Download - Gestión de Auditorías de Seguridad
1
Gestión de Proyectos de Auditoría de Seguridad
Consultor de Seguridad
18 de julio de 2003
2
Índice
– Detección de necesidades
– Introducción a las Auditorías de Seguridad
– Dimensionamiento de la Auditoría
– La metodología OSSTMM
– El informe de Auditoría
– Para qué sirve la auditoría
3
Detección de necesidades
Cuando ACME dice:¡Quiero una auditoría de seguridad!
¿Necesita Certificación?• Auditoría de Cuentas
• Certificación ISO 9000-900X
¿Necesita normativas?• Adecuación legal LOPD / LSSI-CE
• Buenas Prácticas (ISO-IEC 17799)
4
Detección de necesidades
¿Necesita Seguridad?…
• Protección contra intrusiones (IDS, IPS, etc.)
• Protección contra virus, troyanos, malware...
• Securización de sistemas internos (Hardening)
Asumimos que realmente necesita una Auditoría de Seguridad…
5
Auditoría de Seguridad
Auditoría de Sistemas de Información
• Interna (Caja Blanca)
• Realizada en las instalaciones de ACME
• Se parte de un esquema de red
• Información proporcionada por el cliente
Test de Intrusión
• Externa (Caja Negra)
• Realizada de forma remota
• Se parte de un rango de IPs o de un dominio DNS
• Información desconocida
Introducción a las Auditorías de Seguridad
Tipos de Auditorías
6
Auditoría de Seguridad
Auditoría de Sistemas de Información
• Interna (Caja Blanca)
• Realizada en las instalaciones del cliente
• Se parte de un esquema de red
• Información proporcionada por el cliente
Al final se convierte en Análisis remoto
• No es posible conectar un portátil
• No se puede acceder al CPD
• No existe esquema de red
• El cliente no sabe o no proporciona la información
Introducción a las Auditorías de Seguridad
Peligros de una Auditoría Interna
7
Auditoría de Seguridad
Test de Intrusión
• Externa (Caja Negra)
• Realizado de forma remota
• Se parte de un rango de IPs o de un dominio DNS
• Información desconocida
Introducción a las Auditorías de Seguridad
Peligros de un Test de Intrusión
Al final se convierte en Intrusión interna
• Oye, necesito que te pases por ACME
• Ya que estás aquí, échame una mano con el firewall
• Inclúyeme el pasword cracking
• Revísame los IDSs
• Necesito un hardening de las máquinas
• ¡Tienes dos semanas!
8
Introducción a las Auditorías de Seguridad
Hay más posibilidades
• Análisis de Vulnerabiliades
• Test de Intrusión
• Auditoría de Seguridad
• Comprobación de la Seguridad
• Hacking ético
tiempo
coste Análisis de Vulnerabilidades
Comprobación de Seguridad
Hacking ético
Penetration Testing
Auditoría de Seguridad
Fuente: OSSTMM
9
Auditoría de Seguridad Internet: fase I OSSTMM
Auditoría de Seguridad Internet
• Externa (Caja Negra)• Realizada de forma remota• Se parte de un rango de IPs o de un dominio DNS• Información desconocida• Cobertura: detección remota de vulnerabilidades• Se realiza en dos-tres semanas• Se sigue la metodología OSSTMM
Introducción a las Auditorías de Seguridad
Solución:
10
Dimensionamiento de la Auditoría
El tiempo es dinero• Con la cobertura propuesta se calcula el
tiempo y recursos necesarios para realizarla
• Con el tiempo y los recursos necesarios se
calcula el presupuesto de la auditoría
El dinero es tiempo• Con el presupuesto inicial se calculan el
tiempo y los recursos asignados
• Con el tiempo y los recursos es posible llegar
hasta determinada cobertura en la
metodología OSSTMM.
11
Dimensionamiento de la Auditoría
Gestión del Proyecto
12
Batería de preguntas
• ¿Cuántos son los dispositivos a Auditar?
Ej: 100 dispositivos físicos con 150 IPs en la misma clase C
• ¿Cuál es la cobertura necesaria?
Ej: Determinación y análisis de vulnerabilidades de cada uno
• ¿Cuál es el tiempo necesario?
Ej: Tres semanas
Dimensionamiento de la Auditoría
SE DETERMINA EL TIEMPO NECESARIO
Y EL NÚMERO DE RECURSOS
13
ACME: Seguimiento de la Auditoría de Seguridad
Día Fecha Descripción de tareas (Consultor 1)Descripción de tareas
(Jefe de Proyecto)Horas
C1Horas
JPHoras
TotalesLunes 16 de junio de 2003 Recopilación de información y reunión inicial Recopilación, Project y reunión 8 8 16Martes 17 de junio de 2003 Búsqueda de información pública Documentación inicial 8 8 16Miércoles 18 de junio de 2003 Búsqueda DNSs, traceroutes, AS Numbers, etc. 8 0 8Jueves 19 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) 8 0 8Viernes 20 de junio de 2003 Exploración de red y escaneo "bulk" (nmap) Seguimiento del proyecto 8 2 10Sábado 21 de junio de 2003Domingo 22 de junio de 2003
Total Semana 40 18 58Lunes 23 de junio de 2003 Análisis de Datos Análisis de Datos 8 8 16Martes 24 de junio de 2003 Determinación de SSOO y puertos TCP/UDP Documentación 8 8 16Miércoles 25 de junio de 2003 Determinación de SSOO y puertos TCP/UDP 8 0 8Jueves 26 de junio de 2003 Comprobación manual de sistemas y servicios 8 0 8Viernes 27 de junio de 2003 Comprobación manual de sistemas y servicios Seguimiento del proyecto 8 2 10Sábado 28 de junio de 2003Domingo 29 de junio de 2003
Total Semana 40 18 58Lunes 30 de junio de 2003 Mapa de Red Análisis de Datos 8 8 16Martes 1 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) Documentación 8 8 16Miércoles 2 de julio de 2003 Análisis de vulnerabilidades "bulk" (nessus) 8 0 8Jueves 3 de julio de 2003 Comprobación manual de vulnerabilidades 8 0 8Viernes 4 de julio de 2003 Eliminación de falsos positivos Análisis de Datos 8 4 12Sábado 5 de julio de 2003Domingo 6 de julio de 2003
Total Semana 40 20 60Lunes 7 de julio de 2003 Documentación Documentación 8 8 16Martes 8 de julio de 2003 Documentación Documentación 8 8 16Miércoles 9 de julio de 2003 Reunión final y Entrega Reunión 8 8 16
Total Semana 24 24 48Total Auditoría 144 80 224 28 días
Dimensionamiento de la Auditoría
14
Problemática
Las tareas de gestión de proyecto consumen tiempo
Los escaneos consumen tiempo y ocupan un portátil
Lo que no esté analizado en el informe no existe
El Jefe de Proyecto debe ser real, no virtual, aunque esté al 33% en MS Project
Deben asignarse equiposm portátile y fomentar la simultaneidad de tareas
Documentar todo lo que se haga y poner una fecha de congelación de escaneos
Dimensionamiento de la Auditoría
15
Metodología OSSTMM
The Security Testing Professional and the OSSTMM“Open Source Security Testing Methodology Manual”
La metodología OSSTMM
16
La metodología OSSTMM
17
Internet
PC PC PC
UsuarioRemoto
Web, FTP
DNSInterno
Anti VirusCVP
Relay deCorreo
DNS externo
Segmento deRed Interna
SegmentoDMZ
Red deSeguridad
Router deacceso
Segmentoexterno
Servidorde Correo
Servidor deficheros
Bases deDatos
Cortafuegos
Diagrama de Red
La metodología OSSTMM
18
La metodología OSSTMM
Auditoría de Seguridad Internet
– Exploración de red
– Escaneo de puertos
– Identificación de Servicios
– Identificación de Sistemas
– Búsqueda y Verificación de Vulnerabilidades
– Comprobación de Aplicaciones Internet
19
La metodología OSSTMM
Análisis de la red
Se realiza un análisis preliminar, con el fin de delimitar específicamente el ámbito de actuación y localizar las máquinas que se van a auditar.
Objetivo
Resultados
Nombres de Dominio
Nombres de Servidores
Direcciones IP
Mapa de Red
Información administrativa del Proveedor de Servicios
Propietarios y administradores de las máquinas
Posibles limitaciones en las pruebas de la auditoría
20
Escaneo de puertos
El escaneo de puertos es una prueba de los puertos TCP y UDP en la capa de transporte, así como servicios de red encapsulados en ellos. Se utiliza para enumerar puertos abiertos que permitirán utilizar servicios que logren atravesar el cortafuegos y acceder a la red interna.
Objetivo
Resultados
Puertos abiertos, cerrados y filtrados
Direcciones IP de sistemas activos
Lista de túneles descubiertos y encapsulación de protocolos
Lista de protocolos de enrutamiento soportados descubiertos.
Servicios activos
Mapa de red
La metodología OSSTMM
21
Detección Remota de Sistemas Operativos
Se realiza una prueba activa de la respuesta a determinadas solicitudes de conexión que puedan identificar unívocamente al Sistema Operativo remoto utilizado y el nivel de versión..
Objetivo
Resultados
Tipo de máquina
Tipo de Sistema Operativo
Nivel de parches y Service Packs
La metodología OSSTMM
22
Prueba de Servicios
Se examinan de forma activa las aplicaciones que están escuchando en los puertos abiertos. En ciertos casos, existe más de una aplicación tras un servicio, escuchando, además, en distintos puertos.
Objetivo
Resultados
Tipos de Servicio Activo
Tipos de Aplicación y nivel de versión
Mapa de Red
La metodología OSSTMM
23
Análisis de Vulnerabilidades
Se realizará la búsqueda de vulnerabilidades usando herramientas automáticas para determinar agujeros de seguridad en aplicaciones y en versiones de parches. Se realizará un análisis básico de vulnerabilidades de los distintos sistemas, mediante procedimientos automáticos y manuales
Objetivo
Resultados
Lista de vulnerabilidades del sistema
Tipos de aplicación o servicio por vulnerabilidad
Descripción de cada vulnerabilidad y forma de explotarla
Recomendaciones de niveles de parche de sistemas y
aplicaciones que corrigen la vulnerabilidad
La metodología OSSTMM
24
El informe de Auditoría
Análisis de Vulnerabilidades
Resultados
Lista de vulnerabilidades del sistema
Tipos de aplicación o servicio por vulnerabilidad
Descripción de cada vulnerabilidad y forma de explotarla
Recomendaciones de niveles de parche de sistemas y
aplicaciones que corrigen la vulnerabilidad
25
• AuditorAuditoríía, adecuación y definición de la Política, Normativas y a, adecuación y definición de la Política, Normativas y
Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501)Procedimientos de Seguridad, según estándar (ISO17799 / UNE 71501)
1 Política de Seguridad1 Política de Seguridad
2 Organización de la Seguridad2 Organización de la Seguridad
3 Organización y Control de Activos3 Organización y Control de Activos
4 Seguridad Ligada al Personal4 Seguridad Ligada al Personal
5 Seguridad Física y del Entorno5 Seguridad Física y del Entorno
6 Comunicaciones y Gestión de Explotación6 Comunicaciones y Gestión de Explotación
7 Control de Acceso al Sistema7 Control de Acceso al Sistema
8 Desarrollo y Mantenimiento8 Desarrollo y Mantenimiento
9 Plan de Continuidad y Mantenimiento9 Plan de Continuidad y Mantenimiento
10 Conformidad Legal y a la Política de Seguridad10 Conformidad Legal y a la Política de Seguridad
ISO/IEC/UNE 717799-1:2002ISO/IEC/UNE 717799-1:2002
Establece el marco normativo de “obligado cumplimento”, para Establece el marco normativo de “obligado cumplimento”, para
todos los ámbitos de la seguridad: seguridad lógica, física, del todos los ámbitos de la seguridad: seguridad lógica, física, del
personal, cumplimiento legal, etc.personal, cumplimiento legal, etc.
Para qué sirve la auditoría
26
Conclusiones
27
DAVINCI Consulting Tecnológico, s.a.u.
Parque Empresarial Alvento.
Vía de los Poblados, 1 Edificio A 6ª planta
28033 Madrid
Tlf: 902 464 546 Fax: 91 561 3175
htttp://www.dvc.es
Gracias
PPTs disponibles en ww.ausejo.net