SEG INF SESION 2 2016 I PDF

SESION 2: La necesidad de
Seguridad
AGENDA
 Primero las necesidades del negocio,
después las necesidades de la tecnología
 Amenazas – encuesta CSI - FBI
 Categorías de amenazas a la seguridad de
información
 Ataques
 Descripción de ataques
Objetivos
En esta lección los alumnos serán capaces de:
 Explicar las necesidades del negocio
respecto a seguridad de la información
 Describir las amenazas planteadas a la
seguridad de la información y discutir los
ataques más comunes asociados a esas
amenazas.
 Diferenciar amenazas a los sistemas de
información de ataques contra los sistemas
de información.
Primero necesidades del negocio,
después necesidades de Tecnología
 Seguridad de Información ejecuta las

siguientes 4 funciones importantes
para una organización:
1. Proteje sus capacidades de función
2. Permite la operación segura de las
aplicaciones implementadas sobre
sus sistemas TI
3. Proteje los datos que recolecta y usa
4. Salvaguarda sus activos de
tecnología utilizados
Primero necesidades del negocio,
después necesidades de Tecnología
1.- Proteje capacidades de función
 La Gerencia es la responsable
 Seguridad de Información es
 Un asunto de la Gerencia
 Un asunto de la gente
 Comunidades de interés deben de

discutir sobre seguridad de
información en términos de impacto
y costo
Primero necesidades del negocio, después
necesidades de Tecnología
2.- Permite operación segura
 Organizaciones deben crear aplicaciones
integradas, eficientes y capaces
 Organización necesita ambiente que
salvaguarde aplicaciones
 Gerencia no debe dejar a sus departamentos
de TI responsabilidades para hacer
elecciones y enforzar decisiones
3.- Proteje los datos
 Uno de los activos mas valiosos son
los datos
 Sin datos, una organización pierde sus
registros de transacciones y/o capacidad
de entregar valor a sus clientes
 Un programa de seguridad de
información efectivo es esencial para la
protección de la integridad y valor de los
datos de la organización
4.- Salvaguarda activos de tecnología
 Organizaciones deben tener una
infraestructura de servicios segura
basada en tamaño y alcance de la
empresa
 Servicios adicionales de seguridad
pueden tener que ser provistos
 Pueden ser necesarias soluciones mas
robustas para reemplazar programas de
seguridad obsoletos
Amenazas
 La Gerencia debe ser informada de las varias
clases de amenazas que enfrenta organización
 Una amenaza es un objeto, persona, u otra
entidad que representa un peligro constante a
un activo
 Examinando cada categoría de amenaza a su
vez, la Gerencia proteje efectivamente su
información a travès de políticas, educación
y entrenamiento y controles tecnológicos
Amenazas
 Encuesta del 2010/2011 CSI/FBI: “A Quienes”
16.5%
15.0%
Amenazas
Encuesta del 2010/2011 CSI/FBI:

“Quién los regula”
Amenazas
Encuesta del 2010/2011 CSI/FBI:
Incidentes
Amenazas
Tipos de ataques
Experimentados
por % de
Respondientes (149)
Primer Trabajo Grupal:

1) Describir cada tipo de ataque
2) Clasificar cada ataque en las
12 categorías de amenazas
A remitir informe:
Viernes 15 11 y 59 pm
Amenazas
Acciones tomadas
Después de un
incidente
por % de
Respondientes (149)
Amenazas
Política de
seguridad (227)
Amenazas
Proceso seguro de
Desarrollo de
software
% del Presupuesto TI 12.8%
gastado en seguridad
Amenazas
% de Funciones de seguridad
tercerizadas
Cloud computing
Amenazas
Amenazas
Amenazas
Amenazas
Amenazas
Amenazas
Trabajo final
 Grupos de 3 a 4.
 En empresa de cualquier tamaño que no tenga que ver con la UNI.
 El jueves 21/04/16 deberán presentar el EDT tentativo y su cronograma respectivo
(línea base).
 El tema es el desarrollo de un Sistema de Seguridad para una empresa o para un
macroproceso de la misma.
 Se deberán de establecer en el cronograma tentativo los distintos entregables por cada
Fase del Proyecto (Investigación, Anàlisis, Diseño, etc).
 Deberán considerar Hitos de Control cada dos semanas siendo el primero en la
clase del 28/04/16 y los siguientes: 12/05 y 26/05
 En cada hito deberá de tenerse por lo menos 1 entregable, estableciéndose una SESION
DE SUSTENTACION DE AVANCE una semana antes del parcial y una antes del final la
sustentación final. Estas sesiones deberán estar incluidas en el cronograma a presentar.
 Teniendo en cuenta el Silabo del curso se deberá de proponer los entregables respectivos.
 Entregables obligatorios serán: 1)Informe de necesidades de seguridad de la empresa
visitada; 2) Identificación de amenazas y valoración de activos; 3)Riesgos de seguridad y
estrategias de mitigación propuesta; 4) Compendio de políticas de seguridad; 5)Plan de
contingencia; 6)Tecnologías de seguridad recomendadas; 7)Controles de acceso
recomendados; 8) 6 Procedimientos de seguridad y su estrategia de implementación.
Trabajo final
 EDT del Trabajo Final
Categorías de Amenazas a
Seguridad de Información
Categorías de Amenazas Ejemplos
1. Actos de fallas o error humano Accidentes, errores de empleados
2. Desviaciones en la calidad de proveedores Problemas de Energía y y servicios WAN
servicios
3. Actos deliberados de espionaje o traspaso Acceso no autorizados y/o recolecciòn de datos
4. Actos deliberados de extorsión de información Chantaje por divulgación de información

5. Actos deliberados de sabotaje o vandalismo Destrucción de sistemas de información
6. Actos deliberados de robo Confiscación ilegal de equipo o información
7. Ataques deliberados al software Virus, gusanos, macros, negación de servicios
8. Fuerzas de la naturaleza Incendio, inundación, terremoto
9. Compromisos de propiedad intelectual Piratería, infracciones al copyright
10. Fallas o errores tècnicos Técnicos de hardware Fallas de Equipamiento

11. Fallas técnicas de software o errores Bugs, problemas de código, huecos
desconocidos
12. Obsolescencia tecnológica Tecnología anticuada o desactualizada
1) Actos de fallas o error Humano
 Incluyen actos hechos sin mala intención
 Causados por:
 Inexperiencia
 Entrenamiento no adecuado
 Asunciones incorrectas
 Otras circunstancias
 Empleados son las amenazas mas grandes a la
seguridad de la información ya que están mas
cercanos a los datos organizacionales
Categorías de Amenazas a Seguridad
de Información
 ·Errores de empleados pueden conducir a:
 Revelar datos clasificados
 Entrada de datos erróneos
 Eliminación o modificación accidental de datos
 Almacenamiento de datos en áreas no protegidas
 Fallas en protección de información
 Muchas de estas amenazas pueden ser
prevenidas con controles
2) Desviaciones en calidad de proveedores de servicios
 Situaciones donde productos o servicios no
son entregados según lo esperado
 Sistemas de información dependen de
muchos soportes de sistemas
interdependientes
 Tres juegos de servicios que dramáticamente
afectan la Disponibilidad de la información y
sistemas:
 Internet
 Comunicaciones
 Irregularidades en Energía
Problemas de servicio de Internet
 Pérdida de servicio de Internet pueden dirigir a
pérdidas considerables en la disponibilidad de
información:
 organizaciones tienen fuerzas de venta y oficinas
remotas
 Cuando una organización coloca en outsourcing
su servidor Web, el proveedor de este servicio
asume la responsabilidad para
 Todos los servicios de Internet
 El hardware y sistema operativo usado para
operar el web site
Comunicaciones y otros servicios
 Otros servicios tienen impacto potencial
 Entre estos están
 Teléfono
 Agua y desague
 Recojo de derperdicios
 Televisión por cable
 Gas natural o propano
 Servicios de custodia
 Las amenazas de pérdida de servicio pueden
dirigir a la incapacidad de funcionamiento
apropiado
Irregularidades en energía
 Niveles de voltaje pueden incrementar,
disminuir o cesar:
 pico – incremento momentáneo
 oleada – incremento prolongado
 holgura – baja momentánea de voltaje
 brownout – caída prolongada
 falla – pérdida momentánea de energía
 blackout – pérdida prolongada
 Equipos electrónicos suceptibles a
fluctuaciones; se pueden aplicar controles para
gestionar la calidad de la energía
3) Espionaje, traspaso
 Amplia categoría de actividades que afectan
confidencialidad
 Acceso no autorizado a información
 Inteligencia Competitiva vs. espionaje
 Miradas por el hombro pueden ocurrir a cualquier
persona que esta accediendo a información confidencial
 Controles implementados para señalar los límites del
territorio virtual de una organización notifican que
delincuentes están usurpando el ciberespacio de la
organización
 Hackers usan habilidades, trampas o fraudes para
robar propiedad de alguien
Miradas por el hombro
Perfiles de Hackers
Perfiles de Hackers
 Generalmente dos niveles de hackers:
 Hacker Experto
 Desarrolla scripts and códigos que explotan
 Usualmente un maestro de muchas habilidades
 Frecuentemente crearán ataques y los compartirán
con otros
 Pietiernos en escritura
 hackers de habilidades limitadas
 Uso de software de escritura experta para
explotar sistema
 Usualmente no comprenden completamente los
sistemas que atacan
Hackers/ Crackers
 Otros nombres para los que rompen

reglas de sistemas:
 Cracker – individuo que “rompe” o elimina
la protección diseñada para prevenir
duplicación desautorizada
 Phreaker – hackea la red pública de
teléfonos
4) Extorsión de información
 Extorsión de Información es un ataque de

un anteriormente confiable empleado
interno que roba información de un
sistema de cómputo y demanda
compensación por su retorno o no uso
 Extorsión hallada en robo de número de
tarjeta de crédito
5) Sabotaje o vandalismo
 Individuo o grupo que quiere sabotear deliberadamente
las operaciones de un negocio o sistema de cómputo, o
ejecutar actos de vandalismo ya sea para destruir un
activo o dañar imagen de la organización
 Amenazas que pueden rangear entre un pequeño
vandalismo a un sabotaje organizado
 Organizaciones que se valen de su imagen y que el
atentado contra sus sitios Web pueden dirigir a la caida
de la confianza de sus clientes y por lo tanto de ventas
 Crecimiento de amenazas de hackeo u operaciones de
cyber-activistas- extrema versión de cyberterrorismo
6) Actos deliberados de robo
 Toma ilegal de la propiedad física, electrónica o
intelectual
 El valor que sufre la información cuando es
copiada y llevada fuera sin el conocimiento del
dueño
 Robo físico puede ser controlado – amplia
variedad de medidas usadas desde cerraduras de
puertas a vigilantes o sistemas de alarma
 Robo Electrónico es un problema mas
complejo de administrar y controlar ya que
organizaciones pueden aun no saber que
estos han ocurrido
7) Ataques deliberados al software
 Cuando un individuo o grupo diseña software
para atacar sistemas, creando código/software
malicioso llamado malware
 Diseñado para dañar, destruir, o negar servicio a
sistemas objetivo
 Incluye:
 macro virus
 Virus de boot
 Gusanos
 Troyanos
 Bombas lógicas
 Puertas traseras o trap door
 Ataques de negación de servicio
 polimórficos
 hoaxes
Troyanos
8) Fuerzas de la naturaleza
 Fuerzas de la naturaleza, fuerzas mayores, o

actos de Dios, son peligrosos porque son
inesperados y pueden ocurrir con muy poca
advertencia
 Pueden interrumpir no solamente la
vida de los individuos sino también del
almacenamiento, transmisión y uso de
información
8) Fuerzas de la naturaleza
 Incluye fuego, inundación, terremoto,

rayos así como erupción volcánica y
contaminación
 Ya que no es posible evitar a muchas
de estas amenazas, la gerencia debe de
implementar controles para limitar los
daños y también preparar planes de
contingencia para la continuidad de
operaciones
9) Compromisos de propiedad intelectual
 Propiedad intelectual es “la dueña de las
ideas y control sobre la tangibilidad o
representaciçon virtual de esas ideas”
 Muchas organizaciones estan en el
negocio de crear propiedad intelectual
 Derechos a copia
 Marcas registradas
 Patentes
9) Compromisos de propiedad intelectual
 Muchas brechas comunes a IP involucran

piratería de software
 Hay organizaciones que investigan:
 Asociación de Software e Industria de
información (SIIA)
 Business Software Alliance (BSA)
 Enforzamiento a copyright ha sido
intentado con mecanismos técnicos de
seguridad
10) Fallas o errores técnicos de Hardware
 Estas ocurren cuando un fabricante distribuye
a usuarios equipos que contienen defectos que
pueden causar que el sistema ejecute fuera de
parámetros inesperados, resultando en
servicios no confiables o falta de disponibilidad
 Algunos errores son terminales, que pueden
resultar en la pérdida irrecuperable del
equipamiento
 Algunos errores son intermitentes, en esos
casos se manifiestan periódicamente,
resultando en fallas que no son fácilmente
repetidas
11) Fallas técnicas de Software o errores
 Esta categoría de amenazas viene de compras
de software con fallas no reveladas
 Grandes cantidades de código de
computadoras son escritos, revisados,
publicados y vendidos lo que determina que no
todos los problemas fueron resueltos
 A veces, combinaciones únicas de hardware y
cierto software revelan nuevas fallas
 A veces, estos no son errores, sino que son
atajos dejados por programadores por razones
honestas o deshonestas
12) Obsolescencia tecnológica
 Cuando la infraestructura llega a ser anticuada

o desactualizada, esto dirige a sistemas no
confiables
 Gerencia debe reconocer que cuando
tecnología llega a estar desactualizada, hay un
riesgo de pérdida de integridad de datos por
amenazas y ataques
 Idealmente, planeamiento apropiado por la
Gerencia debe prevenir los riesgos de
obsolescencia tecnológica, pero cuando
obsolescencia es identificada la Gerencia debe
de tomar acciones
Ataques
 Un ataque es un acto deliberado que
explota vulnerabilidades
 Es conseguido por un agente-amenaza que
daña o roba los activos físicos o de informción
 una explosión es una técnica para comprometer un
sistema
 una vulnerabilidad es una debilidad
identificada de un sistema cuyos controles no
están presentes o no son mas efectivos
 Un ataque es entonces el uso de una explosión
para alcanzar comprometer un sistema
controlado
Ataques
Código malicioso
 Esta clase de ataque incluye la ejecución

de virus, gusanos, troyanos, y scripts de
web activos con los que se intenta
destruir o robar información
 Estado de arte en sistemas de ataque
 Gusanos Multi-vectores usados para atacar
hasta 6 vectores explotando una variedad
de vulnerabilidades en dispositivos comunes
de sistemas de información
Vectores de Ataques por replicación
Vector Description
IP scan y ataque Sistemas infectados buscan rangos locales o aleatorios de direcciones IP y
en ellas objetivizan algunas de varias vulnerabilidades conocidas por los
hackers o dejadas de previas explosiones tales como el código rojo,
orificios posteriores o PoizonBox (gusano)
Web browsing Si el sistema infectado tiene acceso escrito a cualquier página Web, hace a
que todos los archivos de contenidos (html, asp, .cgi, y otros) se infecten,
de forma tal que usuarios que hacen acceso a estas páginas lleguen a
infectarse
Virus Cada máquina infectada infecta a ciertos ejecutables comunes o archivos
scripts sobre todos los computadores sobre los que puede escribir código
de virus que puede causar infección
Share(Compartir) Usar vulnerabilidades en archivos del sistema y la forma que muchas
organizaciones los configuran: Copian el componente viral en todas las
localidades que pueden alcanzar
Correos masivos Envío de e-mail infectados a direcciones en directorios de direcciones de
sistemas infectados, copia de infecciones son enviadas a muchos usuarios
cuyos programas de lectura de correo automáticamente ejecutan el
programa e infectan otros sistemas
Simple Network Management A inicios del 2002, a la comunidad de la industria de TI que conocía de las
Protocol (SNMP) vulnerabilidades del SNMP le ha llamado la atención la nueva modalidad de
ataque multi-vector
Descripciones de ataques
 IP Scan y Ataque
 El sistema comprometido busca aleatoriamente o
explora el rango de direcciones IP locales y apunta
cualesquiera de las varias vulnerabilidades
conocidas o restos de las explosiones anteriores
 Web Browsing
 Si el sistema infectado tiene acceso a cualquier
página WEB, infecta a todos los archivos de
contenido Web, de forma tal que aquellos usuarios
que navegan a esas páginas sean infectados.
 Virus
 Cada máquina infectada infecta a ciertos ejecutables
comunes o archivos scripts sobre todos en aquellos
computadores en los cuales puede escribir con el
código de virus que puede causar la infección.
 Archivos compartidos no protegidos
 Uso de archivos compartidos para copiar componentes
virales en todas las ubicaciones alcanzables
 Archivos masivos
 Envío de e-mail infectado a direcciones encontradas en
directorio (address book)
 Simple Network Management Protocol
 Vulnerabilidades del SNMP usadas para comprometer e
infectar
 Hoaxes (mensajes engañosos)
 Un enfoque mas desviado de ataque a sistemas de cómputo
es la transmisión de un Virus Hoax (mensajes engañosos)
con un virus real anexado
 Back Doors (puertas traseras)
 Usando un conocido o previamente desconocido y nuevamente
descubierto mecanismo de acceso, un atacante puede ganar
acceso a un sistema o recurso de red
 Password Crack (ruptura de contraseña)
 Intentar descifrar una contraseña
 Fuerza Bruta
 Aplicación de la computación y recursos de redes para probar
cada combinación posible de opciones de una contraseña
 Diccionario
 El ataque por diccionario de contraseñas reduce el campo de
pruebas seleccionando cuentas específicas que atacar y usa lista
de contraseñas comunmente usadas (diccionario) para guiar el
descubrimiento
 Negación de Servicio (DoS)
 Atacante envía un gran número de conexiones o
requerimientos de información a un objetivo
 Así muchos requerimientos son solicitados al
sistema objetivo y no los puede manipular
exitosamente junto con los otros que requieren
tambien servicio.
 Esto puede resultar en una caida del sistema, o
meramente inhabilitar la ejecución de funciones
 Negación de servicios distribuida (DDoS)
 Es un ataque en el cual un flujo coordinado de
requerimientos es lanzado contra un objetivo desde
muchas direcciones y a la misma vez
Ataques de negación de servicio
Descripción de Ataques
 Spoofing
 Técnica usada para ganar acceso no
autorizado por la que el intruso envía
mensajes a una computadora con un
dirección IP que indica que el mensaje
está viniendo de un equipo confiable
IP Spoofing
Descripción de un Ataque
 Man-in-the-Middle
 Ataque por paquetes sniffs desde la red,
que los modifica y los vuelve a insertar en
la red
 Spam
 E-mail comercial no solicitado
 Mientras muchos consideran el spam
como un fastidio mas que un ataque,
esta realmente emergiendo como un
vector para algunos ataques
Man-in-the-Middle
Descripciones de Ataques
 Mail-bombing
 Es tambien un ataque de negación de servicios
(DoS), en la cual un atacante enruta grandes
cantidades de e-mail a un objetivo
 Sniffers
 Programa y/o dispositivo que puede monitorear
viaje de datos sobre una red
 Puede ser usado tanto para funciones legítimas de
gestión de la red así como para robar información
desde una red
 Ingeniería Social
 Dentro del contexto de la seguridad de información,
es el proceso de usar las habilidades sociales
para convencer a la gente a revelar sus
credenciales de accesos u otra información de
valor al atacante
 “La gente es el enlace mas débil. Se puede tener la
mejor tecnología; firewall, sistemas de detección de
intrusos, dispositivos biométricos ... Y alguien puede
llamar a un insospechado empleado, conseguir el
dato y obtener todo.”
 “Brick Attack”
 El firewall mejor configurado del mundo no quedara
parado ante un ladrillo bien situado
 Buffer Overflow
 Errores de aplicación que ocurren cuando se
envía a un buffer mas data de la que puede
manipular
 Cuando el buffer se desborda, el atacante
puede hacer que el sistema ejecute
instrucciones, o puede aprovechar de las
consecuencias de esta falla
 Los sistemas Microsoft son vulnerables,
especialmente, a este tipo de ataque
 Timing Attack
 Relativamente nuevo
 Trabaja explorando los contenidos de la memoria
cache de un Web browser
 Puede permitir la recolección de información
accediendo a sitios protegidos con contraseña
 Otro ataque del mismo nombre involucra intentar
interceptar elementos criptogràficos para
determinar claves y algoritmos de encriptación

SEG INF SESION 2 2016 I PDF

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

SEG INF SESION 2 2016 I PDF

Cargado por

Copyright:

Formatos disponibles

SESION 2: La necesidad de

 Seguridad de Información ejecuta las

 Comunidades de interés deben de

Encuesta del 2010/2011 CSI/FBI:

Primer Trabajo Grupal:

% del Presupuesto TI 12.8%

4. Actos deliberados de extorsión de información Chantaje por divulgación de información

10. Fallas o errores tècnicos Técnicos de hardware Fallas de Equipamiento

 Otros nombres para los que rompen

 Extorsión de Información es un ataque de

 Fuerzas de la naturaleza, fuerzas mayores, o

 Incluye fuego, inundación, terremoto,

 Muchas brechas comunes a IP involucran

 Cuando la infraestructura llega a ser anticuada

 Esta clase de ataque incluye la ejecución

También podría gustarte