You are on page 1of 82

Unidad 1 –

Seguridad Ofensiva y defensiva


Objetivo general de la unidad

Describir una visión global de la seguridad de la


información y reconocer la importancia de la
seguridad ofensiva y defensiva.
Objetivos específicos de la unidad

1.1 Explicar la importancia de la seguridad


informática.
1.2 Describir los conceptos principales de seguridad
informática.
1.3 Identificar los principales modelos y estándares
utilizados en la seguridad de TI.
1.4 Describir el modelo de defensa en profundidad.
1.5 Describir las fases del Penetration Test como
estrategia de seguridad ofensiva.
1.1 Importancia de la Seguridad Informática

Contenido

• Valor de la información, tipos y elementos


• Seguridad y protección de datos
• Qué es la seguridad informática
• Mitos de la seguridad
• Retos de la seguridad
• ¿Qué busca la Seguridad de TI?
• Consecuencias por carencias de TI
• Aspectos críticos de la seguridad de TI
Introducción

• Todo el que usa un recurso


informático está expuesto a
problemas de seguridad
(riesgos).
• La presencia de amenazas que
comprometen a un sistema deben
ser analizadas.
• Y las probabilidades de que una
amenaza se aproveche de las
vulnerabilidades de un sistema
deben ser evaluadas.
Introducción

“El único sistema seguro es aquel que está apagado y


desconectado, enterrado en un refugio de concreto,
rodeado por gas venenoso y custodiado por guardianes
bien pagados y muy bien armados. Aun así, yo no
apostaría mi vida por el”

Gene Spafford
Valor de la información

➔ El principal activo de las empresas es la información


la cual hay que proteger en la medida que su pérdida
afecte a la empresa u Organización.

➔En el valor de la información entra a tallar el flujo de la


misma.

➔ Si el bien fluye de un lado a otro, el camino que recorre


también debe ser protegido y el medio de transporte
lógico debe ser seguro.
Tipo de información según empresa

Empresa Privada Empresa Gubernamental

 Pública  No Clasificada
 Sensible  Sensitiva pero no Clasificada
 Confidencial
 Privada
 Secreta
 Confidencial  Top Secret
Elementos de información

● Datos e información
– Finanzas, RR.HH, Llamadas telefónicas,
Correo electrónico, Base de Datos, Chateo, ... 

● Sistemas e infraestructura
– Edificio, Equipos de red, Computadoras,
Portátiles, Memorias portátiles, Celulares, ...

● Personal
– Junta Directiva, Coordinación,
Administración, Personal técnico, ... 
Seguridad y protección de datos

Seguridad
Informática

Seguridad de Protección de
la información datos
¿Qué es la seguridad informática?

La  Seguridad  Informática  se  refiere  a  las 


características  y  condiciones  de  sistemas  de 
procesamiento  de  datos  y  su  almacenamiento,  para 
garantizar 3 objetivos básicos:

•Confidencialidad
•Integridad
•Disponibilidad.
Triada CIA
•Confidencialidad:  sólo  debe  acceder  la  persona 
autorizada

•Integridad: la verdad del dato o información, que los 
mismos sean inalterables

•Disponibilidad:  asegurar  que  la  información  esté 


siempre disponible para quien lo requiera.
Seguridad de la información

• Seguridad de la información

"Gestión de Riesgo en la Seguridad Informática" de Markus Erb


Protección de datos

• Protección de datos

"Gestión de Riesgo en la Seguridad Informática" de Markus Erb


Mitos de la seguridad TI
● El Sistema puede llegar al 100% de seguridad.
● Mi red no es lo suficientemente atractiva para
ser tomada en cuenta.
● Nadie pensará que mi clave de acceso es
sencilla.
● Linux es más seguro que Windows.
● Si mi servidor de correos tiene antivirus, mi
estación no lo necesita.
Retos de la Seguridad

● No recibe atención adecuada
– Costos



Ignorancia, falta de conocimiento
Negligencia del personal
Falta o no respetar de normas y reglas
!
● Proceso dinámico y permanente
– Seguimiento de control y sanciones
– Adaptar mediadas a cambios de entorno
– Capacitación del personal
– Documentación
¿Qué busca la Seguridad de TI?

Proteger Derechos
El derecho a la privacidad
El derecho a estar informados

Proteger activos
Información
Equipos ( Sistemas, Redes,
Computadoras)

Reforzar las reglas


Leyes, Políticas y Procedimientos
Consecuencias por carencias en
Seguridad TI

Pérdida de Perjuicio de la
beneficios reputación

Pérdida o
Deterioro de la
compromiso
confianza del
de la seguridad
inversionista
de los datos

Deterioro de la Interrupción de
confianza del Consecuencias los procesos
cliente legales empresariales
Aspectos Críticos en la Seguridad TI

Backup

Kerberos
Arquitectura
Segura
de IT

Personas
Developer
USER
Aspectos Críticos en la Seguridad TI

PROCESOS DE
NEGOCIOS

TECNOLOGÍA DE
LA INFORMACIÓN

SEGURIDAD
DE TI GESTIÓN DE
SEGURIDAD
1.2 Conceptos de Seguridad de TI

• Activos de TI
• Amenazas
• Vulnerabilidad
• Riesgos
• Arboles de ataque
• Incidentes de seguridad
• Relaciones entre elementos de seguridad
• Enfoque las metodologías de seguridad
Activos de TI

•  Debemos definir qué es lo que estamos intentando


proteger.

Nodo raíz
Arboles de ataque
Robo de Datos de cliente

Nodo hoja Nodo hoja Nodo hoja


Amenazas

Amenaza: 
•Todo aquello que puede provocar un daño al activo

Motivos financieros
Motivos políticos
Motivos
Motivos personales
o psicológicos
Tipos de amenazas

Amenazas a Amenazas
Instalaciones Sociales
Amenazas

Ejemplos de Amenazas:
• Criminalidad (común y política)
•Allanamiento, Sabotaje, Robo / Hurto,

• Sucesos de origen físico
•Incendio, Inundación, Sismo, Polvo

• Negligencia y decisiones institucionales
•Falta de reglas, Falta de capacitación, 
•No cifrar datos críticos 

protejete.wordpress.com
Vulnerabilidades

Vulnerabilidad
• Son las inseguridades que posee el activo tanto por 
problemas  tecnológicos,  como  por  problemas  de 
procedimiento
Tipos de Vulnerabilidades

Control de
Acceso
Seguridad de los Seguridad física
recursos humanos y ambiental
Vulnerabilidades

Ejemplos de Vulnerabilidades

• Ambiental / Físicas
•Desastres naturales, Ubicación

•Económica
•Escasez y mal manejo de recursos

•Socio­Educativa
•Relaciones, Comportamientos, Métodos 

•Institucional / Política
•Procesos, Organización, Burocracia,
Riesgo

Riesgo
•  Es  la  probabilidad  de  que  una  amenaza  aproveche 
una vulnerabilidad

Ej Empleado despedido con clave de la red


Riesgo
El riesgo está en función del valor del activo de la información,
la magnitud de la amenaza y las vulnerabilidades existentes
MEDIDAS
Incidente de seguridad

Incidente de seguridad 
•  Cualquier  evento  adverso  que  ocurre  en  un  sistema 
informático  o  telemático  causado  por  la  explotación  de  una  o 
diversas  fallas  del  mismo,  o  por  la  materialización  de  una 
vulnerabilidad en cualquiera de sus relaciones  o componentes 
de  hardwared  o  softwared,  que  impacta  cualquiera  de  los 
principios de seguridad de la información

Si las vulnerabilidades son constantes, la atención de 
incidentes será la norma.
Relaciones entre elementos de
seguridad
Enfoque de las metodologías

•  Seguridad  Defensiva  ­  Modelo  de  defensa  en 


profundidad
•  Seguridad  Ofensiva  ­  Test  de  vulnerabilidad  o  test  de 
penetración.

Dilema
Técnica pura vs Políticas puras

Modelos de gestión de riesgos


Plan de Seguridad Informática
1.3 Modelos y Estándares

• Estándares de Gestión de TI
• Estructura piramidal del ISO 17799
• ISO 270001:2005
•Aspectos a cubrir en une SGSI
Estándares de Gestión de TI

Risk Security
Response Management
Plan Service Acquire
and Delivery / Control
Activities and
Organize Support Implement
Physical
Business and
Continuity Security Policy Personnel
Environmental Security
Management Security
Asset
Internal Organizational Classification Information
Environment Security and and
Control Communications

ITIL COSO ISO17799 COBiT


Planning to
Objective Implement Application
Monitoring Setting Service Management
Management
Communications Systems
and Development
and Access Control Compliance
Operations
Management Maintenance
Define ICT Infrastructure Monitor
Risk
and Management and
Assessment
Support Support

Event Business
Identification Perspective
Estándares de Gestión de Seguridad TI
1.3.1 ISO/IEC 27001

● Es un estándar para la seguridad de la


información aprobado y publicado como
estándar internacional en octubre de 2005 por
International Organization for Standardization y
por la comisión International Electrotechnical
Commission.
1.3.1 ISO/IEC 27001

Especifica los requisitos necesarios para establecer,


implantar, mantener y mejorar un sistema de gestión
de la seguridad de la información (SGSI) según el
conocido como “Ciclo de Deming”: PDCA - acrónimo
de Plan, Do, Check, Act (Planificar, Hacer, Verificar,
Actuar)..
ISO 27001:2005
ISO 27001:2005

● El modelo obliga a la empresa a establecer el alcance que


tendrá en la empresa (que procesos abarcará). Cada
empresa estratégicamente debe establecer el alcance que
crea conveniente deba tener el modelo.
● Actualmente existen unas 1200 empresas certificadas con
el modelo a nivel internacional.
● ISO/IEC 27001:2005 especifica los requisitos para
establecer, implantar, operar, monitorizar, revisar,
mantener y mejorar un sistema de gestión de la
seguridad de la información documentado en relación al
contexto de la organización y sus riesgos.
1.3 Sistemas de gestión de seguridad

● Un sistema de gestión de la seguridad de la


información (SGSI) es, como el nombre lo
sugiere, un conjunto de políticas de
administración de la información.
● El término es utilizado principalmente por la
ISO/IEC 27001.
Estructura piramidal de ISO 17799
1.4 Modelo de defensa en profundidad

• Definición
• Capas del modelo
•Capa de Conciencia / Políticas
•Capa de Seguridad física
•Capa de Red perimetral
•Capa de Red Interna
•Capa de Host
•Capa de aplicaciones
•Capa de datos
Defensa en Profundidad

Modelo de Defensa en 
profundidad: 

Permite un diseño, análisis e 
implementación de la 
seguridad atacando 
diferentes capas de la 
insfraestructura
Defensa en Profundidad

Utilizar un enfoque dividido  Datos
Datos
por capas:
Aplicación
Aplicación
Reduce la posibilidad de que el 
atacante tenga éxito Servidor
Servidor
Aumenta el riesgo de detección  Red
Red
del atacante Perímetro
Perímetro
Seguridad Física

Políticas,
Políticas, procedimientos,
procedimientos,
Concientización
Concientización
Defensa en Profundidad

● Medidas de control segmentadas en capas 
de protección
● Aplica medidas de control en cada capa de 

cada componente que interactúa en una 
solución, desde la capa de perímetro hasta 
la capa de datos
● Reduce la posibilidad de un único punto de 

vulnerabilidades cuando el sistema es 
atacado 
Defensa en Profundidad

Reducción del riesgo por:
● Análisis de vulnerabilidades presentes en los 

sistemas
● Análisis de amenazas presentes que pueden 

tomar ventaja de esas vulnerabilidades
● Implementación de los medidas de control 

apropiadas en cada capa
Cómo minimizar la superficie de ataque?

Listas de Acceso,
Encriptación, EFS
Datos
Datos Aseguramiento de App, Antivirus
Aplicación
Aplicación Aseguramiento del SO, Autenticación,
Servidor Actualizaciones de OS, Detector de
Servidor Intrusos local
Red
Red
Segmentación de Red, IPSec,
Perímetro
Perímetro Detector de Intrusos dered
Muros de fuego, Control de acceso
Seguridad Física de Cuarentena
Guardas, Cerrojos, Dispositivos de
Políticas,
Políticas, procedimientos,
procedimientos, monitoreo
Concientización
Concientización
Documentación de Seguridad,
Educación al Usuario
Descripción de las políticas, los
procedimientos y la capa de
conciencia
Creo que pondré
Oiga, necesito una cuña a la
configurar un puerta para que
firewall. ¿Qué no se cierre. Más
puertos debo fácil.
bloquear?

Creo que
usaré mi
nombre de
Bloquearon mi pila como
sitio Web favorito. contraseña.
Qué bueno que
tengo un módem.
Riesgo de la capa de conciencia

Hola, ¿sabe dónde


Ah, también está la sala de
ejecuto una red. cómputo?
¿Cómo configura
sus firewalls?

Nunca pude
pensar en
Oye, buen una buena
módem. ¿Cuál contraseña.
es el número de ¿Qué utiliza
esa línea? usted?
Protección Capa de Conciencia

La capacitación de seguridad para los empleados


ayuda a los usuarios a brindar soporte a las
políticas de seguridad

Procedimiento de Política de
configuración de seguridad de
Firewall acceso físico

Procedimiento de Política de privacidad


solicitud de de información del
dispositivo usuario
Descripción de la capa de seguridad física

Todos los activos dentro de la infraestructura de informática de


una empresa deben estar seguros físicamente
Riesgo de la capa de seguridad física

Ver, cambiar, copiar o


eliminar archivos
Daño al hardware

Instalar código
malicioso
Agregar o quitar
hardware
Protección de la capa de seguridad física

Cierre las puertas con llave e instale alarmas

Emplee personal de seguridad

Aplique procedimientos de acceso

Supervise el acceso

Limite los dispositivos de ingreso de datos

Utilice herramientas de acceso remoto para mejorar


la seguridad
Descripción de la capa perimetral
Socio de negocios Oficina principal

Internet
LAN LAN

Servicios de Internet Servicios de Internet

Los perímetros de redes pueden


incluir conexiones a:
Usuario Oficina sucursal
Internet remoto
Sucursales Red
Socio de negocios inalámbrica
Usuarios remotos
Redes inalámbricas
LAN
Aplicaciones de Internet
Riesgo de la capa perimetral
Socio de negocios Oficina principal

Internet
LAN LAN

Servicios de Internet Servicios de Internet

El peligro del perímetro de la red


puede producir un exitoso:
Usuario remoto Oficina sucursal
Ataque a una red corporativa
Ataque a usuarios remotos Red
Ataque a parte de socios de
negocios inalámbrica
Ataque desde una oficina sucursal
Ataque desde los servicios de LAN
Internet
Ataque desde Internet
Protección de la capa perimetral
Socio de negocios Oficina principal

Internet
LAN LAN

Servicios de Internet Servicios de Internet

La protección del perímetro de la


red incluye:
Usuario Oficina sucursal
Firewalls
Bloquear puertos de
remoto
comunicación Red
Traducción de puerto y inalámbrica
dirección IP
Redes privadas virtuales LAN
(VPNs)
Protocolos de túnel
Cuarentena de la VPN
Descripción de la capa interna de la
red

Ventas
Red
inalámbrica

Marketing

Recursos
Finanzas Humanos
Riesgo de la capa interna de la red

Puertos de
comunicación
Acceso no inesperados Acceso no autorizado
autorizado a a redes virtuales
sistemas

Examinar
paquetes de la
red
Acceso a todo el
tráfico de la red
Protección de la capa interna de la red

Requiere autenticación mutua

Segmente la red

Encripte las comunicaciones de red

Restrinja el tráfico incluso cuando está segmentado

Marque los paquetes de red

Implemente filtros de puerto IPSec para restringir el


tráfico a los servidores
Descripción de la capa del host

Contiene sistemas de cómputo individuales en la


red
A menudo tiene roles o funciones específicos
Asegurar los hosts requiere un balance entre
seguridad y capacidad de uso
Riesgo de la capa del host

Explotar la Explotar
configuración de vulnerabilidades
un sistema en el sistema
operativo sin operativo
asegurar

Distribuir virus Acceso sin


supervisión
Protección de la capa del host

Fortalecer los sistemas operativos cliente y de


servidor

Deshabilitar servicios innecesarios

Supervisar y auditar el acceso y el acceso que se


intentó

Instalar y mantener software antivirus y antispyware

Utilizar firewalls

Mantener actualizados las revisiones de seguridad y


los paquetes de servicio
Descripción de la capa de aplicaciones

La capa incluye tanto aplicaciones de red cliente


como de servidor
Se debe mantener la funcionalidad

Ejemplos de
Aplicaciones del cliente
Aplicaciones de servidor:
Ejemplos: Microsoft Outlook,
Servidores Web, Exchange
Microsoft Office Suite
Server, SQL Server
Riesgo de la capa de aplicaciones

Pérdida de funcionalidad en las aplicaciones


Ejecución de código malicioso
Uso extremo de aplicaciones: Ataque de negación
de servicio
Uso indeseable de aplicaciones
Protección de la capa de aplicaciones

Ejecutar aplicaciones con los privilegios mínimos


necesarios

Habilitar sólo servicios y funcionalidad requeridos

Asegurar aplicaciones desarrolladas internamente

Instalar actualizaciones de seguridad para todas las


aplicaciones

Instalar y actualizar software antivirus

Utilizar las prácticas de seguridad más recientes


mientras se desarrollan nuevas aplicaciones

Utilizar políticas de restricción de software


Descripción de la capa de
datos

Documentos
Archivos de directorio
Archivos de aplicación
Riesgo de capa de datos
Interrogar
Ver, cambiar o archivos de
eliminar directorio
información

Reemplazar o
modificar archivos
de aplicaciones

Documentos
Archivos de directorio
Archivos de aplicación
Protección de capa de datos

Utilizar EXT3 para la seguridad de archivos y a nivel


de carpeta
Utilizar una combinación de listas de control de
acceso y encriptación
Instalar archivos críticos en una ubicación diferente
de la predeterminada

Realizar respaldo de datos con regularidad

Encriptar archivos con EXT3

Proteger documentos y correo electrónico


1.5 Pruebas de Intrusión (Pentest)

•Análisis de seguridad con Etchial Hacking y


Vulnerability Assessment
•Fases de un Penetratrion Test (Pentest)
• Fase de reconocimiento
• Fase de escaneo
• Fases de enumeración
• Fases de acceso
• Fases de mantenimiento de acceso
Pruebas de instrusión

Las pruebas de intrusión (abreviado como pen


tests [penetration tests, pruebas de penetración])
consisten en probar los métodos de protección
del sistema de información sometiendo el
sistema a una situación real.
Puede ser etico un hacker?

• El nombre hacker – neologismo utilizado para


referirse a un experto (Gurú) en varias o alguna
rama técnica relacionada con las tecnologías de la
información y las telecomunicaciones: programación,
redes, sistemas operativos.
• Cracker – (criminal hacker, 1985). Un cracker es
alguien que viola la seguridad de un sistema
informático de forma similar a como lo haría un
hacker, sólo que a diferencia de este último, el
cracker realiza la intrusión con fines de beneficio
personal o para hacer daño a su objetivo.
Puede ser ético un hacker?

• Hacker ético – profesionales de la seguridad que


aplican sus conocimientos de hacking con fines
defensivos (y legales).
• Diremos hacker siempre, pero hay que fijarse en el
contexto.
Qué puede hacer un hacker?

•Reconocimiento - Pasivo

•Rastreo (escaneo) - Activo Borrado


Reconocimiento de
•Acceso huellas

•Sistema operativo /
aplicación
Mantener
•Redes Escaneo el
acceso
•Denegación de servicio

•Mantener el acceso Obtener


acceso
•Borrado de huella
Fase 1 - Reconocimiento

• Previo a cualquier ataque


•Información sobre el objetivo.
•Reconocimiento pasivo:
•Google Hacking
•Ingeniería social
•Monitorización de redes de datos. Por ejemplo,
sniffing, etc.
Fase 2 - Escaneo

• Escaneo es una fase de pre-ataque.


• Se escanea la red pero ya con información de la
fase previa
• Detección de vulnerabilidades y puntos de entrada.
• El escaneo puede incluir el uso de escaneadores
de puertos y de vulnerabilidades.
Fase 2 - Escaneo

• Reconocimiento activo – Probar la red para


detectar:
•• hosts accesibles
•• puertos abiertos
•• localización de routers
•• Detalles de sistemas operativos y servicios
Fase 3 – Ataque. Obtener acceso

• Obtención de acceso – Se refiere al ataque


propiamente dicho.
• Por ejemplo, hacer uso de un exploit o bug
Obtener una password, ataques man-in- the_middle
(spoofing), exploits (buffer overflows), DoS (denial of
service).
Fase 4 – Ataque. Mantener acceso

• Mantenimiento del acceso- se trata de retener los


privilegios obtenidos.
• A veces un hacker blinda el sistema contra otros
posibles hacker, protegiendo sus puertas traseras,
rootKits y Troyanos.
Fase 5 – Borrado de huellas

•Borrado de huellas – se intenta no ser descubierto.


•Hay que tener claro que hay técnicas más intrusivas
(y por lo tanto delatoras) que otras.
•Análisis forense