lunes, 5 de mayo de 2014

Resumen curso de seguridad (I de II)

Aunque ya he compartido algunos temas que estamos aprendiendo y aplicando en el curso de seguridad, hay algunos otros que aun no los he expuesto o quizá solo los he mencionado y por ello te dejare un resumen de los temas que hemos abarcado.
Un tema importante es el hacking ético, que es aquel conjunto de procesos que determinan en que estado se encuentra la seguridad de un organización, y por supuesto validando todo mediante un informe que es entregado con el fin de que los problemas de seguridad encontrados los solucionen. Las pruebas de intrusión o pentest de forma ética, emplean las mismas técnicas, métodos y herramientas que cualquier otro atacante malicioso, y la diferencia radica en los fines de cada uno.
Los objetivos principales de las pruebas de intrusión son básicamente dos:
  • El primero consiste en identificar todos los riegos y amenazas que atenten contra la los tres pilares de la seguridad, así como verificar si una amenaza puede o no materializase mediante un ataque, aprovechando alguna falla, vulnerabilidad o malas practicas tanto a nivelo lógico, como físico.
  • El segundo objetivo es demostrar como es posible vulnerar los servicios, sistemas, comunicaciones, personal y demás elementos que integran a la organización y comprometer los activos de la organización, sean estos información, sistemas, dinero, etc. Esto permite a su vez, actualizar a la organización sobre su estado actual de la seguridad y tomar decisiones para solucionar las fallas y establecer mejoras en la seguridad.


Un proyecto de hacking ético o prueba de intrusión contempla tres fases, que permiten establecer un marco de referencia sobre las reglas que deberán seguirse al momento de desarrollar las pruebas de intrusión, que le darán la pauta al auditor de seguridad o hacker ético, el alcance del proyecto, tipo de prueba y el informe, este ultimo es un requisito invariable, que depende del hacker ético, dichas fase son las siguientes:
  1. Definición del contexto: En esta fase se define el alcance que tendrá el proyecto de hacking ético o prueba de intrusión, en muchas ocasiones las organizaciones desean evaluar un conjunto de elementos o uno en concreto, por distintas razones, como puede ser que lancen un nuevo producto o servicio al publico y previo a esto, quieran verificar la seguridad del mismo, de forma mas simple se puede decir que abarca la especificación de que áreas y elementos se auditaran y en base a esto el proyecto de hacking ético podría adoptar una o mas topologías como: Hacking ético interno, Hacking ético externo, Hacking ético de aplicaciones web, test de denegación de servicio, Ingeniería Social, pruebas de estrés, etc. 
  2. Realización de pruebas: La realización de pruebas, es la fase donde el Hacker ético entra en acción, los tipos de pruebas que pueden realice pueden ser dos: De caja negra, que es aquella prueba de intrusión donde se desconoce la mayor parte de lo que se pretende auditar, ya que la organización no brinda información sobre dichos elementos, en el caso contrario, cuando la organización especifica que elementos quieres auditar y tipos de amenazas estamos tratando con caja blanca.
  3. Informe y entrega de resultados: En esta ultima es donde se rinden los frutos de todo el proceso de la auditoria realizada por el Hacker ético y es finalmente la parte en la que se presentan el conjunto de vulnerabilidad y fallas encontradas, así como el impacto que tendría sobre la organización que estas sean explotadas por un atacante malicioso. Anteriormente vimos algunos aspectos que debe contener un informe de una auditoria de seguridad, de forma compacta se puede decir que el contenido mínimo del informe es: Introducción, Informe ejecutivo(para personal no técnico), clasificación de las vulnerabilidades detectadas en función de su criticidad(para personal técnico), Detalle de cada una de las vulnerabilidades detectadas y recomendaciones para solucionar el fallo(para personal técnico) y por ultimo anexos. 
 Perfil de habilidades de un hacker ético:
  • Preparación: El Hacker ético debe estar exentó de cualquier perjuicio en su contra a causa de las pruebas de intrusión realizadas a la organización, siempre y cuando dichas pruebas sean acorde a lo estipulado en el contrato.
  • Gestión: Comprende la capacidad para presentar de una forma correcta el informe detallando las fallas y vulnerabilidades encontradas en los sistemas de la organización.
  • Conclusión: Es la capacidad que tiene el Hacker ético para brindar soluciones a los problemas o fallas encontrados.
Modos de Hacking ético:
  • Redes remotas: Esta forma de permite simular el ataque perpetrado fuera del perímetro de la red de la organización, es decir ataques lanzados desde internet por cualquier atacante malicioso.
  • Redes locales: Los ataques en redes locales, buscan proteger los activos de la empresa contra atacantes internos, que pueden ser empleados desleales o molestos, etc., de forma que se evalúes la seguridad dentro de la red perimetral de la organización.
  • Ingeniería Social: La ingeniería social busca evaluar el nivel de confianza y capacitación que tiene el personal de una organización para detectar y mitigar estos ataques de engaño.
  • Seguridad Física: Determina la seguridad de todos los elementos físicos de la organización, como pueden ser sistemas biométricos, tarjetas inteligentes, backups físicos, etc.


Saludos.
Lexer Pars.
*********************************************************************************
Resumen curso de seguridad (II de II)
*********************************************************************************

No hay comentarios:

Publicar un comentario