introducción a la seguridad informáticacryptomex.org › slidesseguridad ›...
Post on 04-Jul-2020
17 Views
Preview:
TRANSCRIPT
Seguridad Informática
Introducción a la Seguridad Informática 1
Dr. Roberto Gómez
Lámina 1 Dr. Roberto Gómez
Introducción a la Seguridad Informática
Roberto Gómez Cárdenasrogomez@itesm.mx
http://webdia.cem.itesm.mx/ac/rogomez
Lámina 2 Dr. Roberto Gómez
Seguridad Computacional
El conjunto de políticas y mecanismos que nos permiten garantizar la confidencialidad, la integridad y la disponibilidad de los recursos de un sistema.
Disponibilidad
Integridad Confidencialidad
Seguridad Informática
Introducción a la Seguridad Informática 2
Dr. Roberto Gómez
Lámina 3 Dr. Roberto Gómez
La seguridad involucra3 dimensiones (no sólo una)
Gente
Procesos
Infraestructura
Diseñar pensando en la seguridad
Roles y responsabilidades
Auditar dar seguimientos y rastrearMantenerse al día con el desarrollo de seguridad
Falta de conocimiento
Falta de comrpomisoFalla humana
Los productos no cuentan con funciones de seguridadDemasiado difícil mantenerse al día
Muchos problemas no se ven abordados por estándares técnicos (BS 7779)
Los productos tienen problemas
Lámina 4 Dr. Roberto Gómez
Activos de informacion
• Cualquier recurso de SW, HW, Datos, Administrativo, Físico, de Personal de Comunicaciones, etc.
• Activos intangibles– Imagen, propiedad intelectual, etc
• Ejemplos– Servidores– Bases de Datos– Redes– Usuarios– Aplicaciones– Sistemas Operativos– Dinero– Información– etc
Seguridad Informática
Introducción a la Seguridad Informática 3
Dr. Roberto Gómez
Lámina 5 Dr. Roberto Gómez
Amenaza
• Circunstancia o evento que puede causar daño violando la confidencialidad, integridad o disponibilidad
• El daño es una forma de destrucción, revelación o modificación de datos.
• Frecuentemente aprovecha una vulnerabilidad
Lámina 6 Dr. Roberto Gómez
La amenaza
• Fuentes de la amenaza– Naturales
– Ambientales
– Humanas• Accidentales
• Deliberadas
• Algunos ejemplos– Naturales:
• Terremotos que destruyan el centro de cómputo.
– Humanos• Fraude realizado al
modificar los saldos de cuentas por cobrar.
– Software• Cambios no autorizados
al sistema que realicen cálculos incorrectos.
Seguridad Informática
Introducción a la Seguridad Informática 4
Dr. Roberto Gómez
Lámina 7 Dr. Roberto Gómez
Vulnerabilidad
• Falta y/o Debilidad o falla de seguridad• Indica que el activo es susceptible a recibir un daño a
través de un ataque.• La debilidad puede originarse en el diseño, la
implementación o en los procedimientos para operar y administrar el sistema.
• En el argot de la seguridad computacional una vulnerabilidad también es conocida como un hoyo.
Lámina 8 Dr. Roberto Gómez
Ejemplos vulnerabilidades
• Cuentas de usuarios sin contraseña.
• El personal externo no registra su entrada y salida a las instalaciones.
• Falta de lineamientos para la construcción de contraseñas.
• No contar con un plan de recuperación de desastres
Seguridad Informática
Introducción a la Seguridad Informática 5
Dr. Roberto Gómez
Lámina 9 Dr. Roberto Gómez
Tiempo vida vulnerabilidad
Lámina 10 Dr. Roberto Gómez
Protecciones
Protecciones
Vulnerabilidad
Vulnerabilidad
ActivosDatos
InstalacionesHardware/Software
Source:An Introduction to Computer SecurityThe NIST HandbookNIST- SerialPublication 800-12
Vulnerabilidad vs amenaza
Seguridad Informática
Introducción a la Seguridad Informática 6
Dr. Roberto Gómez
Lámina 11 Dr. Roberto Gómez
El exploit
• Se refiere a la forma de explotar una vulnerabilidad– termino muy enfocado a herramientas de ataque,
sobre equipos de computo).
• Aprovechamiento automático de unavulnerabilidad– generalmente en forma de un programa/software
que realiza de forma automática un ataqueaprovechandose de una vulnerabilidad
Lámina 12 Dr. Roberto Gómez
Ataque informático
• Es la consumación de una amenaza
• No es un ataque físico (aunque puede ser).
• Un ataque no se realiza en un solo paso.
• Depende de los objetivos del atacante.
• Puede consistir de varios pasos antes de llegar a su objetivo.
Seguridad Informática
Introducción a la Seguridad Informática 7
Dr. Roberto Gómez
Lámina 13 Dr. Roberto Gómez
Ataques Pasivos.Ataques Pasivos.
Ataques Activos.Ataques Activos.
Tipos de Ataques (1)
Lámina 14 Dr. Roberto Gómez
Tipos ataques activos
• Suplantación de identidad.– intruso se hace pasar por una entidad diferente,
normalmente incluye alguna de las otras formas de ataque activo.
• Reactuación. – uno o varios mensajes legítimos son capturados y repetidos
para producir un efecto no deseado,
• Modificación de mensajes. – una porción del mensaje legítimo es alterada, o los
mensajes son retardados o reordenados,
• Degradación del servicio. – impide o inhibe el uso normal o la gestión de recursos
informáticos y de comunicaciones.
Seguridad Informática
Introducción a la Seguridad Informática 8
Dr. Roberto Gómez
Lámina 15 Dr. Roberto Gómez
Ejemplos Ataques
• Virus
• Caballo de Troya
• Gusanos (Worms)
• Bugs
• Trapdoors
• Stack overflow
• Pepena
• Bombas lógicas
• Secuestro sesiones
• Dedos inexpertos
• Falsificación
• Usurpación
• Sniffers
• Spoofing
• Spam
• Grafiti
• Ingeniería Social
• Negación de servicio
Lámina 16 Dr. Roberto Gómez
Riesgo
• Probabilidad / posibilidad de que un evento desfavorable ocurra.
• Tiene un impacto negativo si se materializa.
• A notar: que si no hay incertidumbre, no hay un riesgo per se.
• Ejemplos riesgos– Alto
– Medio
– Bajo
– 327,782 USD
Seguridad Informática
Introducción a la Seguridad Informática 9
Dr. Roberto Gómez
Lámina 17 Dr. Roberto Gómez
Impacto
• Es la “materialización” de un riesgo.
• Una medida del grado de daño o cambio.
• Ejemplos– Retraso en la ejecución y conclusión de
actividades de negocio.
– Perdida de oportunidad y efectividad en la operación.
– Falta de credibilidad frente a clientes.
– Divulgación de información confidencial.
Lámina 18 Dr. Roberto Gómez
Control
• Es una medida o mecanismo para mitigar un riesgo.
• Es un mecanismo establecido para prevenir, detectar y reaccionar ante un evento de seguridad.
• Ejemplos– Desarrollo de políticas y procedimientos de uso de
contraseñas.
– Desarrollo e implantación de un programa de concientización.
– Implementación de un plan de recuperación de desastres
Seguridad Informática
Introducción a la Seguridad Informática 10
Dr. Roberto Gómez
Lámina 19 Dr. Roberto Gómez
En Resumen...
X
Vulnerabilidad
Nivel de Vulnerabilidad
Debilidad Control
RiesgoAmenaza
Lámina 20 Dr. Roberto Gómez
En Resumen...
Amenaza Riesgo
X
Debilidad Control
Vulnerabilidad
Nivel de Vulnerabilidad
No existe un procedimiento de control de cambios en Sistemas Operativos.
• Falta de parches de seguridad.
• Huecos de seguridad por configuraciones erróneas.
ALTO• No ejecución del proceso de negocio.
• Pérdida de la confidencialidad de la información del negocio.
• Modificación no autorizada de la información del negocio.
•Alto
•Medio
•Bajo
Seguridad Informática
Introducción a la Seguridad Informática 11
Dr. Roberto Gómez
Lámina 21 Dr. Roberto Gómez
Entonces, ¿de que se trata?
Lámina 22 Dr. Roberto Gómez
La estrategía es un ciclo
análisis
mecanismos
políticasSEGURIDADSEGURIDADevaluación
Seguridad Informática
Introducción a la Seguridad Informática 12
Dr. Roberto Gómez
Lámina 23 Dr. Roberto Gómez
Asegurando el sistema
• Objetivo– minimizar los riesgos potenciales de seguridad
• Análisis de riesgos– análisis amenazas potenciales que se pueden sufrir,– las pérdidas que se pueden generar– y la probabilidad de su ocurrencia
• Diseño política de seguridad– definir responsabilidades y reglas a seguir para evitartales
amenazas o – minimizar sus efectos en caso de que se produzcan
• Implementación– usar mecanismos de seguridad para implementar lo anterior
Lámina 24 Dr. Roberto Gómez
Determinación del nivel de riesgo
• Identificar las amenazas
• Que tan probable es que ocurran
• Dos formas de evaluar probabilidad e impacto– Establecer la probabilidad sin considerar los
controles existentes
– Examinar el nivel de riesgo tomando en cuenta los controles existentes
– Probabilidad: alta, media, baja
Seguridad Informática
Introducción a la Seguridad Informática 13
Dr. Roberto Gómez
Lámina 25 Dr. Roberto Gómez
Matriz del nivel de riesgo
BajoModerado
BajoModerado
AltoBAJO
Moderado Bajo
Moderado Alto
AltoMEDIO
Moderado Medio
AltoAltoALTO
BAJOMEDIOALTO
Alto: una acción correctiva debe ser implementadaModerado alto: una acción correctiva debería ser implementadaModerado bajo: se requiere acciones de monitoreoBajo; no se requiere ninguna acción en este momento
IMPACTOPROBABILIDAD
Lámina 26 Dr. Roberto Gómez
¿Y que se hace con el riesgo?
• Etapa conocida como manejo o administración del riesgo– Risk Management
• Alternativas– Tolerar el riesgo: no se implementan controles– Transferir el riesgo: se transfiere el riesgo a un
tercero– Mitigar el riesgo: se implementan controles
• El costo de los controles debe ser analizado y evaluado detalladamente
Seguridad Informática
Introducción a la Seguridad Informática 14
Dr. Roberto Gómez
Lámina 27 Dr. Roberto Gómez
Análisis costo/beneficio
1. Identificación costo posibles pérdidas (L)
Identificar amenazas
2. Determinar susceptibilidad.La probabilidad de pérdida (P)
3. Identificar posibles acciones (gasto) y sus implicaciones. (B)Seleccionar acciones a implementar.
¿ B ≤ P∗L ?
Se cierra
el ciclo
Lámina 28 Dr. Roberto Gómez
Política de Seguridad
• Especifica las características de seguridad que un sistema debe observar y proveer– conjunto de reglas que deben respetarse para mantener la
seguridad de la información.
• Especifica las amenazas contra las que la organización debe protegerse y cómo debe protegerse
• Depende de los objetivos y metas de la organización.
• Generalmente es expresada en un lenguaje o idioma.
• Típicamente establecida en términos de sujetos y objetos.
Seguridad Informática
Introducción a la Seguridad Informática 15
Dr. Roberto Gómez
Lámina 29 Dr. Roberto Gómez
Objetos y Sujetos
• Un objeto es todo recurso “pasivo” del sistema. Por ejemplo, la información, un archivo, el código de un programa, un dispositivo de red, etc.
• Un sujeto es toda entidad “activa” en el sistema. Por ejemplo, un usuario, un programa en ejecución, un proceso, etc.
Lámina 30 Dr. Roberto Gómez
Paradigmas
• Paranoico: Nada está permitido.
• Prudente: Lo que no está expresamente permitido, está prohibido.
• Permisivo: Lo que no está expresamente prohibido, está permitido.
• Promiscuo: Todo está permitido.
Seguridad Informática
Introducción a la Seguridad Informática 16
Dr. Roberto Gómez
Lámina 31 Dr. Roberto Gómez
Tipos políticas de seguridad
• Políticas administrativas– Procedimientos administrativos.
• Políticas de control de acceso– Privilegios de acceso del usuario o programa.– Política de menor privilegio
• Políticas de flujo de información– Normas bajo la cuales se comunican los sujetos dentro del
sistema.– La información a la que se accede, se envía y recibe por:
• ¿Canales claros o canales ocultos? ¿Seguros o no?
– ¿Qué es lo que hay que potenciar?• ¿La confidencialidad o la integridad?• ¿La disponibilidad?
Lámina 32 Dr. Roberto Gómez
Ejemplo de Política(en lenguaje natural)
• Sólo se permitirá el intercambio de correo electrónico con redes de confianza.
• Toda adquisición de software a través de la red debe ser autorizada por el administrador de seguridad.
• Debe impedirse la inicialización de los equipos mediante disco.
Seguridad Informática
Introducción a la Seguridad Informática 17
Dr. Roberto Gómez
Lámina 33 Dr. Roberto Gómez
Propietarios, custodio y usuario
• Propietario– Responsable por definir los niveles y estrategias de
protección de la información.
• Custodio– Responsable por el cumplimiento de las directrices de
uso y acceso a la información. Así como conocer y participar en las estrategias de contingencia y recuperación de la misma
• Usuario– Responsable por hacer un uso adecuado y tener acceso
autorizado a la información.
Lámina 34 Dr. Roberto Gómez
Mecanismos de seguridad
• Son la parte más visible de un sistema de seguridad.
• Se convierten en la herramienta básica paragarantizar la protección de los sistemas o de la propia red.
• Se dividen en:– prevención
– detección
– recuperación
Estrategias de protecciónEvitaciónPrevenciónDetecciónRecuperación
Seguridad Informática
Introducción a la Seguridad Informática 18
Dr. Roberto Gómez
Lámina 35 Dr. Roberto Gómez
Evitación
• No exponer activos a amenazas.
• Organizar las tareas de modo de evitar amenazas.
• Definición y uso de áreas y/o equipos restringidos o aislados.
Lámina 36 Dr. Roberto Gómez
Prevención
• Incluye funciones de seguridad en hardware y software.
• Debe incluir la definición y observancia de políticas de seguridad.
• Incluye controles administrativos.
• Es la estrategia más ampliamente usada.
Seguridad Informática
Introducción a la Seguridad Informática 19
Dr. Roberto Gómez
Lámina 37 Dr. Roberto Gómez
Mecanismos prevención
• Aumentan la seguridad de un sistema durante el funcionamiento normal de éste.
• Previenen la ocurrencia de violaciones a la seguridad
• Ejemplos mecanismos:– encripción durante la transmisión
de datos– passwords difíciles– firewalls– biométricos
Lámina 38 Dr. Roberto Gómez
Mecanismos prevención máshabituales
• Mecanismos de autenticación
• Mecanismos de control de acceso
• Mecanismos de separación
• Mecanismos de seguridad en lascomunicaciones
Seguridad Informática
Introducción a la Seguridad Informática 20
Dr. Roberto Gómez
Lámina 39 Dr. Roberto Gómez
Mecanismos autenticación
• Clasificación– Basados en algo que se sabe – Basados en algo que se es– Basadas en algo que se tiene
• Posible combinar los métodos– autenticación de dos factores
• basado en algo que se sabe y algo que se es• basado en algo que se sabe y algo que se tiene• basado en algo que se es y algo que se tiene• basado en algo que se es y algo que se sabe• otras combinaciones
– autenticación de tres factores• basado en algo que se es, algo se sabe y algo que se tiene
Lámina 40 Dr. Roberto Gómez
Basados en algo que se tiene
• Usar un objeto físico que llevan consigo y que de alguna forma comprueba la identidad del portador.
• Las tarjetas de acceso son las prendas típicas
• Cada tarjeta tiene un número único.
• El sistema tiene una lista de las tarjetas autorizadas.
Seguridad Informática
Introducción a la Seguridad Informática 21
Dr. Roberto Gómez
Lámina 41 Dr. Roberto Gómez
Arquitectura Tarjeta Inteligente
CPU RAM ROM
SecurityBlock
Input/Output
PersistentMemory
8 bits (6805), 16 bits and32 bits RISC (ARM 7)
128 Bytes to1 KB
2KB to 64 KB
Maximum 64 KB
Lámina 42 Dr. Roberto Gómez
Problemas de este mecanismo
• El objeto no prueba quien es la persona. – Cualquiera que tenga la tarjeta puede entrar al
área restringida.
• Si una persona pierde su objeto no podraentrar al área restringida aunque no haya cambiado su identidad.
• Algunas prendas pueden ser copiadas o falsificadas con facilidad.
Seguridad Informática
Introducción a la Seguridad Informática 22
Dr. Roberto Gómez
Lámina 43 Dr. Roberto Gómez
Basados en algo que se es
• Se realiza una medición física y se compara con un perfil almacenado con anterioridad,– técnica conocida como biométrica,
– se basa en la medición de algún rasgo de una persona viva.
• Existen dos formas para usar biometricos:– comparar las medidas de un individuo con un perfil
específico almacenado.
– buscar un perfil en particular en una gran base de datos.
Lámina 44 Dr. Roberto Gómez
El proceso biométrico
Registro
Identificación
SensorBiométrico
Extractorcaracterística
Base datos template
SensorBiométrico
Extractor característica
Comparacióncaracterística
Seguridad Informática
Introducción a la Seguridad Informática 23
Dr. Roberto Gómez
Lámina 45 Dr. Roberto Gómez
Características biométrico ideal
• Universal– toda persona posee la característica
• Único– dos personas no comparten la característica
• Permanente– la característica no debe cambiar o alterarse
• Colectable (collectable)– característica es realmente presentable a un
sensor y es fácilmente cuantificable.
Lámina 46 Dr. Roberto Gómez
Sistemas biométricos prácticos
• Desempeño– robustez, requerimientos de recursos, y factores
operacionales o de ambiente que afectan su confiabilidad y velocidad
• Aceptación– personas dispuestas a aceptar un identificador biométrico
en su vida diaria.
• Confiablidad– que tan fácil es engañar al sistema, a través de métodos
fraudulentos
Seguridad Informática
Introducción a la Seguridad Informática 24
Dr. Roberto Gómez
Lámina 47 Dr. Roberto Gómez
Tecnologías Biométricas
• Imágenes faciales
• Geometría mano
• Métodos basados en el ojo
• Firmas
• Voz
• Geometría de la vena
• Imágenes palma y dedos
Lámina 48 Dr. Roberto Gómez
Comparación
Biometrico Universal Unico Permanente Colectable Desempe ño Aceptación ConfiabilidadCara alta baja media alta baja baja bajoHuella digital media alta alta media alta media altoGometria Mano media media media alta media media mediaIris alta alta alta media alta baja altaScan retina alta alta media baja alta baja altaFirma baja baja baja alta baja alta bajaImpresión voz media baja baja media baja alta bajaF. Termográfico alta alta baja alta media alta alta
Seguridad Informática
Introducción a la Seguridad Informática 25
Dr. Roberto Gómez
Lámina 49 Dr. Roberto Gómez
Mecanismos de control de acceso
• La autenticación pretende establecer quién eres.• La autorización (o control de accesos) establece qué
puedes hacer con el sistema.• Dos modelos: DAC y MAC• Control de acceso discrecional (DAC),
– un usuario bien identificado (típicamente, el creador o'propietario' del recurso) decide cómo protegerloestableciendo cómo compartirlo, mediante controles deacceso impuestos por el sistema.
• Control acceso mandatorio (MAC)– es el sistema quién protege los recursos. – todo recurso del sistema, y todo usuario tiene una etiqueta de
seguridad.
Lámina 50 Dr. Roberto Gómez
Mecanismos de separación
• Definición de un perímetro de seguridad• Definir las zonas “abiertas” y las zonas
cerradas.– DMZ: Zona desmilitarizada
• Mecanismos que sirven para delimitar una frontera– Filtros de paquetes– Firewalls– Wrappers– Proxies
Seguridad Informática
Introducción a la Seguridad Informática 26
Dr. Roberto Gómez
Lámina 51 Dr. Roberto Gómez
Ejemplo separación
INTERNET
Lámina 52 Dr. Roberto Gómez
Mecanismos seguridad en las comunicaciones
• Seguridad en la transmisión de información entre las diferentes entidades.
• Objetivos– Confidencialidad de la información transmitida– Integridad de los datos entre las diferentes
entidades– Autenticidad de las partes comunicantes y de la
información transmitida
• Herramientas– Criptografía: VPNs
Seguridad Informática
Introducción a la Seguridad Informática 27
Dr. Roberto Gómez
Lámina 53 Dr. Roberto Gómez
Detección
• Busca descubrir incidentes al momento en que ocurren o lo antes posible.
• Debe permitir detectar eventos para reducir el daño.
• Permite identificar y perseguir culpables.
• Revela vulnerabilidades.
Lámina 54 Dr. Roberto Gómez
Mecanismos detección
• Son aquellos que se utilizan para detectarviolaciones de la seguridad o intentos de violación.
• Ejemplos de estos mecanismos– IDS
• Tripwire• Snort
– Detectores de vulnerabilidades• Nessus• ISS
Seguridad Informática
Introducción a la Seguridad Informática 28
Dr. Roberto Gómez
Lámina 55 Dr. Roberto Gómez
Mecanismos de recuperación
• Son aquellos que se aplican cuando una violación del sistema se ha detectado, para retornar a éste sufuncionamiento correcto.
• Ejemplos– respaldos– redundancia– bitácoras– BCP– DRP
• Subgrupo– mecanismos de
análisis forense
Bueno, Gracias al Cielo salimos a tiempo . . . Y Ahora Qué? . . .
Lámina 56 Dr. Roberto Gómez
Los respaldos
• Es una copia de los datos escrita en cinta u otro medio de almacenamiento duradero.
• De manera rutinaria se recuerda a los usuarios de computadoras que respalden su trabajo con frecuencia.
• Los administradores de sitios pueden tener la responsabilidad de respaldar docenas o incluso cientos de máquinas
Seguridad Informática
Introducción a la Seguridad Informática 29
Dr. Roberto Gómez
Lámina 57 Dr. Roberto Gómez
Accountabilty: loggin: bitácoras
• Se refiere al procedimiento a través del cual un sistema operativo registra eventos conforme van ocurriendo y los preserva para un uso posterior.
• Es posible configurar los sistemas de tal forma que los eventos:– se escriban en uno o en distintos archivos, – se envien a través de la red a otra computadora,– se transmitan a algún dipositivo.
• Algunos comandos en linux– lastlog– last
Lámina 58 Dr. Roberto Gómez
Planes de contingencia
• Consiste en un análisis pormenorizado de las áreas que componen una organización para establecer una política de recuperación ante un desastre.– es un conjunto de datos estratégicos de la empresa y que se
plasma en un documento con el fin de protegerse ante eventualidades.
• Además de aumentar su seguridad la empresa también gana en el conocimiento de fortalezas y debilidades.
• Si no lo hace, se expone a sufrir una pérdida irreparable mucho más costosa que la implantación de este plan.
Seguridad Informática
Introducción a la Seguridad Informática 30
Dr. Roberto Gómez
Lámina 59 Dr. Roberto Gómez
DRP y BCP
• DRP (Disaster Recovery Planning)– recuperar la operación de los servicios computacionales y de
telecomunicaciones después de un desastre
– desastre es un evento no planeado que ocasiona la “no disponibilidad” de los servicios informáticos por un periodo de tiempo tal que, para restablecer estos servicios, es necesario utilizar facilidades alternas de cómputo y telecomunicaciones en otra localidad
• BCP (Business Continuity Planning)– capacidad para mantener la continuidad de las operaciones– dirigido a situaciones catastróficas (no problemas rutinarios)
Lámina 60 Dr. Roberto Gómez
El computo forense
• Se refiere al proceso de aplicar técnicas científicas y analíticas a infraestructura de cómputo, para identificar, preservar, analizar y presentar evidencia de manera que sea aceptable en un procedimiento legal
• ¿Que clase de evidencia ?– la computadora involucrada de forma directa.
– la computadora involucrada de forma indirecta.
• Meta: reconstrucción de eventos pasados– reconstruir que pasó, que lo ocasionó y deslindar
responsabilidades
Seguridad Informática
Introducción a la Seguridad Informática 31
Dr. Roberto Gómez
Lámina 61 Dr. Roberto Gómez
Clasificación mecanismos seguridad
Mecanismosde seguridad
prevención
detección
recuperación
autenticación
control acceso
separación
seguridad comunicaciones
IDSscanner vulnerabilidades
en lo que se sabeen lo que se tieneen lo que es
discrecionalmandatorio
filtrosfirewallwrappersproxies
respaldosredundanciabitácorasBCPDRPanálisis forense
Lámina 62 Dr. Roberto Gómez
Algunos principios de Seguridad
• Propuestos por la OECD en 1992
• Entre los más importantes encontramos– Accountability (Responsabilidad / Rendición de
Cuentas)
– Awareness (Sensibilización)
Seguridad Informática
Introducción a la Seguridad Informática 32
Dr. Roberto Gómez
Lámina 63 Dr. Roberto Gómez
Accountability
• Propiedad que asegura que las acciones de unaentidad deben llevar unicamente a dicha entidad (ISO 7498-2)
• La propiedad que habilita actividades en un sistemaADP que conducen (trace) a individuos que pueden ser declarados responsablesde dichas actividades(DOE 5636.2A)
Lámina 64 Dr. Roberto Gómez
Awareness (Sensibilización)
• Todas las partes deben poder conocer las medidas de seguridad, practicas y procedimientos.
• Una motivación para este principio es forzar la confianza en los sistemas de información.
Seguridad Informática
Introducción a la Seguridad Informática 33
Dr. Roberto Gómez
Lámina 65 Dr. Roberto Gómez
Servicios propuestos por OSI
• Autentificación.– autenticación del cliente– autenticación del servidor
• Control de Acceso– se aplica a los usuarios y procesos que ya
han sido autentificados
• Confidencialidad.– principal mecanismo: criptologia
• Integridad de Datos– CRCs y huellas digitales.
• No Repudiación.
Norma 7498-2
Lámina 66 Dr. Roberto Gómez
No Repudiación.
• Permite comprobar las acciones realizadas por el origen o destino de los datos.– con prueba de origen.
– con prueba de entrega.
• Los mecanismos principales son los certificados y las firmas digitales.
• Dos objetivos, garantizar:– que alguien que haya recibido
un pago no pueda negar este hecho.
– que alguien que haya efectuado un pago no pueda negar haberlo hecho.
Seguridad Informática
Introducción a la Seguridad Informática 34
Dr. Roberto Gómez
Lámina 67 Dr. Roberto Gómez
AAA
Authentication, authorization, y accounting
Lámina 68 Dr. Roberto Gómez
La AAA
• Authentication, authorization, y accounting – consiste de un framewok que proporciona los tres
servicios
• El objetivo del grupo de trabajo AAA es definir un protocolo que implemente autenticación, autorización y accounting lo suficientementegeneral para ser usado en aplicaciones diferentes.
• Definición de la arquitectura– de Laat, C. & Gross, G. & Gommans, L. & Vollbrecht, J.
& Spence, C., Generic AAA architecture, Internet Draft (work in progress), January 2000.
Seguridad Informática
Introducción a la Seguridad Informática 35
Dr. Roberto Gómez
Lámina 69 Dr. Roberto Gómez
Esquema general
Autenticación Autorización Accountability
proporcionar un métodopara identificar un usuario.
p.e. login/password
autorización para llevar a cabo ciertas
tareas
mide y/o almacena losrecursos que un usuario
consume durante su acceso
Servidor AAA
Lámina 70 Dr. Roberto Gómez
Evaluación
• Como evaluar que un sistema es seguro o no
• Tres mecanismos– la auditoría de seguridad (security audit),
– la evaluación de la seguridad (securityassessment)
– las pruebas de penetración (penetration testing o PEN TEST).
Seguridad Informática
Introducción a la Seguridad Informática 36
Dr. Roberto Gómez
Lámina 71 Dr. Roberto Gómez
Auditoría
• Proceso formal utilizado para medir aspectos de alto nivel de la infraestructura de seguridad desde la perspectiva organizacional (Ray Kaplan)
• Auditores limitan el alcance y no incluyen detalles técnicos de bajo nivel: – fallas en protocolos de comunicación.
• Posible encontrar auditorias con mayor nivel de profundidad y alcance, con datos y recomendaciones técnicas detalladas.
• Generalmente se lleva a cabo por auditores EDP (Electronic Data Processing) certificados bajo las directrices de un comité
Lámina 72 Dr. Roberto Gómez
Evaluación Seguridad Informática
• Está orientada a establecer mayores detalles técnicos de la seguridad de la infraestructura de una organización.
• Son menos formales y tienden a ofrecer mayor detalle y alcance que las auditorías.
• Se lleva a cabo por un equipo de expertos en tecnología (generalmente con experiencia y trayectoria en este tipo de trabajos) bajo el auspiciode un comité ad-hoc conformado por personal de la organización, más que por auditores certificados.
Seguridad Informática
Introducción a la Seguridad Informática 37
Dr. Roberto Gómez
Lámina 73 Dr. Roberto Gómez
Pruebas de penetración
• Se encuentran involucrados expertos en tecnología o profesionales certificados en seguridad informática
• Reportan a comité seleccionado por la organización• Pretende demostrar que una infraestructura es
vulnerable, penetrando en ella a través de ataques controlados desde dentro o fuera de la organización.
• Se pretende simular las actividades de un atacante, buscando medios para evadir los controles e identificar y aprovechar puntos débiles.
Lámina 74 Dr. Roberto Gómez
Pruebas de penetración
• Pueden ser prácticas formales o informales
• Informales– orientadas por objetivos técnicos de la infraestructura de
comunicaciones, en un esfuerzo por penetrar tan rápido como se pueda dicha infraestructura.
• Formales – están orientadas a verificar debilidades en las políticas de
seguridad, soportadas en procedimientos y prácticas que pueden comprometer la información sensible de la organización.
Seguridad Informática
Introducción a la Seguridad Informática 38
Dr. Roberto Gómez
Lámina 75 Dr. Roberto Gómez
Metodologías
• El éxito de una buena prueba de penetración depende de capacidad y la experiencia del que la lleva a cabo, es bueno apoyarse en una metodología
• Ejemplos metodologías– Wardoc . Rhino9 y Neonsurge
• Recopilación de información (NetBIOS e IIS)• Penetración (NetBIOS e IIS)
– NIST 800-42 (Guía para evaluar la seguridad en red)• Planeación• Descubrimiento• Ataque (nuevamente descubrimiento)• Reporte (análisis causas raíz)
Lámina 76 Dr. Roberto Gómez
La metodología OSSTMM
• Open Source Security Testing Methodology Manual– Autor: Pete Herzog
• Metodología dividida en secciones, módulos y tareas.• Mapa de Seguridad (6 secciones)
– Seguridad de la Información– Seguridad de los Procesos– Seguridad de las Tecnologías de Internet– Seguridad de las Comunicaciones– Seguridad Inalámbrica– Seguridad Física
• Base: Valores de Evaluación de Riesgos– solo aplicación efectiva de los controles y no solo su existencia.
• Cada sección se compone de varios módulos y estos a su vez de tareas.
Seguridad Informática
Introducción a la Seguridad Informática 39
Dr. Roberto Gómez
Lámina 77 Dr. Roberto Gómez
Otras metodologías
• Breaking into computer networks form the Internet, Roelof Temming (sensepost)
• An approach to systematic network auditing -Mixter (TFN)
• Impoving the security of your site by breaking into it . Dan Farme y Wietse Venema
• Managing a Network Vulnerability Assessment . Peltier y Blackley
• Hack I.T. . T.J. Klevinsky
• Hacking Exposed . McClure, Scambray, Kurtz
Lámina 78 Dr. Roberto Gómez
Reporte prueba penetración
• Se debe explicar paso a paso cómo se llevó a cabo la actividad hasta alcanzar y penetrar la infraestructura de comunicaciones.
• Así mismo, documenta cómo se aprovecharon las debilidades de los programas o deficiencias en lasconfiguraciones del hardware para ingresarde manera no autorizada al perímetro de comunicaciones de la empresa
Seguridad Informática
Introducción a la Seguridad Informática 40
Dr. Roberto Gómez
Lámina 79 Dr. Roberto Gómez
Ejemplos resultados Nessus
Lámina 80 Dr. Roberto Gómez
¿Cuál de las tres usar?
Seguridad Informática
Introducción a la Seguridad Informática 41
Dr. Roberto Gómez
Lámina 81 Dr. Roberto Gómez
Los protagonistas
hackers, crackers y ...
Lámina 82 Dr. Roberto Gómez
Los protagonistas
• Los hackers
• Los crackers
• Los phreakers
• Los script kidies
Seguridad Informática
Introducción a la Seguridad Informática 42
Dr. Roberto Gómez
Lámina 83 Dr. Roberto Gómez
El Hacker: La Vieja Guardia
• Origen del término a finales de los 60.
• Programador con alto dominio de su profesión, capaz de solucionar problemas a través de hacks(segmentos de código muy ingenioso).
• Verdaderos conocedores de la tecnología de cómputo y telecomunicaciones (85-93).
• La búsqueda del conocimiento siempre fue su fuerza impulsora.
Lámina 84 Dr. Roberto Gómez
Este mundo es nuestro ... el mundo de los electrones y los interruptores, la belleza del baudio. Utilizamos un servicio ya existente, sin pagar por eso que podría haber sido más barato si no fuese por esos devoradores de beneficios. Y nos llaman delincuentes. Exploramos... y nos llaman delincuentes. No diferenciamos el color de la piel, ni la nacionalidad, ni la religión... y ustedes nos llaman delincuentes. Construyen bombas atómicas, hacen la guerra, asesinan, estafan al país y nos mienten tratando de hacernos creer que son buenos, y aún nos tratan de delincuentes. Si, soy un delincuente. Mi delito es la curiosidad. Mi delito es juzgar a la gente por lo que dice y por lo que piensa, no por lo que parece. Mi delito es sermás inteligente que ustedes, algo que nunca me perdonarán.
The Mentor
Seguridad Informática
Introducción a la Seguridad Informática 43
Dr. Roberto Gómez
Lámina 85 Dr. Roberto Gómez
The Mentor
Lámina 86 Dr. Roberto Gómez
El cracker
• Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas computacionales.
• Una vez logrado el acceso produce daños a los recursos del sistema atacado.
• No necesariamente tiene el mismo nivel de conocimientos que el hacker.
Seguridad Informática
Introducción a la Seguridad Informática 44
Dr. Roberto Gómez
Lámina 87 Dr. Roberto Gómez
Los phreakers
• Aquella persona que en forma persistente realiza intentos hasta obtener acceso a sistemas telefónicos privados.
• Una vez logrado el acceso produce daños a los recursos del sistema atacado, o se beneficia del mismo.
Lámina 88 Dr. Roberto Gómez
El Hacker: la nueva generación o los ¨Script-kidies¨
• Gente con la capacidad de buscar un programa en la red y ejecutarlo.
• No hay una meta fija.• Necesidad de pertenencia, aunque sea al
inframundo.• No hay preocupación por las consecuencias
reales de sus actos.• Se sienten muy ¨cool¨.
Seguridad Informática
Introducción a la Seguridad Informática 45
Dr. Roberto Gómez
Lámina 89 Dr. Roberto Gómez
External Threats: Hacker Tool ExplosionRecent Web Search for “Hacker Tools” returned over 2100 hits
1980 1985 1990 1995 2000
Password Guessing
Disabling Audits
Backdoors & Trojan Horses
Hijacking Sessions
Password Crackers
Packet SniffersStealth Diagnostics
Tools with GUIs
OS DetectorsPort Scanners
Vulnerability Scanners
Distributed Denial of Service Attacks
Packet Spoofing
HIGH
LOW
Sophistication ofAttacker Tools
Required Knowledgeand Ability of Attackers
I get scanned dozens of times everyday. Less than 20% of those scans are US based
ISS User
Lámina 90 Dr. Roberto Gómez
Los Lammers
• Individuo sin muchos conocimientos, aunque un poco más elevados que los mortales, pero claramente inferiores a los de un hacker.
• Se hacen pasar por hackers
• Termino bastante despectivo
• Se les reconoce por su costumbre de presumir en los chats de conocimientos, normalmente técnicas que aunque al conjunto de los usuarios puedan parecer asombrosas, son más viejas que el arca de Noé y su uso no implica conocimientos de alto nivel.
Seguridad Informática
Introducción a la Seguridad Informática 46
Dr. Roberto Gómez
Lámina 91 Dr. Roberto Gómez
Algunos intentos de sofisticación
• Escribir con k– “kasi” da pena al leerlos
• Escribir minúsculas y mayúsculas– EsTo TiPo De TiPoGrAfIa Ya No EsTa De
MoDa Y yA nO sE uSa
• Lenguaje “elite”– sustituir letras por números
– 3ST0 S3RI4 UN 3J3MPLO D3 DICH0 L3NGU4J3
Lámina 92 Dr. Roberto Gómez
Newbies
• Joven usuario que está comenzando y decide aprender siguiendo las reglas sin romper nada.
• No son peligrosos porque prefieren asesorarse y normalmente acaban siendo hackers
• En cierto modo un newbie es un “aprendiz” de un hacker.
Una madrecitaAprendiendo a“Hackear”.
Seguridad Informática
Introducción a la Seguridad Informática 47
Dr. Roberto Gómez
Lámina 93 Dr. Roberto Gómez
El Hacker: ¿cómo lo ven el resto de los usuarios?
• ¿Qué es eso?
• Eso pasa solo en las películas.
• Así como los de ¨The Net¨
• Yo soy hacker.
• Yo apenas sé como se usa una computadora.
• Bill Gates se va a encargar de ellos.
Lámina 94 Dr. Roberto Gómez
El hall de la fama de los hackers
www.discovery.com/area/technology/hackers/hackers.html
X
Seguridad Informática
Introducción a la Seguridad Informática 48
Dr. Roberto Gómez
Lámina 95 Dr. Roberto Gómez
¿Qué hicieron?
• Kevin Poulsen– In 1990 Poulsen took over all telephone lines going into Los
Angeles area radio station KIIS-FM to win a call-in contest.
• Johan Helsingius– Operated the world's most popular anonymous remailer, called
penet.fi, until he closed up shop in September 1996.
• Phiber Optik (Mark Abene)– Inspired thousands of teenagers around the country to "study" the
internal workings of our nation's phone system.
• Cap Crunch (John Draper)– Figured out how to make free phone calls using a plasticprize
whistle he found in a cereal box.
Lámina 96 Dr. Roberto Gómez
El hacker Kevin Mitnick
Seguridad Informática
Introducción a la Seguridad Informática 49
Dr. Roberto Gómez
Lámina 97 Dr. Roberto Gómez
Algunos otros
• Steve Wozniak
• Tsutomu Shimomura
• Linus Torvalds
Lámina 98 Dr. Roberto Gómez
¿Que motiva a un hacker?
• Hacktivists
• State sponsored
• Industrial Espionage
Seguridad Informática
Introducción a la Seguridad Informática 50
Dr. Roberto Gómez
Lámina 99 Dr. Roberto Gómez
Lámina 100 Dr. Roberto Gómez
Aficionados al deporte...
Seguridad Informática
Introducción a la Seguridad Informática 51
Dr. Roberto Gómez
Lámina 101 Dr. Roberto Gómez
La revancha ...
Lámina 102 Dr. Roberto Gómez
Seguridad Informática
Introducción a la Seguridad Informática 52
Dr. Roberto Gómez
Lámina 103 Dr. Roberto Gómez
Defaced pages
• Primero fue attrition– http://www.attrition.org
• Después fue alldas– http://defaced.alldas.de/
• Ahora es: – http://www.zone-h.org/defacements/onhold
Lámina 104 Dr. Roberto Gómez
One of the most predominant sections of Attrition has been t he defacement mirror. Whatbegan as a small collection of web site defacement mirror s soon turned into a near 24/7 chore of keeping it up to date. In the last month, we have e xperienced single days ofmirroring over 100 defaced web sites, over three times t he total for 1995 and 1996 combined. With the rapid increase in web defacement activity, ther e are times when it requires oneof us to take mirrors for four or five hours straight to catch u p. Add to that the scriptsand utilities needed to keep the mirror updated, statistic s generated, mail lists maintained, and the time required for basic functionality is immense. A "hobby" is supposed to be enjoyable. Maintaining the mirror is becoming a thankles s chore.
During this time, we have struggled to keep up various othe r sections of Attrition thathave been a core part of the site. As the mirror grew and beg an to consume more resources, the other sections have found themselves on the backburner and rarelyupdated. In essence, what was once a hobby site run in spare time for fun has turnedinto a beleaguring second job. A job that comes with more headache, complaints, criticisms, slander and attacks than productive output o r reward. In two years wehave turned away countless computer security work that coul d have been fulfilledby a number of us. The abuse and ignorance we deal with fro m defacers anddefacement victims is staggering, and some of that abuse s pills over into actual attacks. Attrition has been taken down more than once by massive denial of serviceattacks which have inconvenienced our generous upstream pr ovider, hundreds ofother colo customers, and thousands of dialup customers, making our job evenmore difficult.
With that, the mirror will no longer be maintained. We'v e served our time.
Attrition Decision
Seguridad Informática
Introducción a la Seguridad Informática 53
Dr. Roberto Gómez
Lámina 105 Dr. Roberto Gómez
Lámina 106 Dr. Roberto Gómez
Un ejemplo de conversación
#25 por ThA_CroW 21/9/2003 kiuvo banda? ya deberian de dejarse de lameradas y pon erse a trabajar ya ke se supone ke pagar tanta lana por este evento ke segun yo pienso ke deberia de ser gratis o ke? no ke muy hackers?
#14 por SoylaIradeDios 18/9/2003 los de hackersoft y hakim.ws si son hackers la mayoria , y organizan sus reuniones sin cobrar para enseñar sus conocimientos en hack por eso preguntaba si iban a d ar alguna ponencia como representantes de la escene en mexico, ellos si han hackeado servers importantes
#32 por ArPhAnEt_X 24/9/2003 pus komo ya dijo napa...no kreo ke esto sea kompetenci a y al igual ke el yo tambien llevo amigos ke kieren aprender. .. lo ke dice la ira de dios pues kreo ke no todos en hacker softsabemos mucho o por lo menos yo... pero lo ke si ten emos en hackersoft, es ganas de avanzar, aprender y kompart ir todo esto con mas gente y esto es a lo ke muchos les hace falta y no estankarce kon lo ke ya esta deskubierto, sino desk ubrirmas y enseñar a mas dejando el elitismo a un lado.
Seguridad Informática
Introducción a la Seguridad Informática 54
Dr. Roberto Gómez
Lámina 107 Dr. Roberto Gómez
Otros términos relacionados
• Wracker– programas shareware o freeware
• Carding– reventar o emular tarjetas de crédito
– Copy-hackers o Copy-crakers
– skimming
• Wares– intercambio programas comerciales pirateados
• Sneaker– espía informático por excelencia
Lámina 108 Dr. Roberto Gómez
Más términos relacionados
• Snuffer– variante sneaker, limitado a averiguar claves de acceso a
sistemas y descubre errores y agujeros en programas
• Corsarios– ya no se habla, ya no existen en ningún país– comprobar efectividad programas de una empresa y
sobre todo los de la competencia
• Bucaneros– sin tener conocimientos especiales, recogen programas
pirateados y los revenden para enriquecerse con ello
• Rider– estaba en alguna de las categorías anteriores pero
actualmente trabaja en el campo legal
Seguridad Informática
Introducción a la Seguridad Informática 55
Dr. Roberto Gómez
Lámina 109 Dr. Roberto Gómez
Algunos grupos
• Chaos Computer Club – www.ccc.de
• Cult of the Dead Cow– www.cultdeadcow.com
• DC2600.org– www.2600.com/
• AntiOffline removing the Dot in Dot.com– www.antioffline.com/
• The Ghetto Hackers (rootfu)– http://www.ghettohackers.net/
• DARK CLAW • LoD• ¿Y en México?
– Raza Mexicana (www.raza-mexicana.org)– Aztlan Klan– Cucaracha Hackers Team
Lámina 110 Dr. Roberto Gómez
Seguridad Informática
Introducción a la Seguridad Informática 56
Dr. Roberto Gómez
Lámina 111 Dr. Roberto Gómez
Ejemplo hackeo hardware
Lámina 112 Dr. Roberto Gómez
¿Y cómo diferenciar a los buenos de los malos?
• Recomendaciones de terceros
• Prestigio de las compañías
• Certificaciones / títulos academicos
Seguridad Informática
Introducción a la Seguridad Informática 57
Dr. Roberto Gómez
Lámina 113 Dr. Roberto Gómez
Títulos y certificaciones
• Títulos académicos– licenciatura– maestría– doctorado
• Certificaciones– CISSP– SSCP– CISA– CISM– CISMP– SCP– BS7799-LA
Lámina 114 Dr. Roberto Gómez
Las opciones académicas
• Diplomados– ITESM-CEM– UNAM– y otros
• Cursos aislados en programas de maestría y licenciatura
• Ninguna institución a nivel nacional (latinoamerica??) ofrece una opción en seguridad informática– CESNAV– UNITEC
• Varias universidades americanas y europeas ofrecen maestrías en el área de seguridad informática.
Seguridad Informática
Introducción a la Seguridad Informática 58
Dr. Roberto Gómez
Lámina 115 Dr. Roberto Gómez
Universidades relacionadas
• University of Sheffield – http://www.shef.ac.uk
• Ecole Ingenieur Télécom Paris - ENST Ecole nationale– Mastere Sécurité des systèmes informatiques et des réseaux– http://www.enst.fr/3e-cycle-msc-masteres/masteres/ssir.php
• University Purdue– Center for Education and Research in Information Assurance
and Security, or CERIAS– http://www.cerias.purdue.edu/
• The George Washington University– Master of Arts in the arts in the field of Criminal Justice
Computer Fraud Investigation– http://www.gwu.edu
Lámina 116 Dr. Roberto Gómez
Otras dos más...
• Carnegie Mellon University. – Information Networking Institute (INI)– http://www.ini.cmu.edu/– Master of Science in Information Networking– Master of Science in Information Security Technology
and Management
• Capitol College– Master of Science in Network Security– restricted by the United States Department of Commerce
to U.S. citizens and permanent residents– http://www.capitol-
college.edu/academics/grad/msns.html
Seguridad Informática
Introducción a la Seguridad Informática 59
Dr. Roberto Gómez
Lámina 117 Dr. Roberto Gómez
Certificaciones
• Requerimientos legales – Sarbanes Oxley (2002)
– Turnbull Report (1990’s) en Europa
– PCI: Mastercard y Visa (2007)
• ¿Qué puedo certificar?– Individuos
– Organizaciones
– Productos
Lámina 118 Dr. Roberto Gómez
• La empresa American International Group (AIG) recibió una multa de $10 millones de dólares
–Se afirmó que existían políticas diseñadas para ayudar a las compañías a ocultar sus pérdidas
–Es la primer multa de este tipo aplicada a una aseguradora
• Al Bank of América se le multó con $375 millones de dólares
–No existió cooperación con la investigación –Es la primera multa de este monto en un solo caso
Violaciones
Seguridad Informática
Introducción a la Seguridad Informática 60
Dr. Roberto Gómez
Lámina 119 Dr. Roberto Gómez
Certificación de individuos
CISSP, SSCP, CISA, CISM, GIAC
Lámina 120 Dr. Roberto Gómez
Certificación de individuos
• Las certificaciones en Seguridad tienen un rol cada día más importante en el proceso de selección y reclutamiento de individuos
• Cada certificación cuenta con un CBK– Cuerpo común de conocimientos
Seguridad Informática
Introducción a la Seguridad Informática 61
Dr. Roberto Gómez
Lámina 121 Dr. Roberto Gómez
Consideraciones y recomendaciones
• Consideraciones básicas
– Fortalecen habilidades o perfiles según los objetivos y deseos de los candidatos
– No reemplazan la formación académica universitaria
– Evalúan cuerpos de conocimientos en campos específicos
– Orientan un desarrollo profesional técnico o administrativo.
– Requieren de una re-certificación generalmente anual
• Recomendaciones para escoger:
– Rigurosidad en conceptos y cuerpo de conocimiento formal.
– Formación y actualización permanente
– Programa educativo y de conocimientos que pueda ser validado por terceros.
– Exigencia de experiencia práctica comprobable en el mundo real.
– Declaración y aceptación formal de estándares de ética y actuación profesional
Lámina 122 Dr. Roberto Gómez
Organismos
• ISACA– Information Systems and Audit Control Association
• (ISC)2
• British Standards Institute: BS• International Standards Organization• Departamente de Defensa de USA• ITSEC
– Information Technology Security Evaluation
• Otros– Sarbanes Oxley Act– HIPAA Act, etc…
Seguridad Informática
Introducción a la Seguridad Informática 62
Dr. Roberto Gómez
Lámina 123 Dr. Roberto Gómez
Opciones certificación
• Más de 55 certificaciones en seguridad neutrales de productos
• Las mas demandadas– CISSP– SANS GIAC– CPP
• SANS GIAC la pionera en la creación de programas de certificaciones – cuenta con una gran variedad y están
relacionadas entre sí a manera de carrera.
Lámina 124 Dr. Roberto Gómez
Hacia una jerarquía
CompTIA Security + SANS GSEC SSCP de (ISC)2
SANS-GIAC CISSP de (ISC)2 CISM de ISACA
primer nivel básico
credenciales intermedias y de nivel Senior
restringen su acceso a solo individuos Most-Senior de la comunidad de la seguridad, simplemente porque requieren cinco a nueve años de experiencia profesional en el campo de seguridad.
CPP de ASIS PCI de ASIS PSP de ASIS
Seguridad Informática
Introducción a la Seguridad Informática 63
Dr. Roberto Gómez
Lámina 125 Dr. Roberto Gómez
CompTIA
• Asociación mundial de la industria de la computación, tanto en software como en hardware, con mas de 21,000 miembros en mas de 120 países– www.comptia.org
• Es la mas grande y única asociación global de estetipo
• Ha desarrollado once destrezas en Certificacionesen Tecnología Informática– cubren un amplio rango de disciplinas, ambientes
operativos y niveles de destrezas
Lámina 126 Dr. Roberto Gómez
Características certificaciones
• Las certificaciones provienen de un vendedorneutral.
• Las certificaciones son rigurosamentediseñadas y construidas para asegurar quehasta la última destreza en TecnologíaInformática sea validada.
• Son tan ampliamente reconocidas que se hanconvertido en un Standard de la industria en todo el mundo.
Seguridad Informática
Introducción a la Seguridad Informática 64
Dr. Roberto Gómez
Lámina 127 Dr. Roberto Gómez
Certificaciones de la CompTIA
• A+ Entry-Level Computer Service • CTT+ Certified Trainer• Network+ Network Support and Administration • CDIA+ Document Imaging and Management• Server+ Server Hardware Technology • i-Net+ Internet and Online Technologies• Security+ Computer and Information Security • Linux+ Linux Operating Systems• HTI+ Home Technology Integration • Project+ Project Management• e-Biz+ e-Commerce
Lámina 128 Dr. Roberto Gómez
CBK y examen
• CBK
• Examen– 100 preguntas– 90 minutos para responder– 764 en escala de 100-900 para pasar
15%Basics of Cryptography
15%Operational / Organizational Security
20%Infrastructure Security
20%Communication Security
30%General Security Concepts
% examenDominio
Seguridad Informática
Introducción a la Seguridad Informática 65
Dr. Roberto Gómez
Lámina 129 Dr. Roberto Gómez
CISSP
• No es una asociación, es el título que ostenta el profesional certificado– Certified Information Systems Security Professional
• Ser CISSP es un privilegio que se debe ganar y mantener
• Otorgado por la (ISC)2
– International Information Systems Security CertificationConsortium
– Organismo independiente
– Creado para realizar la certificación de profesionales en seguridad informática
Lámina 130 Dr. Roberto Gómez
CBK del CISSP
• Access Control Systems & Methodology
• Telecommunications & Network Security
• Security Management Practices
• Applications & Systems Development Security
• Cryptography
• Security Architecture & Models
• Operations Security• Business Continuity
Planning (BCP) & DisasterRecovery Planning (DRP)
• Law, Investigations & Ethics
• Physical Security
Seguridad Informática
Introducción a la Seguridad Informática 66
Dr. Roberto Gómez
Lámina 131 Dr. Roberto Gómez
CISSP en México
• ALAPSI– Asociación Latinoamerica Profesionales
Seguridad Informática
– http://www.alapsi.org
• Dos/tres exámenes por año
• Cursos preparación examen
• Próximo examen: consultar página
• Número de certificados en México: 185
Lámina 132 Dr. Roberto Gómez
El examen
• Formato– examen de opción múltiple– 250 preguntas– se cuenta hasta 6 horas para resolverrlo
• Aprobar examen con 700 puntos • Enviar formato de adhesión/certificación
(Endorsement Form) avalada por un CISSP o por otro profesional calificado
• Auditoría, si es seleccionado• Calendarización
– www.isc2.org
Seguridad Informática
Introducción a la Seguridad Informática 67
Dr. Roberto Gómez
Lámina 133 Dr. Roberto Gómez
SSCP
• Especialista Certificado de Seguridad de Sistemas – Systems Security Certified Practitioner
• Diseñada para personas que aplican los principios de seguridad de la información, procedimientos, estándares y guías de una organización.– proporcionar soporte de la infraestructura de la seguridad
– security enforcer
– la persona no solo entiende su posición, sino también tiene un conocimiento de experto de la seguridad informática, como funciona y como es aplicada
Lámina 134 Dr. Roberto Gómez
CBK del SSCP
• Access Controls
• Administration
• Audit and Monitoring
• Risk, Response and Recovery
• Cryptography
• Data Communications
• Malicious Code/Malware
Seguridad Informática
Introducción a la Seguridad Informática 68
Dr. Roberto Gómez
Lámina 135 Dr. Roberto Gómez
CISA
• Certified Information Systems Auditor• En un principio dominio exclusivo de auditores de IT• Administrada por la ISACA (Information Systems
Audit and Control Association & Foundation)– fundada en 1969
• Certificación CISA tiene desde 1978• En 2002 se contaba con unos 28,000 personas con
dicha certificación.• Dominios coinciden con CISSP
– más enfocado a los procedimientos del negocio que a la tecnología
• Varios CISSP optan por ganar su CISA
Lámina 136 Dr. Roberto Gómez
Áreas CISA
• Management, planning and organization of IS
• Technical infrastructure and operational practices
• Protection of information assets
• Disaster recovery and business continuity
• Business application system development, acquisition, implementation and maintenance
• Business process evaluation and risk management
• The IS audit process
Seguridad Informática
Introducción a la Seguridad Informática 69
Dr. Roberto Gómez
Lámina 137 Dr. Roberto Gómez
CISM
• ISACA acaba de diseñar la certificación CISM– Certified Information Security Manager
• Certificación reconoce el conocimiento y experiencia de un administrador de seguridad IT
• Debido a que es nuevo, pasa por un periodo de “apadrinamiento”– aquellos que puedan demostrar ocho años de experiencia
en el área de seguridad informática puede obtener la certificación sin realizar examen alguno
– periodo abierto hasta el 31 diciembre 2003
• Después periodo será necesario presentar examen.• Primer examen será ofrecido en Junio 2004
Lámina 138 Dr. Roberto Gómez
CBK del CISM
• Information Security Governance
• Risk Management
• Information Security ProgrammeManagement
• Information Security Management
• Response Management
Seguridad Informática
Introducción a la Seguridad Informática 70
Dr. Roberto Gómez
Lámina 139 Dr. Roberto Gómez
Global Information AssuranceCertifications
• SANS Institute ofrece una serie de certificaciones bajo el programa GIAC– Global Information Assurance Certification
• Grupo de certificaciones técnicas y algunas administrativas
• La experiencia no es explicita o necesaria para obtenerla– orientado a la práctica de seguridad informática
• Código de ética del SANS• http://www.giac.org
Lámina 140 Dr. Roberto Gómez
Certificaciones
• No hay un orden en particular
• Se recomienda empezar con los de nivel bajo e ir subiendo
• GIAC Certification – cursos 5-6 días– periodo de 6 meses para
certificarse– color amarillo
• GIAC Certificates– cursos 1-2 días– 10 semanas– color verde
Seguridad Informática
Introducción a la Seguridad Informática 71
Dr. Roberto Gómez
Lámina 141 Dr. Roberto Gómez
Las certificaciones
• Information Security Fundamentals • Mastering Packet Analysis • Security Essentials Certification • Securing Solaris • Securing Windows 2000 • Defeating Rogue Access Points• Auditing Cisco Routers• Certified Firewall Analyst • Certified Intrusion Analyst• Certified Windows Security
Administrator• Certified Incident Handler • Certified UNIX Security
Administrator • Certified Forensics Analyst • Securing Oracle Certification • Intrusion Prevention • Cutting Edge Hacking Techniques • Web Application Security
• Reverse Engineering Malware• Secure Internet Presence• .Net• E-warfare • Fundamentals of Information Security Policy • Cyber Warrior • HIPAA Security Implementation • Ethics in IT • Security Leadership Certification • Certified Security Consultant • Security Audit Essentials • Certified ISO-17799 Specialist• Systems and Network Auditor • Auditing Wireless Networks• Contracting for Data Security • Law of Fraud • Business Law and Computer Security • Legal Issues in Information Technologies
Lámina 142 Dr. Roberto Gómez
Otras certificaciones
• Puestos IT managers o IT security managers solicitan otro tipo de certificaciones como– Microsoft Certified Systems Engineer (MCSE)
– CISCO: CCNA, CCNP, etc
• Certificaciones productos– ISS: Internet Security Scanner
– Symantec
– Network Associates
– Checkpoint / Firewall 1
Seguridad Informática
Introducción a la Seguridad Informática 72
Dr. Roberto Gómez
Lámina 143 Dr. Roberto Gómez
Certificaciones de organizaciones
ISO 17799 / BS 7799 / UNE 71502
Lámina 144 Dr. Roberto Gómez
Certificación organizaciones
• Pregunta– ¿Si igual voy a hacer algo, porque no lo hago
teniendo en cuenta las Normas, Metodologías y Legislaciones Internacionales aplicables?
Seguridad Informática
Introducción a la Seguridad Informática 73
Dr. Roberto Gómez
Lámina 145 Dr. Roberto Gómez
Norma ISO 17799 / BS 7799 / UNE 71502
• Un conjunto de controles basados en las mejores prácticas en seguridad de la información;
• Estándar internacional que cubre todos los aspectos de la seguridad informática:– Equipos
– Políticas de gestión
– Recursos humanos
– Aspectos jurídicos
Lámina 146 Dr. Roberto Gómez
Las normas ISO
• International Standards Organization: Normas ISO
– ISO 9001 – Calidad
– ISO 14001 – Ambiental
– ISO 17799 – Seguridad de la Información
• La principal norma de Evaluación e Implementación de medidas de Seguridad en Tecnologías de la Información es la NORMA ISO 17799.
Seguridad Informática
Introducción a la Seguridad Informática 74
Dr. Roberto Gómez
Lámina 147 Dr. Roberto Gómez
Características de la norma
• Cobertura de la norma
• Probada
• Pública
• Internacional
• Imagen de marca asociada a "la calidad"
• Evolutiva y flexible (se adapta a los contextos)
• Disponibilidad de herramientas y soporte
Lámina 148 Dr. Roberto Gómez
ISO 17799
• Una organización puede optar a implantar y "certificar" su sistema de gerencia en la gestión de integridad y seguridad en el manejo de información y datos.– comprende de elementos y cláusulas enfocados a
prácticas y métodos fundamentales de seguridad
• La precursora de ISO 17799 es la adopción de la normativa británica BS 7799. – La BS 7799 se publicó en febrero del 1995 y se revisó en
mayo del 1999. – Esta normativa aplica invariablemente a organizaciones
pequeñas, medianas y multinacionales.
Seguridad Informática
Introducción a la Seguridad Informática 75
Dr. Roberto Gómez
Lámina 149 Dr. Roberto Gómez
Areas control ISO 1799
1. Security Policy2. Security Organization3. Asset Control and Classification4. Personnel Security5. Physical & Environmental Security6. Communications & Operations Management7. Acces Control8. Systems Development & Maintenance 9. Business Continuity Management 10. Compliance
Lámina 150 Dr. Roberto Gómez
Las 10 secciones de la norma
1. Politique desécurité
2. Sécurité de l’organisation
3. Classification et contrôle des
actifs
7. Contrôle des accès
4. Sécurité du personnel 5. Sécurité physique et environnementale
8. Développement et maintenance
6. Gestion des communications et opérations
9. Gestion de la continuité
10. Conformité
1. Política de seguridad
2. Seguridad de la organización
3. Clasificación y control de los
activos
7. Control de
accesos
4. Seguridad del personal 5. Seguridad física y medioambiental
8. Desarrollo y mantenimiento de los sistemas
6. Gestión de las telecomunicaciones y operaciones
9. Gestión de la continuidad de lasoperaciones de la empresa
10. Conformidad
Organizacional
Operacional
Seguridad Informática
Introducción a la Seguridad Informática 76
Dr. Roberto Gómez
Lámina 151 Dr. Roberto Gómez
Historia
1995
1998
BS 7799 Parte 1
BS 7799 Parte 2
Estándar Sueco SS 62 77 99 Parte 1 y 21999Nueva versión de BS 7799 Parte 1 y 2
Diciembre 2000 ISO/IEC 17799:2000
2001Revisión de BS 7799-2
Septiembre 2002 Nueva versión de BS 7799-2 revisada y corregida
UNE 71502Marzo 2004
Julio 2005Nueva versión de BS 7799-2
revisada y corregida
Lámina 152 Dr. Roberto Gómez
Nota importante
• La norma ISO 17799 no es certificable.– ISO 17799 sólo hace recomendaciones sobre uso de 127
controles de seguridad aplicados en 10 áreas de control.
– No establece requisitos cuyo cumplimiento pudieran certificarse.
• ISO 17799 es prácticamente igual a la primera parte de la norma BS 7799, o sea la BS 7799-1. – BS 7799 tiene una segunda parte, BS 7799-2, la cual puede
auditarse y certificarse.
• No hay versión ISO de BS 7799-2, la ISO 17799:2000 debe complementarse con la BS 7799-2:2002.
Seguridad Informática
Introducción a la Seguridad Informática 77
Dr. Roberto Gómez
Lámina 153 Dr. Roberto Gómez
Actualización de la norma
Information security incident management
13
Compliance15Compliance 12
Business continuity management14Business continuity management11
Information systems acquisition, development & maintenance
12Systems development & maintenance
10
Access control11Access control9
Communications & operations management
10Communications & operations management
8
Physical & environmental security9Physical & environmental security7
Human resources security8Personnel security6
Asset management7Asset classification & control5
Organizing information security6Organisational security4
Security policy5Security policy3
2005 edition2000 edition
Information security incident management
13
Compliance15Compliance 12
Business continuity management14Business continuity management11
Information systems acquisition, development & maintenance
12Systems development & maintenance
10
Access control11Access control9
Communications & operations management
10Communications & operations management
8
Physical & environmental security9Physical & environmental security7
Human resources security8Personnel security6
Asset management7Asset classification & control5
Organizing information security6Organisational security4
Security policy5Security policy3
2005 edition2000 edition
Lámina 154 Dr. Roberto Gómez
La ISO 27001
• Anunciada como el reemplazo del BS7799• Publicación hermana del ISO 1799• ISO 17799 es un código de practicas
– describe controles individuales para posibles implementaciones
• BS7799 es la parte del estandar contra la cual se otorga la certificacion– esto se pasará al ISO 27001
• ISO 27001– incorpora un número significante de cambios– armoniza el enfoque con otros estandares como el ISO
9001
Seguridad Informática
Introducción a la Seguridad Informática 78
Dr. Roberto Gómez
Lámina 155 Dr. Roberto Gómez
Integración con otras normas
ISO 9001:2000ISO 9001:2000ISO 9001:2000
BS 7799:2BS 7799:2ISMSISMS
BS 15000 is ISO 9001:2000 for IT and can be an extension of ISO 9001 scope
BS 15000BS 15000
El resto del mundo ISO
Lámina 156 Dr. Roberto Gómez
Lista empresas certificadas
• Más de 80 000 empresas se conformaron a BS 7799 / ISO 17799 a través del mundo
• Algunas de estas empresas son:– Fujitsu Limited– Insight Consulting Limited– KPMG– Marconi Secure Systems– Samsung Electronics Co Ltd;– Sony Bank inc.– Symantec Security Services– Toshiba IS Corporate
Seguridad Informática
Introducción a la Seguridad Informática 79
Dr. Roberto Gómez
Lámina 157 Dr. Roberto Gómez
La certificación de productos
TCSEC, ITSEC, CTCPEC, CC
Lámina 158 Dr. Roberto Gómez
TCSEC certification
• Trusted Computer Systems EvaluationCriteria
• Pagina (Rainbow Series Library)– http://www.radium.ncsc.mil/tpep/library/rainbow/
• Documento publicado por el Departamento de Defensa de los Estados Unidos en 1983 (DOD 5200.28-STD) conocido también como el “Orange Book.”– actualizado en 1985
Seguridad Informática
Introducción a la Seguridad Informática 80
Dr. Roberto Gómez
Lámina 159 Dr. Roberto Gómez
Objetivos TCSEC
• Proporcionar una guía a los fabricantes de productos comerciales en relación a las características de seguridad que deben cumplir sus productos.
• Dotar al DoD de los Estados Unidos con una métrica para evaluar el grado de confiabilidad de los sistemas orientados a manejar información clasificada.
• Proporcionar una base a los usuarios finales para establecer requerimientos de seguridad en sus adquisiciones de productos.
Lámina 160 Dr. Roberto Gómez
Criterios y niveles
A1B3B2B1C2C1
SECURITY POLICYACCOUNTABILITY
ASSURANCEDOCUMENTATION
disc
retio
nary
acce
ssco
ntro
lob
ject
reus
ela
bels
labe
l int
egri
tyex
port
atio
nof
labe
led
info
rmat
ion
expo
rtat
ion
tom
ultil
evel
devi
ces
expo
rtat
ion
tosi
ngle
-lev
elde
vice
s
labe
l ling
hum
an-r
edab
leou
tput
man
dato
ryac
ess
cont
rol
subj
ect s
ensi
vity
labe
lsde
vice
labe
lsid
enti f
icat
ion
auth
entif
icat
ion
audi
t
thus
ted
path
syst
emar
chite
ctur
e
secu
rity
test
ing
desi
gnsp
ecif i
catio
nan
dve
rifi
cati
on
cove
rtch
anne
l ana
lysi
str
uste
dfa
cilit
ym
anag
emen
tco
nfig
urat
ion
man
agem
ent
trus
ted
reco
very
trus
ted
dist
ribu
tion
secu
rity
feat
ures
user
´sgu
ide
trus
ted
faci
li ty
man
ual
test
docu
men
tati
onde
sign
docu
men
tatio
n
syst
emin
tegr
ity
no aditional requiriments for this classnew orenhanced requiriemntes for this class
no requirements for this class
Seguridad Informática
Introducción a la Seguridad Informática 81
Dr. Roberto Gómez
Lámina 161 Dr. Roberto Gómez
Los niveles
uso métodos formales para asegurar todos los procesos
protección verficadaA
monitor referencia que permite o niega peticiones acceso
dominios seguridadB3
etiqueta cada objeto de nivel superior por ser padre de un inferior
protección estructuradaB2
etiqueta + nivel seguridad jerárquico + categorías
seguridad etiquetadaB1
auditoria de sistemasacceso controladoC2
DAC
identificación + autenticación
protección discrecionalC1
sistema no seguroD
ComentariosDescripciónNivel
Lámina 162 Dr. Roberto Gómez
Ejemplo SOs evaluados por la NSA bajo TCSEC (1996)
Seguridad Informática
Introducción a la Seguridad Informática 82
Dr. Roberto Gómez
Lámina 163 Dr. Roberto Gómez
Algunos libros de la serie arcoiris
• Orange Book– DoD Trusted Computer System Evaluation Criteria
• Green Book– DoD Password Management Guideline,
• Light Yellow Book – Computer Security Requirements
• Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments,
• Light Yellow Book – Guidance for Applying the DoD TCSEC in Specific Environments
• Bright Blue Book– Trusted Product Evaluation - A Guide for Vendors
• Red Book – Trusted Network Interpretation
Lámina 164 Dr. Roberto Gómez
Estandares creados a partir del TSSEC
• ITSEC– Information Technology Security Evaluation
Criteria – http://www.cordis.lu/infosec/src/crit.htm– la versión europea
• CTCPEC– Canadian Trusted Computer Product Evaluation
Criteria– ftp://ftp.cse.dnd.ca/pub/criteria/CTCPEC.ascii– la versión canadiense
Seguridad Informática
Introducción a la Seguridad Informática 83
Dr. Roberto Gómez
Lámina 165 Dr. Roberto Gómez
Common Criteria
• Estándar internacional ISO 15408
• Trabajo de varios países (14)
• Inspirado del TCSEC, ITSEC, CTCPEC
• Flexible– No cuenta con perfiles predeterminados.
– Permite la adición de nuevos criterios.
• Parte de las necesidades de cada usuario/fabricante– no de las necesidades del DoD.
– cada nueva evaluación implica la creación de un modelo o marco de referencia (Security Target o ST).
Lámina 166 Dr. Roberto Gómez
Objetivos CC
• Permitir a los usuarios el especificar sus requerimientos de seguridad,
• Permitir a los desarrolladores especificar los atributos de sus productos
• Permitir que los evaluadores determinen si los productos cumple con lo que estipulan.
Seguridad Informática
Introducción a la Seguridad Informática 84
Dr. Roberto Gómez
Lámina 167 Dr. Roberto Gómez
Tipos documentos CC
• El CC define un conjunto de requerimientos de seguridad– dividido en requerimientos funcionales y de seguridad
• Dos tipos de documentos– Protection Profiles (PPs): documento creado por un
usuario o comunidad de usuarios que identificarequerimientos de seguridad por parte del usuario
– Security Targets (STs): documento creado por un desarrollador de sistema, que identifica las capacidadesde un producto en partícular
• un ST puede indicar la implementación de cero o mas PPs
Lámina 168 Dr. Roberto Gómez
Los niveles del CC (EAL)
• Usuario puede contar con una evaluación independiente que compruebe que el producto cumple con lo estipulado en el ST– evaluación conocida como TOE - Target of Evaluation
• EAL: Evaluation Assurance Level– numeradas del 1 al 7
– EALs superiores requieren de un mayor esfuerzo de evaluación
– los EAL de mayor valor garantizan más “seguridad”, pero suevaluación requiere de mayor tiempo y cuesta más dinero
– EAL valor grande no significa “mejor seguridad”, solo estipula que seguridad proclamada fue extensamente validada
Seguridad Informática
Introducción a la Seguridad Informática 85
Dr. Roberto Gómez
Lámina 169 Dr. Roberto Gómez
Niveles Aseguramiento CC
A1Formalmente verificado (diseño) y probado
EAL7
B3Semiformalmente verificado (diseño) y probado
EAL6
B2Semiformalmente diseñado y probado
EAL5
Metodológicamente diseñado, probado, y revisado
EAL4
(W2K, Solaris, HP-UX, AIX)
C2
B1
Metodológicamente probadoEAL3
C1Estructuralmente probadoEAL2
--Probado funcionalmanteEAL1
Referencia TCSECDescripciónCommon Criteria
Lámina 170 Dr. Roberto Gómez
Ejemplo productos clasificados
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4
October 2002EAL4+Windows 2000 Professional, Server, and Advanced Server with SP3 and Q326886
February 2004EAL2 Red Hat Enterprise Linux 3
December 2003EAL3Symantec Manhunt Version 2.11
EAL4 EAL4 Oracle8i Release 8.1.7.0.0
June 2002 EAL4 Check Point VPN-1/FireWall-1©NG
January 2000 EAL4+ Borderware, V6.1.1 Firewall Serve
2 December 2004 EAL2+ IBM WebSphere Application Server V5.0.2.8
June 2003 EAL2 3Com© Embedded Firewall V1.5.1
FechaNivelProducto
top related