Upload
alicia-barbero-ortega
View
216
Download
0
Tags:
Embed Size (px)
Citation preview
Information Assurance Information Assurance Management-NSA Management-NSA
ModelModel
GSI732 – Introducción a SeguridadGSI732 – Introducción a SeguridadCarmen R. Cintrón Ferrer, 2004, Derechos ReservadosCarmen R. Cintrón Ferrer, 2004, Derechos Reservados
Fases del ProcesoFases del Proceso
Avalúo Avalúo (“Assessment”)(“Assessment”) EvaluaciónEvaluación (“Evaluation”)(“Evaluation”) Penetración Penetración (“Red Team”)(“Red Team”) Informe de HallazgosInforme de Hallazgos RecomendacionesRecomendaciones
Modelo NSA-IAMModelo NSA-IAM
Fase de avalúoFase de avalúo:: Análisis colaborativo de alto nivel (“top level”)Análisis colaborativo de alto nivel (“top level”) Avalúo de recursos de informaciónAvalúo de recursos de información Análisis de funciones críticasAnálisis de funciones críticas Recopilación y examen de:Recopilación y examen de:
Políticas de seguridadPolíticas de seguridad ProcedimientosProcedimientos Arquitectura de seguridadArquitectura de seguridad Flujo de informaciónFlujo de información
Ponderación de visión de seguridad organizaciónalPonderación de visión de seguridad organizaciónal
Modelo NSA-IAMModelo NSA-IAM
Fase de Evaluación:Fase de Evaluación: Pruebas de seguridad de sistemas:Pruebas de seguridad de sistemas:
““Firewalls”Firewalls” ““Routers”Routers” ““Intrusion detection systems”Intrusion detection systems” ““Network scanning”Network scanning” ““Guards”Guards”
Identificación de vulnerabilidadesIdentificación de vulnerabilidades Determinación de medidas de mitigación:Determinación de medidas de mitigación:
TécnicasTécnicas Administrativas/gerencialesAdministrativas/gerenciales OperacionalesOperacionales
Modelo NSA-IAMModelo NSA-IAM
Fase de Penetración:Fase de Penetración: Pruebas externas de penetraciónPruebas externas de penetración Ingeniería socialIngeniería social Simulación de adversariosSimulación de adversarios Simulación de ataquesSimulación de ataques ““Hacking the systems”Hacking the systems”
Information Assurance Information Assurance Management ModelManagement Model
Áreas a considerar:Áreas a considerar: Expectativas de la organización:Expectativas de la organización:
Protección de la infraestructuraProtección de la infraestructura Requerimientos de los aseguradoresRequerimientos de los aseguradores Requirimientos legales o reglamentariosRequirimientos legales o reglamentarios Protección de los activos de informaciónProtección de los activos de información
Restricciones o limitaciones:Restricciones o limitaciones: TiempoTiempo EconómicasEconómicas Recursos humanosRecursos humanos Cultura organizacionalCultura organizacional
Information Assurance Information Assurance Management ModelManagement Model
Áreas a considerar Áreas a considerar (continuación)(continuación):: Premisas a definir o acordar:Premisas a definir o acordar:
Delimitación del proceso de avalúoDelimitación del proceso de avalúo Disponibilidad del personalDisponibilidad del personal Necesidad de transporte ($)Necesidad de transporte ($) Disponibilidad de documentaciónDisponibilidad de documentación Respaldo técnico y gerencial de la organizaciónRespaldo técnico y gerencial de la organización
Acuerdos vagos o pobremente definidos:Acuerdos vagos o pobremente definidos: Descripción del proyectoDescripción del proyecto Estimados de tiempo y costosEstimados de tiempo y costos ContrataciónContratación
Personal requerido:Personal requerido: Líder o gerente del proyectoLíder o gerente del proyecto Personal técnico:Personal técnico:
OperacionesOperaciones SistemasSistemas Sistemas OperativosSistemas Operativos RedesRedes SeguridadSeguridad
Técnicos de documentación de procesosTécnicos de documentación de procesos
Information Assurance Information Assurance Management ModelManagement Model
Determinar información crítica:Determinar información crítica: Tabla de entidades y atributosTabla de entidades y atributos Información reguladaInformación regulada Tabla de datos críticos – atributos esencialesTabla de datos críticos – atributos esenciales Tabla de impactosTabla de impactos
Registrar tracto de documentos:Registrar tracto de documentos: Registro de uso y disposiciónRegistro de uso y disposición Registro de modificaciónRegistro de modificación
##
Information Assurance Information Assurance Management ModelManagement Model
Organization Information Criticality Organization Information Criticality Matrix – Information typesMatrix – Information types
EntidadEntidad AtributosAtributosClienteCliente DirecciónDirección
TeléfonosTeléfonos
#Seguro Social#Seguro Social
BalanceBalance
Red(es)Red(es) Configuración de la redConfiguración de la red
Configuración de servidoresConfiguración de servidores
Cuentas de usuariosCuentas de usuarios
Conexion(es)Conexion(es)
Recursos HumanosRecursos Humanos Información generalInformación general
#Seguro Social#Seguro Social
Evaluaciones de personalEvaluaciones de personal
Historial de salariosHistorial de salarios
Organization Information Criticality Organization Information Criticality Matrix – Matrix – Regulatory Information typesRegulatory Information types
Tipo de informaciónTipo de información Regulación aplicableRegulación aplicableExpedientes académicosExpedientes académicos FERPAFERPA
Expedientes finacierosExpedientes finacieros GLBAGLBA
Datos médicosDatos médicos HIPAAHIPAA
Descripción de cursosDescripción de cursos
Listas de matrículaListas de matrícula
Organization Information Criticality Organization Information Criticality Matrix – Matrix – High-Water markHigh-Water mark
Tipo de Tipo de informacióninformación ConfidencialidadConfidencialidad IntegridadIntegridad DisponibilidadDisponibilidad
Expedientes Expedientes académicosacadémicos ALTAALTA ALTAALTA ALTAALTA
Expedientes Expedientes financierosfinancieros MEDIAMEDIA ALTAALTA ALTAALTA
Datos MédicosDatos Médicos ALTAALTA MEDIAMEDIA BAJABAJA
Descripción cursosDescripción cursos BAJABAJA MEDIAMEDIA ALTAALTA
Listas de matrículaListas de matrícula MEDIAMEDIA MEDIAMEDIA ALTAALTA
ALTAALTA ALTAALTA ALTAALTA
Organization Information Criticality Organization Information Criticality Matrix – Matrix – Impact definitionsImpact definitions
Pérdida Pérdida informacióninformación
ALTOALTO MEDIOMEDIO BAJOBAJO
Expedientes Expedientes académicosacadémicos
Imposibilidad Imposibilidad certificar grados y certificar grados y récordsrécords
Responsabilidad Responsabilidad legal y económicalegal y económica
Pérdida credibilidadPérdida credibilidad
Inconveniente Inconveniente personal y personal y estudiantesestudiantes
Expedientes finacierosExpedientes finacieros Pérdida confianzaPérdida confianza Pérdidas Pérdidas económicaseconómicas
Dificultad de Dificultad de ofrecer serviciosofrecer servicios
Datos médicosDatos médicos Responsabilidad Responsabilidad legal y económicalegal y económica
Pérdida credibilidadPérdida credibilidad Dificultad de Dificultad de ofrecer serviciosofrecer servicios
Descripción de cursosDescripción de cursos
Listas de matrículaListas de matrícula
Organization Information Criticality Organization Information Criticality Matrix – Matrix – Document Use TrackingDocument Use Tracking
Documento Custodio Solicitado Fecha Entregado
Fecha Fecha RecibidoRecibido
Fecha Fecha DestruídoDestruído
Organization Information Criticality Organization Information Criticality Matrix – Matrix – Document VersionTrackingDocument VersionTracking
Documento Versión Autorizado Fecha Vigencia
Reseña de Reseña de cambioscambios
Medidas de mitigación:Medidas de mitigación: Administrativas:Administrativas:
Documentación de procesos seguridadDocumentación de procesos seguridad Resposabilidades y roles de seguridadResposabilidades y roles de seguridad Planeación para contingenciasPlaneación para contingencias Administración de configuracionesAdministración de configuraciones
Operacionales:Operacionales: RotulaciónRotulación Controles del entorno y mediosControles del entorno y medios Personal de seguridadPersonal de seguridad Entorno físicoEntorno físico Programas de concienciación y educación sobre seguridadProgramas de concienciación y educación sobre seguridad
Information Assurance Information Assurance Management ModelManagement Model
Medidas de mitigación:Medidas de mitigación: Técnicas:Técnicas:
Controles y procesos de identificación y autenticaciónControles y procesos de identificación y autenticación Manejo de cuentasManejo de cuentas Control de sesionesControl de sesiones Protección contra código maliciosoProtección contra código malicioso Auditoría de sistemasAuditoría de sistemas Mantenimiento de sistemasMantenimiento de sistemas Robustecimiento de sistemasRobustecimiento de sistemas Controles de conexividad (red)Controles de conexividad (red) Seguridad de las comunicacionesSeguridad de las comunicaciones
Information Assurance Information Assurance Management ModelManagement Model
Informe modelo de hallazgos:Informe modelo de hallazgos: Hallazgos técnicosHallazgos técnicos Hallazgos operacionalesHallazgos operacionales Hallazgos gerencialesHallazgos gerenciales
Informe modelo recomendaciones/acción:Informe modelo recomendaciones/acción: Hallazgos técnicosHallazgos técnicos Hallazgos operacionalesHallazgos operacionales Hallazgos gerencialesHallazgos gerenciales
Modelo análisis de hallazgos y recomendacionesModelo análisis de hallazgos y recomendaciones
##
Information Assurance Information Assurance Management ModelManagement Model
Managing the Findings – Managing the Findings – Technical FindingsTechnical Findings
Vulnerabilidad #Hallazgo Fuente del Riesgo
Nivel Impacto
ConsecuenciasConsecuencias
Msadcs.dllMsadcs.dll 11 Acceso no Acceso no autorizadoautorizado
AltoAlto Permite a un Permite a un hacker trabajar a hacker trabajar a nivel del servidor nivel del servidor con privilegios de con privilegios de administrador.administrador.
Newdsn.exeNewdsn.exe 22 Acceso no Acceso no autorizadoautorizado
AltoAlto Si NTFS no es Si NTFS no es seguro un atacante seguro un atacante puede crear puede crear archivos en archivos en cualquier parte.cualquier parte.
aexp2.htraexp2.htr 33 Acceso no Acceso no autorizadoautorizado
AltoAlto Mediante ataques Mediante ataques de fuerza bruta se de fuerza bruta se pueden descubrir pueden descubrir listas de usuarios y listas de usuarios y clavesclaves
Managing the Findings – Managing the Findings – Operational FindingsOperational Findings
Vulnerabilidad #Hallazgo Fuente del Riesgo
Nivel Impacto
ConsecuenciasConsecuencias
Remote terminal Remote terminal services permite services permite ir sobre controles ir sobre controles de seguridadde seguridad
11 Acceso no Acceso no autorizadoautorizado
MedioMedio Permite servicios Permite servicios de consola remota de consola remota sin autenticar o sin autenticar o auditar usuarios. auditar usuarios.
Controles de Controles de integridad y integridad y validación de validación de datos no se datos no se implantan implantan consistentementeconsistentemente
22 SabotajeSabotaje
Ataques Ataques terroristaterrorista
MedioMedio Falta de controles Falta de controles de integridad y de integridad y validación de datos validación de datos puede resultar en puede resultar en pérdida datos o pérdida datos o pérdida de pérdida de integridad de datosintegridad de datos
Audit trail no Audit trail no permite hacer permite hacer investigaciones investigaciones de incidentesde incidentes
33 SabotajeSabotaje
Ataques Ataques terroristaterrorista
MedioMedio No hay bitácoras de No hay bitácoras de Web server, otras Web server, otras bitácoras en bitácoras en depósito central.depósito central.
Managing the Findings – Managing the Findings – Management FindingsManagement Findings
Vulnerabilidad #Hallazgo Fuente del Riesgo
Nivel Impacto
ConsecuenciasConsecuencias
Falta separación Falta separación de funcionesde funciones
11 Modificación Modificación intencional de intencional de datosdatos
AltoAlto Administrador de Administrador de sistemas puede hacer sistemas puede hacer procesos sin registrar procesos sin registrar tracto debido a falta tracto debido a falta de recursos.de recursos.
Incidentes y Incidentes y alertas de alertas de seguridad sin seguridad sin documentardocumentar
22 Error Error administrativoadministrativo
BajoBajo Como no hay Como no hay procesos procesos documentados la documentados la respuesta a respuesta a incidentes puede incidentes puede resultar en errores de resultar en errores de juicio.juicio.
Falta proceso de Falta proceso de trámite rápida trámite rápida terminación de terminación de empleadoempleado
33 Empleado Empleado disgustadodisgustado
BajoBajo Permite que ex-Permite que ex-empleado acceda los empleado acceda los sistemas.sistemas.
Managing the Findings – Managing the Findings – Technical Findings RecommendationsTechnical Findings Recommendations
Vulnerabilidad #Hallazgo Recomendación Fecha Revisión
Acción Acción
ResponsableResponsable
Msadcs.dllMsadcs.dll 11 Instalar parchos Instalar parchos recientesrecientes
Newdsn.exeNewdsn.exe 22 Eliminar el archivo si Eliminar el archivo si no es necesario, o no es necesario, o restringir el accesorestringir el acceso
aexp2.htraexp2.htr 33 Eliminar el archivo si Eliminar el archivo si no es necesario, o no es necesario, o restringir el accesorestringir el acceso
Managing the Findings – Managing the Findings – Operational Findings RecommendationsOperational Findings Recommendations
Vulnerabilidad #Hallazgo Recomendación Fecha Revisión
Acción Acción
ResponsableResponsable
Remote terminal Remote terminal services permite services permite ir sobre controles ir sobre controles de seguridadde seguridad
11 Migrar a MS Migrar a MS Terminar services o Terminar services o imponer requsitos imponer requsitos de passwords y de passwords y auditoríaauditoría
Controles de Controles de integridad y integridad y validación de validación de datos no se datos no se implantan implantan consistentementeconsistentemente
22 Implantar Tripwire o Implantar Tripwire o cualquier otro cualquier otro proceso de control proceso de control de integridad y de integridad y validaciónvalidación
Audit trail no Audit trail no permite hacer permite hacer investigaciones investigaciones de incidentesde incidentes
33 Implantar proceso Implantar proceso de almacenamiento de almacenamiento y custodia de y custodia de bitácorasbitácoras
Managing the Findings – Managing the Findings – Management FindingsManagement Findings
Vulnerabilidad #Hallazgo Recomendación Fecha Revisión
Acción Acción
ResponsableResponsable
Falta separación Falta separación de funcionesde funciones
11 Contratar personal Contratar personal adicional encargado adicional encargado de funciones de de funciones de seguridadseguridad
Incidentes y Incidentes y alertas de alertas de seguridad sin seguridad sin documentardocumentar
22 Adoptar, diseminar y Adoptar, diseminar y adiestrar sobre adiestrar sobre procedimientos de procedimientos de respuesta a respuesta a incidentesincidentes
Falta proceso de Falta proceso de trámite rápida trámite rápida terminación de terminación de empleadoempleado
33 Actualizar y cumplir Actualizar y cumplir con proceso de con proceso de terminación de terminación de empleadoempleado
Hallazgo: Hallazgo: DRP no se ha actualizadoDRP no se ha actualizado
Categoría: Categoría: documentación de seguridad y documentación de seguridad y planificación de contingenciasplanificación de contingencias
Severidad: Severidad: AltaAlta
Discusión:Discusión: DRP provee el marco operacional requerido para DRP provee el marco operacional requerido para restaurar las operaciones en caso de una emergencia. El restaurar las operaciones en caso de una emergencia. El documento actual no incluye áreas críticas de la red, ni de servicios documento actual no incluye áreas críticas de la red, ni de servicios de conexión.de conexión.
Recomendaciones: Recomendaciones: Desarrollar un plan integral que incluya todas las sedes y Desarrollar un plan integral que incluya todas las sedes y
sistemas.sistemas. Desarrollar un plan basado en sistemas que respalda IT y Desarrollar un plan basado en sistemas que respalda IT y
probar el plan anualmente.probar el plan anualmente. Actualizar el plan existente para integrar todos los sistemas Actualizar el plan existente para integrar todos los sistemas
críticos.críticos.
Managing the Findings – Managing the Findings – Findings Analysis and RecommendationsFindings Analysis and Recommendations
ISO Network Management ModelISO Network Management Model
Fault Management:Fault Management: Análisis de vulnerabilidadesAnálisis de vulnerabilidades Pruebas de penetraciónPruebas de penetración HerramientasHerramientas
Configuration & Change Management:Configuration & Change Management: Administrar configuración de componentes de seguridadAdministrar configuración de componentes de seguridad Manejo de cambios técnicos en:Manejo de cambios técnicos en:
EstrategiasEstrategias Operaciones Operaciones Componentes de seguridadComponentes de seguridad
Manejo de cambios no técnicosManejo de cambios no técnicos
ISO Network Management ModelISO Network Management Modelrecommended toolsrecommended tools
Ethereal Ethereal (www.ehtereal.com) – Network Protocol analyzer(www.ehtereal.com) – Network Protocol analyzer
Nessus Nessus (www.nessus.org) – Remote security scanner(www.nessus.org) – Remote security scanner
NMAP NMAP (www.nmap.org) – Network vulnerability tester(www.nmap.org) – Network vulnerability tester
Snort Snort (www.snort.org) – Network Intrussion Detection System(www.snort.org) – Network Intrussion Detection System
Sam Spade Sam Spade (www.samspade.org) Linux/Unix toolbox:(www.samspade.org) Linux/Unix toolbox:
PingPing DigDig Web-BrowserWeb-Browser Usenet cancel Usenet cancel checkcheck
Blacklist Blacklist lookuplookup
NslookupNslookup TracerouteTraceroute Keep-aliveKeep-alive Web site Web site downloaddownload
Abuse.net Abuse.net queryquery
WhoisWhois FingerFinger DNS zone transferDNS zone transfer Web site Web site searchsearch
TimeTime
Ip block Ip block WhoisWhois
SMTP VRFYSMTP VRFY SMTP relay checkSMTP relay check E-mail header E-mail header analysisanalysis
ISO Network Management ModelISO Network Management Model Accounting and Auditing Management:Accounting and Auditing Management:
Contabilidad de costos (“charge back”)Contabilidad de costos (“charge back”) Creación, revisión, almacén y disposición de BitácorasCreación, revisión, almacén y disposición de Bitácoras
Performance Management:Performance Management: Estándares (“baselines”) y Métricas de tráficoEstándares (“baselines”) y Métricas de tráfico Estándares (“baselines”) y Métricas de serviciosEstándares (“baselines”) y Métricas de servicios Estándares (“baselines”) y Métricas sobre consumo de ancho de Estándares (“baselines”) y Métricas sobre consumo de ancho de
bandabanda
Security Program Management (BS7799/ISO17799):Security Program Management (BS7799/ISO17799): PlanificarPlanificar HacerHacer VerificarVerificar ActuarActuar
Planificar:Planificar: Análisis de riesgosAnálisis de riesgos Análisis de vulnerabilidadesAnálisis de vulnerabilidades Determinación de impactoDeterminación de impacto
Hacer:Hacer: Adoptar e implantar controles internos para administrar riesgosAdoptar e implantar controles internos para administrar riesgos
Verificar:Verificar: Verificación periódica de cumplimientoVerificación periódica de cumplimiento Validación de efectividadValidación de efectividad
Actuar:Actuar: Desarrollar planes de respuesta a incidentesDesarrollar planes de respuesta a incidentes Adoptar procedimiento para restauración o recuperaciónAdoptar procedimiento para restauración o recuperación
ISO Network Management Model ISO Network Management Model Security Program Management (BS7799/ISO17799)Security Program Management (BS7799/ISO17799)
Proceso de mantenimiento:Proceso de mantenimiento: Examen y pruebas externasExamen y pruebas externas Examen y pruebas internasExamen y pruebas internas Acopio de riesgos, amenazas y ataquesAcopio de riesgos, amenazas y ataques Avalúo de impactosAvalúo de impactos Actualizar base datos de riesgos, amenazas y ataquesActualizar base datos de riesgos, amenazas y ataques Reaccionar a incidentesReaccionar a incidentes Tomar medidas de mitigación o eliminaciónTomar medidas de mitigación o eliminación Actualizar base de datos de vulnerabilidadesActualizar base de datos de vulnerabilidades Documentar y actualizar procedimientosDocumentar y actualizar procedimientos
ISO Network Management ModelISO Network Management Model
Recopilación de datos Recopilación de datos (IDS- análisis diferencial):(IDS- análisis diferencial):
Reglas del FirewallReglas del Firewall Reglas del Router (Border /edge)Reglas del Router (Border /edge) Presencia en InternetPresencia en Internet Listas de direcciones IP internasListas de direcciones IP internas Servicios críticos en servidores internosServicios críticos en servidores internos Listas de direcciones IP externasListas de direcciones IP externas Servicios críticos en servidores externosServicios críticos en servidores externos
ISO Network Management ModelISO Network Management Model
Avalúo de riesgos de seguridad operacional:Avalúo de riesgos de seguridad operacional: Conexividad de la redConexividad de la red ModemsModems Conexión con socios de negociosConexión con socios de negocios AplicacionesAplicaciones PrivacidadPrivacidad VulnerabilidadVulnerabilidad Cambios en la organización Cambios en la organización (“acquisition/divestiture”)(“acquisition/divestiture”)
ISO Network Management ModelISO Network Management Model
Avalúo de vulnerabilidades:Avalúo de vulnerabilidades: InternetInternet IntranetIntranet Plataforma de sistemas Plataforma de sistemas
errores de configuración en sistemas operativoserrores de configuración en sistemas operativos Documentación de cambiosDocumentación de cambios
Red inalámbricaRed inalámbrica
Documentación de hallazgosDocumentación de hallazgos Corrección:Corrección:
Aceptación de riesgosAceptación de riesgos Eliminación de amenazasEliminación de amenazas Corrección de vulnerabilidadesCorrección de vulnerabilidades
ISO Network Management ModelISO Network Management Model
Actualización y ejecución:Actualización y ejecución: Revisión de políticas y procedimientosRevisión de políticas y procedimientos Revisión de componentes primariosRevisión de componentes primarios Simulacros y pruebasSimulacros y pruebas
ISO Network Management ModelISO Network Management Model