vi congreso iberoamericano de seguridad informática cibsi 2011. software d… · de seguridad...

Carlos Noguera

Ronald Escalona

VI Congreso Iberoamericano de Seguridad Informática

CIBSI 2011

Universidad Nacional Experimental del Táchira Venezuela

Riesgos Evaluaciones

de Seguridad

Integridad

Confidencialidad

Disponibilidad

Simular, en un

ambiente

controlado,

ataques reales

Sistemática Documentada Exhaustiva

SP 800-115

•Uso de buenas prácticas

•Seguir Metodologías

•Homologación de actividades

Guiar en el proceso de Pruebas de Intrusión

•Herramientas

•Análisis y Salidas

Coordinar y relacionar

•Registro de actividades

•Pruebas de Concepto

•Comentarios adicionales

•Generación automática de Reportes!

Documentación

•Llevar información de diferentes áreas u organizaciones

•Coordinar actividades entre distintos analistas de

seguridad

Gestión de Casos

Plantillas de metodologías

Recopilación de Información Competitiva

Enumeración de la red

Análisis de Vulnerabilidades

Explotación de Vulnerabilidades

Análisis de los Resultados y

Generación de Informe

“El Compositor plasma la música en una

partitura, el Director coordina la Orquesta”

Plantillas de metodologías

<?xml version="1.0"?>

<template name=“SP 800-115" autor=“Super User" desc=“Metodología Sp800-115 del NIST" version=“1.0" > <phase name=" Application Security Testing “ desc=" Target Identification and Analysis " > <tool name=" CIRT Fuzzer "/> <tool name=" NetSed "/> …

</phase> < phase name=" Network Discovery " desc=" Target Identification and Analysis " >

<tool name=“P0f"/>

<tool name="Nmap"/> …

</ phase > < phase name=" Network Port and Service Identification" desc=" Target Identification and Analysis " >

<tool name=“Amap"/>

<tool name=“UnicornScan"/> …

</ phase >

…

</template>

Integración de herramientas

Software de terceros

Software de

Gestión

Base de datos

Herramienta

Descripción de la herramienta

Ruta del ejecutable

Reglas de Búsqueda

Patrones de búsqueda usando

expresiones regulares

Relaciones

Relaciones explicitas entre herramientas

Gestión de Pruebas de Penetración

Pentest Orchestrator - PentOr

Software de Gestión

Base de Datos Software

de Terceros

Generación de Reportes

Plantilla de Metodología

Define la metodología a seguir y el

orden de ejecución de las herramientas

Genera reportes de actividades

dado el caso de prueba

Controla la ejecución,

establece parámetros e

invoca herramientas

Guarda la información

asociada al caso de prueba

El sistema se enfoca

principalmente en

resultados

Salva resultados de la

ejecución de

herramientas

Estructura de la Base de Datos

“De la partitura a la metodología …”

Reusar herramientas ya existentes y aprovechar las fortalezas de cada una de ellas.

Facilitar la gestión de generación de reportes

Facilitar el uso e implementación de buenas practicas

Pentest Orchestrator http://pentestorchestr.sourceforge.net/

Carlos Noguera cgn170@gmail.com

Ronald Escalona rescalon@unet.edu.ve