SEGURIDAD INFORMÁTICA
K A R I N A R O S A S P A R E D E S – J O S E E S Q U I C H A T E J A D A
AGENDA 1. 2. 3. 4. 5. 6. 7. 8. 9.
Seguridad Informática Conceptos Pilares de la seguridad Terminología de seguridad informática Seguridad de redes Seguridad en redes inalámbricas Metodologías usadas en seguridad informática Certificaciones Certificacio nes de seguridad de la l a información: CISSP, CEEH, CISA, CISM, otras. Caso de estudio
POR QUÉ ES IMPORTANTE LA SEGURIDAD EN LA EMPRESA?
EL VALOR DE LA INFORMACION
La información es un activo vital para el éxito y la continuidad en el mercado de cualquier organización Fuente: ISO 27000:2005. 27000:2005.
Todos los sistemas son vulnerables lo importante es que se actualicen. Microsoft no es más vulnerable pero sí más apetitoso. Un ataque a un sistema que usan muchas personas tiene más relevancia. (Kevin Mitnick )
TENDENCIAS QUE AFECTAN A LA SEGURIDAD DE LAS REDES •
La necesidad de seguridad de la red y su crecimiento se debe a muchos factores: •
•
•
•
•
•
La conexión a Internet es 24/7 y es en todo el mundo. Aumento de la delincuencia cibernética Impacto en los negocios grandes e individuales Legislación y pasivos Proliferación de amenazas Sofisticación de amenazas
IMPACTO EN LOS NEGOCIOS 1. Disminución de la productividad 2. Pérdida de ingresos por ventas 3. Liberación no autorizada de datos confidenciales 4. Amenaza de los secretos comerciales 5. Reputación y confianza 6. Pérdida de comunicaciones 7. Amenaza para los sistemas ambientales y de seguridad 8. Pérdida de tiempo
QUE ES SEGURIDAD INFORMÁTICA? •
Es el área de la informática que se enfoca en la protección de la infraestructura computacional y todo lo relacionado con ésta y especialmente la información contenida o circulante.
SEGURIDAD DE LA INFORMACIÓN •
Es el conjunto de medidas preventivas y reactivas de las organizaciones y de los sistemas tecnológicos que permiten resguardar y proteger la información buscando mantener la confidencialidad, la disponibilidad e integridad de la misma
SEGURIDAD INFORMATICA
SEGURIDAD DE LA INFORMACIÓN
VIDEO
INFORMÁTICA FORENSE •
•
Llamado informática forense, computación forense, análisis forense digital es la aplicación de técnicas científicas y analíticas especializadas a la infraestructura tecnológica que permiten identificar, preservar, analizar y presentar datos que sean válidos dentro de un proceso legal. Ayuda a detectar pistas sobre ataques informáticos, robo de información, conversaciones o pistas de emails, chats.
PILARES DE LA SEGURIDAD (ISO 17799)
COMPLEMENTAN LOS PILARES
VULNERABILIDAD •
•
Es el grado de debilidad inherente a cada red y cada dispositivo. Problemas que surgen como resultado de una mala configuración de hw o sw, un diseño pobre de la red, carencias tecnológicas o descuido del usuario final.
TIPOS DE VULNERABILIDADES •
•
•
Debilidades tecnológicas Debilidades en la configuración. Debilidades en la política de seguridad
AMENAZAS •
•
•
•
Acción o evento que puede comprometer la seguridad. Personas interesadas y calificadas para aprovechar cada una de las debilidades en materia de seguridad. Buscan continuamente nuevas explotaciones y debilidades. Una amenaza es una violación potencial de la seguridad.
•
•
Las amenazas utilizan una diversidad de herramientas, secuencias de comandos y programas, para lanzar ataques contra redes y dispositivos de red. Por lo general, los dispositivos de red atacados son los extremos, como los servidores y los equipos de escritorio.
AMENAZAS A LA INFRAESTRUCTURA FÍSICA •
Un agresor puede denegar el uso de los recursos de la red si dichos recursos pueden ser comprometidos físicamente.
•
Las cuatro clases de amenazas físicas son: •
•
•
•
Amenazas al hardware Amenazas ambientales Amenazas eléctricas Amenazas al mantenimiento
AMENAZAS AL HARDWARE Daño físico a servidores, routers, switches, planta de cableado y estaciones de trabajo.
AMENAZAS AMBIENTALES Calor o frío extremos, condiciones extremas de humedad o sequedad.
AMENAZAS ELÉCTRICAS Picos de voltaje, voltaje suministrado insuficiente (apagones), alimentación ilimitada (ruido) y pérdida total de alimentación
AMENAZAS AL MANTENIMIENTO Manejo deficiente de los componentes eléctricos clave (descarga electrostática), falta de repuestos fundamentales, cableado insuficiente y rotulado incorrecto
TARGET •
Un sistema de TI, producto o componente que es identificado o sometido y que requiere evaluación de seguridad
EXPLOIT •
Es una pieza de software, fragmento de datos o secuencia de comandos y/o acciones, usada con el fin de aprovechar una vulnerabilidad de seguridad de un sistema de información para conseguir un comportamiento no deseado del mismo.
ATTACKS •
•
Método por el cual un individuo, mediante un sistema informático, intenta tomar el control, desestabilizar o dañar otro sistema informático (host, red) Acción que viola la seguridad
TIPOS DE ATAQUES •
•
•
•
•
•
Internos Externos Estructurados No estructurados Activos Pasivos
CATEGORÍAS DE ATAQUES
CODIGO HOSTIL •
•
•
Programas que han sido creados con el objetivo de causar daño severo a los sistemas objetivos. El software malicioso puede ser insertado en un host para perjudicar o dañar un sistema. Puede replicarse a sí mismo, o denegar el acceso a las redes, los sistemas o los servicios.
QUIEN ES EL ENEMIGO
QUIÉN ES EL ENEMIGO?
The curious •
Hace espionaje en la empresa. Intrusos, empleados, conformes o descontentos, interesado en saber que tipo de sistemas o datos tienes
The High-Profile Intruder •
The Competition •
The malicious •
Busca hacer daño, borra, modifica, hace inaccesible los servidores y servicios.
Busca ganar popularidad en el círculo donde se mueve
•
Interesado en nuestros sistemas para beneficio suyo o de terceros. Contratado por la competencia
QUIÉN ES EL ENEMIGO?
The Borrowers •
Intruso que aprovecha recursos de la compañía para su beneficio. No quiere que nos enteremos de lo que hizo (IRC, chat, sites porno, servers DNS)
The Leapfrogger •
Usa los sistemas de la compañía como punto intermedio para acceder a otros sistemas
QUIÉN ES EL ENEMIGO?.......
Hacker •
Es un término general que se ha utilizado históricamente para describir a un experto en programación
Hacker de sombrero negro •
Hacker de sombrero blanco: •
Una persona que busca vulnerabilidades en los sistemas o en las redes y, a continuación, informa estas vulnerabilidades a los propietarios del sistema para que las arreglen
Personas que utilizan su conocimiento de las redes o los sistemas informáticos que no están autorizados a utilizar, generalmente para beneficio personal o económico
Crackers •
•
Tienen intención maliciosa. Escriben exploits y h. para derrumbar sistemas.
QUIÉN ES EL ENEMIGO?....... •
•
•
Phreaker : una persona que
Script Kiddies
Muy peligrosos, atacan manipula la red telefónica para cualquier sistema, que realice una función que no buscan tener acceso de está permitida. la mayor cantidad de Spammer : persona que envía servidores. Les gusta grandes cantidades de mensajes figurar de correo electrónico no No construyen exploits, solicitado. compilan sw. No son altamente calificados Estafador: utiliza el correo Wannabe electrónico u otro medio para engañar a otras personas para que Nivel de conocimiento bajo brinden información confidencial, Usuarios finales (sacan como números de tarjetas de password de hotmail) crédito o contraseñas. Usan tools de crackers, no compilan sw solo usan
QUIÉN ES EL ENEMIGO?....... •
Personal desprevenido •
•
•
Descuidan reglas estándar de seguridad de la red. (eligen contraseñas fáciles) Exponen y difunden virus, descargan arch. Internet 99% abuso de privilegios de acceso a Internet por parte de los empleados.”
•
Vándalos: Subprograma o aplicación de soft que causa destrozos de diversas magnitudes. •
•
Personal descontento Empleados disgustados, porque fueron reprendidos, suspendidos o despedidos del trabajo, pueden vengarse infectando las redes de la empresa con virus o intencionalmente eliminar archivos importantes. Newbie Personas realmente interesadas en aprender, y que no buscan que los demás integrantes de la comunidad o foro a la que pertenecen solucionen sus problemas •
•
•
ESTRATEGIA DE SEGURIDAD MULTICAPA
«EL ORDENADOR NACIÓ PARA RESOLVER P R O BL E MA S Q U E A NT E S N O E X IS T Í AN » - B I L L G AT E S
TENGA ACCESO EN CUALQUIER
LUGAR
•
La estrategia de seguridad más eficiente es establecer un sistema por capas, empezando por los primeros niveles de acceso hasta los datos mismos.
DEFENSA DE PERÍMETRO
A P A C I T L U M D A D I R U G E S
Dividir una presentación de gran tamaño, organizándola en secciones.
DEFENSA DE RED
A P A C I T L U M D A D I R U G E S
Es la red de datos interna de la organización. Compuesta de router, switches, AP y otros dispositivos.
DEFENSA DE HOST
A P A C I T L U M D A D I R U G E S
Asociada a la defensa del Sistema operativo de la estación o servidor (hardening).
DEFENSA DE APLICACIONES
A P A C I T L U M D A D I R U G E S
Divida una presentación de gran tamaño organizándola en secciones.
DEFENSA DE DATOS Y RECURSOS Es el último escalón de la “ cadena
A P A C I T L U M D A D I R U G E S
de seguridad”.
PASOS PARA HACER HACKING
FASE 1: RECONOCIMIENTO
•
•
•
Previo a cualquier ataque Información sobre el objetivo Reconocimiento pasivo •
•
•
Google hacking Ingeniería social Monitorización de redes de datos. Ejm. Sniffing,etc.
FASE 2: ESCANEO • •
•
•
•
Es una fase de pre-ataque Se escanea la red pero ya con información de la fase previa Detección de vulnerabilidades y puntos de entrada. Incluye el uso de dialers, puertos scanners, network mapping mapping,, sweepi sweeping, ng, vulnerab vulnerabilit ilityy scanners, etc. Reconocimiento activo: probar la red para detectar: • •
Hosts accesibles Localización de routers servicios
- Puertos abiertos - detalles de SO y
FASE 3: OBTENER ACCESO
•
•
La obtención de acceso se refiere al ataque propiamente dicho. Por ejemplo ejemplo hacer hacer uso uso de un un exploit exploit o bug. •
•
•
•
•
•
Buffer overflows DoS Sesión hijacking: en Hotmail u otro, la cual utiliza los cookies de la pagina Web para introducir códigos dañinos, haciendo creer que la pagina que estamos accediendo es autentica. IP hijacking : que es el secuestro secuestro de una conexión conexión TCP/IP TCP/IP Password Passw ord filter filtering, ing, etc.
El hacker puede tener acceso a nivel de SO o de red.
FASE 4: MANTENER EL ACCESO
•
•
Retener los privilegios obtenidos. A veces un hacker blinda el sistema con otros posibles hacker, protegiendo sus puertas traseras, rootkits y troyanos.
FASE 5: BORRADO DE HUELLAS
•
•
Intentar no ser descubierto Hay que tener claro que hay técnicas más intrusivas (y por lo tanto delatoras) que otras.
CERTIFICACIONES INTERNACIONALES ENTIDAD
CERTIFICACIÓN
EXAMEN
PRECIO
EC-Council
CEH, Certified Ethical Hacker v8
312-50 versión 8 (ingles)
$ 500.00
EC-Council
ECSA Certified Security Analyst
712-50 versión 8 (ingles)
$ 400.00
Mile2
C)VA, Certified Vulnerability Assesor
DSTEAM Seguridad
CODSP, Certified Offensive and Defesive Security Profesional
-
(ingles)
$ 400.00
1.3 (Español)
$ 260.00
•
Requisitos CEH, Certified Ethical Hacker v8 •
•
•
Conocimientos básicos en seguridad de redes y tecnologías de información. Ingles
Existen dos maneras para poder certificarse como CEH: •
A) Autodidacta, contar con por lo menos 02 años de experiencia “demostrable” en seguridad de información. “Demostrable” es sólo un decir.
•
B) Si no cuentas con la experiencia requerida, EcCouncil te ofrece un curso oficial de 40 horas y sin tener ningún tipo de experiencia quedas autorizado para rendir el examen. (las ventajas de llevar un curso oficial)
CERTIFIED ETHICAL HACKER V8
EXAMEN 312-50 •
El curso contiene 1. Introducción al Hackeo Ético 2. Reconocimiento y Obtención de Huellas 3. Escaneo de Redes 4. Enumeración 5. Hackeo de Sistemas 6. Troyanos y Puertas Traseras 7. Virus y Gusanos 8. Esnifeo 9. Ingeniería Social 10. Negación de Servicio
11. Secuestro de Sesión 12. Hackeo de Servidores Web 13. Hackeo de Aplicaciones Web 14. Inyección de SQL 15. Hackeo de Redes Inalámbricas 16. Hackeo de Móviles 17. Evasión de IDS, Firewalls y Honeypots 18. Desbordamiento de Memoria 19. Criptografía 20. Pruebas de Penetración
CURSO PARA CERTIFIED ETHICAL HACKER V8
•
El curso para certificarte contiene: •
El curso proporciona a los alumnos los conocimientos sólidos y experiencia en Hackeo Ético. El curso prepara al alumno para aprobar el examen 312-50 del EC-Council “Certified Ethical Hacker”. Inicio del curso 6 de Agosto (bsgrupo) https://bsgrupo.com/ti/Curso-Certified-EthicalHacker-CEH-v8-81 Total del curso cuesta $ 2710.00 Dólares.
AUTODIDACTA (SIN LLEVAR CURSO) CEH V8 •
El costo es el siguiente: •
•
•
•
•
Pago por código de autorización (reemplaza al curso oficial y es un tramite para certificar que tienes experiencia de 02 años): US$ 100.00 Pago por el concepto del examen: US$ 500.00 Es decir, en total se requiere sólo US$ 600.00 y nada más.
Ventajas: - Un costo mucho menor comparado con llevar el curso oficial. - Es más fácil aprobar un examen con cierta experiencia profesional Desventajas: - Debes de pagar US$ 100.00 dólares para obtener el código de autorización que certifica que tienes experiencia y no es necesario que lleves el curso oficial - “No se entrega el material oficial”
CERTIFIED ETHICAL HACKER V8
•
•
Las certificaciones de Ec-Council como la de CEH son válidas por 03 años. Después de ese tiempo tu certificado deja de tener validez porque expira, sin embargo, si estas ejerciendo actividades de seguridad de información debes enviar los certificados de los trabajos realizados para que tu certificado de CEH tenga validez después de 03 años.
CERTIFIED ETHICAL HACKER V8 Ventajas: - Si no tienes experiencia justificable en seguridad de información o informática, llevando el curso oficial, Ec-Council ya no te exige ningún tipo de experiencia. - Te entregarán el material oficial de certificación (02 libros del grosor de una biblia + 06 discos con las tools necesarias para desarrollar los libros). - Es como cuando se postula a la universidad a través de un centro PRE autorizado, tienes una ligera ventaja.
Desventajas: - El precio es elevado ya que si jalas el examen pierdes el dinero invertido. - tener experiencia en seguridad para poder rendir el examen, no es necesario tener mucha experiencia pero si conocimientos de redes, sistemas operativos y servidores.
Certified Security Analyst (ECSA) •
Requisito de ECSA •
•
•
Enseña a los profesionales de seguridad de la información para llevar a cabo pruebas de penetración de la vida real mediante la utilización de la metodología de pruebas de penetración publicada por EC-Council. Va dirigido a Los administradores de red, los administradores de firewall, analistas de seguridad de la información, administradores de sistemas y profesionales de evaluación de riesgos El curso ECSA es un programa totalmente práctico. Los ejercicios cubren escenario del mundo real. Mediante la práctica de las habilidades que se proporcionan a usted en la clase ECSA.
INFORMACIÓN DEL EXAMEN ECSA •
•
•
•
•
Número de preguntas: 150 Puntuación Mínima: 70% Prueba Duración: 4 horas Formato de la prueba: Opción múltiple Testing: Prometric
Certificado Asesor Vulnerabilidad •
Requisitos C)AV •
Capacita a los estudiantes para ser competentes en la realización de evaluaciones de vulnerabilidad a través de: 1. Riesgos asociados a tecnologías de la información y por qué una evaluación de la vulnerabilidad es crucial para las operaciones continuas de un negocio. 2. Preparar a los estudiantes con las herramientas y el conocimiento de cómo realizar una evaluación de la vulnerabilidad. 3. Instruir a los estudiantes sobre cómo resumir e informar sobre sus conclusiones a partir de una evaluación de la vulnerabilidad.
•
A su finalización, Los estudiantes: •
•
Tener conocimiento para detectar vulnerabilidades de seguridad y riesgo. Tener conocimiento de informar con precisión sobre sus resultados de exámenes
•
Información de examen •
Se toma en línea a través de Evaluación y Certificación de Sistema de Mile2 (MACS), que es accesible en su cuenta mile2.com. El examen se llevará a 2 horas y constará de 100 preguntas de opción múltiple. El costo es de $ 400 USD y debe ser comprado en la tienda en Mile2.com. •
•
•
•
•
•
•
Módulo 1: ¿Por qué Evaluación de Vulnerabilidad Módulo 2: Tipos de Vulnerabilidad Módulo 3: Evaluación de la Red Módulo 4: Evaluación de Servidores y Aplicaciones Web Módulo 5: Evaluar remoto y VPN Servicios Módulo 6: Herramientas de Evaluación de Vulnerabilidad Módulo 7: Análisis de salida
CODSP •
Requisitos para CODSP •
•
Conocimientos en seguridad de la información, en lo que respecta a seguridad ofensiva, seguridad defensiva, y aplicación de buenas prácticas. Si asistes al curso DSTEAM te garantiza que pasas el examen de certificación, siempre y cuando realices de todas las prácticas de laboratorio y actividades propuestas en el aula virtual de clases. Desde versión 1.2 de la opción virtual del curso, para que pueda ser estudiado por profesionales que este fuera de la ciudad de Medellín y del país Colombia. La versiona actual del curso es la versión 1.3.
•
Características del curso, este costo incluye: •
•
•
•
•
•
•
•
•
180 horas de Clases virtuales Memorias (PDF, Diapositivas) DVD-Links con Máquinas virtuales usadas en las prácticas de laboratorio Camiseta CODSP Certified Offensive and Defensive Security Professional (Se envía luego de la certificación) Voucher Examen de Certificación Certified Offensive and Defensive Security Professional Pre-test Certificación Certified Offensive and Defensive Security Professional con 120 preguntas Acceso a la plataforma virtual Certificado de Entrenamiento por 180 horas Taller y Certificado del Taller Practico Virtual llamado Penetration Testing “Kung Fu” con Metasploit Framework
•
Los módulos del curso son :
REDES INALÁMBRICAS
VIDEO
VIDEO
¿POR DONDE COMENZAR, LA SEGURIDAD INFORMÁTICA?
ISO 17799 -- ISO 27001 •
•
• •
Bosqueja las amenazas de red y controles que se pueden implementar para disminuir la probabilidad de un ataque. Vulnerabilidad. Algo sobre lo cual el administrador es responsable. Amenaza. Algo sobre lo que se tiene poco control. Requiere que la organización controle 10 áreas específicas: 1. Políticas de seguridad. 2. Organización de seguridad. 3. Control y clasificación de bienes. 4. Seguridad del personal. 5. Seguridad ambiental y física. 6. Administración de redes y computadoras 7. Sistemas de control de acceso. 8. Control de desarrollo de sistemas. 9. Planificación de continuidad de negocios. 10.Auditoría y conformidad.
RECORDAR
CASO SISTEMA ACADÉMICO UNIVERSIDAD
•
La Universidad Católica de Santa María de Arequipa, cuenta con un sistema académico que tiene una plataforma Web que permite que a cualquier alumno pueda visualizar sus cursos matriculados en cualquier parte del mundo.
•
•
•
•
•
•
•
•
•
Para el análisis de evaluación de riesgo y vulnerabilidad tomar en cuenta lo siguiente: Son 500 profesores Son 1000 alumnos Son 50 PC para los profesores Se cuenta con un Data Center con medidas de seguridad básicas (firewall) El servidor y Firewall se encuentran en el Data center Solo se cuenta con un administrador de Redes El data center cuenta con una toma de energía independiente. Solo se está considerando para él análisis el Sistema Académico, los demás sistemas no se consideran.
INDIQUE LOS RIEGOS Y VULNERABILIDADES QUE HAY EN LA UCSM
RIESGOS •
•
•
•
•
•
•
•
•
•
Averia Hardware Acceso físico al Datacenter Catastrofes Naturales (inundaciones, terremoto) No disponibilidad de energía Incidentes ocasionado por personas (robo, incendio) No disponibilidad del servicio de TI Acceso lógico interno a los sistemas Riesgo de infección a la intranet Alteración de la BD No disponibilidad del sistema