Análisis de Riesgos Ricardo Cañizares Sales
4ª Clase Virtual
Análisis de Riesgos
►
Tema 1: Análisis y gestión de riesgos
►
Tema 2: Metodologías y herramientas de análisis y gestión de riesgos
Análisis de Riesgos – Ricardo Cañizares Sales
Tema 2
Metodologías y herramientas de análisis y gestión de riesgos
Ricardo Cañizares Sales
Análisis de Riesgos – Ricardo Cañizares Sales
4ª clase
►
Análisis de Riesgos - Arboles de Ataque
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos • ¿Cómo gestionamos el riesgo? • ¿Cómo lo analizamos? • ¿Cómo sabemos a lo que nos enfrentamos?
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos • ISO/IEC 27001:2013 Information technology — Security techniques — Information security management systems — Requirements – ISO/IEC 27005:2011 – ISO/IEC 31000
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos • ISO/IEC 27001:2013 – 4.1 Comprender la organización y su contexto • Contexto internal y externo de la organización de acuerdo al punto 5.3 de la ISO-31000 – 6.1 Analisis y gestión de riesgos • Alineado con los principios y directrices de la ISO 31000
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos ISO/IEC 27005:2011 Information technology -- Security techniques -- Information security risk management
• Fases del análisis de riesgos – Establecimiento del contexto – Evaluación del riesgo – Tratamiento del riesgo – Aceptación del riesgo – Comunicación del riesgo – Monitorización y revisión del riesgo
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos • UNE-ISO 31000 Gestión del riesgo – Principios y directrices
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos • MAGERIT Versión 3
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos • Activo – Componente o funcionalidad de un sistema de información susceptible de ser atacado deliberada o accidentalmente con consecuencias para la organización. Incluye: información, datos, servicios, aplicaciones (software), equipos (hardware), comunicaciones, recursos administrativos, recursos físicos y recursos humanos. [UNE 71504:2008]
UNE 71504:2008 Metodología de análisis y gestión de riesgos para los sistemas de información
Análisis de Riesgos – Ricardo Cañizares Sales
Metodología • MAGERIT Versión 3
Análisis de Riesgos – Ricardo Cañizares Sales
Metodología • MAGERIT Versión 3
Análisis de Riesgos – Ricardo Cañizares Sales
Inventario de activos • Enfoque top-down – Consiste en inferir los activos de información relacionados con los procesos a partir de la descripción de los procesos.
• Enfoque bottom-up – Consiste en identificar las principales aplicaciones, ficheros y bases de datos utilizados por el proceso y conceptualizar la información que almacenan y procesan. – En este enfoque no se debe olvidar la importancia de la información no automatizada que pueda ser relevante para el análisis y que en función del alcance definido, puede formar parte del alcance del análisis de riesgos.
Análisis de Riesgos – Ricardo Cañizares Sales
Inventario • Tamaño de la organización • Coste económico • Tiempo necesario • Actualización • Coste muy elevado • Los inventarios no suelen estar completamente automatizados
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos UNE-ISO 28000 Especificación para los sistemas de gestión de la seguridad para la cadena de suministro
Análisis de Riesgos – Ricardo Cañizares Sales
Análisis de Riesgos Escenario de riesgos • Descripción del efecto de un conjunto determinado de amenazas sobre un determinado conjunto de activos, recursos y salvaguardas, teniendo en cuenta determinadas hipótesis definidas.
Análisis de Riesgos – Ricardo Cañizares Sales
Definir escenarios • Impacto en el negocio • Atributo – Integridad – Confidencialidad – Disponibilidad
• Modelado de las amenazas
Análisis de Riesgos – Ricardo Cañizares Sales
Modelado de Amenazas • Es una técnica de ingeniería cuyo objetivo es ayudar a identificar y planificar de forma correcta la mejor manera de disminuir los riesgos a los que esta expuesta una organización. • Es un proceso que nos va a facilitar la comprensión de las diferentes amenazas a las que esta expuesta una organización o una instalación, y cuya finalidad es ayudar a determinar las medidas de protección adecuadas.
Análisis de Riesgos – Ricardo Cañizares Sales
Modelado de Amenazas • Se trata de identificar las amenazas y definir un plan de acción adecuado que nos permita mitigar el riesgo a unos niveles aceptables, de una forma efectiva y en base a unos costes razonables. • Contribuye a identificar y cumplir con los objetivos de seguridad específicos de cada entorno y facilita la priorización de tareas de protección en base al nivel de riesgo resultante.
Análisis de Riesgos – Ricardo Cañizares Sales
Modelado de Amenazas DEBE – Identificar amenazas potenciales así como las condiciones necesarias para que un ataque se logre llevar a cabo con éxito. – Facilitar la identificación de las condiciones o aquellas vulnerabilidades que, una vez eliminadas o contrarrestadas, afectan a la probabilidad de materialización de múltiples amenazas. – Proporcionar información relevante sobre cuales serían las salvaguardas más eficaces para contrarrestar un posible ataque y/o mitigar los efectos de la presencia de una vulnerabilidad en nuestra organización. – Proveer información sobre cómo las medidas actuales previenen la materialización de las amenazas. – Transmitir a la dirección la importancia de los riesgos a los que está expuesta en términos de impacto de negocio. – Proporcionar una estrategia sólida para evitar posibles brechas de seguridad. – Facilitar la comunicación y promover una mejor concienciación sobre la importancia de la seguridad. Análisis de Riesgos – Ricardo Cañizares Sales
Modelado de Amenazas
Una de las técnicas de modelado de amenazas son los árboles de ataque.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Para construir un árbol de ataque el objetivo del atacante se usa como raíz del árbol, y a partir de éste, de forma iterativa e incremental se van detallando como ramas del árbol las diferentes formas de alcanzar dicho objetivo, convirtiéndose las ramas en objetivos intermedios que a su vez pueden refinarse.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque
Entrar en la sala
Entrar por la puerta
Entrar por la ventana
Butrón
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Al estudiar y analizar el conjunto de todos los posibles ataques a los que está expuesto un objetivo, se acaba modelando un bosque de árboles de ataque. • Un árbol de ataque estudia y analiza cómo se puede atacar un objetivo y por tanto permite identificar qué salvaguardas se necesita desplegar para impedirlo.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Permiten estudiar las actividades que tendría que desarrollar el atacante y por tanto lo que necesita saber y lo que necesita tener para realizar el ataque; de esta forma es posible determinar la probabilidad de que el ataque se produzca, si se conoce quién pudiera estar interesado en atacar el objetivo y se analiza su capacidad para disponer de la información, habilidades y recursos necesarios para llevar a cabo dicho ataque.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Para poder elaborar un árbol de ataque hay que analizar el escenario al que nos enfrentamos y estudiar el problema desde el punto de vista en que haría el potencial atacante.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Son una herramienta gráfica para analizar y presentar qué puede pasar y cómo lo prevenimos. Capturan de alguna forma el razonamiento del atacante y permiten anticiparse a lo que pudiera ocurrir. • Aunque es difícil construir árboles exhaustivos en el primer intento, sí son un buen soporte para ir incorporando la experiencia acumulada y recopilar en cada momento el mejor conocimiento del que se dispone.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque Permiten realizar simulaciones • • • •
¿qué pasaría si introducimos nuevos activos? ¿qué pasaría si cambiamos las salvaguardas? ¿cómo lo enfocaría un atacante de perfil X? ……
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Los árboles de ataque constituyen una documentación extremadamente valiosa para un atacante, especialmente cuando incorporan el estado actual de salvaguardas, pues facilitan en extremo su trabajo. • Son un documento clasificado y deben tomarse todas las medidas de seguridad necesarias para garantizar su confidencialidad.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque NODOS • Lo más habitual, es que para alcanzar un objetivo o subobjetivo se disponga de varias alternativas (nodos OR); aunque en ocasiones se requiere la concurrencia de varias actividades (nodos AND).
Análisis de Riesgos – Ricardo Cañizares Sales
Nodo OR
Entrar en la sala
Entrar por la puerta
Entrar por la ventana
Butrón
Análisis de Riesgos – Ricardo Cañizares Sales
Nodo AND Entrar por la puerta
Romper la puerta
Abrir la puerta
Tener la llave
Conocer la clave
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque
►
Los cálculos son sencillos y permiten trabajar con diferentes niveles de refinamiento.
Análisis de Riesgos – Ricardo Cañizares Sales
Coste
►
Los nodos OR cuestan lo que el más barato de sus hijos.
►
Los nodos AND suman los costes.
Análisis de Riesgos – Ricardo Cañizares Sales
Tiempo
►
Nodos OR el menor tiempo de sus hijos.
►
Nodos AND
La suma de los tiempos de todos sus hijos
El mayor tiempo de sus hijos
Análisis de Riesgos – Ricardo Cañizares Sales
Coste OR
10 m 500 €
10 m 500 €
30 m 2.000 € 20 m 3.000 €
Análisis de Riesgos – Ricardo Cañizares Sales
Coste AND
60 m 5.500 €
10 m 500 €
30 m 2.000 € 20 m 3.000 €
Análisis de Riesgos – Ricardo Cañizares Sales
Coste AND
30 m 5.500 €
10 m 500 €
30 m 2.000 € 20 m 3.000 €
Análisis de Riesgos – Ricardo Cañizares Sales
Conocimientos
►
En el caso de analizar conocimientos, los nodos OR requieren en conocimiento más bajo, mientras que los nodos AND requieren el conocimiento del hijo más sofisticado.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Una vez identificadas las diferentes formas de alcanzar un objetivo, los nodos del árbol se pueden enriquecer con información de detalle, que puede ser de muy diferentes tipos: – Conocimientos y capacidades que debe tener el atacante: ninguna experiencia, alguna experiencia, conocimientos técnicos, etc. – Medios económicos de los que debe disponer el atacante para preparar y ejecutar el ataque. – Medios materiales necesarios para la realización del ataque: tipo, coste, dificultad de obtención, etc. – Tiempo necesario para preparar y ejecutar el ataque – Riesgo para el atacante, antes, durante y después del ataque, probabilidad de detención, ¿qué consecuencias afrontaría?, etc.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Al analizar el árbol de ataque, la información de estos atributos nos va a permitir obtener escenarios simplificados de ataque:
– Atacantes inexpertos pero muy motivados con mucha financiación – Atacantes profesionales pero sin capacidad de inversión (o sin necesidad de realizar una inversión adicional para perpetrar este ataque) – Atacantes a los que no les importa sacrificar su propia vida – Atacantes que quedarían impunes – etc.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Para alcanzar estos escenarios especializados basta eliminar del árbol las ramas que no satisfagan una condición cualitativa o cuantitativa.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque • Los cálculos son sencillos y permiten trabajar con diferentes niveles de refinamiento. • Los nodos OR cuestan lo que el más barato de sus hijos. Los nodos AND suman los costes. • En el caso de analizar conocimientos, los nodos OR requieren en conocimiento más bajo, mientras que los nodos AND requieren el conocimiento del hijo más sofisticado. • Para tomar decisiones combinadas hay que ir al último nodo de detalle, pues frecuentemente lo más barato y lo más sofisticado son condiciones contradictorias.
Análisis de Riesgos – Ricardo Cañizares Sales
Arboles de ataque Sobre un árbol con atributos: • Es posible determinar el ataque más probable, simplemente extrayendo aquel ataque que requiere menos medios y menos capacidades por parte del atacante. • Es posible determinar cuál será la línea de acción de un posible perfil de atacante (que se determina en base al tipo de instalación o activo que estamos protegiendo): aquel que con menos coste satisfaga los requisitos mínimos para realizar el ataque.
Análisis de Riesgos – Ricardo Cañizares Sales
Salvaguardas • Su efecto debe reflejarse sobre el árbol de ataque: – Incrementando las capacidades y conocimientos que el atacante necesitaría para alcanzar su objetivo pese a las salvaguardas desplegadas – Incrementando el coste económico que tendría que realizar el atacante para alcanzar su objetivo a la vista de las salvaguardas desplegadas – Incrementando el tiempo necesario para alcanzar el objetivo. – ……
Análisis de Riesgos – Ricardo Cañizares Sales
Salvaguardas • La implantación de un sistema de seguridad perfecto, con todas las salvaguardas necesarias eliminaría todas las ramas del árbol. • Está solución no existe, la seguridad total no existe, es imposible eliminar todos los riesgos.
Análisis de Riesgos – Ricardo Cañizares Sales
Salvaguardas • Un sistema de seguridad real se desarrolla implantando salvaguardas, que modifiquen los atributos de los nodos aumentando los niveles de capacidad, de conocimiento, de inversión, etc, de forma que reduzcan la probabilidad de que el ataque tenga éxito, hasta alcanzar el nivel de riesgo aceptado por la Dirección.
Análisis de Riesgos – Ricardo Cañizares Sales
Construcción del árbol • La construcción del árbol es compleja y laboriosa además de un gran conocimiento del objeto de protección, de sus vulnerabilidades, de las amenazas a las que esta expuesto, de las capacidades de los atacantes potenciales, así como de las características y efectividad de las medidas de seguridad o salvaguardas aplicables. • Marcar el objetivo final requiere un gran conocimiento de dónde está el valor en la Organización y cual puede ser el objetivo del atacante respecto del mismo.
Análisis de Riesgos – Ricardo Cañizares Sales
Construcción del árbol • El enriquecimiento del árbol de ataque en forma de ramas debería ser exhaustivo; pero está limitado por la imaginación del analista; si el atacante es “más listo” tiene una oportunidad para utilizar una vía imprevista. • La experiencia permite ir enriqueciendo el árbol con nuevos ataques realmente perpetrados o simplemente detectados en el perímetro con un buen sistema de monitorización.
Análisis de Riesgos – Ricardo Cañizares Sales
Construcción del árbol • Hay que utilizar: – La experiencia propia o ajena en situaciones similares – Grupos de reflexión en los que de forma informal se van exponiendo cosas que posiblemente pensarían los atacantes; estas sesiones suelen generar mucho material en bruto que hay que organizar y estructurar para ser utilizado como herramienta de análisis – Herramientas de simulación que sugieran ataques en base a la naturaleza de los activos presentes en el objeto de protección – Información de inteligencia – •…
Análisis de Riesgos – Ricardo Cañizares Sales
Construcción del árbol • Si se dispone de un modelo de valor, es posible utilizar éste para determinar la naturaleza de los activos y las dependencias entre ellos, de forma que podemos elaborar el árbol de ataques en base al conocimiento de los activos inferiores que constituyen la vía de ataque para alcanzar los activos superiores en los que suele residir el valor para la Organización
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • Una vez se dispone de un árbol de ataque o un conjunto de ellos formando un bosque, es el momento de analizar todos los posibles escenarios que describen y desarrollar la estrategia de protección adecuada.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • Para comenzar una evaluación se necesita considerar los posibles escenarios de ataque, cada uno de ellos que consiste en la materialización de una amenaza potencial bajo circunstancias específicas. • Es importante que los escenarios que se desarrollen estén dentro del ámbito de posibilidades y como mínimo, consideren las capacidades de los posibles atacantes y sus intenciones conocidas, que se determinan de acuerdo a las evidencias de eventos pasados y de la información de inteligencia disponible.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • El número de escenarios a analizar lo debe determinar el equipo evaluador. • Se debe evitar realizar un número excesivo de evaluaciones innecesarias sobre escenarios que supongan un bajo impacto para la organización.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • Se debe realizar una evaluación de la criticidad de los objetivos de protección, para centrar el esfuerzo sobre los objetivos críticos. • Escenarios similares, con variaciones menores, no deben ser evaluados separadamente a no ser que haya diferencias sustanciales en las consecuencias o las vulnerabilidades.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • Cada escenario debe ser evaluado en términos del potencial impacto consecuencia del ataque. • Cada escenario debe ser evaluado en términos de la vulnerabilidad de la instalación/sistema ante un ataque.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • La evaluación inicial de la vulnerabilidad debe realizarse sin tener en cuenta las medidas de seguridad que impliquen una disminución de las vulnerabilidades, aunque dichas medidas de seguridad ya estén implantadas. • La evaluación de la vulnerabilidad sin medidas de seguridad proporciona una línea base que muestra el riesgo asociado con el escenario.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios • Se debe determinar qué escenarios requieren de una estrategia de mitigación del riesgo. • Posteriormente a la implantación de las medidas de seguridad, debe realizarse una evaluación de comparación, para analizar y entender como dichas medidas de seguridad mitigan el riesgo.
Análisis de Riesgos – Ricardo Cañizares Sales
Escenarios
Análisis de Riesgos – Ricardo Cañizares Sales
www.unir.net