PDF de programación - Identificación de vulnerabilidades, analisis forense y atención a incidentes de seguridad en los servidores de la UTPL

INTRODUCCIÓN



Los sistemas de información son esenciales en la mayoría de las organizaciones que

cuentan con una tecnología de punta y en constante crecimiento como es el caso de

la Universidad, por ello la viabilidad de los proyectos o servicios que están en

evolución y desarrollo dependen no solo de las características y ventajas de la

tecnología en uso, sino también de la disponibilidad, confidencialidad, integridad,

escalabilidad y seguridad de sus equipos, servicios, y datos. Ya que la información

ha sido desde siempre un bien invaluable y protegerla ha sido una tarea continua y

de vital importancia. A medida que se crean nuevas técnicas para la transmisión de

la información.



Actualmente, se puede hacer una infinidad de transacciones a través de Internet y

para muchas de ellas, es imprescindible que se garantice un nivel adecuado de

seguridad. Esto es posible si se siguen ciertas normas que se pueden definir según

la necesidad de la Universidad.



La seguridad no es solo la aplicación de nuevos programas para protegernos, es

más bien un cambio de conducta y de pensar. Hay que adueñarse del concepto de

seguridad e incluso volverse algo paranoico para que en cada área y servicio que

presta la Universidad se piense en seguridad y en cómo incrementarla.



Los intrusos como tal idean formas para acceder a la información sin ser

autorizados o detectados, los ataques efectuados son por muchos motivos tales

como: curiosidad, sabotaje, beneficio, en fin una gran cantidad de circunstancias

que llevan a cometer estos ataques. Por ello se necesario estar preparado a la hora

de actuar ante los incidentes que pueden sufrir los equipos ya que esto impediría

que los servicios que presta la Universidad se lleven con total normalidad.



En la presente investigación se darán los pasos necesarios para atender de forma

rápida y oportuna cualquier incidente de seguridad y enseñará al equipo de

seguridad y auditoría a tomar este tema como uno de los puntos claves para el

buen funcionamiento de los equipos. En este momento, la seguridad no es un lujo.

Es una necesidad.



2

La identificación de vulnerabilidades de los servidores de la Universidad, son una

serie de pasos sin una metodología a seguir, que permite tener una idea del estado

de la seguridad informática pero que carece de valides y de resultados aceptados

por los administradores, así como del quipo de seguridad y auditoría, por ello se

plantea el desarrollo de una metodología hibrida, que en sí es una combinación de

varias metodologías, proyectos y estándares, que tiene la ambición de llegar a ser

un manual ó un estándar profesional para el testeo e identificación de

vulnerabilidades en cualquier entorno desde el exterior al interior ó viceversa,

promoviendo la evolución de la seguridad a niveles más aceptados.



Vale la pena preguntar “¿Es importante tener una metodología estandarizada para

la identificación de vulnerabilidades de seguridad?" Pues, es difícil evaluar el

resultado de un test de seguridad sin una metodología estandarizada. El resultado

de un test se ve afectado por muchas variables que intervienen en el proceso como,

la experiencia del testeador o analista, conocimiento de los procesos de tecnología,

etc. Por la relación de todas estas variables, es importante definir un proceso de

testeo, basado en las mejores prácticas y en un consenso a nivel mundial. Si se

puede reducir los prejuicios y las parcialidades en el testeo, se reducirá la incidencia

de muchos falsos supuestos y también se evitará resultados mediocres. El limitar y

guiar suposiciones, convierte a un buen testeador de seguridad en uno excelente y

brinda a los novatos la metodología apropiada para llevar a cabo los tests

necesarios en las áreas correctas.



Por ello, el objetivo es elaborar una metodología hibrida y que ésta se convierta en

un método aceptado para la identificación de vulnerabilidades de cada servidor de

la Universidad, sin importar su sistema operativo, bases de datos o aplicativos

como software, antivirus o aplicaciones web.



3

METODOLOGÍA PARA LA IDENTIFICACIÓN DE

VULNERABILIDADES



Para que tenga éxito el proceso de identificación de vulnerabilidades en los

servidores se deben enmarcar varios aspectos que se relacionan entorno a la

seguridad y que son de vital importancia para los administradores de los mismos,

de tal forma que se pueda delimitar el problema y nos permita meternos de lleno

en la seguridad garantizando el cumplimiento de confidencialidad, integridad,

disponibilidad y autentificación. A este proceso se lo ha dividido en tres fases

1 que son:



 Prevención



Identificación

 Corrección



Vale recalcar que estas fases están íntimamente relacionadas y cada una de ellas

se realimenta de las otras en un ciclo repetitivo e iterativo, esto significa que por

cada ciclo ejecutado se tendrá en el peor de los casos un listado de

vulnerabilidades, con su respectivo identificador y correctivo.



1. Prevención

vul

id

cor

3. Corrección

2. Identificación



Figura 1: Proceso de identificación de Vulnerabilidades.



4





1. Prevención de Vulnerabilidades

1.1. Determinar el riesgo de los equipos.

1.1.1. Niveles de riesgo.

. 1.1.2. Identificación de Amenaza.

.



1.1.2.1. Amenazas del entorno
(Seguridad Física).
.
1.1.2.2. Amenazas del sistema
(Seguridad Lógica).

1.1.2.3. Amenazas en la red
(Comunicaciones).

1.1.2.4. Amenazas de personas
(Insiders-Outsiders).


1.1.3. Evaluación de Costos.

.

1.2. Gestionar sus vulnerabilidades.



Figura 2: Fase de Prevención de Vulnerabilidades.



2. Identificación de Vulnerabilidades

2.1. Planificación

2.2. Identificación y Análisis



2.2.1. Identificación de vulnerabilidades externas.

2.2.1.1 Herramientas de identificación de
vulnerabilidades externas.

2.2.2. Identificación de vulnerabilidades internas.

2.2.2.1. Herramientas de identificación de
vulnerabilidades internas.

2.2.3. Análisis de vulnerabilidades

2.3. Gestión



2.3.1. Búsqueda y Verificación de
Vulnerabilidades encontradas.

Figura 3: Fase de Identificación de Vulnerabilidades



5

3. Corrección de vulnerabilidades

3.1. Búsqueda de correctivos


3.2. Presentación de la información e
informe final



Figura 4: Fase de Corrección de Vulnerabilidades.



1.1. Prevención de vulnerabilidades



Una forma de garantizar la seguridad de los servidores es la prevención, ya que de

ésta manera podemos disminuir la aparición de vulnerabilidades así como

identificar las amenazas latentes y calcular el riesgo al que se encuentran

expuestos los equipos. Para ello es necesario mejorar el proceso de la seguridad de

los servidores, incrementando cada día más tareas y procesos2, tales como:



 Determinar el riesgo de los equipos.



Identificar su exposición.

 Gestionar sus vulnerabilidades.



1.1. Determinar el riesgo de los equipos

El análisis de riesgos3 supone más que el hecho de calcular la posibilidad de que

ocurran eventos negativos, sino también el de poder predecir y adelantarnos ante

cualquier eventualidad que ponga en riesgo el perfecto funcionamiento de los

servidores, para ello:

 Se debe obtener una evaluación económica del impacto de estos sucesos. Este

valor se podrá utilizar para contrastar el costo de la protección de la

información en análisis versus el costo de volverla a producir (reproducir).

 Se debe tener en cuenta la probabilidad de que sucedan cada uno de los

problemas posibles, de esta forma se pueden priorizar los problemas y su coste

potencial desarrollando un plan de acción adecuado.

 Se debe conocer qué se quiere proteger, dónde y cómo, asegurando que con

los costos en los que se incurren se obtengan beneficios efectivos. Para esto se

deberá identificar los recursos (hardware, software, información, etc.) con que

cuenta cada servidor y las amenazas a las que están expuestos.

6

Una vez obtenida la lista de cada uno de los riesgos se efectuará un resumen del

tipo:



Tipo de Riesgo

Factor

Robo de hardware

Alto

Robo de información

Medio

Vandalismo

Medio

Fallas en los equipos

Medio

Virus Informáticos

Equivocaciones

Medio

Medio

Accesos no autorizados Medio

Fraude

Fuego

Terremotos

Bajo

Muy Bajo

Muy Bajo

Tabla 1.1. Tipo de Riesgo-Factor

Según esta tabla habrá que tomar las medidas pertinentes de seguridad para cada

caso en particular, cuidando incurrir en los costos necesarios según el factor de

riesgo representado.



1.1.1. Niveles de riesgo


Como puede apreciarse en la Tabla 1.1., los riesgos se clasifican por su nivel de

importancia y por la severidad de su pérdida:



 Estimación del riesgo de pérdida del recurso (Ri)

 Estimación de la importancia del recurso (Ii)



Para la cuantificación del riesgo de perder un recurso, es posible asignar un valor

numérico de 0 a 10, tanto a la importancia del recurso (10 es el recurso de mayor

importancia) como al riesgo de perderlo (10 es el riesgo más alto).



El riesgo de un recurso será