Present a 0101

Familia Profesional de Informática y Comunicaciones.

INTRODUCCIÓN A LA SEGURIDAD INFORMÁTICA

CONTENIDO

● Principios de seguridad informática.● Seguridad física.● Seguridad lógica.● Análisis forense en sistemas informáticos.



PRINCIPIOS DE SEGURIDAD INFORMÁTICA

● Definición.● Objetivos de la seguridad informática.● Defensa en profundidad.● Servicios de seguridad informática.● Gestión de la seguridad de la información.● Vulnerabilidades de los sistemas informáticos.● Amenazas a la seguridad informática.



DEFINICIÓN DE SEGURIDAD INFORMÁTICA

La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio (ISO/IEC 27001-2005).



DEFINICIÓN DE SEGURIDAD INFORMÁTICA

● Serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización (ISO 7498-1984).● Medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican (Infosec Glossary-2000).



OBJETIVOS DE LA SEGURIDAD INFORMÁTICA

● Confidencialidad: La propiedad por la que la información no se pone a disposición o se releva a individuos, entidades o procesos no autorizados.● Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos.

Activo: cualquier bien que tiene valor para la organización.

● Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada.



OBJETIVOS DE LA SEGURIDAD INFORMÁTICA

● Autenticidad: característica que se refiere a la comprobación y confirmación de la identidad real de los activos (procesos, sistemas, información) y/o actores (usuarios) y/o de la autorización por parte de los autorizadores, así como la verificación de estas tres cuestiones.● Fiabilidad: propiedad relativa a la consistencia en el comportamiento y en los resultados deseados.● No repudio: característica que permite garantizar la autoría de un mensaje y/o su envío.



DEFENSA EN PROFUNDIDAD

● Diseño e implementación de varios niveles de seguridad dentro del sistema de información de la organización.● La seguridad de la organización es el resultado de operaciones realizadas por personas y soportadas por la tecnología.



NIVELES DE DEFENSA EN PROFUNDIDAD

● Políticas y procedimientos de seguridad.● Seguridad física y del entorno.● Defensa perimetral.● Defensa de red.● Defensa de equipos.● Defensa de aplicaciones.● Defensa de datos.



SERVICIOS DE SEGURIDAD INFORMÁTICA

● Confidencialidad, integridad y disponibilidad.● Autenticación, autorización y auditabilidad.● No repudio: previene que un emisor niegue haber remitido un mensaje (cuando realmente lo ha emitido) y que un receptor niegue su recepción (cuando realmente lo ha recibido).● Anonimato.● Protección a la réplica.● Referencia temporal (certificación de fechas).● Certificación mediante Terceros de Confianza.



GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN

Sistema de Gestión de la Seguridad de la información (SGSI): La parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información.



RECURSOS DEL SISTEMA

Activos a proteger del sistema de información:● Recursos hardware.● Recursos software.● Elementos de comunicación.● Información que se almacena, procesa y distribuye.● Locales y oficinas.● Personas que utilizan directa o indirectamente el sistema.● Imagen y reputación de la organización.



AMENAZAS

DEFINICIÓN:Posible causa de un incidente no deseado, el cual puede ocasionar un daño a un sistema o a una organización.



ORIGEN DE LAS AMENAZAS

● Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc...● Amenazas de agentes externos: virus informáticos, ataques de una organización criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc...● Amenazas de agentes internos: empleados descuidados con una formación inadecuada o descontentos, errores en la utilización de las herramientas y recursos del sistema, etc...



INTENCIONALIDAD DE LAS AMENAZAS

● Accidentes: averías del hardware y fallos del software, incendio, inundación, etc...● Errores: errores de utilización, de explotación, de ejecución de procedimientos, etc...● Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc...



VULNERABILIDAD

DEFINICIÓN:Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.



INCIDENTE DE SEGURIDAD

Un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la información.Es decir, se considera que un incidente es la materialización de una amenaza.



IMPACTO

El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad.



RIESGO

Es la posibilidad de que se produzca un impacto determinado en un activo, en un dominio (conjunto de activos) o en toda la organización; este impacto se puede producir debido a que una amenaza explote vulnerabilidades para causar perdidas o daños.



EJEMPLO DE EVALUACIÓN DEL NIVEL DE RIESGO

● Activo: servidor de ficheros.● Amenaza: fallo hardware en un servidor con una probabilidad de ocurrencia baja (una vez cada 5 años).● Vulnerabilidad del sistema: alta ya que no se dispone de un servidor alternativo ni de medidas redundantes (discos RAID, etc...).



EJEMPLO DE EVALUACIÓN DEL NIVEL DE RIESGO

● Impacto: indisponibilidad durante 24 horas de activo afectado hasta su reposición. Impacto de nivel alto.● Nivel de riesgo: se obtiene a partir de las tablas de valoración adoptadas teniendo en cuenta que la amenaza es baja, la vulnerabilidad es alta y el impacto es alto.



DEFENSAS, SALVAGUARDAS O MEDIDAS DE SEGURIDAD

Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o el nivel de impacto en la organización.



TIPOS DE MEDIDAS DE SEGURIDAD

Medida de seguridad activa: cualquier medida utilizada para anular o reducir el riesgo de una amenaza.

● Medidas de prevención: aplicación antes del incidente (autenticación de usuarios, control de acceso, cifrado de datos, formación, etc.).● Medidas de detección: aplicación durante el incidente (sistema de detección de intrusos, análisis de los registros de actividad, etc.).



TIPOS DE MEDIDAS DE SEGURIDAD

Medida de seguridad pasiva: cualquier medida empleada para reducir el impacto cuando se produzca un incidente de seguridad. Son medidas de corrección (se aplican después del incidente). Por ejemplo copias de seguridad, plan de respuesta a incidentes, etc.).



RIESGO RESIDUAL

Es el riesgo que se da tras la aplicación de salvaguardas dispuestas en un sistema.Siempre va a existir un riesgo residual que la organización debe asumir.



EVALUACIÓN Y GESTIÓN DE RIESGOS



VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS

● Diseño:● Debilidad en el diseño de protocolos utilizados en las redes.● Políticas de seguridad deficientes e inexistentes.

● Implementación:● Errores de programación.● Existencia de “puertas traseras” en los sistemas informáticos.● Descuido de los fabricantes.



VULNERABILIDADES DE LOS SISTEMAS INFORMÁTICOS

● Uso:● Configuración inadecuada de los sistemas informáticos.● Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.● Disponibilidad de herramientas que facilitan los ataques.● Limitación gubernamental de tecnologías de seguridad.



ANÁLISIS Y EVALUACIÓN DE VULNERABILIDADES

● Metodologías de evaluación de vulnerabilidades NIST SP 800-42, OWASP, OSSTMM.● Test de penetración.

Externos. Internos.

● Vulnerabilidad del día cero: Vulnerabilidad con amenazas conocidas que no dispone de salvaguarda directa para su eliminación.● CVE: formato de identificación de vulnerabilidades que asigna un identificador único a cada vulnerabilidad publicada (http://nvd.nist.gov/).

La serie 800 del NIST son una serie de documentos de interés general sobre Seguridad de la Información. Estas publicaciones comenzaron en 1990 y son un esfuerzo de industrias, gobiernos y organizaciones académicas para todos los interesados en la seguridad.

OWASP: proyecto de código abierto dedicado a determinar y combatir las causas que hacen que el software sea inseguro.

OSSTMM: documento que reúne, de forma estandarizada y ordenada, las diversas verificaciones y pruebas que debe realizar un profesional de la seguridad informática durante el desarrollo de las auditorías y verificaciones de la seguridad. Es un documento en constante evolución, fruto del trabajo conjunto de más de 150 colaboradores de todo el mundo. Actualmente se desarrolla su versión 3.



AMENAZAS A LA SEGURIDAD INFORMÁTICA

● Tipos de intrusos.● Fases de un ataque.● Herramientas para llevar un ataque.● Tipos de ataques.



TIPOS DE INTRUSOS

● Hackers.● Crackers.● Phreakers.● Sniffers.● Spammers.● Piratas informáticos.

● Creadores de virus y programas dañinos.● Lamers.● Personal interno.● Ex-empleados.● Intrusos remunerados.

De los robos, sabotajes o accidentes relacionados con los sistemas informáticos, el 70% son causados por el propio personal de la organización propietaria de dichos sistemas ("Inside Factor").

Fuente: Cybsec S.A. http://www.cybsec.com

Phreakers: expertos en sistemas de telefonía celular y móvil.



FASES DE UN ATAQUE

● Descubrimiento y exploración de sistemas.● Búsqueda de vulnerabilidad en el sistema.● Explotación de las vulnerabilidades detectadas.● Corrupción o compromiso del sistema.● Eliminación de las pruebas del ataque.



HERRAMIENTAS UTILIZADAS

● Escáneres de puertos.● Sniffers.● Exploits.● Backdoors kits.● Rootkits.● Password crackers.● Generadores de virus, troyanos, etc..● Herramientas que facilitan la ocultación y suplantación (“spoofings”).● Herramientas de cifrado para dificultar la detección de ataques.

Es código, un fragmento de datos, o una secuencia de comandos con el fin de automatizar el aprovechamiento de un error, fallo o vulnerabilidad, a fin de causar un comportamiento no deseado o imprevisto en los programas informáticos, hardware, o componente electrónico.

El término de síntesis "rootkit" designa las herramientas de software que permiten camuflar los procesos y los archivos para evitar así que sean descubiertos por el usuario o por su antivirus.



TIPOS DE ATAQUES

● Actividades de reconocimiento de sistemas.● Detección de vulnerabilidades en los sistemas.● Robo de información mediante la interceptación de mensajes.● Modificación de mensajes transmitidos.● Ataques de suplantación de la identidad:

● IP spoofing.● DNS spoofing.● SMTP spoofing.● Captura de cuentas de usuario y contraseñas.

IP Spoofing: consiste en sustituir la dirección IP origen de un paquete TCP/IP por otra dirección IP a la cual se desea suplantar.



TIPOS DE ATAQUES

● Modificación del tráfico y de las tablas de enrutamiento.● Conexión no autorizada a equipos.● Introducción en el sistema de “malware”:

● Virus.● Troyanos.● Gusanos.● Ataques de “Cross-Site Scripting” (XSS).● Ataques de inyección de código SQL.



TIPOS DE ATAQUES

● Ataques contra los sistemas criptográficos.● Fraudes, engaños y extorsiones.● Denegación de servicio.● Denegación de servicio distribuido.



ATAQUES MÁS PROBABLES EN LA ACTUALIDAD

1. Ataques "patrocinados" por Estados como el gusano Stuxnet, que se basarán en las técnicas desarrolladas por los hackers para crear amenazas avanzadas persistentes (APT).2. Una mayor transparencia en torno a las brechas de seguridad por parte de personal interno y un incremento de incidentes conocidos como resultado de las nuevas políticas relacionadas con la notificación y divulgación de datos.3. Aumento de los ataques "Man-in-the-browser" (MitB) que crearán muchos problemas a los proveedores de servicios online ya que tendrán que ser capaces de proteger a sus clientes infectados por algún tipo de malware.




4. Las medidas de seguridad en las redes sociales aumentarán en las más importantes, haciendo mayor énfasis en la seguridad por encima de la privacidad a medida que la inteligencia con respecto a la amenaza mejora.5. Mayor énfasis en la seguridad de los datos. El peligro estará más en los ficheros y no tanto en las bases de datos6. Dispositivos móviles en peligro que resultará en el robo o pérdida de datos como consecuencia de unas medidas de seguridad menos desarrolladas, tales como la identificación y autenticación así como la propagación de malware móvil.




7. Las tecnologías de aplicaciones y de seguridad de datos basadas en la nube que surgirán para trasladar muchas aplicaciones a la nube y almacenar datos en ésta. 8. La seguridad de la información se convertirá en un proceso de negocio en el que los responsables de seguridad tratarán de proteger mejor los datos a medida que fluyen por la empresa.9. La industria Hacker se consolidará con la desaparición de los piratas aficionados y la "fusión" entre los grandes grupos organizados.




10. Se creará una convergencia en todo el mundo entre la seguridad de los datos y la regulación de la privacidad con la aparición de un marco común para luchar contra las amenazas y cumplir las leyes.



FUENTES DE LA PRESENTACIÓN

● Apuntes de Seguridad y Alta Disponibilidad:Carlos Villarrubia JiménezEscuela Superior de InformáticaUniversidad de Castilla-La Mancha

● Wikipedia: http://es.wikipedia.org.● Informe de la empresa Imperva sobre futuras amenazas: http://www.imperva.com.

Documents

Present a 0101