ACTIVOS, ATAQUES, AMENAZAS Y

VULNERABILIDADES

EDDY PÉREZ

UNEG. 201 1

Objetivos

� Conocer los diferentes tipos de activos de una empresa, identificando lo que se debe proteger.

� Conocer el concepto de ataque, vulnerabilidades y amenazas y su relación con los activos de información.

Eddy Pérez – UNEG 2006

información.

� Comprender la importancia de la confidencialidad, disponibilidad e integridad en el manejo de la información.

Agenda

I. Activos y su Clasificación

II. Definición y Tipos de Ataques

III. Amenazas

IV. Vulnerabilidades

Eddy Pérez – UNEG 2006

IV. Vulnerabilidades

ACTIVOS Y SU CLASIFICACIÓN

Activos de Información

Activos

� Todo aquello que representa un valor a la empresa. ISO 27000:2009. Overview and Vocabulary. Traducción del autor

Eddy Pérez – UNEG 2006

Activos de Información

� Conocimientos o datos que tienen valor a la organización. ISO 27000:2009. Overview and Vocabulary. Traducción del autor

� “Es todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su

Eddy Pérez – UNEG 2006

la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor” Microsoft. Academia Latinoamericana de la Seguridad Informática. Módulo 1.

Activos. Clasificación

� Software: Programas de Computadores

� Físicos: Computadores. Disp. De Almacenamiento

� Servicios

� Personas y sus cualidades, habilidades y experiencias

Eddy Pérez – UNEG 2006

� Personas y sus cualidades, habilidades y experiencias

� Imagen y reputación

� Información Personas que la utilizan

Equipos de soporte

Información

• Empleados• Clientes

• Edificios• Hardware

• Físico• Digital

DEFINICIÓN Y T IPOS

ATAQUES

Definición

Intento de destruir, exponer, alterar, inutilizar, robar oacceso o uso no autorizado de un activo. ISO 27000:2009. Overview

and Vocabulary. Traducción del autor

Evento exitoso o no, que atenta sobre el buen

Eddy Pérez – UNEG 2006

Evento exitoso o no, que atenta sobre el buenfuncionamientos de un sistema, ejecutados de formaintencional o por accidente.

Tipos de ataques

1. Acceso

2. Modificación

3. Denegación de servicio

4. Refutación

Eddy Pérez – UNEG 2006

4. Refutación

Ataques de Acceso

Definición

Es un intento de obtener información que un atacante no está autorizado a ver. El ataque puede ocurrir:

� En la fuente de almacenamiento

� Durante la transmisión

Eddy Pérez – UNEG 2006

Clasificación

�FisgoneoConsiste en hurgar entre los archivos de información con la esperanza de encontrar algo interesante

�Escuchar furtivamenteConsiste en escuchar una conversación en la que no forma parte. Para obtener acceso no autorizado a la información, el

Eddy Pérez – UNEG 2006

Consiste en escuchar una conversación en la que no forma parte. Para obtener acceso no autorizado a la información, el atacante debe colocarse en un sitio que probablemente circule toda la información o al menos la que le interesa.

�IntercepciónParecido a la escucha furtiva a diferencia que el atacante se coloca el mismo en la ruta de la información y la captura antes de que alcance su destino.

Ataques de modificación

Definición

Es un intento de modificar la información que un atacante no está autorizado a modificar. El ataque puede ocurrir:

� En la fuente de almacenamiento

� Durante la transmisión

Eddy Pérez – UNEG 2006

� Durante la transmisión

Clasificación

� Cambios

Es el cambio de la información existente

� Inserción

Agrega información que no existía con anterioridad

Eliminación

Eddy Pérez – UNEG 2006

� Eliminación

Es la remoción de información existente

Ataque de Denegación de Servicio

Definición

Son ataques que niegan el uso de los recursos a los usuarios legítimos del sistemas, información o capacidad.

Eddy Pérez – UNEG 2006

Clasificación

� Denegación de acceso a la informaciónAtaque DoS en contra de la información provocando que no esté disponible.

� Denegación de acceso a la aplicaciónAtaque DoS dirigido a la aplicación que manipula o exhibe la información

Eddy Pérez – UNEG 2006

Ataque DoS dirigido a la aplicación que manipula o exhibe la información

� Denegación de acceso a sistemasDirigido a derribar sistemas de cómputo

� Denegación de acceso a comunicacionesAtaque dirigidos a las redes y medios. Consiste en congestionar las redes o dañar los medios de transmisión

AMENAZAS

Definición

Posible causa de un incidente no deseado, que puede resultar en daños a un sistema u organización. ISO 27000:2009. Overview and Vocabulary. Traducción del autor

Una amenaza es la ocurrencia de cualquier evento que

Eddy Pérez – UNEG 2006

Una amenaza es la ocurrencia de cualquier evento que causa un impacto no deseado o pérdidas de activos de la organización.

Componentes

1. Objetivos – El aspecto de la seguridad que puede ser atacado

2. Agentes – Las personas u organizaciones que originan la amenaza

Eventos – El tipo de acción que representa la

Eddy Pérez – UNEG 2006

3. Eventos – El tipo de acción que representa la amenaza

Ejemplos

Intrusiones e interrupciones a sistemas de información

� Virus, Worms y caballos de Troya

� DoS

� Escucha furtiva del trafico de la red

� Robo de activos

Pérdida de activos que representan puntos de fallas

� Data crítica no respaldada

� Pieza crítica de la infraestructura de la red (router, switch core)

� Claves o tokens que son utilizadas para cifrar la data critica.

Eddy Pérez – UNEG 2006

Vulnerabilidad

Definición

La debilidad de un activo o control que puede ser explotada por una amenaza. . ISO 27000:2009. Overview and Vocabulary. Traducción del autor

Es una vía de ataque potencial.

Una característica o combinación de características que permite

Eddy Pérez – UNEG 2006

Una característica o combinación de características que permite a un adversario colocar a un sistema en un estado contrario a los deseos de las personas responsables o autorizadas e incrementa la probabilidad o magnitud del comportamiento no deseado del sistema.

Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.

Ejemplos

� Defectos en hardware y software

� Overflow de buffer

� Configuraciones por defecto

� Escasa configuración del hardware (poca memoria, espacio en disco …)

� Falta o carencia de políticas y procedimientos

� Controles de acceso no definidos

� Falta de documentación

� Inconciencia o desconocimiento de los usuarios del tema de seguridad

Eddy Pérez – UNEG 2006

Aseguramiento

Definición

Una acción, dispositivo, procedimiento, técnicas u otras medidas que reducen la vulnerabilidad de un sistema de información

Eddy Pérez – UNEG 2006

Ejemplos

� Tecnologías de control de acceso

� Firewalls

� ACL en archivos, directorios, trafico de la red

� Sistemas de seguridad física

� Tecnologías de cifrado

� Redundancia en Sistemas

� Servidores en cluster

� Fuentes de poder redundantes

� Entrenamiento del personal de T.I.

� Almacenamiento redundante

Eddy Pérez – UNEG 2006