Vous êtes sur la page 1sur 36

Ezequiel Sallis

Pablo Davenia

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Enfoque Metodolgico
del Anlisis de Seguridad

3 y 4 de agosto de 2017| Buenos Aires|Argentina


El objetivo consiste en realizar un intento de intrusin controlado
a los sistemas de informacin de una determinada organizacin,
con el objetivo de identificar las vulnerabilidades a las que esta
este expuesta y medir los niveles de penetracin posibles a
travs de la explotacin de las mismas. Por ultimo en base al
anlisis de los resultados se buscara definir los planes de accin
para mitigarlas.

El anlisis de seguridad puede abarcar:


Aspectos asociados a la Infraestructura
Aspectos asociados a la Aplicacin
Aspectos asociados a la Seguridad Fsica
Aspectos asociados a la Seguridad de los Procesos
Aspectos asociados al Factor Humano
3 y 4 de agosto de 2017| Buenos Aires|Argentina
Posicionamiento
del Anlisis de Seguridad

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Un aspecto importante a tener en cuenta es el de definir el
posicionamiento desde donde se llevar a cabo el anlisis de
seguridad.

Los posicionamientos pueden variar segn lo que desee


obtenerse como resultado, generalmente estos son los siguientes:

Posicionamiento Externo
Posicionamiento Interno

Los anlisis de seguridad pueden abarcar los dos tipos de


posicionamientos que acabamos de describir, por lo que si un mismo
Security Tester va a llevar a cabo el anlisis desde ambas posiciones, es
recomendable que lo haga primero externamente, de esta manera
evitaremos la inferencia y/o agregado de informacin que este podra
obtener internamente y subjetivamente volcar en las apreciaciones
desde un posicin exterior.
3 y 4 de agosto de 2017| Buenos Aires|Argentina
Posicionamiento Externo

El posicionamiento externo, fue durante mucho tiempo


percibido por parte del que recibe el anlisis de seguridad,
como el ms representativo respecto de la concrecin de una
amenaza de intrusin a los sistemas de informacin de la
organizacin, esto est ntimamente relacionado con la
percepcin errnea que se tiene respecto de la procedencia u
origen de los ataques, es decir naturalmente.

El factor humano siente mayor desconfianza de todo aquello


que se encuentra fuera de su circulo habitual, es por esta razn
que los niveles de madurez de los controles de seguridad
aplicados en la mayora de las organizaciones son ms altos en
sus permetros que internamente.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Posicionamiento Interno

El posicionamiento interno, generalmente representa una mayor


superficie de ataque ,lo que brinda a un Security Tester una
mayor probabilidad de concrecin de intrusin exitosa.

Este posicionamiento generalmente se asocia a la red interna de


una organizacin pero esto puede tener varios puntos de vista:
DMZ
LAN Usuarios
LAN Servidores
LAN Voip
VPN
Otros Acceso Remotos

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Visibilidad
del Anlisis de Seguridad

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Al igual que el posicionamiento, la visibilidad tambin define los
resultados del anlisis, y es aqu donde antes de tomar la
decisin debemos preguntarnos por ejemplo, si me interesa
saber que puede ver o hacer sobre mis sistemas de informacin
alguien externo a la empresa que no tenga conocimiento
alguno de mis sistemas o quiz me interesa mas saber en este
caso, que puede ver o hacer alguien desde el interior con un
conocimiento avanzado sobre mis sistemas de informacin.

A continuacin veremos cuales son las diferentes alternativas


de visibilidad y sus definiciones.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Blind/Blackbox: El Security Tester, no cuenta con ninguna
informacin del objetivo, pero el cliente tiene conocimiento de
qu tipo de test se realizar y cundo.

Double blind/ Blackbox: El Security Tester, no cuenta con


ninguna informacin del objetivo y el cliente no cuenta con
informacin sobre las tareas a realizar por el Security Tester,
como as tampoco sobre el cundo.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Graybox: El Security Tester, slo conoce informacin parcial
sobre los objetivos, dicha informacin ser seleccionada por el
cliente. Aqu el cliente tiene conocimiento de qu tipo de test
se realizar y cundo.

Double Graybox: El Security Tester, slo conoce informacin


parcial sobre los objetivos, dicha informacin ser
seleccionada por el cliente. Aqu el cliente conoce las
tcnicas a utilizar por el Security Tester, pero no conoce el
cmo y el cundo sern utilizadas.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Whitebox: El Security Tester tiene pleno conocimiento del
objetivo, dicha informacin ser entregada por el cliente
antes de iniciado el test; el cliente tiene pleno conocimiento
de las tareas a realizar por el Security Tester y del cmo y el
cundo.

Reversal: El Security Tester tiene pleno conocimiento del


objetivo, dicha informacin ser entregada por el cliente
antes de iniciado el test; el cliente no cuenta con
informacin sobre las tareas a realizar por el Security Tester,
como as tampoco sobre el cundo.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Perfil Adoptado para el
Anlisis de Seguridad

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Suele existir cierta complejidad a la hora de poder identificar claramente
los patrones metodolgicos y de conducta asociados a los diferentes
perfiles de atacantes, por esta razn categorizar los perfiles que se
emularan durante un anlisis de seguridad es casi imposible sin asociar
una pequea cuota de subjetividad.

Uno puede identificar la posicin de los atacantes, ubicndolos en el


exterior de la organizacin o bien en el interior, puede tambin
categorizar aquellos incidentes de seguridad que surgen en base a la
firme conviccin del atacante, o bien aquellos que surgen en base a un
error u omisin por parte de un usuario no intencionado, puede tambin
decir que existen ataques basados en objetivos y otros totalmente
azarosos.

Lamentablemente no se puede hoy en da definir categoras estticas de


como se comporta un perfil en particular, ya que estos son sutilmente
diferentes en base a la combinacin de mltiples variables intervinientes.
3 y 4 de agosto de 2017| Buenos Aires|Argentina
Algunos de los diferentes perfiles comnmente utilizados en los
anlisis de seguridad son los siguientes:

Usuario sin Privilegios


Usuario con Privilegios
Tercero ajeno a la organizacin con acceso fsico a la misma
Tercero ajeno a la organizacin sin acceso fsico a la misma
Usuario con conocimientos tcnicos avanzados
Usuario con conocimientos tcnicos intermedios
Usuario con conocimientos tcnicos bsicos

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapas de un
Anlisis de Seguridad

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Reconocimiento Pasivo:

Si bien el cliente brindara informacin acerca de los objetivos, con el fin


de dar un valor agregado se intentara obtener informacin relacionada
con los mismos a travs de la interaccin con motores de bsqueda
conocidos, grupos de consulta, informacin de registros DNS,
informacin en bases WHOIS y todo aquel contenedor de informacin
que no tenga una relacin directa con alguno de los objetivos.

Esta etapa permitir que se le informe al cliente, el nivel de visibilidad de


los objetivos desde el exterior a los ojos de un potencial atacante.
Cabe aclarar que un alto nivel de visibilidad no implica necesariamente
una vulnerabilidad, sin embargo el fin de esta etapa es brindar toda la
informacin disponible para que luego ustedes puedan determinar y
exponer solo lo estrictamente necesario.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de reconocimiento Activo Superficial:

En esta etapa y por el contrario de la anterior, se comenzara a


identificar puntos directamente relacionados con los objetivos
interactuando con los mismos, de esta manera esta etapa
persigue identificar en principio los objetivos activos para luego
practicar en los mismo anlisis ms profundos como los
descriptos en las etapas posteriores a esta.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de reconocimiento Activo en Profundidad:

Las pruebas realizadas en esta etapa apuntan a identificar


todos los puertos abiertos tanto TCP como UDP, enumerar e
identificar con la mayor precisin posible todos los servicios que
corren en los puertos abiertos, identificar versiones de los
sistemas operativos sobre los cueles corren las aplicaciones.
Identificar la topologa de red en la que habitan los objetivos,
con el fin de analizar la correcta implementacin de los
dispositivos de filtrado y deteccin que pudieran existir.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Anlisis de Vulnerabilidades:

Partiendo de la informacin de la etapa anterior, el objetivo de


esta nueva etapa es la de detectar potenciales
vulnerabilidades tanto a nivel de infraestructura como a nivel
de aplicaciones.
Es una etapa considerada sensible, debido a que debe
realizarse un trabajo adecuado en la erradicacin de falsos
positivos que puedan informar errneamente las herramientas.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Explotacin o Ataque Puro:

Como puede apreciarse, las etapas anteriores se encargan de


recolectar cuanta informacin sea posible sobre los objetivos, con el
fin de desarrollar una correcta estrategia de ataque. Estrategia que
se materializara en esta etapa, en donde el objetivo concreto es la
explotacin de las vulnerabilidades detectadas mediante diferentes
cdigos que permitan la posibilidad de encontrar informacin sensible
o bien la posibilidad de ejecucin de cdigo arbitrario en los
objetivos. Cabe aclarar que salvo autorizacin expresa por parte del
cliente, en ningn caso se atentara contra la disponibilidad de los
servicios.

Esta etapa se enfocara tanto a nivel de infraestructura, de aplicacin


como as tambin a todos aquellos ataques asociados al nivel del
cliente.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Consolidacin:

Si el compromiso del objetivo fue exitoso, permitir al Pen Tester


avanzar en su intrusin, posicionado ahora desde los host
comprometidos, cambiando quizs radicalmente la informacin
y la visibilidad que desde esta nueva locacin pueda obtener.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Borrado de Rastro:

El objetivo de esta etapa es el de intentar borrar todos los rastros


que la intrusin pueda haber ocasionado, de manera de dejar
en evidencia que pruebas podra obtener el cliente o no, para
detectar y realizar una investigacin sobre una potencial
intrusin.
.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Reporte:

El cliente obtendr como entregable un informa con todos los


hallazgos producidos en la realizacin del servicio como as
tambin las recomendaciones para corregir los mismos.

El objetivo de los informes es tratar las vulnerabilidades desde su


origen y no solamente desde su consecuencia, de manera que
puedan solucionarse los problemas directamente desde la raz y
evitar de esta manera que puedan aparecer nuevamente en un
corto plazo.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Etapa de Reporte:

Informe Ejecutivo:

Informe dirigido a la alta gerencia, en donde mediante un lenguaje


coloquial se transmite las mayores fortalezas y debilidades
encontradas como as tambin las vas de remediacin para las
vulnerabilidades encontradas.

Informe Tcnico:

Al igual que en el informe ejecutivo, el contenido general ser el


mismo, con la diferencia que en este caso el lenguaje y nivel de
detalle ser ms profundo. Orientado pura y exclusivamente a las
reas de Seguridad de la Informacin, IT y Auditoria.
.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Tipos y Alcances de un
Anlisis de Seguridad

3 y 4 de agosto de 2017| Buenos Aires|Argentina


No existe un nico tipo de anlisis de seguridad. Es decir, ms
all de que tengan similares caractersticas y etapas en comn,
generalmente varan en su alcance y profundidad, con los
resultados consecuentes atados a las necesidades del cliente
segn la ocasin.

A continuacin veremos 3 de los tipos y alcances mas


relevantes. Es importante aclarar que estas definiciones se
abstraen totalmente de las variables de posicionamiento y
visibilidad, pudiendo adaptarse en todas las ocasiones a
cualquiera de las variantes descriptas anteriormente.

.
3 y 4 de agosto de 2017| Buenos Aires|Argentina
Vulnerability Assessment:

De los tres tipos de anlisis que describiremos, es el que menor nivel de


profundidad alcanza, pero por ende tambin, el que menor cantidad
de tiempo y recursos involucra.

Este tipo de anlisis de seguridad podra definirse de la siguiente


manera:

Anlisis y pruebas relacionadas con la identificacin de puertos abiertos,


servicios disponibles y vulnerabilidades conocidas en los sistemas de
informacin objetivos, las mismas incluyen, a su vez, verificaciones
manuales y automticas de falsos positivos, esto permite identificacin
de los puntos dbiles de la red y anlisis profesional individualizado. Es
un tipo de anlisis que busca identificar e informar fallas en los
dispositivos y en los procesos tecnolgicos.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Penetration Test:

Habitualmente conocido como test de intrusin, es el tipo de anlisis que


da lugar a la realizacin de tareas asociadas a la explotacin y pos-
explotacin de vulnerabilidades.

Este tipo de anlisis de seguridad podra definirse de la siguiente manera:

Se caracteriza por tener un objetivo definido que finaliza cuando el


mismo es alcanzado o el tiempo pautado para el desarrollo del anlisis
se agota. Es un tipo de anlisis de seguridad que posee, en sus etapas
iniciales, las mismas caractersticas que tiene un Vulnerability Assessment,
pero con la diferencia de que no solo trata de identificar e informar las
debilidades, sino que tambin intenta explotarlas a fin de verificar
fehacientemente los niveles de intrusin a los que se expone el sistema
de informacin analizado.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


.
Ethical Hacking:

El ltimo de los anlisis de seguridad del que hablaremos tiene muchas


caractersticas en comn con el anteriormente descripto.

La diferencia ms importante est en el objetivo, aqu se transforma en


algo ms amplio y deja de ser algo puntual. Podramos decir que en un
Ethical Hacking todo es un objetivo, de hecho, este tipo de anlisis de
seguridad es el ms profundo de los tres.

El propsito es analizar ntegramente la seguridad de los sistemas de


informacin utilizando incluso- tcnicas de ingeniera social con el fin de
descubrir cules son las debilidades que podran llegar a afectar a una
organizacin, mediante las explotaciones de vulnerabilidades del factor
humano, o bien, mediante la realizacin de pruebas para la verificacin
de los controles de acceso fsico.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


3 y 4 de agosto de 2017| Buenos Aires|Argentina
32

Anlisis de Seguridad Interno y Externo: claves para el


funcionamiento del Banco y asegurar la confiabilidad de los
clientes.

Estos Anlisis forman parte del Plan de Auditora interno que se


realiza anualmente.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


Metodologa de trabajo en el desarrollo de Anlisis de Seguridad:

1. Definicin de alcance y objetivos del Anlisis de Seguridad


interno/externo.
2. Contratacin de Partner para la realizacin de los anlisis
con Metodologa de auditora definida por el Banco y plan
de entregables.
3. Reunin inicial con las reas involucradas y el Partner.
4. El desarrollo del Anlisis es en conjunto AI/Partner.
5. Desarrollo del informe de Observaciones.
6. Reunin de cierre con las reas auditadas.
7. Presentacin del informe en Comit de Tecnologa.
8. Regularizacin de las Observaciones a cargo de
Auditora/Partner.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


1. Ejemplo de Alcance de un Anlisis de Seguridad Interno

Servidores productivos
Estaciones de Trabajo
Dispositivos de Comunicaciones
Dispositivos de Seguridad
Escucha de trfico en la red
Telfonos VOIP
Aplicacin mvil de banca electrnica.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


1. Ejemplo de Alcance de un Anlisis de Seguridad Externo
Analizar todo aquello que la Entidad bancaria tiene montado
por sobre Internet (ej. Sitio Web, Equipos de comunicaciones,
etc.)

Este tipo de anlisis puede realizarse de dos formas diferentes:


Considerando todas las barreras de seguridad
O eliminando algunas de ellas.

3 y 4 de agosto de 2017| Buenos Aires|Argentina


36

3 y 4 de agosto de 2017| Buenos Aires|Argentina