gestiondeauditoriasdeseguridad
TRANSCRIPT
1
Gestión de Proyectos de Auditoría de Seguridad v1.3
Consultor de Seguridad
2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados
con permiso. Esta versión es una modificación de la presentación original usada en el FIST 2003.
29 diapositivas
2
Índice
– Introducción a las Auditorías de Seguridad
– Dimensionamiento de la Auditoría
– La metodología OSSTMM
– Seguridad en las aplicaciones
– El informe de Auditoría
– Para qué sirve la Auditoría
– Conclusiones
3
Introducción a las Auditorías de Seguridad
Tipos de Auditoría de Seguridad
• Análisis de Vulnerabiliades
• Test de Intrusión
• Auditoría de Seguridad
• Comprobación de la Seguridad
• Hacking ético
tiempo
coste Análisis de Vulnerabilidades
Comprobación de Seguridad
Hacking ético
Penetration Testing
Auditoría de Seguridad
Fuente: OSSTMM
4
Auditoría de Seguridad
Auditoría de Sistemas de Información
• Interna (Caja Blanca)
• Realizada en las instalaciones de ACME
• Se parte de un esquema de red
• Información proporcionada por el cliente
Test de Intrusión
• Externa (Caja Negra)
• Realizada de forma remota
• Se parte de un rango de IPs o de un dominio DNS
• Información desconocida
Introducción a las Auditorías de Seguridad
Dos grandes grupos
5
Auditoría de Seguridad
Auditoría de Sistemas de Información
• Interna (Caja Blanca)
• Realizada en las instalaciones del cliente
• Se parte de un esquema de red
• Información proporcionada por el cliente
Al final se convierte en Análisis remoto
• No es posible conectar un portátil
• No se puede acceder al CPD
• No existe esquema de red
• El cliente no sabe o no proporciona la información
Introducción a las Auditorías de Seguridad
Peligros de una Auditoría Interna
6
Auditoría de Seguridad
Test de Intrusión
• Externa (Caja Negra)
• Realizado de forma remota
• Se parte de un rango de IPs o de un dominio DNS
• Información desconocida
Introducción a las Auditorías de Seguridad
Peligros de un Test de Intrusión
Al final se convierte en Auditoría interna
• Oye, necesito que te pases por ACME
• Ya que estás aquí, échame una mano con el firewall
• Inclúyeme el password cracking
• Necesito un hardening de las máquinas
• Revísame los IDSs
• ¡Tienes dos semanas!
7
Auditoría de Seguridad Internet: fase I OSSTMM
Auditoría de Seguridad Internet
• Externa (Caja Negra)
• Realizada de forma remota
• Se parte de un rango de IPs o de un dominio DNS
• Información desconocida
• Cobertura: detección remota de vulnerabilidades
• Se realiza en dos o tres semanas
• Se sigue la metodología OSSTMM
Introducción a las Auditorías de Seguridad
Solución:
8
Dimensionamiento de la Auditoría
Cobertura propuesta
Tiempo y recursos necesarios
Presupuesto final
El tiempo es dinero
El dinero es tiempo
Tiempo y recursos asignados
Cobertura alcanzable
Presupuesto inicial
9
Dimensionamiento de la Auditoría
Gestión del Proyecto
10
Batería de preguntas
• ¿Cuántos son los dispositivos a Auditar?
Ej: 100 dispositivos físicos con 150 IPs en la misma clase C
• ¿Cuál es la cobertura necesaria?
Ej: Determinación y análisis de vulnerabilidades de cada uno
• ¿Cuál es el tiempo necesario?
Ej: Tres semanas
Dimensionamiento de la Auditoría
SE DETERMINA EL TIEMPO NECESARIO
Y EL NÚMERO DE RECURSOS
11
Dimensionamiento de la Auditoría
ACME: Seguimiento de la Auditoría de Seguridad
Día Fecha Descripción de tareas (Consultor 1)Descripción de tareas
(Jefe de Proyecto)Horas
C1Horas
JPHoras
TotalesLunes 14 de junio de 2004 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16Martes 15 de junio de 2004 Búsqueda de información pública Documentación inicial 8 8 16Miércoles 16 de junio de 2004 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8Jueves 17 de junio de 2004 Exploración de red y escaneo "bulk" (nmap) 8 0 8Viernes 18 de junio de 2004 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10Sábado 19 de junio de 2004Domingo 20 de junio de 2004
Total Semana 40 18 58Lunes 21 de junio de 2004 Análisis de Datos Análisis de Datos 8 8 16Martes 22 de junio de 2004 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16Miércoles 23 de junio de 2004 Determinación de SSOO y puertos TCP/UDP 8 0 8Jueves 24 de junio de 2004 Comprobación manual de sistemas y servicios 8 0 8Viernes 25 de junio de 2004 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10Sábado 26 de junio de 2004Domingo 27 de junio de 2004
Total Semana 40 18 58Lunes 28 de junio de 2004 Mapa de Red Análisis de Datos 8 8 16Martes 29 de julio de 2004 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16Miércoles 30 de julio de 2004 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8Jueves 1 de julio de 2004 Comprobación manual de vulnerabilidades 8 0 8Viernes 2 de julio de 2004 Eliminación de falsos positivos Análisis de Datos 8 4 12Sábado 3 de julio de 2004Domingo 4 de julio de 2004
Total Semana 40 20 60Lunes 5 de julio de 2004 Documentación Documentación 8 8 16Martes 6 de julio de 2004 Documentación Documentación 8 8 16Miércoles 7 de julio de 2004 Reunión final y Entrega Reunión 8 8 16
Total Semana 24 24 48Total Auditoría 144 80 224 28 días
12
El Jefe de Proyecto debe ser real, no virtual, aunque esté al 33% en MS Project
Deben asignarse equipos portátiles y fomentar la simultaneidad de tareas
Documentar todo lo que se haga y poner una fecha de congelación de escaneos
Las tareas de gestión de proyecto consumen tiempo
Los escaneos consumen tiempo y necesitan de equipos portátiles
Lo que no esté analizado en el informe no existe
Problemática
Dimensionamiento de la Auditoría
13
Metodología OSSTMM
The Security Testing Professional and the OSSTMM“Open Source Security Testing Methodology Manual”
La metodología OSSTMM
14
La metodología OSSTMM
15
La metodología OSSTMM
16
La metodología OSSTMM
Auditoría de Seguridad Internet
– Exploración de red
– Escaneo de puertos
– Identificación de Servicios
– Identificación de Sistemas
– Búsqueda y Verificación de Vulnerabilidades
– Seguridad en las Aplicaciones
17
La metodología OSSTMM
Análisis de la red
Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar.
Objetivo
Resultados
■ Nombres de Dominio
■ Nombres de Servidores
■ Direcciones IP
■ Mapa de Red
■ Información administrativa del Proveedor de Servicios
■ Propietarios y administradores de las máquinas
■ Posibles limitaciones en las pruebas de la Auditoría
18
Escaneo de puertos
El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.
Objetivo
Resultados
■ Puertos abiertos, cerrados y filtrados
■ Direcciones IP de sistemas activos
■ Lista de túneles descubiertos y encapsulación de protocolos
■ Lista de protocolos de enrutamiento soportados descubiertos.
■ Servicios activos
■ Mapa de red
La metodología OSSTMM
19
Detección Remota de Sistemas Operativos
Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar el Sistema Operativo remoto utilizado y el nivel de versión.
Objetivo
Resultados
■ Tipo de máquina
■ Tipo de Sistema Operativo
■ Nivel de parches y Service Packs
La metodología OSSTMM
20
Prueba de Servicios
Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, una misma aplicación puede abrir distintos puertos para servicios diferentes.
Objetivo
Resultados
■ Tipos de Servicio Activo
■ Tipos de Aplicación y nivel de versión
■ Mapa de Red
La metodología OSSTMM
21
Análisis de Vulnerabilidades
Se realizará la búsqueda y análisis básico de las vulnerabilidades de los distintos sistemas, usando herramientas automáticas y procedimientos manuales para determinar agujeros de seguridad en aplicaciones y en versiones de parches.
Objetivo
Resultados
■ Lista de vulnerabilidades del sistema
■ Tipos de aplicación o servicio por vulnerabilidad
■ Descripción de cada vulnerabilidad y forma de explotarla
■ Recomendaciones de niveles de parche de sistemas y
aplicaciones que corrigen la vulnerabilidad
La metodología OSSTMM
22
Seguridad en las Aplicaciones
23
Seguridad en las Aplicaciones
24
El Informe de Auditoría
El contenido del Informe de Auditoría es crítico para el éxito de la mismaEl contenido del Informe de Auditoría es crítico para el éxito de la misma
1.1. Sumario Ejecutivo (Introducción, Problemas encontrados y Sumario Ejecutivo (Introducción, Problemas encontrados y
Conclusión)Conclusión)
2.2. El proceso de Auditoría de Seguridad (Introducción, Objeto, Ámbito, El proceso de Auditoría de Seguridad (Introducción, Objeto, Ámbito,
Objetivo, Período, Metodología, Acuerdo de Confidencialidad)Objetivo, Período, Metodología, Acuerdo de Confidencialidad)
3.3. Resultados del Test (Recopilación inicial de datos, Exploración de Resultados del Test (Recopilación inicial de datos, Exploración de
Red, Perfil de la Red, Identificación de Sistemas, Información sobre Red, Perfil de la Red, Identificación de Sistemas, Información sobre
Servicios, Identificación y Análisis de Vulnerabilidades)Servicios, Identificación y Análisis de Vulnerabilidades)
4.4. Resumen (Conclusiones y Recomendaciones)Resumen (Conclusiones y Recomendaciones)
5.5. ApéndicesApéndices
6.6. GlosarioGlosario
25
La auditoría de Seguridad no es fin en sí mismo, sino normalmente un medio para conseguir un fin:
• Justificación de las inversiones a realizar
• Descubrimiento de nuevas amenazas
• Adecuación a la Política de Seguridad
• Adecuación a la legislación vigente (LOPD)
• Certificación en estándares (ISO 900X)
Para qué sirve la Auditoría
26
Buenas Prácticas de Gestión de la Seguridad Buenas Prácticas de Gestión de la Seguridad ISO17799 / UNE 71501ISO17799 / UNE 71501
Para qué sirve la Auditoría
1 Política de Seguridad1 Política de Seguridad
2 Organización de la Seguridad2 Organización de la Seguridad
3 Organización y Control de Activos3 Organización y Control de Activos
4 Seguridad Ligada al Personal4 Seguridad Ligada al Personal
5 Seguridad Física y del Entorno5 Seguridad Física y del Entorno
6 Comunicaciones y Gestión de Explotación6 Comunicaciones y Gestión de Explotación
7 Control de Acceso al Sistema7 Control de Acceso al Sistema
8 Desarrollo y Mantenimiento8 Desarrollo y Mantenimiento
9 Plan de Continuidad y Mantenimiento9 Plan de Continuidad y Mantenimiento
10 Conformidad Legal y a la Política de Seguridad10 Conformidad Legal y a la Política de Seguridad
ISO/IEC/UNE 717799-1:2002ISO/IEC/UNE 717799-1:2002
El Plan de Seguridad muestra de forma cualitativa los puntos más El Plan de Seguridad muestra de forma cualitativa los puntos más prioritarios en que es necesario invertir en Seguridad de la Información.prioritarios en que es necesario invertir en Seguridad de la Información.
27
¿Dónde invertir?
• Seguridad perimetral (cortafuegos, routers)
• Protección contra intrusiones (IDS, IPS)
• Protección antivirus y filtrado de contenidos
• Securización del acceso (autenticación, SSO, PKI)
• Securización de datos (integridad, cifrado VPN)
• Securización de sistemas (hardening, mantenimientos)
• Adecuación legal y a la Política de Seguridad
La auditoría y el análisis de riesgos justifican con métricas, cuales son las prioridades de inversión.
Para qué sirve la Auditoría
28
Conclusiones
El peligro de las vulnerabilidades es que existe la amenaza de que sean explotadas
Una gestión inadecuada del proyecto puede hacer
fracasar al mejor equipo de Auditores de Seguridad
Toda auditoría de seguridad debería complementarse con un análisis de riesgos y una
métrica para medir el impacto
29
DAVINCI Consulting Tecnológico, s.a.u.
Parque Empresarial Alvento.
Vía de los Poblados, 1 Edificio A 6ª planta
28033 Madrid
Tlf: 902 464 546 Fax: 91 561 3175
htttp://www.dvc.es
Gracias
Presentación disponible en www.ausejo.net