Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Herramientas Tecnológicas Que Ayudan A La Auditoria en Sistemas
Herramientas Tecnológicas Que Ayudan A La Auditoria en Sistemas
S8M
Integrantes:
González Pilay Daniela Denisse
ACL ANALYTICS
ACL (Comando de Auditoría Language) Analytics es un software de extracción y análisis
de datos utilizado para la detección del fraude y la prevención y gestión de
riesgos. Mediante el muestreo de grandes conjuntos de datos, el software de análisis de
ACL se utiliza para encontrar irregularidades o patrones de transacciones que podrían
indicar deficiencias en el control o el fraude.
ACL Analytics (ACL) es una aplicación de análisis de datos que ofrece una potente
combinación de:
Acceso a los datos
Análisis de datos
Creación de reportes integrada
ACL ofrece visibilidad inmediata de los datos de las transacciones críticas para su
organización. La aplicación lee y compara datos, pero no permite modificar los datos de
origen para asegurarse de que permanezcan intactos a fin de garantizar la integridad y la
calidad absoluta de los datos.
Beneficios:
Beneficios de negocio
Características generales:
• Permite importar archivos de diferentes fuentes o formatos (archivos planos y de base
de datos específicas).
• Los datos importados no son modificados asegurando la integridad e incrementando el
nivel de confianza de los datos trabajados
• Generación de pistas de auditoria (Quien, Como, Cuando, Donde)
• Posibilidad de escribir Scripts/Macros que automaticen procedimientos de revisión
rutinaria en auditorias recurrentes.
• Incrementa la cobertura de revisión al 100% de datos a analizar
Características específicas:
• Identificar tendencias, señalar excepciones y destacar áreas que requieren atención
• Localizar errores y fraudes potenciales, mediante la comparación y el análisis de
archivos según los criterios especificados por el usuario.
•Identificar problemas de control y asegurar el cumplimiento de las normas
• Detectar relaciones no autorizadas entre el personal de la empresa y los proveedores.
• El Asistente de definición de datos fácilmente selecciona, identifica y da formato a los
datos, acelerando su acceso a las poderosas capacidades de análisis y generación de
informes de ACL.
• ACL puede leer y analizar cualquier tipo de datos accediendo a cualquier entorno de su
organización (tales como Oracle, SQL Server, Informix , AS400, IBM/390, SAP™
R/3™, archivos de informe de longitud variable, archivos privados, archivos
tradicionales, archivos de informe y muchos más) .
• Relaciona y trabaja simultáneamente con varios archivos (Modelo Entidad/Relación),
para hacer análisis e informes aún más completos.
• Crea informes en HTML para su publicación en Internet o en la Intranet de su
organización.
• Automatiza y registra sus pasos y desarrolla aplicaciones especiales, haciendo más
productivas las auditorías futuras.
Soluciones ACL
AUTOAUDIT
Es una herramienta dirigida al departamento de auditoría, que permite realizar una
planificación de Auditorías en función de Evaluación de Riesgos, siguiendo
metodologías de evaluación vertical y/o por proceso. De esta forma se garantiza el
seguimiento de metodologías de trabajo de acuerdo a las mejores prácticas, con el uso de
una biblioteca de documentos estándar (memorandos, programas, papeles de trabajo,
cuestionarios, evaluaciones, informes y otros).
Se reducen los costos, el tiempo de documentación y revisión de papeles, logrando
invertir más tiempo en la auditoría “per se”, añadiendo así valor a la labor y, aumenta la
eficiencia en la evaluación de riesgos y en la planificación.
Perfectamente integrado con Microsoft Office, AutoAudit permite crear archivos Word,
Excel y PowerPoint para que pueda seguir utilizando archivos anteriores sin la necesidad
de aprender un nuevo software.
Con sus funciones de valoración de riesgos, planificación, seguimiento y administración
de problemas, AutoAudit es el modo más eficiente de gestionar su departamento de
auditoría.
Con el fin de cumplir no sólo los requisitos básicos de auditoría y garantizar la auditoría
granular y precisa, ApexSQL Audit se ofrece con dos tipos de filtros de auditoría: simple
y avanzada.
Características
Instalación
Una de las muchas razones que no necesitamos un archivo de ayuda de 100 páginas de
ApexSQL Audit, es el tiempo y el esfuerzo que ponemos en el comisariado el proceso de
instalación más rápida y fácil posible. Lo poco que se mantuvo es simple, directo y
evidente por sí mismo
Evitamos una gran cantidad de los "puntos débiles" de otras herramientas que pueden
hacer la instalación de un proceso lento y frustrante
ApexSQL Audit necesita una mínima intervención del usuario. Durante el proceso de
instalación, el instalador en sí llevará a cabo la mayor parte de las acciones necesarias en
nombre del usuario. La única acción requerida por el usuario al instalar la aplicación
principal es para seleccionar las opciones de instalación y para introducir las credenciales
requeridas para la cuenta que será utilizada por la instancia central y opcionalmente por
los informes web.
Si es necesario, el instalador puede incluso crear la sesión de SQL Server para el usuario
seleccionado con privilegios necesarios en la instancia de SQL Server de destino que fue
elegida como sede de la base de datos del repositorio.
ApexSQL Audit puede almacenar la base de datos central repositorio en todas las
versiones de SQL Server A partir de SQL Server 2008, y no hay limitaciones en cuanto
a la versión de SQL Server puede ser auditado con respecto de la versión de SQL Server
se utiliza para almacenar la base de datos central repositorio. Esta es una limitación crítica
con otras herramientas que no se permite el almacenamiento de la base de datos del
repositorio en amante de la versión de SQL Server a la versión de SQL Server Auditados
Filtro sencillo
Herramientas competidores utilizan algunas habilidades básicas de filtrado a nivel
agregado como inicios de sesión, Seguridad, DDL, DML cambios, las actividades
administrativas, etc.
ApexSQL Audit permite a los usuarios seleccionar o no seleccionar cada evento de SQL
Server individual, a nivel de servidor y base de datos. filtros de auditoría únicos para cada
base de datos se pueden ajustar individualmente
Y una lista de eventos individuales de SQL Server que puede ser seleccionado para la
auditoría en el nivel de base de datos
El filtro simple ApexSQL Audit ofrece la posibilidad de incluir / excluir la aplicación
particular, los inicios de sesión, y el objeto de SQL Server desde el proceso de auditoría
Filtro avanzado
Este filtro avanzado, único para ApexSQL Audit, permite un alto nivel de precisión de
auditoría de los datos de los eventos auditados especificados. El filtro avanzado utiliza un
conjunto de operadores lógicos que se pueden elegir para definir el filtro de auditoría
precisa condición hasta el nivel de T-SQL. Este es también un diseño óptimo para la
facilidad de uso, ya que los filtros complejos pueden ser fácilmente construidos de una
forma intuitiva
Informes
La una de las ventajas distintivas de la auditoría ApexSQL sistema de información
"abierta", que no limitan o restringen la producción y ofrece la posibilidad de exportación
a CSV
ApexSQL Audit puede mostrar los datos de eventos de texto (T-SQL ejecutadas detrás
del evento) de tamaño ilimitado, lo que significa que incluso los estados más grandes y
complejas pueden ser totalmente una vista preliminar y se exportan. Otras herramientas
establecen límites en el número de caracteres.
ApexSQL Audit tiene otra ventaja en el uso del formato de archivo CSV para exportar
los informes a un archivo. La exportación CSV, combinado con la falta de limitaciones a
la exportación fijadas proporciona una ventaja significativa en la revisión de los
resultados exportados
La función de informes personalizados está diseñada para crear una condición de filtro
que puede ser configurado para satisfacer las necesidades de información
específicas. Cada condición de filtrado definida puede ser nombrado, guarda y volver a
utilizar de nuevo cuando sea necesario
El ApexSQL Audit sistema de alerta tiene características que son únicas o bien son muy
ventajosa frente a otras herramientas:
El motor de alerta utiliza el mismo filtro de avanzada que se utiliza para los informes de
auditoría y filtros personalizados para garantizar la creación de las condiciones de alerta
de alta precisión
Alertando cuando se detecta la cadena especificada por el usuario de la cuenta de T-SQL
que se ejecuta contra el servidor SQL Server auditado a través del motor analizador de T-
SQL implementado
notificaciones por correo electrónico de alerta permiten definir la dirección de correo
electrónico de un destinatario por separado para cada nueva condición de alerta
No hay limitaciones en la forma en alertas de menú se pueden definir y utilizar al mismo
tiempo
No hay limitaciones en el número de alertas que pueden almacenarse y visualizarse en la
historia de Alerta
La posibilidad de mostrar la plena T-SQL de evento en el cuerpo del mensaje de alerta
Nivel de cifrado
ApexSQL Audit utilizar el cifrado de hash más fuerte con el encadenamiento algoritmo
disponible para los datos archivados. cifrado SHA-256 genera una, fija de 256 bits casi
único (32 bytes) de tamaño de hash. El cifrado de hash, como una función de un solo
sentido, no puede ser descifrado espalda, lo que hace que sea la mejor opción para la anti-
manipulación de la base de datos central repositorio y la verificación de integridad de
datos eficientes
ApexSQL Audit puede incluso comprobar la integridad de datos de los datos archivados,
en la misma forma que cuando se trabaja con la base de datos central repositorio. Esto
elimina una carga significativa para los usuarios finales para organizar la protección de
datos archivados y comprobación de integridad por sí mismos
El archivado
ApexSQL Audit tiene una opción única para archivar la base de datos repositorio central
completa, lo que lo deja completamente vacía después de archivado. Esto es muy
importante para los usuarios que desean utilizar SQL Server Express para acoger la base
de datos central repositorio. Junto con las alertas del sistema que permite al usuario definir
el tamaño máximo de la base de datos central repositorio, se garantiza un funcionamiento
sin problemas de la versión de base de datos SQL Server Express.
WIRESHARK
Wireshark, antes conocido como Ethereal, es un analizador de protocolos utilizado para
realizar análisis y solucionar problemas en redes de comunicaciones, para desarrollo de
software y protocolos, y como una herramienta didáctica. Cuenta con todas las
características estándar de un analizador de protocolos de forma únicamente hueca.
La funcionalidad que provee es similar a la de tcpdump, pero añade una interfaz gráfica
y muchas opciones de organización y filtrado de información. Así, permite ver todo el
tráfico que pasa a través de una red (usualmente una red Ethernet, aunque es compatible
con algunas otras) estableciendo la configuración en modo promiscuo. También incluye
una versión basada en texto llamada tshark.
Permite examinar datos de una red viva o de un archivo de captura salvado en disco. Se
puede analizar la información capturada, a través de los detalles y sumarios por cada
paquete. Wireshark incluye un completo lenguaje para filtrar lo que queremos ver y la
habilidad de mostrar el flujo reconstruido de una sesión de TCP.
Wireshark es software libre, y se ejecuta sobre la mayoría de sistemas operativos Unix y
compatibles, incluyendo Linux, Solaris, FreeBSD, NetBSD, OpenBSD, Android, y Mac
OS X, así como en Microsoft Windows
Seguridad
Para capturar paquetes directamente de la interfaz de red, generalmente se necesitan
permisos de ejecución especiales. Es por esta razón que Wireshark es ejecutado con
permisos de Superusuario. Tomando en cuenta la gran cantidad de analizadores de
protocolo que posee, los cuales son ejecutados cuando un paquete llega a la interfaz, el
riesgo de un error en el código del analizador podría poner en riesgo la seguridad del
sistema (como por ejemplo permitir la ejecución de código externo). Por ésta razón el
equipo de desarrolladores de OpenBSD decidió quitar Ethereal antes del lanzamiento de
la versión 3.6.1
Una alternativa es ejecutar tcpdump o dumpcap que viene en la distribución de Wireshark
en modo Superusuario, para capturar los paquetes desde la interfaz de red y almacenarlos
en el disco, para después analizarlos ejecutando Wireshark con menores privilegios y
leyendo el archivo con los paquetes para su posterior análisis.
Características
Wireshark tiene un rico conjunto de características que incluye lo siguiente:
inspección profunda de cientos de protocolos, con más que se añade todo el tiempo
captura en vivo y análisis fuera de línea
Estándar explorador de paquetes de tres paneles
Multiplataforma: Se ejecuta en Windows, Linux, MacOS, Solaris, FreeBSD, NetBSD, y
muchos otros
datos de red capturados se pueden consultar a través de una interfaz gráfica de usuario,
oa través de la TTY-modo de utilidad TShark
Los más potentes filtros de visualización en la industria
El análisis de VoIP rica
Lectura / escritura muchos diferentes formatos de archivo de captura: tcpdump (libpcap),
Pcap NG, Catapulta DCT2000, Cisco Secure IDS iplog, Microsoft Network Monitor,
Network General Sniffer® (comprimido y sin comprimir), Sniffer® Pro y NetXray®,
Red de Instrumentos de Observación NetScreen, fisgón, Novell LANalyzer, RADCOM
WAN Analyzer / LAN, Shomiti / Finisar Surveyor, Tektronix K12xx, Redes Visuales
Visual tiempo de actividad, WildPackets EtherPeek / TokenPeek / AiroPeek, y muchos
otros
Captura de archivos comprimidos con gzip pueden ser descomprimidos sobre la marcha
datos en tiempo real se pueden leer de Ethernet, IEEE 802.11, PPP / HDLC, ATM,
Bluetooth, USB, Token Ring, Frame Relay, FDDI y otros (dependiendo de la plataforma)
soporte de desencriptación para muchos protocolos, incluyendo IPSec, ISAKMP,
Kerberos, SNMPv3, SSL / TLS, WEP y WPA / WPA2
reglas para colorear se pueden aplicar a la lista de paquetes para un análisis rápido,
intuitivo
La salida puede ser exportado a XML, PostScript, CSV, o texto sin formato
Uso
A continuación se muestra se muestra algunos de los uso del aplicativo, pues imaginemos que
deseemos arealizar una auditoria al trafico entrante y saliente de una red en especifico, pues este
aplicativo nos permite captura las diferentes teramas de que entran y salen en nuestra red como
se muestra en las siguiente imágenes:
Abrimos el aplicativo.
Seleccionamos la red que deseemos auditar y seleccionamos START para que comience la
captura de datos para su posterior análisis.
NMAP
Nmap es un programa de código abierto que sirve para efectuar rastreo de puertos escrito
originalmente por Gordon Lyon (más conocido por su alias Fyodor Vaskovich[cita requerida]) y
cuyo desarrollo se encuentra hoy a cargo de una comunidad. Fue creado originalmente para Linux
aunque actualmente es multiplataforma. Se usa para evaluar la seguridad de sistemas
informáticos, así como para descubrir servicios o servidores en una red informática, para ello
Nmap envía unos paquetes definidos a otros equipos y analiza sus respuestas.
Este software posee varias funciones para sondear redes de computadores, incluyendo detección
de equipos, servicios y sistemas operativos. Estas funciones son extensibles mediante el uso de
scripts para proveer servicios de detección avanzados, detección de vulnerabilidades y otras
aplicaciones. Además, durante un escaneo, es capaz de adaptarse a las condiciones de la red
incluyendo latencia y congestión de la misma.
Características.
Descubrimiento de servidores: Identifica computadoras en una red, por ejemplo listando
aquellas que responden ping.1
Identifica puertos abiertos en una computadora objetivo.
Determina qué servicios está ejecutando la misma.
Determinar qué sistema operativo y versión utiliza dicha computadora, (esta técnica es
también conocida como fingerprinting).
Obtiene algunas características del hardware de red de la máquina objeto de la prueba.
Aplicaciones típicas
Ha llegado a ser una de las herramientas imprescindibles para todo administrador de sistema, y
es usado para pruebas de penetración y tareas de seguridad informática en general.
Como muchas herramientas usadas en el campo de la seguridad informática, es también una
herramienta muy utilizada para hacking.
Los administradores de sistema pueden utilizarlo para verificar la presencia de posibles
aplicaciones no autorizadas ejecutándose en el servidor, así como los crackers pueden usarlo para
descubrir objetivos potenciales.
Nmap permite hacer el inventario y el mantenimiento del inventario de computadores de una red.
Se puede usar entonces para auditar la seguridad de una red, mediante la identificación de todo
nuevo servidor que se conecte:
Nmap es a menudo confundido con herramientas para verificación de vulnerabilidades como
Nessus. Nmap es difícilmente detectable, ha sido creado para evadir los Sistema de detección de
intrusos (IDS) e interfiere lo menos posible con las operaciones normales de las redes y de las
computadoras que son analizadas.
Interfaces gráficas
La interfaz usuario oficial es nmapfe, escrita originalmente por Zach Smith, y Nmap lo integra
desde la versión 2.2.4
Existen otras interfaces basadas en navegadores Web. Algunos ejemplos son LOCALSCAN,5
nmap-web,6 y Nmap-CGI.7
NmapW8 es una interfaz sobre Microsoft Windows escrita por Syhunt. NmapWin9 es otra
interfaz para Windows. Sin embargo, no ha sido actualizada desde la versión 1.4.0 lanzada en
junio de 2003.
Una plataforma completa Nmap con capacidades para funcionar sobre distintos OS se encuentra
en UMIT. Su autor es Adriano Monteiro Marques. Zenmap es la interfaz oficial para sistemas
operativos GNU/Linux, Windows, Mac OS X, etc.
Historia
Nmap apareció en septiembre de 1997, en un artículo de la revista Phrack Magazine. El código
fuente venía incluido.10
Otros desarrollos incluyeron mejores algoritmos para determinar qué servicios estaban
funcionando, reescritura de código de C a C++, se agregaron tipos de scan adicionales y nuevos
protocolos como IPv6.
Nmap 3.5 apareció en febrero de 2004, y la versión 4.0 en enero de 2006, con cientos de mejoras.
Los cambios de cada versión se pueden encontrar en el listado de cambios de Nmap.
Uso
Imaginemos que deseamos auditar todos los puertos abiertos que tengamos en nuestro servidor
ya que esto muchas veces resultan una invitación directa a hackers o usuarios mal intencionados.
Lo primero que debemos hacer es abrir Nmap con se muestra en la siguiente imagen.
Una vez terminado su proceso nos mostrar a mayor detalle los resultados de su búsqueda.
Bibliografía
Herrera, D. L. (05 de 2016). UNA SOLUCIÓN AUTOMATIZADA PARA LOS. Obtenido de
http://www.pmn.com.uy/wp-content/uploads/2016/05/Folleto-AUTOAUDIT-Thomson-
Reuters.pdf
Lee, C. B. (2003). Detection and characterization of port scan attacks. Univeristy of California,
Department of Computer Science and Engineering. Obtenido de
http://www.csd.uoc.gr/~gvasil/old2009/old/stuff/papers/PortScans.pdf
Lyon, G. F. (2009). Nmap network scanning: The official Nmap project guide to network
discovery and security scanning. Insecure. Obtenido de
http://dl.acm.org/citation.cfm?id=1538595
Orebaugh, A. R. (2006). Wireshark & Ethereal network protocol analyzer toolkit. Syngress.
Obtenido de https://books.google.es/books?hl=es&lr=&id=-
AdTE9S3kigC&oi=fnd&pg=PA1&dq=wireshark&ots=Y7C1AYNKvR&sig=yGtWKIJ
vPjV6c_VnfWjmJMQSV4w
reservados, A. S. (23 de diciembre de 2016). ¿Qué es ACL Analytics? Obtenido de
https://enablement.acl.com/helpdocs/analytics/12/user-
guide/es/Content/ui/what_is_acl_analytics.htm
Sanders, C. (2011). Practical packet analysis: Using Wireshark to solve real-world network
problems. No Starch Press. Obtenido de
https://books.google.es/books?hl=es&lr=&id=Zl6LBAAAQBAJ&oi=fnd&pg=PR15&d
q=wireshark&ots=5ez9ZT0K8P&sig=Np2UrLNLG0VapgRg2_Yk-l8l6D8
SQL SERVER - Auditoría de Seguridad Con ApexSQL Audit. (10 de 06 de 2015). Obtenido de
https://blog.sqlauthority.com/2015/06/10/sql-server-security-auditing-with-apexsql-
audit/
Tecnologia avanzada. (s.f.). Obtenido de Thomson Reuters AutoAudit:
http://tecnoav.com/herramientas-de-auditoria/thomson-reuters-autoaudit