gestiondeauditoriasdeseguridad

1

Gestión de Proyectos de Auditoría de Seguridad v1.3

[email protected]

Consultor de Seguridad

2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados

con permiso. Esta versión es una modificación de la presentación original usada en el FIST 2003.

29 diapositivas

2

Índice

– Introducción a las Auditorías de Seguridad

– Dimensionamiento de la Auditoría

– La metodología OSSTMM

– Seguridad en las aplicaciones

– El informe de Auditoría

– Para qué sirve la Auditoría

– Conclusiones

3

Introducción a las Auditorías de Seguridad

Tipos de Auditoría de Seguridad

• Análisis de Vulnerabiliades

• Test de Intrusión

• Auditoría de Seguridad

• Comprobación de la Seguridad

• Hacking ético

tiempo

coste Análisis de Vulnerabilidades

Comprobación de Seguridad

Hacking ético

Penetration Testing

Auditoría de Seguridad

Fuente: OSSTMM

4


Auditoría de Sistemas de Información

• Interna (Caja Blanca)

• Realizada en las instalaciones de ACME

• Se parte de un esquema de red

• Información proporcionada por el cliente

Test de Intrusión

• Externa (Caja Negra)

• Realizada de forma remota

• Se parte de un rango de IPs o de un dominio DNS

• Información desconocida


Dos grandes grupos

5


Auditoría de Sistemas de Información

• Interna (Caja Blanca)

• Realizada en las instalaciones del cliente

• Se parte de un esquema de red

• Información proporcionada por el cliente

Al final se convierte en Análisis remoto

• No es posible conectar un portátil

• No se puede acceder al CPD

• No existe esquema de red

• El cliente no sabe o no proporciona la información


Peligros de una Auditoría Interna

6


Test de Intrusión


• Realizado de forma remota




Peligros de un Test de Intrusión

Al final se convierte en Auditoría interna

• Oye, necesito que te pases por ACME

• Ya que estás aquí, échame una mano con el firewall

• Inclúyeme el password cracking

• Necesito un hardening de las máquinas

• Revísame los IDSs

• ¡Tienes dos semanas!

7

Auditoría de Seguridad Internet: fase I OSSTMM

Auditoría de Seguridad Internet


• Realizada de forma remota



• Cobertura: detección remota de vulnerabilidades

• Se realiza en dos o tres semanas

• Se sigue la metodología OSSTMM


Solución:

8

Dimensionamiento de la Auditoría

Cobertura propuesta

Tiempo y recursos necesarios

Presupuesto final

El tiempo es dinero

El dinero es tiempo

Tiempo y recursos asignados

Cobertura alcanzable

Presupuesto inicial

9


Gestión del Proyecto

10

Batería de preguntas

• ¿Cuántos son los dispositivos a Auditar?

Ej: 100 dispositivos físicos con 150 IPs en la misma clase C

• ¿Cuál es la cobertura necesaria?

Ej: Determinación y análisis de vulnerabilidades de cada uno

• ¿Cuál es el tiempo necesario?

Ej: Tres semanas


SE DETERMINA EL TIEMPO NECESARIO

Y EL NÚMERO DE RECURSOS

11


ACME: Seguimiento de la Auditoría de Seguridad

Día Fecha Descripción de tareas (Consultor 1)Descripción de tareas

(Jefe de Proyecto)Horas

C1Horas

JPHoras

TotalesLunes 14 de junio de 2004 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16Martes 15 de junio de 2004 Búsqueda de información pública Documentación inicial 8 8 16Miércoles 16 de junio de 2004 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8Jueves 17 de junio de 2004 Exploración de red y escaneo "bulk" (nmap) 8 0 8Viernes 18 de junio de 2004 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10Sábado 19 de junio de 2004Domingo 20 de junio de 2004

Total Semana 40 18 58Lunes 21 de junio de 2004 Análisis de Datos Análisis de Datos 8 8 16Martes 22 de junio de 2004 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16Miércoles 23 de junio de 2004 Determinación de SSOO y puertos TCP/UDP 8 0 8Jueves 24 de junio de 2004 Comprobación manual de sistemas y servicios 8 0 8Viernes 25 de junio de 2004 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10Sábado 26 de junio de 2004Domingo 27 de junio de 2004

Total Semana 40 18 58Lunes 28 de junio de 2004 Mapa de Red Análisis de Datos 8 8 16Martes 29 de julio de 2004 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16Miércoles 30 de julio de 2004 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8Jueves 1 de julio de 2004 Comprobación manual de vulnerabilidades 8 0 8Viernes 2 de julio de 2004 Eliminación de falsos positivos Análisis de Datos 8 4 12Sábado 3 de julio de 2004Domingo 4 de julio de 2004

Total Semana 40 20 60Lunes 5 de julio de 2004 Documentación Documentación 8 8 16Martes 6 de julio de 2004 Documentación Documentación 8 8 16Miércoles 7 de julio de 2004 Reunión final y Entrega Reunión 8 8 16

Total Semana 24 24 48Total Auditoría 144 80 224 28 días

12

El Jefe de Proyecto debe ser real, no virtual, aunque esté al 33% en MS Project

Deben asignarse equipos portátiles y fomentar la simultaneidad de tareas

Documentar todo lo que se haga y poner una fecha de congelación de escaneos

Las tareas de gestión de proyecto consumen tiempo

Los escaneos consumen tiempo y necesitan de equipos portátiles

Lo que no esté analizado en el informe no existe

Problemática


13

Metodología OSSTMM

The Security Testing Professional and the OSSTMM“Open Source Security Testing Methodology Manual”

La metodología OSSTMM

14


15


16


Auditoría de Seguridad Internet

– Exploración de red

– Escaneo de puertos

– Identificación de Servicios

– Identificación de Sistemas

– Búsqueda y Verificación de Vulnerabilidades

– Seguridad en las Aplicaciones

17


Análisis de la red

Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar.

Objetivo

Resultados

■ Nombres de Dominio

■ Nombres de Servidores

■ Direcciones IP

■ Mapa de Red

■ Información administrativa del Proveedor de Servicios

■ Propietarios y administradores de las máquinas

■ Posibles limitaciones en las pruebas de la Auditoría

18

Escaneo de puertos

El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.

Objetivo

Resultados

■ Puertos abiertos, cerrados y filtrados

■ Direcciones IP de sistemas activos

■ Lista de túneles descubiertos y encapsulación de protocolos

■ Lista de protocolos de enrutamiento soportados descubiertos.

■ Servicios activos

■ Mapa de red


19

Detección Remota de Sistemas Operativos

Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar el Sistema Operativo remoto utilizado y el nivel de versión.

Objetivo

Resultados

■ Tipo de máquina

■ Tipo de Sistema Operativo

■ Nivel de parches y Service Packs


20

Prueba de Servicios

Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, una misma aplicación puede abrir distintos puertos para servicios diferentes.

Objetivo

Resultados

■ Tipos de Servicio Activo

■ Tipos de Aplicación y nivel de versión

■ Mapa de Red


21

Análisis de Vulnerabilidades

Se realizará la búsqueda y análisis básico de las vulnerabilidades de los distintos sistemas, usando herramientas automáticas y procedimientos manuales para determinar agujeros de seguridad en aplicaciones y en versiones de parches.

Objetivo

Resultados

■ Lista de vulnerabilidades del sistema

■ Tipos de aplicación o servicio por vulnerabilidad

■ Descripción de cada vulnerabilidad y forma de explotarla

■ Recomendaciones de niveles de parche de sistemas y

aplicaciones que corrigen la vulnerabilidad


22

Seguridad en las Aplicaciones

23

Seguridad en las Aplicaciones

24

El Informe de Auditoría

El contenido del Informe de Auditoría es crítico para el éxito de la mismaEl contenido del Informe de Auditoría es crítico para el éxito de la misma

1.1. Sumario Ejecutivo (Introducción, Problemas encontrados y Sumario Ejecutivo (Introducción, Problemas encontrados y

Conclusión)Conclusión)

2.2. El proceso de Auditoría de Seguridad (Introducción, Objeto, Ámbito, El proceso de Auditoría de Seguridad (Introducción, Objeto, Ámbito,

Objetivo, Período, Metodología, Acuerdo de Confidencialidad)Objetivo, Período, Metodología, Acuerdo de Confidencialidad)

3.3. Resultados del Test (Recopilación inicial de datos, Exploración de Resultados del Test (Recopilación inicial de datos, Exploración de

Red, Perfil de la Red, Identificación de Sistemas, Información sobre Red, Perfil de la Red, Identificación de Sistemas, Información sobre

Servicios, Identificación y Análisis de Vulnerabilidades)Servicios, Identificación y Análisis de Vulnerabilidades)

4.4. Resumen (Conclusiones y Recomendaciones)Resumen (Conclusiones y Recomendaciones)

5.5. ApéndicesApéndices

6.6. GlosarioGlosario

25

La auditoría de Seguridad no es fin en sí mismo, sino normalmente un medio para conseguir un fin:

• Justificación de las inversiones a realizar

• Descubrimiento de nuevas amenazas

• Adecuación a la Política de Seguridad

• Adecuación a la legislación vigente (LOPD)

• Certificación en estándares (ISO 900X)

Para qué sirve la Auditoría

26

Buenas Prácticas de Gestión de la Seguridad Buenas Prácticas de Gestión de la Seguridad ISO17799 / UNE 71501ISO17799 / UNE 71501


1 Política de Seguridad1 Política de Seguridad

2 Organización de la Seguridad2 Organización de la Seguridad

3 Organización y Control de Activos3 Organización y Control de Activos

4 Seguridad Ligada al Personal4 Seguridad Ligada al Personal

5 Seguridad Física y del Entorno5 Seguridad Física y del Entorno

6 Comunicaciones y Gestión de Explotación6 Comunicaciones y Gestión de Explotación

7 Control de Acceso al Sistema7 Control de Acceso al Sistema

8 Desarrollo y Mantenimiento8 Desarrollo y Mantenimiento

9 Plan de Continuidad y Mantenimiento9 Plan de Continuidad y Mantenimiento

10 Conformidad Legal y a la Política de Seguridad10 Conformidad Legal y a la Política de Seguridad

ISO/IEC/UNE 717799-1:2002ISO/IEC/UNE 717799-1:2002

El Plan de Seguridad muestra de forma cualitativa los puntos más El Plan de Seguridad muestra de forma cualitativa los puntos más prioritarios en que es necesario invertir en Seguridad de la Información.prioritarios en que es necesario invertir en Seguridad de la Información.

27

¿Dónde invertir?

• Seguridad perimetral (cortafuegos, routers)

• Protección contra intrusiones (IDS, IPS)

• Protección antivirus y filtrado de contenidos

• Securización del acceso (autenticación, SSO, PKI)

• Securización de datos (integridad, cifrado VPN)

• Securización de sistemas (hardening, mantenimientos)

• Adecuación legal y a la Política de Seguridad

La auditoría y el análisis de riesgos justifican con métricas, cuales son las prioridades de inversión.


28

Conclusiones

El peligro de las vulnerabilidades es que existe la amenaza de que sean explotadas

Una gestión inadecuada del proyecto puede hacer

fracasar al mejor equipo de Auditores de Seguridad

Toda auditoría de seguridad debería complementarse con un análisis de riesgos y una

métrica para medir el impacto

29

DAVINCI Consulting Tecnológico, s.a.u.

Parque Empresarial Alvento.

Vía de los Poblados, 1 Edificio A 6ª planta

28033 Madrid

Tlf: 902 464 546 Fax: 91 561 3175

htttp://www.dvc.es

Gracias

Presentación disponible en www.ausejo.net

gestiondeauditoriasdeseguridad

Documents