40
Chapter 8 Gestión del riesgo / Managing Risk Como profesional de la seguridad, es necesario ser conscientes de los diferentes problemas de seguridad asociados con amenazas, vulnerabilidades y riesgos, y las herramientas disponibles para combatirlos. Este capítulo cubre los siguientes conceptos. Las amenazas, las vulnerabilidades y los riesgos Cómo comprobar si hay vulnerabilidades Herramientas de seguridad Amenazas, vulnerabilidades y riesgos / Threats, Vulnerabilities, and Risks Hay una relación directa entre amenazas, vulnerabilidades y riesgos en el contexto de la seguridad. No se puede entender plenamente el uno sin la comprensión de los demás. En esta sección, he usado una variedad de fuentes para proporcionar definiciones precisas de estos términos, entre ellos el Instituto Estadounidense Nacional de Normas y Tecnología (NIST). El Laboratorio de Tecnología de la Información (DIT) en el NIST ha publicado un número importante de documentos bien investigados sobre la seguridad informática, incluyendo la serie 800 Publicación Especial (SP serie 800). La serie SP 800 incluye la investigación, directrices y guías que resulten de la colaboración de la industria, el gobierno y organizaciones académicas. Si quieres profundizar en cualquiera de estos temas, la serie SP 800 es un gran lugar para continuar su investigación: http://csrc.nist.gov/publications/PubsSPs.html. Amenazas / Threats Una amenaza es un peligro potencial. En el ámbito de CompTIA Security +, una amenaza es cualquier circunstancia o evento que puede comprometer la confidencialidad, integridad o disponibilidad de datos o un sistema.

Chapter 8

Embed Size (px)

DESCRIPTION

security +

Citation preview

Page 1: Chapter 8

Chapter 8

Gestión del riesgo / Managing Risk

Como profesional de la seguridad, es necesario ser conscientes de los diferentes problemas de seguridad asociados con amenazas, vulnerabilidades y riesgos, y las herramientas disponibles para combatirlos. Este capítulo cubre los siguientes conceptos.

Las amenazas, las vulnerabilidades y los riesgos

Cómo comprobar si hay vulnerabilidades

Herramientas de seguridad

Amenazas, vulnerabilidades y riesgos / Threats, Vulnerabilities, and Risks

Hay una relación directa entre amenazas, vulnerabilidades y riesgos en el contexto de la seguridad. No se puede entender plenamente el uno sin la comprensión de los demás. En esta sección, he usado una variedad de fuentes para proporcionar definiciones precisas de estos términos, entre ellos el Instituto Estadounidense Nacional de Normas y Tecnología (NIST).

El Laboratorio de Tecnología de la Información (DIT) en el NIST ha publicado un número importante de documentos bien investigados sobre la seguridad informática, incluyendo la serie 800 Publicación Especial (SP serie 800). La serie SP 800 incluye la investigación, directrices y guías que resulten de la colaboración de la industria, el gobierno y organizaciones académicas.

Si quieres profundizar en cualquiera de estos temas, la serie SP 800 es un gran lugar para continuar su investigación: http://csrc.nist.gov/publications/PubsSPs.html.

Amenazas / Threats

Una amenaza es un peligro potencial. En el ámbito de CompTIA Security +, una amenaza es cualquier circunstancia o evento que puede comprometer la confidencialidad, integridad o disponibilidad de datos o un sistema.

Tipos de Amenazas / Types of Threats

Las amenazas vienen en diferentes formas. / Threats come in different forms.

Amenazas naturales. Esto podría incluir los huracanes, inundaciones, tornados, terremotos, derrumbes, tormentas eléctricas, y otros eventos similares. En una escala menos drástica, una amenaza natural también podría significar un fallo de hardware.

Amenazas humanas maliciosos. Los atacantes lanzan regularmente diferentes tipos de ataques, incluyendo ataques a la red, los ataques del sistema, y la liberación de malware.

Page 2: Chapter 8

Amenazas humanas accidentales. Los usuarios pueden eliminar accidentalmente o datos corruptos, o acceder a datos que no deberían ser capaces de acceder de forma accidental. Incluso los administradores involuntariamente pueden causar interrupciones del sistema. La causa común es por un administrador wellmeaning hacer un cambio de configuración para solucionar un problema pero causando inadvertidamente otro.

Amenazas ambientales. Esto incluye corte de energía a largo plazo, lo que podría conducir a derrames de productos químicos, la contaminación, u otras posibles amenazas para el medio ambiente.

Diferentes lugares tienen diferentes amenazas. Al evaluar las amenazas, es importante tener en cuenta la probabilidad de la amenaza. Por ejemplo, yo vivo en Virginia Beach, Virginia, y ya que estamos preocupados por la amenaza natural de huracanes durante la temporada de huracanes, no estamos muy preocupados por los terremotos. Sin embargo, mi hermana, que vive en San Francisco, ayuda a las empresas a prepararse para los riesgos asociados a los terremotos allí, pero ella pasa muy poco tiempo o energía teniendo en cuenta los riesgos de un huracán en San Francisco.

Amenaza Insider malicioso / Malicious Insider Threat

Un privilegiado malicioso es cualquier persona que tenga acceso legítimo a los recursos internos de una organización, pero explota este acceso para obtener beneficios personales o daños contra la compañía. Acciones de esta persona pueden comprometer la confidencialidad, integridad y disponibilidad.

Insiders maliciosos tienen un conjunto diverso de motivaciones. Por ejemplo, algunos expertos maliciosos son impulsados por la codicia y simplemente quieren mejorar sus finanzas, mientras que otros quieren vengarse de la compañía. Pueden robar archivos que incluyen datos valiosos, instalar o ejecutar scripts maliciosos, redirigir los fondos a sus cuentas personales, o tomar cualquiera de un sinnúmero de otras acciones.

La mayoría de los empleados son abrumadoramente honesto, pero una sola información privilegiada maliciosos pueden lanzar un ataque con éxito y causar un daño significativo a la empresa. Debido a esto, la mayoría de las organizaciones a implementar controles básicos para evitar problemas potenciales.

Por ejemplo, el principio de privilegios mínimos asegura que los empleados sólo tienen los derechos y permisos para realizar sus tareas y funciones asignadas, pero no más. Capítulo 11 discute otras políticas como la rotación en el empleo, la separación de funciones, y las vacaciones obligatorias. Combinadas, estas políticas ayudan a prevenir el daño de los iniciados maliciosos,

Modelado de Amenazas / Threat Modeling

El modelado de amenazas es un proceso que ayuda a una organización a identificar y clasificar las amenazas. Se intenta predecir las amenazas en contra de un sistema o aplicación, junto con la probabilidad y el impacto potencial de estas amenazas. Una vez que la organización identifica y prioriza las amenazas, identifica la seguridad controla para proteger contra las amenazas más graves. Organizaciones cuentan con recursos tan limitados que no es posible proteger contra todas las

Page 3: Chapter 8

amenazas. Sin embargo, el modelado de amenazas mejora la postura de seguridad de cualquier sistema o aplicación, garantizando que los recursos no son derrochados en las amenazas de baja prioridad.

Vulnerabilidades

Una vulnerabilidad es un defecto o debilidad en el software o hardware, o una debilidad en un proceso que podría ser explotado, lo que resulta en una violación de la seguridad. El hecho de que existe una vulnerabilidad no significa que vaya a ser explotado, sólo que puede ser explotado. Ejemplos de vulnerabilidades incluyen:

La falta de cambios. Si los sistemas no se mantienen al día con los parches, actualizaciones y Service Packs, son vulnerables a los errores y defectos en el software.

Configuraciones predeterminadas. Si los valores predeterminados no se cambian en las configuraciones de hardware y software, son susceptibles a los ataques. Del mismo modo, los nombres de usuario y contraseñas por defecto son susceptibles a ataques si no se cambian.

La falta de protección contra malware o definiciones actualizadas. Si la protección antivirus y anti-spyware no se utiliza y se mantiene hasta la fecha, los sistemas son vulnerables a los ataques de malware.

No cortafuegos. Si los servidores de seguridad personales y de la red no están habilitados o configurados correctamente, los sistemas son más vulnerables a la red y los ataques basados en Internet.

La falta de políticas de la organización. Si no se implementan políticas de separación de trabajo, vacaciones obligatorias, y la rotación en el empleo, una organización puede ser más susceptibles al fraude y la colusión de los empleados. Estas políticas están cubiertas en el capítulo 11.

No se explotan todas las vulnerabilidades. Por ejemplo, un usuario puede instalar un router inalámbrico utilizando los valores predeterminados. Es muy vulnerable a un ataque, pero eso no significa que un atacante lo descubrirá y atacar. En otras palabras, sólo porque el router inalámbrico nunca ha sido atacado, esto no significa que no es vulnerable. En cualquier momento, un atacante guerra conducción puede conducir por y explotar la vulnerabilidad.

Riesgos / Risks

Un riesgo es la probabilidad de que una amenaza explotará una vulnerabilidad. Una vulnerabilidad es una debilidad y una amenaza es un peligro potencial. El resultado es un impacto negativo en la organización. El impacto se refiere a la magnitud del daño que se puede causar si una amenaza ejerce una vulnerabilidad.

Por ejemplo, un sistema sin software antivirus actualizado es vulnerable al malware. Malware escrito por atacantes maliciosos es la amenaza. La probabilidad de que el malware se llegará a un sistema vulnerable representa el riesgo. Dependiendo de lo que hace el malware, el impacto puede ser un

Page 4: Chapter 8

equipo que no arranca, la pérdida de datos, o un ordenador de control remoto que se ha unido una botnet.

Sin embargo, la probabilidad de que se produzca un riesgo no es 100 por ciento. Un sistema aislado, sin conexión a Internet, conectividad de red, o puertos USB tiene una baja probabilidad de infección de malware. La probabilidad aumentará significativamente para un sistema conectado a Internet, y aumentará aún más si un usuario visita sitios Web peligrosos y descarga e instala los archivos no verificados.

Es importante darse cuenta de que no se puede eliminar el riesgo. Claro, usted puede evitar los riesgos de TI completamente desenchufando el equipo y enterrarlo. Sin embargo, no es muy útil. En su lugar, los usuarios y las organizaciones de la práctica de gestión de riesgos para reducir los riesgos.

Es probable que la práctica de gestión de riesgos todos los días. Conducción o caminando por las carreteras y calles puede ser una actividad muy peligrosa. Balas de coches de tamaño están acelerando de ida y vuelta, lo que representa un riesgo significativo para cualquier otra persona en el camino. Sin embargo, a mitigar estos riesgos con prudencia y vigilancia. Lo mismo ocurre con las computadoras y redes. Una organización mitiga riesgos utilizando diferentes tipos de controles de seguridad.

Gestión De Riesgos / Risk Management

La gestión de riesgos es la práctica de la identificación, seguimiento, y limitar los riesgos a un nivel manejable. No elimina los riesgos, sino que identifica métodos para limitar o mitigarlos. La cantidad de riesgo que permanece después de la gestión del riesgo es el riesgo residual. El objetivo principal de la gestión de riesgos es reducir el riesgo a un nivel que la organización aceptará. La alta gerencia es responsable en última instancia por riesgo de la cantidad de riesgo residual que queda después de la mitigación del riesgo. La gerencia debe elegir un nivel de riesgo aceptable en función de sus objetivos de la organización. Ellos deciden qué recursos (como el dinero, el hardware y el tiempo) para dedicarse a mitigar el riesgo. Hay varios métodos de gestión de riesgos disponibles a una organización. Ellos incluyen:

La evitación de riesgos. Una organización puede evitar un riesgo al no proporcionar un servicio o no participar en una actividad de riesgo. Por ejemplo, una organización puede evaluar una aplicación que requiere de múltiples puertos abiertos en el servidor de seguridad que considera demasiado arriesgado. Se puede evitar el riesgo mediante la compra de otra aplicación.

La transferencia del riesgo. La organización transfiere el riesgo a otra entidad. El método más común es mediante la compra de seguros. Otro método es mediante la contratación externa, o la contratación de un tercero.

La aceptación de riesgos. Cuando el costo de un control mayor que un riesgo, una organización a menudo va a aceptar el riesgo. Por ejemplo, el gasto de $ 100 en bloqueos de hardware para asegurar un ratón $ 15 no tiene sentido. En cambio, la organización acepta el riesgo de que alguien le robe el

Page 5: Chapter 8

ratón. Del mismo modo, incluso después de la implementación de controles, algo de riesgo se mantiene, y la organización acepta este riesgo residual.

La mitigación del riesgo. La organización implementa controles para reducir el riesgo. Estos controles pueden reducir las vulnerabilidades o reducir el impacto de la amenaza. Por ejemplo, el software antivirus actualizado mitiga los riesgos de malware.

La disuasión de Riesgos. Una organización puede disuadir a un riesgo mediante la aplicación de algunos controles de seguridad. Por ejemplo, un guardia de seguridad reduce el riesgo de chupar rueda, y las cámaras pueden mitigar los riesgos asociados con el robo.

Algunos profesionales de la seguridad identifican los primeros cuatro métodos de gestión de riesgos, pero no incluyen la disuasión riesgo. En su lugar, incluyen métodos de disuasión dentro de la categoría de mitigación de riesgos. Sin embargo, se enumeran los objetivos de seguridad + estos cinco.

Recuerda esto

No es posible eliminar el riesgo, pero usted puede tomar medidas para manejarlo. Una organización puede evitar un riesgo al no proporcionar un servicio o no participar en una actividad de riesgo. Seguros transfiere el riesgo a otra entidad. Usted puede mitigar el riesgo mediante la implementación de controles. Cuando el costo de los controles excede el coste del riesgo, muchas organizaciones aceptan el riesgo.

Evaluación De Riesgos

Una evaluación del riesgo, o el análisis de riesgos, es una tarea importante en la gestión de riesgos. Cuantifica o califica los riesgos sobre la base de diferentes valores o juicios. Una evaluación de riesgos comienza identificando primero los activos y valores de los activos. Esto ayuda a la organización un enfoque sobre los activos de alto valor y evitar perder tiempo en activos de bajo valor. A continuación, identifica las amenazas y vulnerabilidades, les da prioridad, y hace recomendaciones sobre qué controles de implementar. Se puede identificar el impacto de las amenazas potenciales e identificar el daño potencial.

Una evaluación del riesgo es una evaluación de punto en el tiempo, o una instantánea. En otras palabras, se evalúa los riesgos sobre la base de las condiciones actuales, tales como las amenazas actuales, vulnerabilidades y los controles existentes. Por ejemplo, considere una computadora de la biblioteca que tiene la protección antivirus actualizada y no se puede acceder a Internet. Con base en estas condiciones, los riesgos son bajos. Sin embargo, si los administradores conectar el sistema a Internet, o no mantener el software antivirus al día, el riesgo aumenta.

Page 6: Chapter 8

Es común para llevar a cabo las evaluaciones de riesgos en nuevos sistemas o aplicaciones. Por ejemplo, si una organización está considerando la adición de un nuevo servicio o aplicación que puede aumentar los ingresos, a menudo llevar a cabo una evaluación de riesgos. Esto ayuda a que determinar si los riesgos potenciales pueden compensar las ganancias potenciales.

Las evaluaciones de riesgos utilizan medidas cuantitativas o mediciones cualitativas. Las mediciones cuantitativas utilizan números, como una figura monetaria que representa los valores de costo y de activos. Mediciones cualitativas utilizan juicios. Ambos métodos tienen el mismo objetivo fundamental de ayudar a la gestión de tomar decisiones educadas sobre la base de prioridades.

Evaluación cuantitativa del riesgo

Una evaluación cuantitativa del riesgo mide el riesgo utilizando una cantidad monetaria específica. Esta cantidad monetaria hace que sea más fácil para priorizar los riesgos. Por ejemplo, un riesgo con una pérdida potencial de $ 30.000 es mucho más importante que un riesgo con una pérdida potencial de $ 1.000.

El valor de los activos es un elemento importante en una evaluación cuantitativa del riesgo. Puede incluir el valor de los ingresos o el valor de reposición de un activo. Un servidor web puede generar 10.000 dólares en ingresos por hora. Si el servidor web falla, la empresa perderá $ 10,000 en ventas directas cada hora que está abajo, más el costo de repararlo. También puede resultar en la pérdida de negocios futuros si los clientes toman su negocio a otra parte. Por el contrario, el fracaso de una estación de trabajo de la biblioteca puede costar un máximo de $ 1,000 para reemplazarlo.

Un modelo cuantitativo utiliza los siguientes valores para determinar los riesgos:

Expectativa de pérdida simple (LES). El LES es el costo de cualquier pérdida individual.

Tasa anualizada de ocurrencia (ARO). El ARO indica cuántas veces se producirá la pérdida anual.

Expectativa de pérdida anualizada (ALE). La ALE es el SLE x ARO.

Imagínese que los empleados de su empresa pierden, en promedio, una computadora portátil de un mes. Los ladrones les han robado cuando los empleados los dejaron en salas de conferencias durante el almuerzo, mientras estaban en el lugar en las instalaciones del cliente, y de hogares de los empleados.

Ahora, imagine que usted es capaz de identificar el costo promedio de estos portátiles, incluyendo el hardware, el software y los datos, como $ 2,000 cada uno. Esto supone empleados no almacenan las bases de datos completas de información de los clientes u otros datos confidenciales en los sistemas, que pueden resultar fácilmente en costos mucho más altos. Un profesional de seguridad puede utilizar el siguiente modelo para determinar las pérdidas anuales.

SLE- $ 2,000 para cada uno portátil.

ARO-Los empleados pierden alrededor de un ordenador portátil de un mes, por lo que el ARO es 12.

Page 7: Chapter 8

Ale- $ 2.000 x 12 = $ 24.000.

Los administradores pueden ahora tomar decisiones educadas sobre lo que controla su uso. Por ejemplo, la organización podría adquirir bloqueos de hardware para asegurar los ordenadores portátiles. Estas cerraduras funcionan de manera similar a las cerraduras de bicicletas y permiten a los empleados para envolver el cable alrededor de un mueble y se conectan a la computadora portátil. Un ladrón debe ya sea destruir el ordenador portátil para eliminar el bloqueo o tomar los muebles con ellos cuando el robo de la computadora portátil.

Es razonable estimar que estos bloqueos se reducirán el número de ordenadores portátiles perdidos o robados de doce al año a sólo dos al año. Esto cambia el ALE desde $ 24.000 a sólo $ 4.000 (un ahorro de $ 20.000 al año). Si el costo de comprar estos bloqueos para todos los ordenadores portátiles es de $ 1.000, esta es una decisión fiscal sólida. El gerente está gastando $ 1,000 para ahorrar $ 20.000.

Sin embargo, si el costo de mitigar la amenaza supera el ALE, que no tiene sentido fiscal. Por ejemplo, la empresa podría optar por aplicar varios controles diferentes, tales como bloqueos de hardware, la autenticación biométrica, LoJack for Laptops, y más, a un costo de 30.000 dólares por año.

Incluso si un ordenador portátil no es robado de nuevo, la empresa está gastando $ 30,000 para ahorrar $ 24.000, lo que resulta en una mayor pérdida neta-están perdiendo $ 6,000 más al año. Es cierto que una empresa podría optar por tener en cuenta otros valores, como la sensibilidad de los datos de las computadoras portátiles, y hacer un juicio para la compra de estos controles. Sin embargo, si están usando una evaluación cuantitativa del riesgo, tendrían que ser expresado en términos monetarios, estos valores.

Recuerda esto

Una evaluación cuantitativa del riesgo utiliza importes monetarios específicos para identificar los valores de costo y de activos.

Evaluación de Riesgo Cualitativa

Una evaluación cualitativa del riesgo utilizará su juicio para categorizar los riesgos sobre la base de la probabilidad y el impacto. La probabilidad es la probabilidad de que ocurra un evento, y el impacto es el resultado negativo de la prueba.

Tenga en cuenta que esto es muy diferente de los números exactos proporcionados por una evaluación cuantitativa que utiliza los costos. Usted puede pensar cuantitativa como el uso de una cantidad o un número, mientras cualitativa está relacionada con la calidad, que es a menudo una cuestión de juicio.

Algunas evaluaciones de riesgos cualitativos utilizan encuestas o grupos de enfoque. Ellos solicitan votos expertos para ofrecer sus mejores juicios y tabular los resultados. Por ejemplo, una encuesta puede preguntar a los expertos para evaluar la probabilidad y el impacto de los riesgos asociados a un servidor web de venta de productos en Internet y una estación de trabajo de la biblioteca sin acceso a Internet. Los expertos utilizarían palabras tales como "bajo", "medio" y "alto" calificarlo.

Page 8: Chapter 8

Podrían califica la probabilidad de un servidor web atacado tan alto, y si el ataque tiene el servidor web fuera de servicio, el impacto también es alta. Por otra parte, la probabilidad de una estación de trabajo de la biblioteca de ser atacado es baja, y, a pesar de que un usuario de la biblioteca puede ser incomodado, el impacto es también baja.

Es común para asignar números a estos juicios. Por ejemplo, puede utilizar términos tales como bajo, medio y alto, y asignar valores de 1, 5 y 10, respectivamente. Los expertos asignan una probabilidad y el impacto de cada riesgo usando baja, media y alta, y cuando la tabulación de los resultados, se cambian las palabras a los números. Esto hace que sea un poco más fácil de calcular los resultados.

En los ejemplos servidor web y la biblioteca de ordenador, se puede calcular el riesgo de multiplicar la probabilidad y el impacto.

Servidor web. Alta probabilidad y alto impacto: 10 × 10 = 100

Computadora de la biblioteca. Baja probabilidad y bajo impacto: 1 × 1 = 1

La gerencia puede mirar a estos números y fácilmente determinar cómo asignar los recursos para proteger contra los riesgos. Ellos asignar más recursos para proteger el servidor web de la computadora de la biblioteca.

Uno de los retos con una evaluación cualitativa del riesgo está ganando consenso sobre la probabilidad e impacto. A diferencia de los valores monetarios que se pueden validar con hechos, probabilidad e impacto son a menudo objeto de debate.

Recuerda esto

Una evaluación cualitativa del riesgo utilizará su juicio para categorizar los riesgos sobre la base de la probabilidad y el impacto.

La documentación de la Evaluación

La fase final de la evaluación del riesgo es el informe. Identifica los riesgos descubiertos durante la evaluación y los controles recomendados. Como un simple ejemplo, una evaluación de riesgos en una aplicación web habilitada para la base de datos puede descubrir que es susceptible a ataques de inyección SQL. La evaluación del riesgo entonces recomiendo volver a escribir la aplicación web con técnicas de validación de entrada o procedimientos almacenados para proteger la base de datos.

Gestión de la utiliza para decidir qué controles para implementar y que controla a aceptar. En muchos casos, un informe final documenta las decisiones de gestión. Por supuesto, la administración puede decidir no implementar un control, sino aceptar un riesgo.

Page 9: Chapter 8

Piense lo valioso que será este informe para un atacante. Ellos no tendrán que cavar para identificar las vulnerabilidades o controles. En cambio, el informe enumera todos los detalles. Incluso cuando la administración aprueba controles para corregir las vulnerabilidades, puede tomar algún tiempo para ponerlas en práctica. Debido a esto, los resultados de una evaluación de riesgo están altamente protegidos. Normalmente, sólo los profesionales de la gestión y de seguridad ejecutivas tendrán acceso a estos informes.

Recuerda esto

Las evaluaciones de riesgos ayudan a una organización evaluar las amenazas y vulnerabilidades contra los sistemas nuevos y existentes. Resultados de la evaluación de riesgos deben ser protegidos y sólo accesible a los profesionales de la gestión y de seguridad.

Comprobación de Vulnerabilidades

Las vulnerabilidades son debilidades, y reduciendo las vulnerabilidades, que pueden reducir los riesgos. Eso suena bastante simple. Sin embargo, ¿cómo identificar las vulnerabilidades que presentan los mayores riesgos? Los métodos más comunes son con evaluaciones de vulnerabilidad, análisis de vulnerabilidades y pruebas de penetración.

Para entender cómo se utilizan estos, es que vale la pena entender cómo los atacantes pueden buscar objetivos. En la siguiente sección se describen los métodos de ataque comunes, seguidos por algunos detalles sobre las evaluaciones de vulnerabilidad, análisis de vulnerabilidades y pruebas de penetración.

Anatomía de un ataque

Desde un punto de vista defensivo, que es valiosa para entender cómo los atacantes operan. Muchas pruebas de penetración utilizan metodologías similares, por lo que también se puede aplicar este conocimiento a la penetración de pruebas. Si bien no existe una definición única que identifica a todos los atacantes, una cosa está clara: los atacantes son sofisticados e inteligentes. No deberían ser subestimadas.

Imagina una organización que tiene fondos ilimitados para lanzar ataques. Ellos podrían ser empleados del gobierno empleados por otro país, o podrían ser un grupo de delincuentes. Ellos pueden estar tratando de robar secretos o robar algunos de los millones de dólares que los atacantes se están embolsando de empresas y particulares mensuales. ¿Cómo van a hacerlo? A menudo se combinan de reconocimiento con las huellas dactilares para identificar objetivos. Reconocimiento proporciona una vista BigPicture de una red, incluyendo las direcciones IP de una red de destino. Toma de huellas dactilares a continuación hogares en los sistemas individuales para proporcionar detalles de cada uno. Algunos de los atacantes pueden ser expertos en reconocimiento, mientras que otros son expertos en los diferentes elementos de la huella dactilar. Una vez que se identifican sus objetivos, los atacantes utilizan esta información para lanzar un ataque. Aquí está una de las posibilidades de cómo pueden trabajar estos atacantes.

Page 10: Chapter 8

Identificar IP A ddresses de Metas

Un grupo en esta organización identifica las direcciones IP de los sistemas vivos como blancos potenciales. Por ejemplo, pueden estar interesados en los sistemas gubernamentales o militares en un área específica, o una determinada empresa que opera en una ciudad específica.

Las direcciones IP se asignan geográficamente, por lo que este es un poco más fácil de lo que parece. Usted probablemente ha estado navegando por Internet y anuncios vistos para su ciudad, a pesar de que la página web no es local. El anuncio identifica su ubicación basada en su dirección IP y se dirige el anuncio. Los atacantes tienen acceso a la misma información que los anunciantes. A modo de ejemplo, echa un vistazo a la página web http://www.geobytes.com/iplocator.htm, que muestra información detallada sobre cualquier dirección IP.

Una vez que se identifica una gama geográfica de las direcciones IP, los atacantes pueden utilizar un barrido o enumeración de host barrido ICMP para identificar los sistemas que están en funcionamiento en ese rango. Esto es similar a enviar un ping a cada dirección IP en ese rango, y las herramientas que realizan barridos ICMP son comúnmente llamados escáneres de ping. Como se mencionó en el capítulo 3, es posible bloquear ICMP en servidores de seguridad para reducir el éxito de barridos ICMP.

Identificar puertos abiertos con un Port Scanner

El siguiente grupo en la organización lleva a la lista de direcciones IP e identifica los puertos abiertos en cada sistema. Capítulo 3 puertos cubiertos en mayor profundidad y analizadores de puertos introducidas. Como recordatorio, muchos protocolos utilizan puertos bien conocidos. Por ejemplo, Telnet utiliza el puerto 23 y HTTP utiliza el puerto 80. Si un escáner de puertos detecta el puerto 80 está abierto, lo más probable es que el protocolo HTTP está en funcionamiento y puede ser un servidor web.

Además, los puertos también identifican las aplicaciones que se ejecutan en un sistema. Por ejemplo, peer-to-peer (P2P), utilizado para compartir archivos, utiliza puertos específicos para comunicarse con otros compañeros en Internet. Un escaneo de puertos puede descubrir estos puertos, y detectar P2P software que se ejecuta en un sistema.

Cada puerto abierto representa un vector de ataque potencial, por lo que mediante la identificación de puertos abiertos, los atacantes pueden determinar la superficie de ataque. Como recordatorio, puede reducir la superficie de ataque deshabilitando todos los servicios no utilizados y la eliminación de todos los protocolos que no sean necesarios. Este es un paso clave en el endurecimiento de un sistema, o lo que es más seguro de la configuración por defecto.

Muchas de las herramientas de escaneo de vulnerabilidad como Nmap, Netcat y Nessus incluyen capacidades de escaneo de puertos y sistemas de exploración para determinar los puertos abiertos. Los profesionales de seguridad utilizan estas herramientas para el análisis de vulnerabilidad dentro de sus redes, pero los atacantes pueden utilizar estas mismas herramientas. Estas herramientas tienen más capacidades que acaban de escanear puertos abiertos. También puede huella digital del sistema.

Page 11: Chapter 8

Sistema de huella digital

Los atacantes también intentan tomar las huellas dactilares el sistema para identificar los detalles del sistema operativo. Por ejemplo, ¿es esto un sistema Linux o un sistema Windows?

Capítulo 7 introdujo el ataque de Navidad como un tipo específico de escaneo de puertos. Se analizan los paquetes devueltos para identificar el sistema operativo del sistema de destino, y, a veces incluso la versión del sistema operativo, además de identificar los puertos abiertos.

Del mismo modo, los escáneres envían consultas adicionales a los puertos abiertos del sistema. Por ejemplo, si el puerto 25 está abierto, lo que indica que se está ejecutando SMTP, enviará consultas SMTP para el sistema y analizar la respuesta. Estas consultas ofrecen la verificación de que el protocolo se está ejecutando e incluyen detalles adicionales sobre el sistema. Del mismo modo, las consultas HTTP pueden identificar si es un Windows Internet Information Services (IIS) del servidor web o un servidor web Apache se ejecuta en un sistema Linux.

Capítulo 4 presenta los sistemas de prevención de intrusiones y detección de intrusiones. Estos pueden reducir el éxito de escaneo de puertos y de huellas dactilares exploraciones.

Recuerda esto

Herramientas de vulnerabilidad como Nmap, Netcat y Nessus pueden realizar escaneos de puertos para determinar los puertos abiertos y realizar análisis avanzado de los sistemas de huellas dactilares. Un ataque de Navidad es un tipo específico de escaneo de puertos que analiza la devolvió paquetes para determinar el sistema operativo y otros detalles sobre el sistema de escaneado.

Identificar vulnerabilidades

En esta etapa, los atacantes saben la dirección IP de los sistemas vivos, qué sistemas operativos que están en ejecución, y qué protocolos que están en ejecución. Esta información se pasa a los expertos apropiados. Por ejemplo, algunos atacantes pueden ser experto en atacar servidores web IIS y los sistemas de Windows, mientras que otros son expertos en atacar servidores web Apache y los sistemas Linux o UNIX.

Si se trata de un servidor web, los atacantes pueden comprobar para ver si se utiliza la validación de entrada. Si no, puede ser susceptible al desbordamiento del búfer, inyección SQL o ataques cross-site scripting. Si se trata de un servidor de correo electrónico, puede ser susceptible a los ataques de relé anónimos. Si se trata de un servidor de aplicaciones con cuentas y contraseñas por defecto conocidos, el atacante comprueba si los valores por defecto están todavía disponibles. Capítulo 7 presenta información sobre cada uno de estos ataques.

Muchos escáneres de vulnerabilidad pueden comprobar fácilmente los parches actuales. Si un sistema no está parchado, es susceptible a las vulnerabilidades conocidas. Una vez más, los escáneres de vulnerabilidad tales como Nmap y Netcat pueden identificar vulnerabilidades y los profesionales de seguridad y los atacantes pueden utilizarlos.

Page 12: Chapter 8

Ataque / Attack

Los atacantes tienen ahora una lista de los sistemas y sus vulnerabilidades. Pueden tener herramientas de ataque que pueden ejecutar de inmediato para explotar los sistemas vulnerables. Otras veces, los expertos pueden escribir código para explotar una nueva vulnerabilidad. Sin embargo, usted puede apostar que van a atacar.

Las etapas de reconocimiento y toma de huellas dactilares pueden tardar días, semanas o meses. Algunos ataques son rápidos después de una planificación detallada, mientras que otros ataques se quedarán siempre y cuando el atacante es detectado o hasta que el atacante ha completado la misión.

Por ejemplo, cuando los atacantes extraen o exfiltrate datos, suelen entrar y salir lo más pronto posible. A menudo, esto requiere que utilicen tácticas de escalada de privilegios para ganar derechos elevados y los permisos de acceso a los datos.

La escalada de sus privilegios es probable que suene una alarma. Una vez que se detectan, pueden esperar ser bloqueado, por lo que deben obtener tantos datos como sea posible, tan pronto como sea posible. Sin embargo, a veces los ataques son sin ser detectados, y que puedan continuar los ataques de día.

También vale la pena señalar que los atacantes a menudo lanzan ataques a través de otros sistemas. Ellos toman el control de equipos remotos a través de diferentes tipos de malware y lanzar los ataques a través de estos sistemas. Es difícil, aunque no imposible, realizar un seguimiento de estos ataques de nuevo a la fuente real.

Como el último paso en el ataque, muchos atacantes intentarán borrar o modificar los registros. El objetivo es eliminar los restos de su ataque.

Recuerda esto

Los atacantes utilizan tácticas de escalada de privilegios durante los ataques exfiltración de datos después de que tengan acceso a un sistema. Escalada de privilegios da atacantes derechos y permisos elevados a los datos de acceso.

Poniendo todo junto / Putting it All Together

¿Es posible que los equipos de los gobiernos han dedicado trabajando juntos para identificar vulnerabilidades explotables?Absolutamente. ¿Es posible que los criminales tienen la capacidad de organizar sus esfuerzos para identificar blancos de oportunidad? Cuenta con eso.

Este tipo de grupos se denominan comúnmente una amenaza persistente avanzada (APT). Un APT es un grupo como este que tiene tanto la capacidad y la intención de poner en marcha este tipo de ataques.

Page 13: Chapter 8

La guerra cibernética y la ciberdelincuencia son similares a espionaje y espionaje. Espionaje es el proceso de recolección de múltiples detalles inocuos que forman las piezas individuales de una imagen mucho más grande. Así como las piezas de un rompecabezas con el tiempo se unen para completar una imagen, los detalles individuales de cualquier sistema se unen para huella digital. Los profesionales de seguridad tienen que ser agresivos en el cierre de todos los orificios de limitar la cantidad de información que está disponible para cualquier atacante.

Por supuesto, algunos delincuentes no tienen las grandes organizaciones. Un puñado de atacantes puede combinar sus habilidades para identificar un nicho o especialidad. Podrían convertirse en experto en ataques de inyección SQL y sólo hay que buscar sitios web sin la validación de entrada. Podrían explotar una vulnerabilidad específica para gestionar una red de bots. Las posibilidades son infinitas.

Sin embargo, los profesionales de seguridad no pueden darse el lujo de proteger contra sólo nichos. Los profesionales de seguridad deben proteger contra todos los ataques.

Evaluación de la Vulnerabilidad

El objetivo general de la evaluación de la vulnerabilidad es identificar vulnerabilidades o debilidades. Estas debilidades pueden estar dentro de un sistema, una red o una organización. Las evaluaciones de vulnerabilidad son parte de un plan general de gestión de riesgos. Ayudan a identificar las vulnerabilidades de los recursos de alto valor, o vulnerabilidades que pueden resultar en graves pérdidas.

Las evaluaciones de vulnerabilidad pueden incluir información de una amplia variedad de fuentes. Esto incluye la revisión de la documentación, como las políticas de seguridad, registros, entrevistas con el personal, y las pruebas del sistema. Las evaluaciones a menudo usan los análisis de vulnerabilidades y pruebas de penetración, cubiertos con mayor profundidad más adelante en este capítulo.

Una evaluación de la vulnerabilidad a menudo realizar los siguientes pasos de alto nivel:

Identificar los activos y capacidades Priorizar los activos basados en el valor

Identificar las vulnerabilidades y priorizarlas según la gravedad

Recomendar controles para mitigar vulnerabilidades graves

Recuerda esto

Las evaluaciones de vulnerabilidad identifican vulnerabilidades o debilidades dentro de un sistema, la red, o de la organización. Organizan resultados en base a la gravedad de las vulnerabilidades y el valor de los activos.

Page 14: Chapter 8

Muchas organizaciones realizan evaluaciones de vulnerabilidad interna. Las organizaciones también de vez en cuando contratan a profesionales de seguridad externos para completar las evaluaciones externas.

Las evaluaciones de vulnerabilidad son más amplios que sólo los análisis de vulnerabilidades. Un escáner de vulnerabilidades como Nmap puede descubrir vulnerabilidades técnicas, sino una organización puede tener vulnerabilidades que van más allá de los controles técnicos.

Una evaluación de la vulnerabilidad también puede comprobar en busca de vulnerabilidades no técnicos. Por ejemplo, el capítulo 2 se menciona chupar rueda, donde un empleado puede seguir de cerca detrás de otro empleado sin utilizar credenciales. Un empleado utiliza una tarjeta de proximidad para abrir una puerta y otros empleados siguen. Si los empleados están chupar rueda, puede un Atacante hacer lo mismo? En teoría, sí, pero en algunos casos, la gestión quiere más que teoría. Una evaluación de la vulnerabilidad puede incluir una prueba para ver si el visitante puede acceder a espacios seguros sin credenciales.

Del mismo modo, los empleados pueden ser susceptibles a ataques de ingeniería social. Un atacante puede usar métodos de baja tecnología para engañar a los empleados para que revelen información confidencial. Empleados educados suelen reconocer estas técnicas, pero incluso si una empresa ofrece capacitación, eso no significa necesariamente que los empleados son educados. Una evaluación de la vulnerabilidad puede verificar qué tipo de formación fue efectiva y, a veces a identificar qué empleados representan los mayores riesgos.

Por ejemplo, los usuarios no deben dar su contraseña a nadie, y muchas organizaciones recuerdan regularmente a los usuarios de esta práctica de seguridad. Sin embargo, serán los usuarios dar su contraseña?

Recuerdo que una evaluación de la vulnerabilidad dentro de un banco. Los probadores redactaron un e-mail de aspecto oficial explicando un problema ficticio, pero vinculados a una migración de servidor interno real. La dirección de correo indicó que debido a la migración, hubo un problema con las cuentas y usuarios perderían el acceso a menos que siempre que su contraseña. A pesar de la formación de menos de un mes antes sobre la importancia de no dar contraseñas, más del 35 por ciento de los empleados siempre que su contraseña.

Otros métodos de evaluación incluyen:

La presentación de informes de línea de base. Capítulo 5 presenta información sobre las líneas de base, incluyendo las líneas de base de seguridad y líneas de base de configuración. Muchas de las herramientas de evaluación de la vulnerabilidad pueden comparar los datos de seguridad y configuración actuales, con una línea de base para detectar cambios. Estos cambios, especialmente si no están autorizados, pueden introducir vulnerabilidades.

Page 15: Chapter 8

La revisión de código. Capítulo 7 analiza el ciclo de vida de desarrollo de software (SDLC) y la importancia de la revisión de código. Una revisión de código va línea por línea a través del código y es uno de los métodos más rigurosos para descubrir vulnerabilidades.

Opinión Arquitectura. Una revisión de la arquitectura examina el diseño de la red en busca de vulnerabilidades potenciales.

Por ejemplo, una revisión de la arquitectura puede descubrir que un servidor de base de datos se encuentra dentro de una zona desmilitarizada y es accesible desde Internet. La revisión puede recomendar mover el servidor de base de datos detrás de un servidor de seguridad adicional.

Revisiones de diseño. Una revisión del diseño examina cualquier diseño en busca de vulnerabilidades. Se puede incluir la disposición física de un edificio, la interacción con una aplicación, o el diseño de la red. La seguridad es más fácil de implementar temprano en la etapa de diseño de lo que es para aplicar más tarde.

Exploración de vulnerabilidades / Vulnerability Scanning

Un escáner de vulnerabilidades es un control de gestión utilizado por los administradores de seguridad y atacantes para identificar qué sistemas son susceptibles a ataques. Identifica una amplia gama de debilidades y los problemas de seguridad conocidos que los atacantes pueden explotar. Como se mencionó anteriormente, algunos escáneres de vulnerabilidades comunes son Nmap, Netcat, y Nessus. Combinan las características de diferentes herramientas en un solo paquete.

Muchos análisis de vulnerabilidades incluyen los siguientes elementos:

Pasivamente probar los controles de seguridad

Identificar la vulnerabilidad

Identificar la falta de controles de seguridad

Identificar mala configuración común

Un punto importante de un análisis de vulnerabilidades es que no intenta explotar las vulnerabilidades. En cambio, un análisis de vulnerabilidades es un intento pasivo para identificar debilidades. Los administradores de seguridad a continuación, evaluar las vulnerabilidades para determinar cuáles de mitigar. En contraste, una prueba de penetración es una prueba de activo que va a intentar aprovechar vulnerabilidades.

Algunas de las vulnerabilidades descubiertas por un análisis de vulnerabilidades incluyen:

Seguridad y configuración errores. Esto se puede comprobar el sistema contra una línea de base de configuración o de seguridad para identificar cambios no autorizados.

Page 16: Chapter 8

Parches y actualizaciones. Mientras que muchas herramientas de gestión de parches incluyen la capacidad de verificar los sistemas están parcheado, el escáner de vulnerabilidades proporciona una comprobación adicional para detectar sistemas sin parches.

Los puertos abiertos. Abrir puertos puede ser señal de una vulnerabilidad si los servicios asociados a estos puertos no se gestionan de forma activa.

Las contraseñas débiles. Muchos escáneres incluyen una galleta de la contraseña que se puede descubrir contraseñas débiles o verificar que los usuarios están creando fuertes contraseñas en cumplimiento de una política de la empresa. Es más eficaz utilizar una política de contraseñas técnica para exigir y hacer cumplir el uso de contraseñas seguras. Sin embargo, si esto no es posible, los administradores utilizan una galleta de la contraseña separada para descubrir contraseñas débiles.

Cuentas y contraseñas por defecto. Los sistemas operativos y las aplicaciones pueden tener nombres de usuario y contraseñas por defecto. Del sistema operativo y de las aplicaciones Pasos básicos de endurecimiento deben eliminar los valores predeterminados, y una exploración pueden descubrir la Debilidad si no se endurecen. Por ejemplo, algunos sistemas de bases de datos SQL permiten la sa (administrador del sistema) representan habilitado con una contraseña en blanco. Escáneres como Nessus lo detectará.

Los datos sensibles. Algunos escáneres incluyen Data Loss Prevention (DLP) técnicas para detectar datos confidenciales enviados a través de la red. Por ejemplo, un sistema DLP puede analizar los datos en busca de patrones tales como números de Seguro Social o palabras clave que identifican datos clasificados o de propiedad.

En algunos casos, los escáneres de vulnerabilidad pueden detectar problemas que no son detectables a través de otros medios. En un ejemplo, algo estaba corrompiendo datos de un usuario. El administrador de la restituyó e incluso actualiza parches. Sin embargo, poco tiempo después, algo dañado los datos de nuevo. Después de la ejecución de un análisis de vulnerabilidades en el sistema, el administrador descubrió un puerto vulnerable abrió en el sistema, y luego descubrió una jugada individual por el puerto.

Los administradores pueden escanear sistemas específicos o una red completa. Por ejemplo, muchas organizaciones realizan análisis periódicos en toda la red para detectar vulnerabilidades. Si un administrador hace un cambio no autorizado resulta en una vulnerabilidad, la exploración puede detectarlo. Del mismo modo, si un sistema reconstruido falta algunos ajustes de seguridad clave, la exploración detectará ellos. También es posible explorar un nuevo sistema antes o inmediatamente después de que se desplegó.

Recuerda esto

Los análisis de vulnerabilidades son una herramienta eficaz para identificar los sistemas que son susceptibles a un ataque. Análisis de vulnerabilidad será pasiva probar los controles de seguridad para

Page 17: Chapter 8

identificar las vulnerabilidades, la falta de controles de seguridad y errores de configuración comunes. No intenta explotar las vulnerabilidades.

Muchas herramientas están disponibles para ayudar con las evaluaciones de vulnerabilidad. Algunas de las herramientas utilizadas por los administradores son las mismas herramientas utilizadas por los atacantes. Si un atacante puede encontrar agujeros de seguridad con cualquier herramienta disponible, un administrador también debe ser consciente de estos agujeros.

Pasivo frente Activo

A lo largo de esta sección, que estoy haciendo hincapié en que el análisis de vulnerabilidades es pasivo, mientras que las pruebas de penetración está activo.

En este contexto, pasivo no significa que un escáner de vulnerabilidad no está haciendo nada. Ciertamente está investigando sistemas para identificar vulnerabilidades y otros problemas. Sin embargo, es no tomar ninguna acción para explotar estas vulnerabilidades.

En la preparación de cualquier examen, incluido el examen de seguridad +, vale la pena mirar los objetivos. Estos objetivos utilizan específicamente la palabra de forma pasiva, y verbos pasivos, en el contexto del análisis de vulnerabilidades. Ellos también utilizan la palabra activa, y verbos activos en el contexto de las pruebas de penetración.

Eso no quiere decir que usted puede sentirse libre para realizar un escáner de vulnerabilidades en cualquier red, ya que es pasiva. Si sus acciones se descubren, puede ser fácilmente identificado como un atacante, y se enfrentan a acciones legales.

Pruebas de Penetración

Una prueba de penetración (a veces llamado un pentest) evalúa de forma activa los controles de seguridad desplegados dentro de un sistema o red. Se inicia con un análisis de vulnerabilidades, pero va un paso más allá y en realidad trata de explotar la vulnerabilidad mediante la simulación o la realización de un ataque.

Una organización puede llevar a cabo una prueba de penetración para demostrar las vulnerabilidades de seguridad reales dentro de un sistema. Esto puede ayudar a la organización determinar el impacto de una amenaza contra un sistema. En otras palabras, ayuda a una organización a determinar la extensión del daño que un atacante podría infligir al explotar una vulnerabilidad.

Aunque no es tan común, también es posible llevar a cabo una prueba de penetración para determinar cómo una organización responde a un sistema comprometido. Esto permite a una organización para demostrar las vulnerabilidades de seguridad y fallas en JECUCIÓN política. Por ejemplo, muchas organizaciones pueden tener políticas perfectas en el papel. Sin embargo, si los empleados no están siguiendo consistentemente las políticas, una prueba de penetración puede con precisión Demostrar los defectos.

Page 18: Chapter 8

Recuerda esto

Una prueba de penetración es una prueba de activo que puede evaluar los controles de seguridad desplegadas, identificar la capacidad de los empleados para responder y determinar el impacto de una amenaza. Se inicia con un análisis de vulnerabilidades y luego intenta explotar las vulnerabilidades de realidad atacar o simulando un ataque.

Muchas pruebas de penetración incluyen los siguientes elementos: Compruebe que existe una amenaza Controles de seguridad Bypass Probar activamente controles de seguridad explotar las vulnerabilidades

Por ejemplo, una organización puede contratar a una probadora externa para poner a prueba la seguridad de una aplicación web. Un primer paso podría comprobar si hay una vulnerabilidad de inyección SQL y, una vez que se verifica, lanzar un ataque de inyección SQL para las credenciales de usuario de la cosecha de una base de datos. El atacante puede utilizar estas credenciales para explotar otras áreas de la sistema. Si la base de datos incluye las credenciales de cuentas elevadas, el atacante puede utilizar éstos para una escalada de privilegios y explotar otras vulnerabilidades del sistema.

Desde un pentest puede explotar vulnerabilidades, tiene el potencial de interrumpir las operaciones reales y causar inestabilidad en el sistema. Debido a esto, es importante definir estrictamente los límites de la prueba. Idealmente, la prueba de penetración se detendrá justo antes de la realización de un exploit que puede causar daño o resultar en un corte de luz. Sin embargo, algunas pruebas resultan en resultados inesperados.

Por ejemplo, considere fuzzing o ensayo fuzz (cubierto en el capítulo 7). Como recordatorio, fuzzing envía datos pseudoaleatorios a una aplicación para ver si los datos aleatorios pueden bloquear la aplicación, o para detectar errores no controlados.

El probador no sabrá si una prueba pelusa se colgará una aplicación hasta que se ejecute. Organizaciones veces realizan pruebas de penetración en un sistema de prueba en lugar del sistema en vivo. Por ejemplo, una organización puede ser el anfitrión de una aplicación web accesible en Internet. En lugar de realizar la prueba en el servidor en vivo y que afecta a los clientes, configuran otro servidor con la misma aplicación web. Si una prueba de penetración paraliza el servidor de prueba, se demostrará con precisión las vulnerabilidades de seguridad, pero que no afectará a los clientes.

Blanco, Gris, Negro y Pruebas de Caja

Es común para identificar las pruebas con base en el nivel de conocimiento de los probadores tienen antes de comenzar la prueba.

Estos probadores podrían ser empleados internos, o profesionales de la seguridad externos que trabajan para una organización de terceros para realizar la prueba.

Page 19: Chapter 8

Pruebas de caja Negro. Los probadores tienen cero conocimientos del entorno antes de la prueba. En su lugar, se acercan a la prueba con el mismo conocimiento como atacante. Probadores de caja negra a menudo usan fuzzing para comprobar si hay vulnerabilidades de las aplicaciones.

Pruebas de caja blanca. Probadores tienen pleno conocimiento del medio ambiente. Por ejemplo, no tendrían acceso a la documentación del producto, código fuente, y posiblemente incluso iniciar sesión detalles.

Pruebas de caja gris. Probadores de tener algún conocimiento del medio ambiente, pero no tienen acceso a toda la documentación o los datos.

Fuzzing implica pruebas de caja negro, ya fuzzing no requiere ningún conocimiento previo de la aplicación. Puede ser una manera eficaz de identificar las vulnerabilidades dentro de una aplicación cuando los probadores no tienen acceso al código fuente. Esto no quiere decir que la caja blanca o caja gris probadores no pueden utilizar fuzzing, pero es más comúnmente utilizado por probadores de caja negra.

Sin embargo, una limitación con las pruebas de pelusa es que sólo puede detectar fallos simples, y no es tan eficaz como una revisión de código para detectar vulnerabilidades de las aplicaciones.

Recuerda esto

Probadores de caja negra tienen cero conocimientos previos del sistema antes de una prueba de penetración. Probadores de caja blanca tener pleno conocimiento, y los probadores de la caja gris tener algún conocimiento. Probadores de caja negra a menudo usan fuzzing.

También puede venir a través de los términos "sombrero negro", "sombrero blanco" y "sombrero gris." Estos no se están refiriendo a los probadores, sino a diferentes tipos de atacantes. Ellos son una reminiscencia del lejano oeste, donde se puede identificar fácilmente los buenos y los malos por el color de su sombrero. Sombrero negro identifica un atacante malicioso la realización de actividades delictivas. Sombrero blanco identifica una seguridad de trabajo profesional dentro de la ley. Sombrero gris identifica a los individuos que pueden tener buenas intenciones, pero sus actividades pueden cruzar las líneas éticas. Por ejemplo, un activista, a veces llamado un hacktivista, puede usar métodos de ataque para promover una causa, pero no para su beneficio personal.

Los hackers y crackers son términos que también pueden venir a través. Originalmente, un hacker indica a alguien hábil con las computadoras que querían compartir sus conocimientos con los demás. No eran malicioso. Por el contrario, una galleta era un hacker dominio que utiliza el conocimiento para fines maliciosos. Sin embargo, el inglés es una lengua viva que continúa evolucionando y los medios de comunicación utilizan constantemente el término hacker para identificar a los atacantes maliciosos. A lo largo de este libro, he evitado la controversia y en su lugar sólo tiene que utilizar el término "atacante".

Page 20: Chapter 8

Que obtiene el consentimiento / Obtaining Consent

Es importante obtener el consentimiento del propietario de la red antes de iniciar una prueba de penetración. En la mayoría de los casos, este consentimiento es por escrito. Si no es por escrito, muchos profesionales de la seguridad no se realizan la prueba. Una prueba de penetración sin consentimiento es un ataque. Una organización puede percibir un administrador de buenas intenciones de hacer una prueba de penetración no autorizada como un sombrero negro o gris atacante sombrero, y este administrador pronto podría estar fuera de un trabajo.

Muchas organizaciones utilizan un documento escrito en normas de participación en la contratación de profesionales de seguridad externos para realizar la prueba. El documento reglas-de-compromiso identifica los límites de la prueba de penetración. Si la prueba resulta en un corte de luz a pesar de que los probadores siguieron las reglas de enfrentamiento, las repercusiones son menos probables. Por ejemplo, si las reglas de combate permiten fuzzing y se bloquea un sistema, los probadores no están en criticar.

Recuerda esto

Es importante obtener el consentimiento del propietario de la red antes de iniciar una prueba de penetración, ya que puede causar inestabilidad en el sistema. Sin el consentimiento, la prueba de penetración puede ser percibida como un ataque malicioso el sombrero negro. Un documento de normas de-compromiso identifica límites de la prueba.

La identificación de herramientas de seguridad

Varias herramientas están disponibles para uso de los profesionales de la seguridad y atacantes por igual. Los scanners de vulnerabilidades se discutieron extensamente anteriormente en este capítulo, incluyendo su uso como escáneres de ping y escáneres de puertos. Sin embargo, otras herramientas están disponibles. Esta sección trata sobre las auditorías de rutina, analizadores de protocolo, y crackers de contraseñas.

Analizador de protocolos (sniffer)

Un analizador de protocolos puede capturar y analizar los paquetes en una red. El proceso de usar un analizador de protocolo se refiere a veces como la inhalación o utilizando un sniffer. Tanto los administradores como los atacantes pueden utilizar un analizador de protocolos para ver los encabezados IP y examinar paquetes. Por ejemplo, los administradores pueden utilizar un analizador de protocolos para determinar si las aplicaciones están enviando los datos en texto claro.

Wireshark es un analizador de protocolos nadie libre puede descargar a través de Internet y el uso. Figura 8.1 muestra Wireshark después capturó paquetes transmitidos por la red. Incluye cerca de 150 paquetes y ha packet121 seleccionado en el panel superior. El panel central muestra los detalles de este paquete con el Protocolo de Internet versión 4 información del encabezado parcialmente expandida. El panel inferior muestra todo el contenido del paquete que aparece en caracteres hexadecimales y ASCII.

Page 21: Chapter 8

Tenga en cuenta que se puede ver el nombre de usuario y contraseña (Darril P @ ssw0rd) en el panel inferior (flecha 3), ya que fue enviado en texto claro. Sin embargo, si una aplicación encripta los datos antes de enviarlos a través de la red, no sería legible.

Si bien puede ser tedioso para analizar una captura de paquetes, hay una gran cantidad de información adicional en el panel central está disponible para cualquiera que esté dispuesto a tomar el tiempo. De vez en cuando, los atacantes manipulan banderas (flecha 1) dentro de los encabezados para diferentes tipos de ataques, y el analizador de protocolo le permite verificar los ataques de manipulación de cabecera. También puede ver las direcciones de origen y destino IP (flecha 2) dentro del campo de la cabecera IP. La sección de Ethernet II se puede ampliar para mostrar las direcciones de control de acceso al medio (MAC) de los equipos de origen y de destino.

Recuerda esto

Puede utilizar un analizador de protocolos para capturar, visualizar y analizar los paquetes enviados a través de una red. Puede ver el tráfico de red sin cifrar, como contraseñas enviadas en texto claro, y examinar las cabeceras IP.

Las auditorías de rutina / Routine Audits

Muchas organizaciones realizan auditorías de rutina para ayudar a identificar los riesgos. Una auditoría proporciona un examen independiente y objetivo de los procesos y procedimientos. Puede ayudar a una

Page 22: Chapter 8

organización a determinar su postura de seguridad y verificar que la organización está siguiendo sus políticas. Personal interno o auditores externos puedan realizar auditorías.

A modo de ejemplo, una política de seguridad puede afirmar que cuando un empleado deja la empresa, un administrador debe desactivar la cuenta del empleado. Esto evita que el ex-empleado o alguien más el uso de la cuenta. Esto puede prevenir ataques como el de Fannie Mae (discutido en el capítulo 6) donde el empleado instaló una bomba lógica después de enterarse de que perdió su trabajo.

Si la auditoría descubre que las cuentas no se desactivan, la organización y luego toma medidas para identificar y corregir el problema. Es una política por escrito en su lugar? ¿Conoce el personal adecuado a sus responsabilidades en relación con la política? Por ejemplo, si un solo administrador tiene la tarea de cuentas incapacitantes, pero el administrador no está informado de las terminaciones de los empleados hasta días después, no hay manera de que el administrador desactivará las cuentas inmediatamente.

En este caso, muchas organizaciones coordinan entrevistas de salida con el personal de seguridad y deshabilitar la cuenta durante la entrevista.

Por ejemplo, una organización puede tener una incapacidad de cuenta o la política de caducidad que requiere la desactivación de cuentas cuando un empleado deja la organización. Una auditoría verifica que las cuentas de ex-empleados son discapacitados.

Del mismo modo, una organización puede tener una política que exige a los administradores tener dos cuentas por una cuenta de usuario regular y una cuenta de administrador. Ellos usan la cuenta normal para el trabajo regular y utilizar la cuenta administrativa sólo cuando haciendo tareas administrativas. Una auditoría de esta política verifica que los administradores están siguiendo la política.

Capítulo 8 cubrió las evaluaciones de vulnerabilidad y pruebas de penetración. Los auditores pueden utilizar estas herramientas para verificar que los pasos que una compañía ha tomado para mitigar los riesgos son exitosos. Por ejemplo, la política de seguridad puede dictar que todos los sistemas deben mantenerse al día con los parches. Un análisis de vulnerabilidades puede detectar sistemas sin parches que no están en cumplimiento con la política.

De derechos de usuario y permisos Comentario / User Rights and Permissions Review

Una revisión de los derechos y permisos de usuario es un tipo de auditoría. Identifica los privilegios (derechos y permisos) concedidas a los usuarios y los compara contra lo que se necesita por los usuarios. Esto se puede detectar dos problemas comunes: hinchazón autorización y cuentas inactivas.

Hinchazón permiso se produce cuando un usuario se concede cada vez más permisos debido a las cambiantes requisitos de trabajo, pero que no sean necesarios los permisos no se eliminan. Por ejemplo, imagine que Nicole está trabajando en los recursos humanos (HR) del departamento, por lo que tiene acceso a los datos de recursos humanos. Más tarde, se transfiere al departamento de ventas y se concede el acceso adicional a los datos de ventas. Sin embargo, su acceso a los datos de recursos

Page 23: Chapter 8

humanos no se elimina, aunque ella no lo necesita para realizar su trabajo en el departamento de ventas.

Como mínimo, las cuentas deben ser desactivadas cuando los usuarios salen de la empresa. Muchas organizaciones más tarde borrar las cuentas después de determinar que no son necesarios. Sin embargo, si un proceso no está en su lugar de deshabilitar su cuenta, las cuentas permanecen habilitadas. Los ex empleados todavía pueden ser capaces de utilizarlo, o pueden compartir sus contraseñas con otros empleados que pueden utilizarlo.

Recuerda esto

Auditorías de rutina ayudan a una organización a asegurar que están siguiendo sus políticas. Una revisión de los derechos y permisos de usuario se asegura de que las cuentas inactivas son deshabilitado o eliminado. También garantiza que los usuarios sólo tienen el acceso que necesitan y no más.

Herramientas contraseña de craqueo / Password-cracking Tools

Herramientas para descifrar contraseñas pueden descubrir, recuperar, o contraseñas de derivación se utiliza para la autenticación en sistemas y redes, y para diferentes tipos de archivos. Los administradores del sistema los usan para identificar contraseñas débiles o recuperar datos protegidos con contraseñas. Los atacantes utilizan estas herramientas para descifrar contraseñas para introducirse en un sistema o archivos protegidos con contraseña abiertos.

Muchos crackers de contraseñas se llaman herramientas de recuperación de contraseña. En otras palabras, están anunciados como una herramienta que los usuarios y los administradores pueden usar para recuperar contraseñas perdidas u olvidadas. Muchos permiten al usuario aprender la contraseña original, y algunos permiten al usuario cambiar la contraseña. Crackers de contraseñas pueden oler la red para recuperar contraseñas enviados a través de la red, se identifican las contraseñas almacenadas en caché, se agrietan contraseñas encriptadas, y descubre las contraseñas utilizadas para proteger con contraseña los archivos.

Por ejemplo, los programas de archivo, tales como la protección de contraseña de apoyo RAR y WinZIP. Un usuario puede crear un archivo de los archivos sensibles y proteger con contraseña ellos, proporcionando una sensación de seguridad, pero están los archivos seguros? Usted podría utilizar una galleta de la contraseña para determinar si se puede romper la clave y acceder a los datos. Si es posible, un atacante puede.

Contraseña agrietamiento implica diferentes métodos, como el análisis comparativo, la fuerza bruta y el criptoanálisis. En un ataque de diccionario, el cracker intenta todas las palabras en un diccionario de palabras comunes. Este diccionario incluye a menudo contraseñas comunes como 123.456 y letmein. Contraseñas complejas que mezclan mayúsculas, minúsculas, números y caracteres especiales que normalmente se puede superar este tipo de ataque, porque estas palabras no estarán en el diccionario.

Page 24: Chapter 8

Un ataque de fuerza bruta intenta todas las combinaciones posibles de caracteres. Contraseñas complejas de a los menos ocho caracteres frustrar un ataque de fuerza bruta, ya que toma mucho tiempo para que tenga éxito.

Ataques de criptoanálisis explotan vulnerabilidades con la criptografía se utiliza para proteger la contraseña. Por ejemplo, de L0phtcrack explota los métodos criptográficos débiles utilizados por contraseñas LANMAN. Capítulo 10 se presenta información sobre LANMAN, incluyendo sus vulnerabilidades.

Ataques Hash atacarán el hash de la contraseña en lugar de la contraseña. Capítulo 1 introduce hash y, como un recordatorio, un hash es simplemente un número creado con un algoritmo de hash como MD5 o SHA1. Un sistema puede utilizar un algoritmo de hash como MD5 o SHA1 para crear un hash de una contraseña. En lugar de enviar la contraseña a través de la red, o guardar la contraseña en el sistema, un sistema envía o almacena el hash. Cuando se usan hashes, la galleta de la contraseña intenta identificar la contraseña real utilizando el hash.

Esto puede consumir mucho tiempo, pero las tablas del arco iris acelerar el proceso mediante el uso de tablas de consulta precalculadas. Una tabla de arco iris es una enorme base de datos de hashes creados a partir de hash diferentes combinaciones de caracteres. Una galleta de la contraseña se puede comparar un hash interceptado con hashes en la tabla del arco iris para descubrir el original contraseña.

Ayuda a revisar el proceso de cómo el análisis comparativo trabaja en un ataque de contraseña sin una tabla de arco iris.

1. Las atacantes intercepta o descubre el hash de la contraseña original.2. El atacante adivina una contraseña.3. El atacante hashes la conjetura.4. El atacante compara el hash de la contraseña original con el hash de la contraseña adivinado. Si

son el mismo, el atacante1. conoce la contraseña.5. Si no son el mismo, el atacante repite los pasos 2 a 4 hasta que se encuentra una coincidencia.

En un ataque de mesa arco iris, arco iris de la tabla incluye hashes precalculados en una tabla de búsqueda. Algunas tablas del arco iris son tan grandes como 160 GB de tamaño e incluyen hashes para todas las combinaciones posibles de caracteres hasta ocho caracteres de longitud. Tablas del arco iris más grandes también están disponibles.

Cuando se utiliza la tabla de arco iris, la galleta de la contraseña no tiene que tomar el tiempo y paso a uso intensivo del procesador de hash de una contraseña adivinado (paso 3). En cambio, la galleta de la contraseña, simplemente compara el hash de la contraseña original contra todos los hashes en la tabla de búsqueda. Si se produce una coincidencia, el atacante tiene la contraseña original (o al menos texto que se puede reproducir el hash de la contraseña original).

Page 25: Chapter 8

Recuerda esto

Herramientas para descifrar contraseñas pueden comprobar la seguridad de los archivos protegidos por contraseña. Los atacantes utilizan tablas de arco iris a descifrar contraseñas débiles.

Es cierto que esta es una explicación simplista de un ataque tabla de arco iris, pero es adecuada si usted no planea en escribir el algoritmo para crear su propio software de arco iris ataque mesa.

Ataques de mesa Rainbow tienen éxito contra los hashes de contraseñas de texto sin formato. Las contraseñas que se generan aleatoriamente con bits aleatorios, conocidos como una sal, evitar este ataque. Además, el cifrado y, a continuación hashing la contraseña se derrotar a un ataque tabla de arco iris.

Muchas herramientas de descifrado de contraseñas están disponibles. Crackers de contraseñas utilizan diferentes formas de análisis comparativo para descubrir o descifrar una contraseña. Algunos de los crackers de contraseñas populares son:

John the Ripper-Can descifrar contraseñas en múltiples plataformas. A menudo se utiliza para detectar contraseñas débiles.

Caín y Abel-comúnmente utilizados para descubrir las contraseñas en los sistemas Windows; puede oler la red y el uso Diccionario, fuerza bruta y ataques de criptoanálisis.

Ophcrack-Se utiliza para descifrar contraseñas en los sistemas Windows mediante el uso de tablas de arco iris.

Airsnort-Can descubrir claves WEP utilizadas en redes inalámbricas 802.11. Aircrack-Utilizado para WEP y WPA agrietamiento en redes inalámbricas 802.11. L0phtCrack-Can descifrar contraseñas en los sistemas Windows de mayor edad.

Registros de Monitoreo / Monitoring Logs

Registros tienen la capacidad de grabar lo que sucedió, cuándo sucedió, dónde sucedió y quién lo hizo. Uno de los propósitos principales de la tala es permitir que alguien, como un profesional de administrador o de seguridad, para identificar exactamente lo que sucedió y cuándo.

Con esto en mente, es tentador para configurar el registro para registrar cada evento y proporcione tantos detalles como sea posible.

Registros -la mayoría apoya un modo detallado que ingrese detalles adicionales. Sin embargo, un factor limitante es la cantidad de espacio disponible en disco. Además, cuando el registro está habilitado, hay una responsabilidad implícita para revisar los registros. Cuanto más que usted elija para iniciar la sesión, más usted puede tener que revisar.

Page 26: Chapter 8

Registros del Sistema Operativo

Los sistemas operativos tienen registros básicos que los eventos de registro. Por ejemplo, los sistemas Windows tienen varios troncos comunes que registran lo que pasó en un sistema informático de Windows. Todos estos registros son visibles en el Visor de sucesos, y la Figura 8.2 muestra el Visor de sucesos desde un sistema Windows 7.

Hay una gran cantidad de registros que se pueden ver desde el Visor de sucesos, pero los registros importantes desde una perspectiva de seguridad son:

Seguridad. Los registros de seguridad eventos auditables, como cuando un usuario inicia sesión en o fuera, o cuando un usuario accede a un recurso. Alguna auditoría está habilitada de forma predeterminada en algunos sistemas, pero los administradores pueden agregar auditoría adicional. El registro de seguridad registrará los detalles tales como quién hizo algo, cuando lo hizo, lo que hizo, y dónde.

Aplicación. El registro de eventos registra Aplicación registrados por aplicaciones o programas que se ejecutan en el sistema. Cualquier aplicación tiene la capacidad de registrar errores en el registro de la aplicación.

Sistema. El sistema operativo utiliza el registro del sistema para registrar los eventos relacionados con el funcionamiento del sistema operativo. Esto puede incluir cuando se inicia, cuando se apaga, la información sobre los servicios de arranque y parada, los conductores de carga o en su defecto, o

Page 27: Chapter 8

cualquier otro evento componente del sistema considerado importante por los desarrolladores de sistemas.

Si un sistema es atacado, puede ser capaz de aprender los detalles del ataque mediante la revisión de los registros del sistema operativo. Dependiendo del tipo de ataque, cualquiera de los registros del sistema operativo puede ser útil.

Recuerda esto

Windows registra información de forma continua registro que puede ser útil en la solución de problemas y la obtención de información sobre los ataques. Los registros de seguridad eventos auditables por ejemplo, cuando un usuario inicia sesión en o fuera, o cuando un usuario accede a un recurso. El registro del sistema incluye los eventos del sistema, como cuando los servicios de arranque y parada. Registros almacenados en una ubicación central proporcionan protección contra los ataques.

El registro de seguridad incluye entradas para eventos auditados, como cuando alguien se conecta o apagado, o acceso a un archivo.

Eventos auditados se registran como éxito o fracaso. Éxito indica un evento auditado completado con éxito, tal como un usuario que inicia sesión con éxito en o eliminar correctamente un archivo. Un fallo indica que un usuario ha intentado realizar una acción, pero no pudo, como no poder ingresar o tratar de eliminar un archivo, pero recibiendo un error de permiso en su lugar.

Otros Registros

Además de los registros básicos del sistema operativo, muchos otros registros están disponibles para proporcionar información adicional.

Registros del cortafuego. Registros de los cortafuegos pueden registrar todo el tráfico que está bloqueado o permitido. Puede comprobar los registros del firewall para detectar intrusiones o ataques, como ataques de puerto oler, o simplemente para registrar el tráfico a través del firewall.

Registros del antivirus. Registros Antivirus registrará toda la actividad antivirus incluso cuando se realizaron las exploraciones y si se detectó ningún malware. Estos registros también identificarán si malware ha sido eliminado o puesto en cuarentena.

Informes de aplicación. Muchas aplicaciones de servidor incluyen capacidades de registro dentro de la aplicación. Por ejemplo, las aplicaciones de bases de datos como Microsoft SQL Server o base de datos Oracle incluyen los registros de rendimiento récord y la actividad del usuario.

Registros de rendimiento. Registros de rendimiento pueden supervisar el rendimiento del sistema y dar una alerta cuando se superan los umbrales de rendimiento preestablecidos.

Page 28: Chapter 8

Revisión de Registros / Reviewing Logs

Registros ofrecen la posibilidad de revisar la actividad, pero, irónicamente, esto es a menudo el paso más alto en el proceso de auditoría. A menudo, los administradores sólo se clavan en los registros cuando aparezca un síntoma. Desafortunadamente, los síntomas a menudo no aparecen hasta que un problema ha bola de nieve fuera de control.

Muchos programas de terceros disponibles que pueden automatizar la revisión de los registros de las grandes organizaciones. Por ejemplo, NetIQ cuenta con una suite completa de aplicaciones que monitorean varios ordenadores y servidores en una red. Cuando se produce un evento, NetIQ examina el caso para determinar si se trata de un evento de interés. Si es así, se desencadena una respuesta programada, como el envío de un e-mail a un grupo de administradores.

Otro de los beneficios de un programa de terceros como esto es que proporciona gestión de registro centralizado. Si un sistema es atacado y comprometido, los registros almacenados en el servidor de registro se conservan. Como recordatorio, los atacantes a menudo tratan de borrar o modificar los registros después del ataque. Gestión de registros centralizada reduce el éxito de estos intentos.

ÓVAL

La vulnerabilidad abierta y Lenguaje Evaluación (oval) es un estándar internacional utilizado para evaluar la exposición de vulnerabilidades. El objetivo es estandarizar el proceso de evaluación y presentación de informes utilizados por los escáneres de vulnerabilidad y herramientas de evaluación. La División Nacional de Seguridad Cibernética del Departamento de Estados Unidos Fondos de Seguridad Nacional de investigación oval.

ÓVAL no es una herramienta de evaluación de la vulnerabilidad en sí. En cambio, es un estándar utilizado por las herramientas de evaluación de la vulnerabilidad. Como estándar, ayuda a garantizar que la información reportada por diferentes herramientas proporciona información similar.

ÓVAL estandariza tres pasos en el proceso de evaluación:

1. Sistema de Recolección características y la información de configuración de un sistema2. Analizar el sistema para determinar el estado actual3. Informe de los resultados