UNIVERSIDAD NACIONAL FEDERICO VILLARREAL - FIISUNIVERSIDAD NACIONAL FEDERICO VILLARREAL - FIIS

ING. MUJICA RUIZ ÓSCARING. MUJICA RUIZ ÓSCAR

Las organizaciones modernas que operan o centran gran parte de su actividad en los recursos informáticos y necesitan dotar sus sistemas e infraestructuras informáticas de las políticas y medidas de protección más adecuadas que garanticen el continuo desarrollo y operatividad de sus actividades.Las estadísticas de seguridad muestran que las principales vulnerabilidades se encuentran dentro de las organizaciones, principalmente en las personas, esto no sólo porque no se aplican sofisticados sistemas de seguridad, sino porque no existen políticas de seguridad institucionales y por ende no existe una cultura de seguridad. Por otro lado, existe la gran creencia de que el problema de la seguridad de la información es un problema de las áreas de Tecnología.

Son aquellos recursos (hardware/software), que tiene una empresa

es un evento con el potencial de afectar negativamente la Confidencialidad, Integridad o disponibilidad de los Activos de Información

La posibilidad de que una amenaza en particular explote una vulnerabilidad y afecte a un Activo de Información

Hace referencia a una debilidad en un sistema permitiendo a un atacante violar la confidencialidad, integridad, disponibilidad, control de acceso y consistencia del sistema o de sus datos y aplicaciones

TÉCNICAS PARA DETECTAR LAS VULNERABILIDADES DE LOS

ACTIVOS:

Una auditoría de seguridad informática o auditoría de seguridad de sistemas de información (SI) es el estudio que comprende el análisis y gestión de sistemas llevado a cabo por profesionales generalmente por Ingenieros o Ingenieros Técnicos en Informática para identificar, enumerar y posteriormente describir las diversas vulnerabilidades que pudieran presentarse en una revisión exhaustiva de las estaciones de trabajo, redes de comunicaciones o servidores.

Técnica de Seguridad Perimetral:

Mediante la simulación de un ataque externo, con objetivos maliciosos, evaluamos la seguridad de la red externa de su negocio. Gracias a esa evaluación podemos descubrir las vulnerabilidades y fallos de seguridad que tiene su sistema, y obtener información privada de la misma, que permitirá elaborar planes de prevención de seguridad adaptados a las necesidades de la seguridad de su negocio.

Técnica de Seguridad Wireless

Simulando un ataque interno y externo a los sistemas de información que forman la infraestructura Wireless de su empresa se detectan las vulnerabilidades de su sistema y conocer el grado de seguridad que tienen sus redes wireles, los tipos de ataques que puede sufrir en qué condiciones los puede sufrir así como los orígenes y consecuencias de los mismos.

Técnica del Autoservicio Bancario

Evalúa y Analiza el nivel de seguridad de la Plataforma informática y la Red IP del Autoservicio Bancario, detecta las vulnerabilidades de su sistema e implanta una solución para eliminarlas y aumentar su nivel de seguridad. Se describirle todos los datos de acceso a los que podría acceder un intruso en su autoservicio bancario, los problemas del acceso, cantidad de accesos etc.

Técnica de Seguridad Interna

Análisis y Protección contra los riesgos procedentes de empleados (vulnerabilidad interna) capaces de violar la seguridad de los sistemas de información de la empresa. Se localizan todas las posibles vías de acceso que puede tener un agresor interno.Un análisis desde un sistema conectado a la red interna de su empresa. (simulando ser un atacante interno)Se utiliza a los Mejores profesionales especializados en el Hacking ético (penetración controlada en los sistemas informáticos de una empresa, de la misma forma que lo haría un hacker o pirata informático pero de forma ética, previa autorización por escrito.)

Técnica del Análisis Forense

La técnica del Análisis Forense te ayudará a: Descubrir las vulnerabilidades que han hecho posible el ataque.Descubrir el origen y el autor del ataque. Identificar y determinar las acciones realizadas y las herramientas y métodos utilizados en el ataque. Establecer las medidas adecuadas para que la situación no se repita.El análisis forense es una metodología de estudio ideal para el análisis posterior de incidentes, mediante el cual se trata de reconstruir cómo se ha penetrado en el sistema, a la par que se valoran los daños ocasionados. Si los daños han provocado la inoperatividad del sistema, el análisis se denomina análisis POSTMORTEM.

Análisis de Aplicativos y del Código Fuente

Ayuda a las empresas a conocer el nivel de seguridad de las aplicaciones utilizadas en sus sistemas de información, estudia el nivel de seguridad del código de las aplicaciones de la empresa y del software de base en que se apoya.Análisis del código tanto de aplicaciones páginas Web como de cualquier tipo de aplicación, independientemente del lenguaje empleado

Análisis de Paginas Web

Entendida como el análisis externo de la web, comprobando vulnerabilidades como la inyección de código sql, Verificación de existencia y anulación de posibilidades de Cross Site Scripting (XSS), etc.

Tecnologías de detección

IDS (INTRUSION DETECTION SYSTEMS)

Sistemas de Detección de Intrusos. Un IDS es un sistema que intenta detectar y alertar sobre las intrusiones intentadas en un sistema o en una red, considerando intrusión a toda actividad no autorizada o no que no debería ocurrir en ese sistema. Es un complemento del cortafuegos.

Deben estar continuamente en ejecución con un mínimo de supervisión.Se deben recuperar de las posibles caídas o problemas con la red.Debe poderse analizar él mismo y detectar si ha sido modificado por un atacante.Debe utilizar los mínimos recursos posibles.Debe estar configurado acorde con la política de seguridad seguida por la organización.Debe de adaptarse a los cambios de sistemas y usuarios y ser fácilmente actualizable.

FASE DE RECONOCIMIENTOEsta fase es la que más tiempo insume dentro de la planificación. Lo que se busca en primera instancia es definir al objetivo y, a partir de ello, obtener la mayor cantidad de información sobre él. Para el caso de personas físicas, ejemplos de recopilación de información serían direcciones de e-mail, direcciones físicas, información personal, etcétera. En el ámbito corporativo, además se buscarán direcciones IP, resolución de nombres DNS, etcétera

FASE DE ESCANEOEn esta fase utilizaremos la información previa con el objetivo de detectar vectores de ataque en la infraestructura de la organización.

PHLAK COMO HERRAMIENTA DE SEGURIDAD

phlak, un software de seguridad que trabaja en ambiente linux

Metasploit

Nessus

Netcat

Nmap

Hydra

REFERENCIASwww.phalak.orgwww.elhacker.netwww.thc-hydra.comwww.microsoft.com

FASE DE ACCESOUna vez detectadas las vulnerabilidades, el gran paso es el ingreso al sistema definido como objetivo

Si esto se realiza en el marco de una simulación , no se suele tomar control sobre el sistema sino, simplemente, detectar las vulnerabilidades y proponer soluciones para resolver los problemas

FASE DE MANTENIMIENTO DE ACCESO

Proxy / Firewall

Servidor de Archivos

Servidor Web

Servidor de Correo

Internet

Impresora de red

Switch ADSL Modem

Data base

Clientes de Red

HACKING ÉTICO - VULNERABILIDAD DETECTADA EN SITIO WEB DE PNP

Esto va dirigido a las técnicas de seguridad interna, Se aplica el hacker ético para detectar las vulnerabilidades de una organización, El ejemplo da a conocer como se demostró que la mayoría de páginas gubernamentales del Perú están propensas a que cualquier intruso pueda obtener información solo ingresando a la página oficial y usando una herramienta gratuita.Los Metadatos son datos altamente estructurados que describen información, hay metadatos que se usan para catalogar la información, pero los que se usan para marcar el origen de la información son los que pueden ser peligrosos. El español José María Alonso, “Chema” demostró que usando la herramienta gratuita FOCA, los 517 documentos publicados en la página de la policía nacional http://www.pnp.gob.pe/ , contaban con metadatos que catalogan la informaci

Al implementar un plan de seguridad, éste debe adaptarse a la empresa, no la empresa al plan de seguridad; por lo tanto, en el momentode la planeación, la entidad debe escoger los modelos de seguridad adecuados dependiendo de sus necesidades y requerimientos con el fin de minimizar los riesgos.

El proceso de aseguramiento de los sistemas de información de la empresa debe ser iterativo y controlado en cada una de sus etapas.

Es necesario involucrar todas las áreas de la empresa para que trabajen con el departamento de tecnología, conocer su infraestructura tecnológica

lo posible se debe probar y comprobar periódicamente el nivel de seguridad de la empresa, tanto la protección de las maquinas de escritorio como las que administran y/o mantienen la información, con el fin de garantizar el aseguramiento físico de los recursos de la organización

Es recomendable que una empresa este preparada para superar cualquier eventualidad que interrumpa las actividades habituales,mediante procedimientos tales como la sincronización y fijación del tiempo de equipos y el registro de actividades.

Es recomendable una metodología para la aplicación de una infraestructura de seguridad a nivel lógico y físico, pues ésta sirve de guía para empresas que en la actualidad no poseen un área de tecnología de información o no cuenten con los recursos necesarios y adecuados para realizar este tipo de tareas.

Se debe seguir con las políticas, estándares y procedimientos deSeguridad conforman el conjunto de lineamientos que una organización debe seguirpara asegurar sus sistemas.

La auditoria de sistemas debe considerarse como un método que ayuda a incrementar y mejorar los procesos de seguridad al interiorde la organización.