Seguridad y Auditoria de

Sistemas
Herramientas y Técnicas – parte 2
Ing. Yolfer Hernández, MBA, CIA
TEMARIO – Herramientas y Técnicas SL

• Riesgos por Internet

• Programas intrusivos
• Amenazas y Vulnerabilidades
• Crimen Organizado Informático
• Métodos de Defensa y Prevención
 Riesgos por Internet
Atacantes

Agujeros de Seguridad Métodos de Ataque Actualizaciones no

en las Redes instaladas

Programas
Crimen intrusivos Robo de
Organizado Información

Sniffing
Phishing
Debilidades de Viru Troyano Puertos
Control s s abiertos
Spams
Denegación de Ingeniería
Servicios Social
Hackers
Crackers

Debilidades
Riesgos por Internet
Exposición de
Amenazas en puntos finales

Zero-hour attacks, Malware, Trojans,

Aplicaciones
application injection

Slurping, IP theft, malware Dispositivos de E/S

Buffer Overflow, process Memoria /

injection, key logging Procesos

Malware, Rootkits, day-zero Sistema

vulnerabilities operativo

Worms, exploits & attacks Conexiones de

red

Virus, Trojans,
Archivos y datos
Malware & spyware
de sistema
 Tendencias de los ataques -
Actividad maliciosa - Mundial
• En el 2011, Estados Unidos fue el principal país donde hubo la mayor actividad
maliciosa (en datos en bruto) y Brasil a nivel Latinoamericano

Fuente: Symantec Corporation

 Tendencias de los ataques -
Actividad maliciosa – América Latina

• Principales países en el mundo desde los cuales se originaron ataques

dirigidos a la región de América.

Fuente: Symantec Corporation

 Crimen Organizado a nivel
mundial
Preparación de Recolección de
Técnicas de Fraude Información de
Clientes

R
• Envío de Correos Bases de Datos
• Phishing
• Interceptación de organizados
• Troyanos
operaciones (“Bot’s”)
• Etc.

Modo de
Operación
Ejecución del Fraude
Ejecutores
“Mulas”

• Transferencia de Cuentas
• Retiro de Fondos
• Reclutamiento • Pago de Servicios
• Apertura de Cuentas • Etc.
 Crimen Organizado a nivel
mundial
Phishing:
Fraudes por engaño o “ingeniería social” más extendidos a nivel mundial.
Tiene costo reducido, ejecución continuada y escaso riesgo de ser
capturado.
Aún con escaso impacto unitario, la Rentabilidad Ajustada a Riesgo para el
delincuente es alta.
Métodos conocidos, consisten en simulación de páginas y envío de e-mails
masivos (spam).

Troyano:
Fraudes mediante el uso de programas intrusivos que se alojan en el disco
de la PC.
Capturan información de las PC’s
Cambian la dirección de las páginas originales
 Reducción de riesgos

• Proveer defensa en tiempo real contra

actividad maliciosa
Fundamentos de información

Seguridad de punto final

Teléfono celular Laptop Desktop Servidor de Servidor de Servidor de Servidor de

archivos aplicaciones mesajería base de datos

Security 2.0 - Symantec Endpoint Protection 9

 Reducción de riesgos

Administración de políticas
Administración de Seguridad
Admón. de vulnerabilidades Admon. de información Eventos y registros
! i

Fundamentos de información

Seguridad de punto final

Teléfono celular Laptop Desktop Servidor de Servidor de Servidor de Servidor de

archivos aplicaciones mesajería base de datos
Security 2.0 - Symantec Endpoint Protection
 Algunos controles
 Sistemas de control de accesos
 Seguridad de la RED Perimetral
 Proxis
 Firewalls
 DMZ – Zona Desmilitarizada
 Sistemas de prevención de intrusos - IPS
 Sistemas de Detección - IDS
 Protección de Contenidos
 Correos electrónicos
 Accesos a Internet
 Protección de Confidencialidad: DLP
 Protección contra programas intrusivos: Antivirus, Antispams
 Análisis de Log’s y monitoreo de eventos de seguridad
 Desarrollo Seguro de Aplicaciones Web
 Algunos controles
Ranking Usuario Final: (Según pruebas realizadas por laboratorios AV-Test – Windows 7)
 Algunos controles
Ranking Empresas:
(Según pruebas realizadas por laboratorios AV-Test – Windows 7)
 Medios de Autenticación Fuerte
Malla compleja para los Usuarios
 Existen diversos medios de autenticación en función
de varios ejes: servicio, canal, riesgo, preferencias.
 Puede compartir el mismo medio de autenticación
para varios servicios, o utilizar varios diferentes.
 Cada medio de autenticación requiere un sistema de
validación diferente.
 Las aplicaciones tienen que adecuarse a cada medio
 Logística, Ventas, Transporte, etc
=> Incremento importante de Costos
Desarrollo seguro web
Riesgos de Seguridad de Aplicaciones Web

Fuente: OWASP – Open Web Application Security Project

Desarrollo seguro web
Riesgos de Seguridad de Aplicaciones Web

Fuente: OWASP – Open Web Application Security Project

Desarrollo seguro web
Riesgos de Seguridad de Aplicaciones Web

Fuente: OWASP – Open Web Application Security Project

 Establecer Controles de Seguridad

Requisitos de seguridad de la aplicación basado en estándares

de verificación.

Arquitectura de seguridad de la aplicación desde el diseño

inicial (ver guía OWASP).

Estándares de controles de seguridad usando modelo para las

APIs (ver recomendaciones OWASP).

Ciclo de vida de desarrollo seguro, usando un modelo de

comprobación de madurez de software.

Formación para los desarrolladores sobre seguridad en

aplicaciones.
Fuente: OWASP – Open Web Application Security Project
 Algunas Herramientas
 SIEM (Security Information and Event Management)
 Bitacora v5 – S21Sec
 enVision - RSA
 ArcSight - HP
 Sentinel - Novel
 DLP (Data Lost Prevention)
 Symantec DLP 9 (antes Vontu)
 McAfee Host DLP
 Trend Micro™ LeakProof DLP
 RSA DLP, RSA ENVISION, RSA SECUREID
 Firewall
 FireWall-1 GX NGX - Check Point
 Proventia – IBM
 Enterprise firewall - Symantec
 Aplicaciones seguras: OWASP – Open Web Application Security Project
 Algunas Recomendaciones
Categorías de sitios web mas peligrosas
Fuente: Symantec 2012
Prácticas recomendadas:
 Aplicar estrategias de defensa de profundidad
 Explorar la red: Busca de amenazas y
vulnerabilidades.
 Los antivirus no solo en los endpoints. Instalar
productos con capas de seguridad: IPS, código
malicioso, control de aplicaciones y dispositivos.
 Cifrar información confidencial
 Implementar herramientas de prevención de robo
de información: DLP
 Políticas de seguridad : Revisar, mejorar y
capacitar permanentemente, sobre contraseñas,
medios extraibles, info no electrónica, etc.
 Actualizar diariamente la definición de antivirus y
prevención de intrusos
 Aplicar parches con herramientas automáticas
 Limitar tipos de archivos en correos, xejemplo
.bat, .vbs, .exe, .pif y .src
Nueva versión del SANS Institute "20 Critical Security Controls",
 Recomendaciones puntuales
1. Renombrar los “admins”.
Hackers y malware usualmente atacan cuentas con privilegios
Se puede monitorear los intentos de “logon” al “admin” cuando no se usan
2. Deshacerse de los “admins”: administrator, domain admin, enterprise admin y
otras con privilegios
Microsoft deshabilita esta cuenta por default en Windows desde Vista/Server 2008
Algunas empresas del “Fortune 100” han eliminado todas las cuentas con privilegios y trabajan
3. Uso de Honeypots.
Es un activo TI implementado solo con el propósito de recibir ataques
Monitoreo para lograr alertas tempranas
4. Uso de servicios en puertos nondefault.
Amenazas de hackers, gusanos, virus, etc casi siempre atacan los puertos default, como SQL
inyección, gusanos HTTP, descubridores SSH y otros
Históricamente los malware automáticos siempre atacan puertos default
5. Instalar SO o aplicaciones en directorios nondefault (personalizados).
Por ejemplo usar el verdadero como C:/Win7 en lugar de C:/Windows , si atacan encontraran
copias aisladas de los malwares en C:/Windows/System32.
Fuente: Roger A. Grimes, InfoWorld (EE. UU.)
 Recomendaciones puntuales
6. Implementar tarpits, para responder intentos de conexión inválidos.
Existen muchas redes y honeypots con esta funcionalidad que ralentizan los ataques
Se debe afinar y monitorear la respuesta para evitar falsos positivos.
7. Análisis del flujo de tráfico de la red, para descubrir robo masivo de datos
Mediante software para mapear los flujos de red , estableciendo una línea base de lo que debe
transitar. Permite identificar cuando salen datos masivos al exterior, por ejemplo por ataques
APT (advanced persistent threats)
8. Uso de Screensavers seguros.
Aún cuando es molestia para algunos se debe usar en pc´s, laptops, tablets, móvil’s
9. Deshabilitar la navegación por Internet en los servidores, que no necesitan
estas conexiones
10. Desarrollo de aplicaciones seguro
Implementar prácticas de seguridad, por ejemplo seguir recomendaciones de SDL u OWASP
Fuente: Roger A. Grimes, InfoWorld (EE. UU.)
* SDL (Security Development Lifecycle), Microsoft lecciones aprendidas, herramientas gratuitas,
y guías en su sitio web de SDL
* OWASP – Open Web Application Security Project * OWASP Top 10 versión 2013 [PDF]

Nueva versión del SANS Institute "20 Critical Security Controls",