratégico Institucional

Principios rectores de un Sistema de Estadísticas Vitales

DISEÑO ORGANIZACIONAL. Subdirección de Desarrollo de las Personas Dirección Nacional del Servicio Civil 2013

PROYECTO ISO SISTESEG

Tu Educación en Manos de Profesionales

ARQUITECTURA EMPRESARIAL ESTRATEGIA DE ACOMPAÑAMIENTO 2016

MVOTMA en la promoción del uso de productos de madera en la construcción de viviendas

INFORME TÉCNICO PREVIO DE EVALUACIÓN DE SOFTWARE SOFTWARE VIRTUALIZADO DE CONTROL DE ACCESOS

Edificio: T-3 Sección: A. Horas por semana del curso:

CICLO DE VIDA DEL SOFTWARE

COMPETENCIA Procesar los datos recolectados de acuerdo con requerimientos del proyecto de investigación.

PLAN DE ADQUISICIÓN DE RECURSOS FÍSICOS Y TECNOLOGÍAS DE LA INFORMACIÓN (TI)

REPÚBLICA DE COLOMBIA DEPARTAMENTO ADMINISTRATIVO PARA LA PROSPERIDAD SOCIAL INSTITUTO COLOMBIANO DE BIENESTAR FAMILIAR DIRECCIÓN DE GESTIÓN HUMANA

OPERACIÓN DEL SISTEMA DE GESTIÓN Y MEJORA DE LOS PROCESOS DE TIC

AUDITORÍA SUPERIOR DEL ESTADO PLAN ANUAL DE TRABAJO 2014

TÉRMINOS DE REFERENCIA

Soluciones Tecnológicas Integrales

Anexo Acuerdo de Nivel de Servicio: Atención a Usuarios CSU Gestión de Nivel de Servicio

P8: Segunda Etapa del PROYECTO DE FORTALECIMIENTO INSTITUCIONAL DE LA RESPONSABILIDAD SOCIAL DE LAS UNIVERSIDADES DE AUSJAL 1

Vulnerabilidades en Aplicaciones Web Webinar Gratuito

Seguridad en la Nube Continuidad Operacional

Actas de Entrega-Recepción en el Sistema de Gestión de la Información. Julio 2012

MODELO DE INTELIGENCIA ESTUDIANTIL

Grado de madurez de la organización en Seguridad de la Información

INSTRUMENTOS DE GESTIÓN. Yanira Loyola Tapia

Transcripción:

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodologías y herramientas para el análisis de vulnerabilidades María Eugenia Corti Luis Garcimartin Carlos García 1

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Para qué? Para garantizar la seguridad de nuestros sistemas. Para analizar la exposición de nuestros servicios y sistemas en configuración de producción 2

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Nuestro camino Estudio de estándares y técnicas Ensayos Adaptación a nuestra organización de los estándares existentes Aprobación por parte de la División TI Selección de herramientas Planificación y coordinación de pruebas Ejecución 3

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Nuestro camino Estudio de estándares y técnicas Ensayos 4

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN OSSTMM v 2.2 Versión disponible al público hasta Diciembre 2010, publicada en 2006 En proceso de incorporación de cambios a la 3.0 ISSAF (2006) Este framework es una buena guía práctica pero no provee un enfoque metodológico general para un entorno empresarial. 5

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Publicada en 2008 NIST SP 800-115 Por su origen se adapta bien a organizaciones medianas a grandes Alto nivel de abstracción Tiene en cuenta analistas internos o externos Presta especial atención a los puntos que garantizan la continuidad y minimizan las interrupciones inesperadas que podrían ocasionar estas pruebas 6

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Análisis Ejecución 7

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Planificación Condiciones previas Acuerdos de confidencialidad Objetivos y alcance Niveles de riesgo aceptables Análisis Ejecución Prioridad y planificación de los Análisis Que sistemas analizar y en que orden Requerimientos legales, periodicidad, criticidad 8

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Planificación Selección y adaptación de Técnicas Auditoria interna o externa, a ciegas o no Riesgos asociados a las técnicas versus el nivel de riesgo aceptable Tiempo disponible Posibles impactos Análisis Ejecución Logística Obtener con los recursos para la prueba Disponibilidad del apoyo de otros técnicos Selección del equipo humano 9

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Planificación Plan de trabajo Se generan formularios detallados Se elevan al CGC Se recaba la autorización Análisis Ejecución 10

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Ejecución Coordinación y ejecución Se establece la oportunidad de la prueba Se establecen reglas para la ejecución, como por ejemplo el registro detallado de las pruebas, la rigidez del plan Se tienen en cuenta también, los desafíos que puede implicar la falta de realismo, la resistencia de los actores y el impacto operacional. Nuestro enfoque fue lograr que los actores percibieran el valor de estas pruebas e integrarlos al proceso Análisis Ejecución 11

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Ejecución Manejo de la información Almacenamiento, transmisión de la información Identificación de falsos positivos Análisis Ejecución 12

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Metodología desarrollada Planificación Análisis Categorización de vulnerabilidades Análisis de las causas subyacentes por las que se generaron estas vulnerabilidades Reportes Registro escrito detallado Presentación Informe escrito ejecutivo Análisis Ejecución 13

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Herramientas para el análisis de vulnerabilidades Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública 14

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Recolección de Información Obtener información acerca de : IPs públicas, propiedad del dominio, DNSs, hosts, reversos, forwards. http://www.robtex.com/ http://www.ip-adress.com/whois/ 15

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública robtex

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública ip-adress

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Identificación de red, puertos y servicios Scaneo de puertos/servicios a los efectos de obtener información de sistemas operativos, servicios, versiones. Zenmap : official Nmap Security Scanner GUI 18

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Zenmap

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Análisis de vulnerabilidad Búsqueda de servicios/aplicaciones expuestas a vulnerabilidades conocidas. OpenVas Nessus 20

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública OpenVas

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Nessus

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Pruebas Manuales XSS (Cross-site scripting). Inserción de comandos. Alteración de parámetros de entrada. SQLi (Inyección SQL). Suplantación de identidad - Validación de vulnerabilidades identificadas en pruebas automáticas (falsospositivos). - Pruebas específicas sobre aplicaciones propias.

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Análisis de información pública Foca : búsqueda de Metadatos e información oculta en documentos de Office, OpenOffice, PDF Google hacking 24

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Foca 25

Recolección de Información Identificación de red, puertos y servicios Análisis de Vulnerabilidades Análisis de información pública Google hacking Técnica de reconocimiento pasivo que utiliza los servicios de filtrado de búsqueda. 26

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Seguridad en Aplicaciones Test de seguridad en Aplicaciones Auditoría de Aplicaciones Revisión de Código 27

Test de seguridad en Aplicaciones Auditoria de Aplicaciones Revisión de Código Test de seguridad en Aplicaciones OWASP ZAP : herramienta para búsqueda de vulnerabilidades en aplicaciones web. 28

Test de seguridad en Aplicaciones Auditoria de Aplicaciones Revisión de Código OWASP ZAP 29

Test de seguridad en Aplicaciones Auditoría de Aplicaciones Revisión de Código Auditoría de Aplicaciones OWASP Webscarab - Framework para análisis de aplicaciones bajo protocolos HTTP y HTTPS 30

Test de seguridad en Aplicaciones Auditoría de Aplicaciones Revisión de Código OWASP Webscarab 31

Test de seguridad en Aplicaciones Auditoria de Aplicaciones Revisión de Código Revisión de Código Sonar : permite gestionar la calidad del código (Arquitectura, Diseño, Duplicaciones, Errores potenciales, etc) 32

Test de seguridad en Aplicaciones Auditoria de Aplicaciones Revisión de Código Sonar 33

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Conclusiones Efectivo. Cumplidos los resultados esperados. Implementación sencilla, en tiempos esperados. Colaboración de otras áreas en la ejecución. Buena recepción y contribución para realizar correcciones. Revisión, actualización y corrección de la metodología. 34

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Gracias! seguridad.informatica@imm.gub.uy 35

Intendencia de Montevideo TECNOLOGÍA DE LA INFORMACIÓN Gracias! seguridad.informatica@imm.gub.uy 36

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback