Está en la página 1de 10

LOGO EMPRESA 2013

Preparado por: EL GERENTE DE PROYECTO


Gerente de Proyecto
INFORME EJECUTIVO
M&NOMBRE EMPRESA
DE ETHICAL HACKING Versión 1.0 del 04/11/2013
Proyecto: “Servicio de Consultoría para la
Implementación de la NTP-ISO/IEC 27001:2008”

LOGO CLIENTE
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 2/10

DETALLES DEL DOCUMENTO

Renuncia de EMPRESA1 no asume ninguna responsabilidad de los errores,


responsabilidad omisiones o daños que resulten del uso de la información adjunta.

Productos, nombres corporativos, o marcas registradas por otras


compañías, son utilizadas solamente, sin el intento de infringir,
para explicación y beneficio de su dueño.
Marcas
Copyright EMPRESA1. Todos los derechos reservados. Ninguna
registradas
sección de esta publicación puede ser reproducida, transmitida,
transcrita o traducida a otro idioma, almacenada en cualquier
forma, medio y termino, sin la autorización escrita de EMPRESA1.

Solicitado por CLIENTE

Elaborado por EMPRESA1 - Information Security Division


VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 3/10

INDICE DE CONTENIDOS

1.Resumen Ejecutivo....................................................................6

1.1. Alcance del Proyecto...............................................................6

2.Objetivos del Proyecto................................................................7

2.1. Resultados del Ethical Hacking....................................................8

2.1.1.Situación Actual............................................................................8

2.1.2.Seguridad Informática de los componentes evaluados...............9

2.1.3.Recomendaciones......................................................................10
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 4/10

HISTORIAL DE VERSIONES

Versión Fecha Modificado por Descripción breve


V 1.0 04/11/2013 EMPRESA1 Versión Inicial
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 5/10

1. RESUMEN EJECUTIVO

1. Alcance del Proyecto

El servicio realizado para CLIENTE1, tuvo como objetivo principal llevar a


cabo una evaluación de seguridad informática mediante un Hacking Ético
desde un grupo seleccionado de equipos a través de Internet y un conjunto
seleccionado de equipos internos que permiten la interacción con ciertos
activos de información.

La perspectiva aplicada ha sido evaluar la viabilidad de explotar las


vulnerabilidades que existen desde Internet (Externo) para los servidores
seleccionados y desde la Red Local LAN (Interno), como parte del
requerimiento de CLIENTE, se evaluó hasta dónde se podría llegar en el caso
de la explotación exitosa de las vulnerabilidades.
La evaluación identificó vulnerabilidades permitiendo conocer el impacto
potencial y las posibilidades de ocurrencia, con la finalidad de proveer
recomendaciones de mejora y corrección de vulnerabilidades acorde a las
buenas prácticas de seguridad informática y estándares como OSSTMM y
OWASP.

Para estas pruebas, se asumió la postura de un equipo de atacantes, pero, de


una forma controlada y con principios éticos que han regido toda la
evaluación y que están protegidos por formas contractuales y un acuerdo de
confidencialidad proporcionado por CLIENTE.

El servicio se desarrolló en varias etapas, como se podrá apreciar más


adelante en el Cronograma de Trabajo Ejecutado, pero, de forma general se
puede indicar que comprendió:

Coordinaciones iniciales y optimización del proceso.


Pruebas de Penetración externas e internas.
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 6/10

Determinación de riesgo a nivel tecnológico en las vulnerabilidades


explotadas.
Determinación de correcciones y mejoras.

Esta evaluación se llevó a cabo como un proceso estructurado que tomó como
base las mejores prácticas definidas en metodologías como Open Source
Security Testing Methodology Manual (OSSTMM), Open Web Application
Security Project (OWASP) y la experiencia de los consultores en proyectos
similares de forma coordinada con la Jefatura de Seguridad de la Información,
Redes y Comunicaciones de CLIENTE.
Como resultado de este análisis se plantean una serie de iniciativas que
añaden un mayor valor a la organización y consideran las capacidades de
ejecución reales de CLIENTE. Dentro de estas iniciativas se han considerado
elementos que corresponden al aseguramiento de tecnología (infraestructura)
y de las aplicaciones web.

2. OBJETIVOS DEL PROYECTO

Las organizaciones que han tomado conciencia de la importancia de un


adecuado manejo de la Seguridad de la Información e Informática, requieren
de proyectos que permitan realizar un proceso de Evaluación que sirva como
el fundamento para el despliegue de componentes tecnológicos y mejoras en
la gestión de la seguridad misma, por lo cual, este proyecto cumplió con los
siguientes objetivos:

Realizar Hacking Ético (pruebas de penetración) a 6 segmentos de la


red interna y 16 direcciones IP públicas por cada enlace, que forman
parte de la infraestructura tecnológica de CLIENTE.

Proveer una visión del nivel de seguridad informática vista desde


Internet (red pública) e interna (red local) de los equipos seleccionados
para ser evaluados.
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 7/10

Determinar si los controles implementados ante eventos de seguridad


son los adecuados.

Identificar los agentes de amenazas específicos como caminos de


acceso para penetrar los hosts evaluados de tal forma que se puedan
neutralizar o, por lo menos, minimizar el riesgo que generan.

Confirmar que las medidas de seguridad implementadas por CLIENTE


son las adecuadas y si son capaces de resistir un ataque.

Efectuar recomendaciones específicas y generales que permitan a


CLIENTE adelantar los procesos de mejora y corrección de
vulnerabilidades con el propósito de implementar mecanismos de
seguridad informática.

2. Resultados del Ethical Hacking

El resultado de este proceso contempla la evaluación de la seguridad


informática desde el exterior e interior de CLIENTE a través de una conexión
a Internet y a un acceso a la red interna, que representan la postura de un
atacante externo y de uno que ha conseguido acceso físico a las instalaciones
(empleado, proveedor) y no autorizados (violación de seguridad física,
ingeniería social).

2.1.1. Situación Actual


En términos generales, la situación actual de la seguridad informática de
CLIENTE se puede resumir en:

Se comprobó la viabilidad de explotar las vulnerabilidades encontradas en


forma interna y externa. El nivel de gravedad llega a niveles importantes y con
impacto en varios de los equipos seleccionados.

El nivel de conocimiento requerido para explotar dichas vulnerabilidades es


principalmente medio existiendo un alto riesgo de ser explotadas por
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 8/10

atacantes con un nivel de conocimiento avanzado y mediante uso de técnicas


adicionales.

Desde el ataque externo, se pudo comprobar que el sistema detector de


intrusos proporciona cierta protección contra los ataques realizados, sin
embargo fue viable evadir dicho mecanismo de seguridad.

Las vulnerabilidades tienen, en su mayoría, formas de corrección sencillas de


implementar, están comprobadas en instalaciones similares, documentadas en
base a estándares y principalmente se refieren a correcciones de
configuración, actualización de software.

La corrección de las vulnerabilidades no implica inversiones importantes, pero,


si cumplir adecuadamente con la priorización de recomendaciones que se
presenta al final de esta sección.

2.1.2. Seguridad Informática de los componentes evaluados.


El análisis de los componentes en forma aislada e interactuando entre sí
permite ver que se tiene una situación controlable donde se pueden resolver
las situaciones de vulnerabilidad sin incurrir en un alto costo ni aplicar
soluciones complejas que impactarían en el tiempo de implantación de las
mismas.

Las vulnerabilidades encontradas a través de Internet y desde la red local


corresponden específicamente a:

Ausencia de aseguramiento (hardening) de las configuraciones de servidores


en entornos de producción.
No se ha aplicado un adecuado aseguramiento (hardening) en la totalidad de
dispositivos de comunicaciones.
Gestión de Contraseñas, al permitirse el uso de contraseñas débiles.
Inadecuada validación de datos en las aplicaciones.
Ausencia de cumplimiento de las políticas de actualización de software.
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 9/10

Cada hallazgo de vulnerabilidades fue comprobado por lo menos con una


herramienta automatizada adicional y en forma manual, aunque en algunos
casos la simple conectividad a un servicio determinado permite identificar la
vulnerabilidad.

Respecto a ambas vistas, es importante mencionar que de existir


componentes de detección de intrusos (IDS), los reportes de dichas
herramientas deben mostrar la actividad generada durante esta evaluación.
Se confirma que no existen dispositivos de prevención de intrusos (IPS)
protegiendo la red interna, porque se han realizado actividades como
escaneos de diversos tipos que no fueron detenidos, los cuales son
identificados como ataques por este tipo de dispositivos.

Las vulnerabilidades encontradas tienen calificaciones promedio que oscilan


entre 1,8 y 2,2 según la escala CVSS (los valores oscilan entre 0 y 10 donde 10
representa una vulnerabilidad de alto riesgo, además, la calificación promedio
no es una calificación únicamente técnica) y su corrección o mitigación
corresponde a procesos de aseguramiento o hardening, que siguiendo las
recomendaciones de este informe, pueden ser llevadas a cabo por el personal
de CLIENTE y/o sus proveedores.

2.1.3. Recomendaciones

Las recomendaciones que se han emitido en forma detallada en el informe


técnico deben ser ejecutadas de forma estricta y solamente una adecuada
gestión de las vulnerabilidades encontradas permitirá que sean resueltas por
completo, sobre todo porque existe esa factibilidad de resolución. Es
frecuente encontrar situaciones en las cuales por no gestionar adecuadamente
un cambio de configuración o actualización de software (por la desactivación
temporal de un servicio, por ejemplo), la vulnerabilidad persiste en el tiempo
y se convierte en un incidente de seguridad.
VERSIÓN V 1.0
INFORME EJECUTIVO FECHA 04/11/2013
DE ETHICAL HACKING
PAGINA 10/10

Respecto a la normatividad, es una recomendación nuestra que se definan o


revisen las Políticas de Seguridad Informática, sobre todo, las referidas a las
condiciones que necesariamente se deben cumplir para servidores y servicios
en producción.