ACTIVOS, ATAQUES, AMENAZAS Y
VULNERABILIDADES
EDDY PÉREZ
UNEG. 201 1
Objetivos
� Conocer los diferentes tipos de activos de una empresa, identificando lo que se debe proteger.
� Conocer el concepto de ataque, vulnerabilidades y amenazas y su relación con los activos de información.
Eddy Pérez – UNEG 2006
información.
� Comprender la importancia de la confidencialidad, disponibilidad e integridad en el manejo de la información.
Agenda
I. Activos y su Clasificación
II. Definición y Tipos de Ataques
III. Amenazas
IV. Vulnerabilidades
Eddy Pérez – UNEG 2006
IV. Vulnerabilidades
ACTIVOS Y SU CLASIFICACIÓN
Activos de Información
Activos
� Todo aquello que representa un valor a la empresa. ISO 27000:2009. Overview and Vocabulary. Traducción del autor
Eddy Pérez – UNEG 2006
Activos de Información
� Conocimientos o datos que tienen valor a la organización. ISO 27000:2009. Overview and Vocabulary. Traducción del autor
� “Es todo aquel elemento que compone el proceso de la comunicación, partiendo desde la información, su
Eddy Pérez – UNEG 2006
la comunicación, partiendo desde la información, su emisor, el medio por el cual se transmite, hasta su receptor” Microsoft. Academia Latinoamericana de la Seguridad Informática. Módulo 1.
Activos. Clasificación
� Software: Programas de Computadores
� Físicos: Computadores. Disp. De Almacenamiento
� Servicios
� Personas y sus cualidades, habilidades y experiencias
Eddy Pérez – UNEG 2006
� Personas y sus cualidades, habilidades y experiencias
� Imagen y reputación
� Información Personas que la utilizan
Equipos de soporte
Información
• Empleados• Clientes
• Edificios• Hardware
• Físico• Digital
DEFINICIÓN Y T IPOS
ATAQUES
Definición
Intento de destruir, exponer, alterar, inutilizar, robar oacceso o uso no autorizado de un activo. ISO 27000:2009. Overview
and Vocabulary. Traducción del autor
Evento exitoso o no, que atenta sobre el buen
Eddy Pérez – UNEG 2006
Evento exitoso o no, que atenta sobre el buenfuncionamientos de un sistema, ejecutados de formaintencional o por accidente.
Tipos de ataques
1. Acceso
2. Modificación
3. Denegación de servicio
4. Refutación
Eddy Pérez – UNEG 2006
4. Refutación
Ataques de Acceso
Definición
Es un intento de obtener información que un atacante no está autorizado a ver. El ataque puede ocurrir:
� En la fuente de almacenamiento
� Durante la transmisión
Eddy Pérez – UNEG 2006
Clasificación
�FisgoneoConsiste en hurgar entre los archivos de información con la esperanza de encontrar algo interesante
�Escuchar furtivamenteConsiste en escuchar una conversación en la que no forma parte. Para obtener acceso no autorizado a la información, el
Eddy Pérez – UNEG 2006
Consiste en escuchar una conversación en la que no forma parte. Para obtener acceso no autorizado a la información, el atacante debe colocarse en un sitio que probablemente circule toda la información o al menos la que le interesa.
�IntercepciónParecido a la escucha furtiva a diferencia que el atacante se coloca el mismo en la ruta de la información y la captura antes de que alcance su destino.
Ataques de modificación
Definición
Es un intento de modificar la información que un atacante no está autorizado a modificar. El ataque puede ocurrir:
� En la fuente de almacenamiento
� Durante la transmisión
Eddy Pérez – UNEG 2006
� Durante la transmisión
Clasificación
� Cambios
Es el cambio de la información existente
� Inserción
Agrega información que no existía con anterioridad
Eliminación
Eddy Pérez – UNEG 2006
� Eliminación
Es la remoción de información existente
Ataque de Denegación de Servicio
Definición
Son ataques que niegan el uso de los recursos a los usuarios legítimos del sistemas, información o capacidad.
Eddy Pérez – UNEG 2006
Clasificación
� Denegación de acceso a la informaciónAtaque DoS en contra de la información provocando que no esté disponible.
� Denegación de acceso a la aplicaciónAtaque DoS dirigido a la aplicación que manipula o exhibe la información
Eddy Pérez – UNEG 2006
Ataque DoS dirigido a la aplicación que manipula o exhibe la información
� Denegación de acceso a sistemasDirigido a derribar sistemas de cómputo
� Denegación de acceso a comunicacionesAtaque dirigidos a las redes y medios. Consiste en congestionar las redes o dañar los medios de transmisión
AMENAZAS
Definición
Posible causa de un incidente no deseado, que puede resultar en daños a un sistema u organización. ISO 27000:2009. Overview and Vocabulary. Traducción del autor
Una amenaza es la ocurrencia de cualquier evento que
Eddy Pérez – UNEG 2006
Una amenaza es la ocurrencia de cualquier evento que causa un impacto no deseado o pérdidas de activos de la organización.
Componentes
1. Objetivos – El aspecto de la seguridad que puede ser atacado
2. Agentes – Las personas u organizaciones que originan la amenaza
Eventos – El tipo de acción que representa la
Eddy Pérez – UNEG 2006
3. Eventos – El tipo de acción que representa la amenaza
Ejemplos
Intrusiones e interrupciones a sistemas de información
� Virus, Worms y caballos de Troya
� DoS
� Escucha furtiva del trafico de la red
� Robo de activos
Pérdida de activos que representan puntos de fallas
� Data crítica no respaldada
� Pieza crítica de la infraestructura de la red (router, switch core)
� Claves o tokens que son utilizadas para cifrar la data critica.
Eddy Pérez – UNEG 2006
Vulnerabilidad
Definición
La debilidad de un activo o control que puede ser explotada por una amenaza. . ISO 27000:2009. Overview and Vocabulary. Traducción del autor
Es una vía de ataque potencial.
Una característica o combinación de características que permite
Eddy Pérez – UNEG 2006
Una característica o combinación de características que permite a un adversario colocar a un sistema en un estado contrario a los deseos de las personas responsables o autorizadas e incrementa la probabilidad o magnitud del comportamiento no deseado del sistema.
Posibilidad de ocurrencia de la materialización de una amenaza sobre un activo.
Ejemplos
� Defectos en hardware y software
� Overflow de buffer
� Configuraciones por defecto
� Escasa configuración del hardware (poca memoria, espacio en disco …)
� Falta o carencia de políticas y procedimientos
� Controles de acceso no definidos
� Falta de documentación
� Inconciencia o desconocimiento de los usuarios del tema de seguridad
Eddy Pérez – UNEG 2006
Aseguramiento
Definición
Una acción, dispositivo, procedimiento, técnicas u otras medidas que reducen la vulnerabilidad de un sistema de información
Eddy Pérez – UNEG 2006
Ejemplos
� Tecnologías de control de acceso
� Firewalls
� ACL en archivos, directorios, trafico de la red
� Sistemas de seguridad física
� Tecnologías de cifrado
� Redundancia en Sistemas
� Servidores en cluster
� Fuentes de poder redundantes
� Entrenamiento del personal de T.I.
� Almacenamiento redundante
Eddy Pérez – UNEG 2006