Publicado el 20 de Junio del 2018
843 visualizaciones desde el 20 de Junio del 2018
1,7 MB
85 paginas
Creado hace 15a (14/05/2008)
INTRODUCCIÓN
Los sistemas de información son esenciales en la mayoría de las organizaciones que
cuentan con una tecnología de punta y en constante crecimiento como es el caso de
la Universidad, por ello la viabilidad de los proyectos o servicios que están en
evolución y desarrollo dependen no solo de las características y ventajas de la
tecnología en uso, sino también de la disponibilidad, confidencialidad, integridad,
escalabilidad y seguridad de sus equipos, servicios, y datos. Ya que la información
ha sido desde siempre un bien invaluable y protegerla ha sido una tarea continua y
de vital importancia. A medida que se crean nuevas técnicas para la transmisión de
la información.
Actualmente, se puede hacer una infinidad de transacciones a través de Internet y
para muchas de ellas, es imprescindible que se garantice un nivel adecuado de
seguridad. Esto es posible si se siguen ciertas normas que se pueden definir según
la necesidad de la Universidad.
La seguridad no es solo la aplicación de nuevos programas para protegernos, es
más bien un cambio de conducta y de pensar. Hay que adueñarse del concepto de
seguridad e incluso volverse algo paranoico para que en cada área y servicio que
presta la Universidad se piense en seguridad y en cómo incrementarla.
Los intrusos como tal idean formas para acceder a la información sin ser
autorizados o detectados, los ataques efectuados son por muchos motivos tales
como: curiosidad, sabotaje, beneficio, en fin una gran cantidad de circunstancias
que llevan a cometer estos ataques. Por ello se necesario estar preparado a la hora
de actuar ante los incidentes que pueden sufrir los equipos ya que esto impediría
que los servicios que presta la Universidad se lleven con total normalidad.
En la presente investigación se darán los pasos necesarios para atender de forma
rápida y oportuna cualquier incidente de seguridad y enseñará al equipo de
seguridad y auditoría a tomar este tema como uno de los puntos claves para el
buen funcionamiento de los equipos. En este momento, la seguridad no es un lujo.
Es una necesidad.
2
La identificación de vulnerabilidades de los servidores de la Universidad, son una
serie de pasos sin una metodología a seguir, que permite tener una idea del estado
de la seguridad informática pero que carece de valides y de resultados aceptados
por los administradores, así como del quipo de seguridad y auditoría, por ello se
plantea el desarrollo de una metodología hibrida, que en sí es una combinación de
varias metodologías, proyectos y estándares, que tiene la ambición de llegar a ser
un manual ó un estándar profesional para el testeo e identificación de
vulnerabilidades en cualquier entorno desde el exterior al interior ó viceversa,
promoviendo la evolución de la seguridad a niveles más aceptados.
Vale la pena preguntar “¿Es importante tener una metodología estandarizada para
la identificación de vulnerabilidades de seguridad?" Pues, es difícil evaluar el
resultado de un test de seguridad sin una metodología estandarizada. El resultado
de un test se ve afectado por muchas variables que intervienen en el proceso como,
la experiencia del testeador o analista, conocimiento de los procesos de tecnología,
etc. Por la relación de todas estas variables, es importante definir un proceso de
testeo, basado en las mejores prácticas y en un consenso a nivel mundial. Si se
puede reducir los prejuicios y las parcialidades en el testeo, se reducirá la incidencia
de muchos falsos supuestos y también se evitará resultados mediocres. El limitar y
guiar suposiciones, convierte a un buen testeador de seguridad en uno excelente y
brinda a los novatos la metodología apropiada para llevar a cabo los tests
necesarios en las áreas correctas.
Por ello, el objetivo es elaborar una metodología hibrida y que ésta se convierta en
un método aceptado para la identificación de vulnerabilidades de cada servidor de
la Universidad, sin importar su sistema operativo, bases de datos o aplicativos
como software, antivirus o aplicaciones web.
3
METODOLOGÍA PARA LA IDENTIFICACIÓN DE
VULNERABILIDADES
Para que tenga éxito el proceso de identificación de vulnerabilidades en los
servidores se deben enmarcar varios aspectos que se relacionan entorno a la
seguridad y que son de vital importancia para los administradores de los mismos,
de tal forma que se pueda delimitar el problema y nos permita meternos de lleno
en la seguridad garantizando el cumplimiento de confidencialidad, integridad,
disponibilidad y autentificación. A este proceso se lo ha dividido en tres fases
1 que son:
Prevención
Identificación
Corrección
Vale recalcar que estas fases están íntimamente relacionadas y cada una de ellas
se realimenta de las otras en un ciclo repetitivo e iterativo, esto significa que por
cada ciclo ejecutado se tendrá en el peor de los casos un listado de
vulnerabilidades, con su respectivo identificador y correctivo.
1. Prevención
vul
id
cor
3. Corrección
2. Identificación
Figura 1: Proceso de identificación de Vulnerabilidades.
4
1. Prevención de Vulnerabilidades
1.1. Determinar el riesgo de los equipos.
1.1.1. Niveles de riesgo.
. 1.1.2. Identificación de Amenaza.
.
1.1.2.1. Amenazas del entorno
(Seguridad Física).
.
1.1.2.2. Amenazas del sistema
(Seguridad Lógica).
1.1.2.3. Amenazas en la red
(Comunicaciones).
1.1.2.4. Amenazas de personas
(Insiders-Outsiders).
1.1.3. Evaluación de Costos.
.
1.2. Gestionar sus vulnerabilidades.
Figura 2: Fase de Prevención de Vulnerabilidades.
2. Identificación de Vulnerabilidades
2.1. Planificación
2.2. Identificación y Análisis
2.2.1. Identificación de vulnerabilidades externas.
2.2.1.1 Herramientas de identificación de
vulnerabilidades externas.
2.2.2. Identificación de vulnerabilidades internas.
2.2.2.1. Herramientas de identificación de
vulnerabilidades internas.
2.2.3. Análisis de vulnerabilidades
2.3. Gestión
2.3.1. Búsqueda y Verificación de
Vulnerabilidades encontradas.
Figura 3: Fase de Identificación de Vulnerabilidades
5
3. Corrección de vulnerabilidades
3.1. Búsqueda de correctivos
3.2. Presentación de la información e
informe final
Figura 4: Fase de Corrección de Vulnerabilidades.
1.1. Prevención de vulnerabilidades
Una forma de garantizar la seguridad de los servidores es la prevención, ya que de
ésta manera podemos disminuir la aparición de vulnerabilidades así como
identificar las amenazas latentes y calcular el riesgo al que se encuentran
expuestos los equipos. Para ello es necesario mejorar el proceso de la seguridad de
los servidores, incrementando cada día más tareas y procesos2, tales como:
Determinar el riesgo de los equipos.
Identificar su exposición.
Gestionar sus vulnerabilidades.
1.1. Determinar el riesgo de los equipos
El análisis de riesgos3 supone más que el hecho de calcular la posibilidad de que
ocurran eventos negativos, sino también el de poder predecir y adelantarnos ante
cualquier eventualidad que ponga en riesgo el perfecto funcionamiento de los
servidores, para ello:
Se debe obtener una evaluación económica del impacto de estos sucesos. Este
valor se podrá utilizar para contrastar el costo de la protección de la
información en análisis versus el costo de volverla a producir (reproducir).
Se debe tener en cuenta la probabilidad de que sucedan cada uno de los
problemas posibles, de esta forma se pueden priorizar los problemas y su coste
potencial desarrollando un plan de acción adecuado.
Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con
los costos en los que se incurren se obtengan beneficios efectivos. Para esto se
deberá identificar los recursos (hardware, software, información, etc.) con que
cuenta cada servidor y las amenazas a las que están expuestos.
6
Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del
tipo:
Tipo de Riesgo
Factor
Robo de hardware
Alto
Robo de información
Medio
Vandalismo
Medio
Fallas en los equipos
Medio
Virus Informáticos
Equivocaciones
Medio
Medio
Accesos no autorizados Medio
Fraude
Fuego
Terremotos
Bajo
Muy Bajo
Muy Bajo
Tabla 1.1. Tipo de Riesgo-Factor
Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada
caso en particular, cuidando incurrir en los costos necesarios según el factor de
riesgo representado.
1.1.1. Niveles de riesgo
Como puede apreciarse en la Tabla 1.1., los riesgos se clasifican por su nivel de
importancia y por la severidad de su pérdida:
Estimación del riesgo de pérdida del recurso (Ri)
Estimación de la importancia del recurso (Ii)
Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor
numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor
importancia) como al riesgo de perderlo (10 es el riesgo más alto).
El riesgo de un recurso será
Comentarios de: Identificación de vulnerabilidades, analisis forense y atención a incidentes de seguridad en los servidores de la UTPL (0)
No hay comentarios