CAPITULO 14

1. Revisión y supervisión

El dominio de la seguridad de las operaciones del Common Body of Knowledge (CBK)

para los repartos del examen de la certificación de CISSP con las actividades y los
esfuerzos dirigidos en mantener seguridad operacional e incluye las preocupaciones
primarias de la revisión y de la supervisión. Incitarlo la revisión y supervisión de los
departamentos de IT para hacer esfuerzos en la detección de intrusiones y de actividades
desautorizadas. Los administradores vigilantes deben clasificar con una selección de
contramedidas y realizar la penetración que prueba que las ayudas al límite, restringen, y
previenen actividades inadecuadas, crímenes, y otras amenazas.

Discutimos el dominio de la seguridad de las operaciones en un cierto detalle en el

capítulo 13, “gerencia administrativa” y acabaremos encima de cobertura en este dominio
en este capítulo. Ser seguro leer y estudiar los materiales de ambos capítulos para
asegurar la cobertura completa del esencial material de la seguridad de las operaciones
para el examen de la certificación de CISSP.

a. Revisión

La revisión es una examinación o una revisión metódica de un ambiente para asegurar la

conformidad con las regulaciones y para detectar anormalidades, ocurrencias
desautorizadas, o crímenes absolutos. Asegurar que los ambientes IT confíen
pesadamente en la revisión. Total, la revisión sirve como el tipo primario de control
detective usado en un ambiente seguro.

b. Revisión de fundamentos

La revisión abarca una variedad amplia de diversas actividades, incluyendo la grabación

de los datos del acontecimiento/de la ocurrencia, examinación de datos, de la reducción
de datos, del uso de los disparadores del alarmar del acontecimiento/de la ocurrencia, y
del análisis del registro. Estas actividades también se conocen como, por ejemplo,
registro, supervisión, alarmas que examinan, análisis, y detección uniforme de la intrusión.
El registro es la actividad de la información de grabación sobre acontecimientos u
ocurrencias a un fichero de diario o a una base de datos. La supervisión es la actividad de
manualmente o programmatically repasando la información registrada que busca algo
específico.

Los triggers de alarma son notificaciones enviadas a los administradores cuando ocurre
un acontecimiento específico. El análisis del registro es un más detallado y forma
sistemática de supervisión en cuál se analiza la información registrada detalladamente
para las tendencias y los patrones así como anormal, desautorizado, ilegal, y las
actividades política-violación. La detección de la intrusión es una forma específica de
supervisar ambas información registrada y acontecimientos en tiempo real para detectar
el acceso indeseado del sistema.
 c. Responsabilidad

La revisión y la supervisión son factores requeridos para sostener y hacer cumplir

responsabilidad. Supervisión son los medios programáticos por los cuales los temas son
llevados a cabo responsables de sus acciones mientras que están autenticados en un
sistema. Sin una cuenta electrónica de las acciones de un tema, no es posible
correlacionarla las actividades, los acontecimientos, y las ocurrencias con los temas. La
supervisión es también el proceso por el cual las actividades desautorizadas o anormales
son detectadas en un sistema. Es necesaria detectar las acciones malévolas por los
temas, las intrusiones procuradas, y los fallos del sistema y reconstruir los
acontecimientos, proporcionan la evidencia para el procesamiento, y los informes y
análisis del problema del producto. La revisión y la registración son generalmente
características nativas de un sistema operativo y la mayoría de los usos y de los servicios.
Así, configurando el sistema a la información de registro sobre tipos específicos de
acontecimientos es bastante directo.

La revisión también se utiliza para supervisar la salud y el funcionamiento de un sistema

con la registración de las actividades de temas y de objetos así como las funciones del
sistema de la base que mantienen el ambiente de funcionamiento y los mecanismos de la
seguridad. Los rastros de intervención creados registrando acontecimientos del sistema a
los registros se pueden utilizar para evaluar la salud y el funcionamiento de un sistema.
Los fallos del sistema pueden indicar programas culpables, conductores corruptos, o
tentativas de la intrusión. Los registros del acontecimiento que conducen a un desplome
se pueden utilizar a menudo para descubrir que la razón que un sistema falló. Los ficheros
de diario proporcionan un rastro de intervención para reconstruir gradualmente la historia
de un acontecimiento, de una intrusión, o de un fallo del sistema.

En la mayoría de los casos, cuando la suficiente registración y la revisión se permite

supervisar un sistema, tanto los datos se recogen que los detalles importantes consiguen
perdidos en el bulto. El arte de la reducción de datos es crucial al trabajar con los
volúmenes grandes de supervisar datos. Hay herramientas numerosas a buscar a través
de los ficheros de diario para los acontecimientos específicos o los códigos de
identificación. Sin embargo, para la automatización verdadera e incluso el análisis en
tiempo real de acontecimientos, se requiere un sistema de la detección de la intrusión
(identificaciones). Las soluciones de las identificaciones se discuten en el capítulo 2, los
“ataques y supervisión”.

d. Conformidad

La revisión es también de uso general para la prueba de la conformidad, o comprobación

de la conformidad. La verificación que un sistema se conforma con leyes, las
regulaciones, las líneas de fondo, las pautas, los estándares, y las políticas es una parte
importante de seguridad que mantiene en cualquier ambiente. La prueba de la
conformidad se asegura de que todos los elementos necesarios y requeridos de una
solución de la seguridad están desplegados correctamente y funcionando según lo
esperado. Los cheques de la conformidad pueden tomar muchas formas, tales como
exploraciones de la vulnerabilidad y prueba de la penetración. Pueden también ser
realizados usando las herramientas del análisis del registro para determinarse si se han
observado algunas vulnerabilidades para las cuales se hayan desplegado las
contramedidas en el sistema.

Las intervenciones se pueden realizar a partir de la una de dos perspectivas: interno o

externo. Los empleados de organización por dentro de los ambiente que están enterados
de las soluciones puestas en ejecución de la seguridad realiza intervenciones internas.
Los interventores independientes del exterior ambiente que no están al corriente de las
soluciones puestas en ejecución de la seguridad realiza intervenciones externas.
Agencias del seguro, firmas de contabilidad, o aún los interventores externos del hire de la
organización sí mismo para probar la validez de las demandas de la seguridad. La meta
de la revisión interna y externa es medir la eficacia de la solución desplegada de la
seguridad.

e. Marcos de tiempo de la intervención

La frecuencia del intervención de la seguridad de la infraestructura o revisión de la

seguridad se basa en riesgo. Al realizar análisis del riesgo, debe ser determinado del si el
suficiente riesgo existe para autorizar el costo e interrupción ser causado por una
intervención de la seguridad en más o una base menos frecuente. En todo caso, la
frecuencia de las revisiones de la intervención debe ser bien definida en las pautas de la
seguridad o estándares de una organización. Definido una vez en la infraestructura
formalizada de la seguridad, debe ser adherida. Sin los gravámenes regulares del estado
de la seguridad del infraestructura, allí no es ninguna manera saber seguro es el ambiente
hasta que un ataque es acertado o frustrado. El esperar hasta la batalla para
determinarse si o no tendrás éxito es una estrategia de negocio muy pobre.

Como con muchos otros aspectos de la seguridad que despliega y que mantiene, las
intervenciones de la seguridad y las revisiones de la eficacia se ven a menudo como
elementos dominantes en exhibir cuidado debido. Si la gerencia mayor no puede hacer
cumplir conformidad con revisiones periódicas regulares de la seguridad, después serán
sostenidas responsables y obligadas para cualquier pérdida del activo que ocurra debido
a las aberturas de la seguridad o a las violaciones de la política.

f. Rastros de intervención

Los rastros de intervención son los expedientes creados por la información de grabación
sobre acontecimientos y ocurrencias en una base de datos o un fichero de diario. Los
utilizan para reconstruir un acontecimiento, para extraer la información sobre un incidente,
para probarla o para refutar culpabilidad, y mucho más. Permiten que que remontans los
acontecimientos sean examinados o en orden delantera o reversa. Esta flexibilidad es útil
al seguir abajo de problemas, de errores de codificación, de ediciones del funcionamiento,
de ataques, de intrusiones, de aberturas de la seguridad, y de otras violaciones de la
política de la seguridad. Usar rastros de intervención es una forma pasiva de control
detective de la seguridad. Sirven como una televisión de manera semejante a circuito
cerrado del impedimento (CCTV) o los protectores de seguridad: si el atacante sabe que
los están mirando y sus actividades registradas, son menos probable realizarse la
actividad ilegal, desautorizada, o malévola. Los rastros de intervención son también
esenciales como evidencia en el procesamiento de criminales. Pueden ser utilizados a
menudo para producir a antes-y-después del cuadro del estado de recursos, de sistemas,
y de activos. Esto alternadamente ayuda a identificar si el cambio o la alteración es el
resultado de la acción de un usuario o de una acción del OS o del software o causada por
algunas otras fuentes (tales como falta del hardware).

La responsabilidad se mantiene para los temas individuales con el uso de los rastros de
intervención. Cuando las actividades de los usuarios y de los acontecimientos causados
por las acciones de los usuarios mientras que en línea se registran, individuos se pueden
llevar a cabo responsables de sus acciones. Esto promueve directamente buenos
comportamiento y conformidad del usuario con la política de la seguridad de la
organización. Los usuarios que están enterados que su las actividades se está
registrando son menos probables procurar evitar controles de la seguridad o realizar
actividades desautorizadas o restrictas.

Los administradores de sistema de la elasticidad de los rastros de intervención la

capacidad de reconstruir acontecimientos desean después de que hayan pasado. Cuando
se detecta una violación de la seguridad, las condiciones y el estado del sistema que
conduce al acontecimiento, durante el acontecimiento, y después de que el
acontecimiento se pueda reconstruir a través de una examinación cercana del rastro de
intervención.

Detalles de la oferta de los rastros de intervención sobre acontecimientos registrados. Una

amplia gama de la información se puede registrar en ficheros de diario, incluyendo hora,
fecha, sistema, usuario, proceso, y el tipo de error/de acontecimiento. Los ficheros de
diario pueden incluso capturar el estado de la memoria o el contenido de la memoria. Esta
información puede ayudar a establecer claramente la causa del acontecimiento. Usar los
ficheros de diario para este propósito se etiqueta a menudo como identificación del
problema. Una vez que se identifique un problema, la ejecución de la resolución del
problema es poco más que siguiendo en la información divulgada. Los rastros de
intervención registran fallos del sistema, insectos del OS, y errores del software como el
pozo como abusos del acceso, violaciones de privilegios, procuró intrusiones, y muchas
formas de ataques. La detección de la intrusión es una forma especializada de
identificación del problema con el uso de los rastros de intervención.

Una vez una violación de la política de la seguridad o una abertura ocurre, la fuente de
esa violación debe ser determinada. Si es posible seguir al individuo que perpetró la
actividad, ella debe ser reprendida o ser terminada (si un empleado) o ser procesada (si
un intruso externo). En todos los casos donde ha ocurrido una violación o una abertura
verdadera de la política de la seguridad (especialmente si una pérdida puede ser
establecida claramente), debes divulgar el incidente a tus autoridades locales,
posiblemente el FBI, y si ocurrió la violación en línea, a unas o más organizaciones que
siguen del incidente del Internet.

g. Divulgación de conceptos

Los formatos reales usados por una organización para producir informes de rastros de
intervención variarán grandemente. Sin embargo, los informes si toda la dirección algunos
conceptos básicos o centrales: el propósito de la intervención, el alcance de la
intervención, y los resultados descubiertos o revelados por la intervención. Además de
estos conceptos foundational básicos, los informes de intervención incluyen a menudo
muchos detalles específicos al ambiente, tal como tiempo, fecha, sistemas específicos, y
así sucesivamente. Los informes de intervención pueden incluir una amplia gama del
contenido que se centra en problemas/acontecimientos/condiciones,
tandards/criterios/líneas de fondo, causas/razones, impacto/efecto, o
soluciones/recomendaciones/salvaguardias.

h. Formato de divulgación

Los informes de intervención deben tener una estructura o un diseño que estén claros,
sucinto, y un objetivo. Es común para que el interventor incluya opiniones o las
recomendaciones para la respuesta al contenido de un informe, pero los resultados reales
del informe de intervención se deben basar en hecho y evidencia de rastros de
intervención. Los informes de intervención incluyen la información sensible y se deben
asignar una etiqueta de la clasificación y dirigir apropiadamente. Dentro de la jerarquía de
la organización, solamente esa gente con suficiente privilegio debe tener acceso a los
informes de intervención. Un informe de intervención se puede también preparar en vario
formas según la jerarquía de la organización. Deben proporcionar solamente los detalles
relevantes a la posición de los miembros del personal que tienen acceso a ellos. Por
ejemplo, la gerencia mayor no necesita saber todos los detalles minuciosos de un informe
de intervención. Por lo tanto, el informe de intervención para la gerencia mayor es mucho
más sucinto y ofrece más de una descripción o de un resumen de los resultados. Un
informe de intervención para encargado o el administrador de la seguridad debe estar
muy detallado e incluir toda la información disponible sobre los acontecimientos
contenidos en ella.

i. Divulgación de los marcos de tiempo

La frecuencia de producir informes de intervención se basa en el valor de los activos y el

nivel del riesgo. más valioso el activo y cuanto más alto es el riesgo, el informe de
intervención debe ser producido más a menudo. Una vez que se termine un informe de
intervención, debe ser sometido al recipiente asignado (según lo definido en la
documentación de la política de la seguridad) y una confirmación firmada del recibo debe
ser archivada. Cuando un informe de intervención contiene la información sobre
violaciones de la seguridad o ediciones serias del funcionamiento, el informe se debe
extender a niveles más altos de la gerencia para la revisión, la notificación, y la asignación
de una respuesta. Tener presente que, en una infraestructura formalizada de la seguridad,
sólo los niveles más altos de la gerencia tienen cualquier energía de la toma de decisión.
Todas las entidades en el extremo inferior de la estructura deben seguir prescribieron
procedimientos y siguen la instrucción.

j. Muestreo

El muestreo, o la extracción de datos, es el proceso de extraer elementos de un cuerpo

grande de datos adentro orden para construir una representación o un resumen
significativa del conjunto. Es decir muestreo es una forma de reducción de datos que
permita que un interventor determine rápidamente las ediciones o los acontecimientos
importantes de un rastro de intervención. Hay dos formas de muestreo: estadístico y no
estadístico. Una herramienta de revisión usando funciones matemáticas exactas para
extraer la información significativa de un de gran capacidad de datos realiza el muestreo
estadístico. Hay siempre un riesgo que muestrearon datos no es una representación
exacta del cuerpo entero de datos y que puede engañar a interventores y los encargados,
y el muestreo estadístico pueden ser utilizados para medir ese riesgo.

Los niveles del truncamiento son ampliamente utilizados en curso de revisión de

acontecimientos como línea de fondo del sistema o de la actividad del usuario que se
consideran actividad rutinaria. Si se excede esta línea de fondo, se acciona un alarmar
inusual del acontecimiento. Esto trabaja especialmente bien cuando los individuos
exceden su autoridad, cuando hay demasiada gente con el acceso sin restricción, y para
los patrones serios de la intrusión.

El muestreo no estadístico se puede describir como el muestreo al azar o muestreo en la

discreción del interventor. Ofrece ni aseguramiento de una representación exacta del
cuerpo entero de datos ni una galga del riesgo del muestreo. El muestreo no estadístico
es menos costoso, requiere menos entrenamiento, y no requiere instalaciones
informáticas.
.
El muestreo estadístico y no estadístico se acepta como mecanismos válidos para crear
los resúmenes o las descripciones de cuerpos grandes de los datos de la intervención.
Sin embargo, el muestreo estadístico es más confiable.

k. Retención de registro

Mientras que el término implica, la retención de registro implica el conservar y el mantener

de la información importante. Una organización debe tener una política que defina se
mantiene qué información y para cuánto tiempo. Pues se aplica a la infraestructura de la
seguridad, en la mayoría de los casos, los expedientes en la pregunta son los rastros de
intervención de la actividad del usuario, que pueden incluir el acceso del archivo y del
recurso, patrones de la conexión, E-mail, y el uso de privilegios.

l. Marcos de tiempo de la retención

Dependiendo de tu industria y de tu relación con el gobierno, puedes necesitar conservar

los expedientes por tres años, siete años, o indefinidamente. En la mayoría de los casos,
un mecanismo de reserva separado se utiliza para crear las copias archivadas de los
rastros de intervención sensibles y de la información de la responsabilidad. Esto permite
para que el sistema de reserva principal de datos reutilice periódicamente sus medios sin
la violación del requisito para conservar rastros de intervención y los similares.

Si los datos sobre individuos están siendo conservados por tu organización, los
empleados y la necesidad de clientes de ser hecho enterado de ellos (tales como adentro
un acuerdo condicional del empleo o un acuerdo del uso). En muchos casos, el requisito
de la notificación es una cuestión legal, mientras que en otros es simplemente una
cortesía. En cualquier caso, es una buena idea discutir la edición con un abogado.
 m. Medios, destrucción, y seguridad

Los medios almacenaban o conservar rastros de intervención debe ser mantenida

correctamente. Esto incluye tomar las medidas seguras para la marca, la dirección, el
almacenaje, y la destrucción de medios. Para los detalles en la manipulación de medios
sensibles, ver por favor la sección titulada “información y los medios sensibles” en el
capítulo 13, “gerencia administrativa”.

Los expedientes conservados se deben proteger contra desautorizado y untimely la

destrucción, contra la alteración, y contra obstáculos para la disponibilidad. Muchos de los
mismos controles de la seguridad usados para proteger recursos y activos en línea se
pueden imponer para proteger registros de la intervención, rastros de intervención,
informes de intervención, y los medios de reserva que contienen la información de la
intervención.

El acceso a la información de la intervención debe ser controlado terminantemente. La

información de la intervención se puede utilizar en ataques de la inferencia para descubrir
la información sobre clasificaciones más altas de datos, así los registros de la intervención
que contienen expedientes sobre activos altamente confidenciales se deben manejar de la
misma manera segura que los activos reales. Otra manera de indicar esto es que cuando
se crea un registro de la intervención, estás creando otra entidad del activo con las
mismas necesidades de la seguridad que el activo revisado original.

Mientras que va el valor de activos y de los datos de la intervención para arriba y el riesgo
aumenta, así que hace la necesidad de un aumento en seguridad y de la frecuencia de las
reservas para la información de la intervención. Los datos de la intervención se deben
tratar con las mismas precauciones de la seguridad que el resto de los datos de la alto-
clasificación dentro del ÉL ambiente. Debe ser protegido por los controles físicos y lógicos
de la seguridad, él debe ser revisado, debe ser sostenido regularmente, y los medios de
reserva se deben almacenar de sitio en un controlado facilidad. Los medios de reserva
que reciben datos de la intervención se deben proteger contra pérdida, la destrucción, la
alteración, y el acceso físico y lógico desautorizado. La integridad de los datos de la
intervención se debe mantener y proteger siempre. Si los datos de la intervención no son
exactos, es inútil.

n. Interventores externos

Es a menudo necesario probar o verificar los mecanismos de la seguridad desplegados

en un ambiente. La prueba el proceso se diseña para asegurarse de que los requisitos
dictados por la política de la seguridad están seguidos y que ningunos agujeros o
debilidades significativos existen en la solución desplegada de la seguridad. Muchas
organizaciones emplean los interventores exteriores o externos de la seguridad para
comprobar la seguridad de su ambiente.

Dan un interventor externo el acceso a la política de la seguridad de la compañía y a la

autorización de examinar cada aspecto del ÉL y ambiente físico. Así el interventor debe
ser una entidad confiada en. La meta de la actividad de la intervención es obtener un
informe final que detalle cualquier resultado y sugiere contramedidas cuando es
apropiada. Sin embargo, una intervención de este tipo puede tomar un considerable
cantidad de tiempo a las completo-semanas o a los meses, de hecho. Durante el curso de
la intervención, el interventor puede publicar informes provisionals. Un informe provisional
es un informe escrito o verbal dado a la organización sobre una debilidad descubierta de
la seguridad que necesite la atención inmediata. Se publican los informes provisionals
siempre que un problema o una edición sea demasiado severa esperar hasta el final se
publica el informe de intervención.

Una vez que el interventor termine sus investigaciones, se lleva a cabo una conferencia
de la salida. Durante la conferencia de la salida, el interventor presenta y discute sus
resultados y discute ediciones de la resolución con los partidos afectados. Sin embargo,
solamente después que la conferencia de la salida es excesiva y el interventor ha dejado
las premisas hace a interventor escriben y someten el informe de intervención final a la
organización. Esto permite que el informe de intervención final sea tan inafectado como
sea posible por política y la coerción de la oficina. Después de que se reciba el informe de
intervención final, los interventores internos deben verificar si o no las recomendaciones
en el informe estén realizadas. Sin embargo, es la responsabilidad de la gerencia mayor
seleccionar que las recomendaciones de seguir y de delegar la puesta en práctica al
equipo de la seguridad.

2. Monitoreo

El monitoreo o supervisión es una forma de auditar esos focos en la revisión activa de la

información auditada o del activo auditado. Por ejemplo, nosotros podríamos auditar la
actividad de conexiones falladas, pero supervisarías funcionamiento de la CPU. La
supervisión es la más de uso tiene conjuntamente con la performance, pero puede ser
utilizada en un contexto de la seguridad también. La supervisión puede centrarse en
eventos, subsistemas, usuarios, hardware, software, o cualquier otro objeto dentro del
ambiente de TI. Una puesta en práctica común de la supervisión se conoce como
supervisión ilegal del software. Este monitoreo se utiliza para mirar las instalaciones de
software ilegal, el uso del software desautorizado, o el uso desautorizado del software
aprobado (es decir, tentativas de saltar las restricciones en la jerarquía de la clasificación
de seguridad). La supervisión de este modelo reduce la probabilidad de un virus o de un
Trojan Horse que es instalada o del software que evita los controles de la seguridad
impuestos

a. Herramientas y técnicas de monitoreo

Las actuales herramientas y técnicas usadas para la performance del

monitoreo varian enormemente entre ambientes y las plataformas de
sistemas. Sin embargo estas son formas comunes encontradas en los
ambientes. Estas incluyen barnners de aviso, monitoreo …( keystroke),
análisis del tráfico, análisis de tendencia y otras herramientas de monitoreo.

b. Warning Banners

Estas son usadas para el informe de supuestos intrusos o aquellos

quienes atentan para violar la política de seguridad esas actividades
intensionales son restringidas y cualquier otra actividad lejana podría ser
 auditada y monitoreada. La equivalencia electrónica de los Warning
Banners seria básicamente a no traspasar el logeo. En otras situaciones,
las expresiones de los Banners son importantes en lo puntos legales. Estar
seguro para consultar con otros abogados acerca de las expresiones
apropiadas. Solo por válidas las alertas podríamos mostrar instrucciones ya
ataques que están procesando. Los usuarios autorizados y no autorizados
podrías estar avisados cuando sus actividades están siendo registradas.
Los usuario autorizados podrían asumir y sus contratos podrían incluir
puntos específicos indicando esos y cualquier otro actividad dentro del la
infraestructura de TI puede ser registrada

c. Keystroke Monitoring

Este es el acto de grabar las tecleadas del usuario. El acto de grabar puede
ser visual o lógico/técnico. En la mayoría de casos el “keystroke” es usado
para propósitos maliciosos. Solo en circunstancias extremas y en los
ambientes sumamente asegurados, el monitoreo de “keystroke” puede ser
extremadamente útil para aprender de las clases de ataques y de los
métodos usados para la infiltración al sistema. El monitoreo de las teclas
pulsadas a menudo comparadas con las interacciones de las líneas
telefónicas. Ahí hay un debate, si el monitoreo de las teclas pulsadas
podrían ser rectridigas y controladas por la misma manera que la
intervención telefónica. Porque esas no tienen antecedentes legales
todavía, cualquier organización que emple el monitoreo de las teclas
pulsadas notificara la autenticación y autorización de los usuarios para tal
monitoreo por algún contrato , política de seguridad y “warning Banners”

d. Traffic Analysis and Trend Analysis (Analisis de trafico y de Tendencias)

Son formas de monitoreo donde examina los flujos o paquetes, más bien
del contenido de paquetes actuales. Analisis de tráfico y de tendencias
pueden ser usadas para tener (infer) uan gran cantidad de información
como la primera comunicación de los router, fuentes para la encriptación de
tráfico, localización del servidor primario y del sendero de la comunicación,
la cantidad para el trafico soportada por la red, la dirección típica del flujo,
frecuencia de comunicaciones y mucho mas.

e. Other Monitoring Tools

Hay un aplico rango de herramientas disponibles para el performance del

monitoreo. Algunas son automatizan la actividad del monitoreo en tiempo
real. Unas herramientas de monitoreo son desarrollos “In-House”, y son
“adhoc ”las cuales enfocan un tipo simple de observación. La mayoría de
herramientas son pasivas. Este medio es causado Esto quiere decir que
no causa nigun efecto en las actividades de monitoreo, eventos o tráfico y
no hacer trasmisiones originales de sí mismo.
Un ejemplo común de la herramienta para monitorear el acceso físico es el
empleo de televisión en circuito cerrado (CCTV). CCTV puede ser
configurado para automáticamente registrar los acontecimientos vistos en
una cinta para la revisión posterior, o el personal quien mira para
 actividades no deseadas, no autorizadas, e ilegales puede mirarlo en
tiempo real.
El reconocimiento de fracaso y la respuesta son una parte importante de
monitorear y revisar . ¿De otra manera, qué el punto para la performance
del monitoreo y de las actividades de revisión? Sobre los sistemas que
usan la revisión manual, el reconocimiento de fallido es la responsabilidad
del observador o el interventor. Para reconocer un fracaso, hay que
entender que es normal y esperado. Cuando el monitoreo y las actividades
de auditoría de la línea de estándar básico, entonces una brecha , falla ,
instrucción , error o problema puede ocurrir la acción de respuesta debe de
ser iniciada.
Automatizar los monitoreos y las auditorias de sistemas son usualemente
programadas para reconcoer las fallas .El reconocimiento de los fracasos
pueden ser basados en firmas o en bases de conocimientos para una
discusión de esos dos mecanismos, por favor vea la discusión sobre la
detección de intrusos en el capítulo 2. En el caso de un reconocimiento
automático o manual el primer paso es la notificación a la autoridad
responsable para la sustentación de la seguridad y manipulación del
problema. A menudo es el adminsitrado local, el manejador local o el
profesional de seguridad local. La notificación usualmente toma la forma de
una alarma o de una notificación de alerta. Una vez que la notificación es
realizada, el personal responsable o la herramienta automática puede dar
una respuesta. Cuando una persona es responsable de la respuesta esta
debe de adaptar la respuesta para especificar la situación y condición. Por
esta razón en las respuestas controladas por el personal a menudo son las
más efectivas. La herramienta, las repuestas automatizada de una
herramienta son script definidos donde algunos alcances son más que
innecesarios.
Los instrumentos automatizados son excelentes para lockdown rápido y
eficiente, pero a menudo la contramedida o la respuesta impuesta por un
instrumento afectarán considerablemente la capacidad del sistema de
seguir apoyando y de realizar el trabajo productivo. Siempre que una
respuesta del instrumento automatizada sea desplegada, el personal
debería ser notificado así la respuesta puede ser ajustada y la red puede
ser devuelta a su estado normal cuanto antes.

3. Penetration Testing Techniques

En términos de seguridad, una penetración ocurre cuando un ataque es acertado y un

intruso es capaz de violar el perímetro de su ambiente. La violación puede ser tan
pequeña como leer unos pocos bits de su red o tan grande como conectándose como un
usuario con privilegios sin restricción. Uno de los objetivos primarios de seguridad debe
prevenir penetraciones. Un método común de probar la fuerza de sus medidas de
seguridad es de realizar pruebas de penetración.
Las pruebas de penetración son una tentativa vigorosa de romperse en una red protegida
usando cualquier mecanismo necesario. Es común para organizaciones tener a
consultores externos para realizar la penetración que prueba entonces los probadores no
son privados a los elementos confidenciales de la configuración de la seguridad, y otros
secretos internos. Las pruebas de penetración son el arte y la ciencia de implementar
salvaguardas puestos en práctica. Esto es solamente otro nombre para lanzar tentativas
de intrusión y ataca contra una red. La actividad en cualquiera es exactamente la misma,
pero las pruebas de penetración son realizadas con la aprobación y el conocimiento de
los profesionales de seguridad en un ambiente controlado y supervisado.
Los intentos de los usuarios malévolos para la violación de la seguridad en el ambiente
de TI , seria realiza ataques de intrusión. Si un usuario interno realiza una prueba contra
una medida de seguridad sin la autorización, entonces será visto como un ataque más
bien que como una prueba de penetración. Las pruebas de penetración pueden ser
realizadas usando instrumentos de ataque automatizados o manualmente . Los
instrumentos de ataque automatizados se extienden de escáneres de vulnerabilidad a
instrumentos de cracker/hacker , que existen en la internet. Los manuales de Ataques se
emplean a menudo, pero mucho más responsabilidad es colocada sobre el atacante para
saber los detalles de cómo se comete un ataque.
Las pruebas de penetración sólo deberían ser realizadas con el consentimiento y el
conocimiento del personal de dirección. La realización de pruebas de seguridad
desaprobadas podría causar la pérdida de productividad, provocar equipos de respuesta
de la emergencia, o aún costarle su trabajo. Las tentativas de penetración con regularidad
organizadas son un camino bueno para juzgar con exactitud los mecanismos de
seguridad desplegados por una organización. Las pruebas de penetración también
pueden revelar áreas donde los parches o ajustes de seguridad son insuficientes y donde
nuevas vulnerabilidades se han desarrollado. el equipo de penetracion prueba puede
tener varios niveles de conocimiento sobre el ambiente para ser evaluado. Los tres
niveles de conocimiento comúnmente aprobados son el cero, parcial, y llenos. Equipos de
conocimiento cero no saben nada sobre el sitio excepto la información básica, como la
dirección de empresa y el nombre de dominio. Un ataque por un equipo de conocimiento
cero el más estrechamente se parece a un verdadero ataque de hacker externo porque
toda la información sobre el ambiente debe ser obtenida desde el principio. Un equipo de
conocimiento parcial un tiene un inventario de hardware y software usado en la
Penetración que Prueba Técnicas 431 sitios y posiblemente conectar una red detalles de
configuración y el diseño. El equipo es entonces capaz de enfocar sus esfuerzos en
ataques y vulnerabilidades específicas al hardware real y el software en el empleo en el
sitio. Un equipo de conocimiento lleno es completamente consciente de cada aspecto del
ambiente, baja los parches y actualizaciones de seguridad exactas. El personal de
administración de seguridad normal puede ser considerado un equipo de conocimiento
lleno. Lamentablemente, un equipo de conocimiento lleno es el tipo menor preferido de
penetración que prueba el equipo porque sus miembros a menudo son influidos y pueden
tener puntos ciegos. Un equipo de conocimiento lleno sabe que ha sido asegurado,
entonces esto puede fallar en probar la responsabilidad correctamente.

a. War Dialing

Es el acto de usar un módem para buscar un sistema que aceptará

tentativas de conexión entrantes. Un sintonizador de guerra puede ser un
ordenador típico como un módem conectado y una carrera de programa de
sintonizador de guerra o esto puede ser un dispositivo independiente. En el
uno o el otro caso, ellos son usados para sistemáticamente marcar
números de teléfono y escuchar para un tono de portador de ordenador.
Cuando un tono de portador de ordenador es descubierto, el sintonizador
de guerra añade este número a su informe que es generado al final del
proceso de búsqueda. Un sintonizador de guerra puede ser usado buscar
cualquier gama de números, como los 10,000 números dentro de un prefijo
específico o todos los 10,000,000 dentro de un prefijo local específico. La
marcación de guerra a menudo es usada localizar los módems no
 autorizados que han sido instalados sobre sistemas de cliente dentro de
una red asegurada de otra manera y sin querer han sido configurados para
contestar hacia el interior llamadas. Un atacante puede adivinar una
relativamente pequeña gama de números de teléfono para explorar por
aprendiendo uno o varios de los números de teléfono usados por la
organización. En la mayoría de los casos, el prefijo es el mismo para todos
los números dentro de la organización de ser localizada dentro del mismo
edificio o dentro de una pequeña área geográfica. Así, la guerra que marca
la búsqueda podría ser limitada con 10,000 números. Si varios de los
números de teléfono de la organización son secuencialmente cercanos, el
atacante puede enfocar la la búsqueda sobre un grupo de sólo unos cien
de números. War dialing como una prueba de penetración es un
instrumento útil para asegurar que ningunos módems de contestación no
autorizados están presentes dentro de su organización. En la mayoría de
los casos, usted tendrá una lista definitiva de los números de teléfono
controlados por o asignado a su organización. Tal lista proporciona un plan
enfocado de pruebas para la marcación de guerra. Las contramedidas
contra la War dialing malévola incluyen la seguridad de acceso imponente
(principalmente en la forma de autenticación), asegurando que ningunos
módems no autorizados están presentes, y la seguridad de retrollamada de
utilización, la restricción de protocolo, y la tala de llamada.

b. Sniffing and Eavesdropping

Es una forma de supervisión de tráfico de red. La aspiración a menudo
implica la captura o la duplicación de tráfico de red para el examen, la
recreación, y la extracción. Esto puede ser usado tanto como un
mecanismo de prueba de penetración como como un método de ataque
malévolo. El Sniffing es a menudo un metodo eficaz en la captura o la
extracción de datos de corrientes de tráfico de red no cifradas. Las
contraseñas, usernames, IP direcciones, el contenido de mensaje, y mucho
más pueden ser capturadas usando el software u olfateadores a base de
hardware. Los olfateadores pueden capturar sólo el tráfico dirigió a la su
dirección de IP del sistema de anfitrión o todo el tráfico que pasa sobre el
segmento de red local. Para capturar todo el tráfico sobre un segmento de
red local, NIC del olfateador debe ser colocado en el modo promiscuo. Hay
muchos Sniffer comerciales, el freeware, y Sniffer de mercancía de hacker
disponibles. Estos incluyen Etherpeek, WinDump, Etéreo, sniffit, y
Snmpsniff.
La contramedida primaria a la aspiración de ataques debe usar el tráfico
cifrado. También pueden frustrar a la aspiración impidiendo al software no
deseado instalar, por cerrando abajo todos los puertos no usados, y por
usando un IDS o un escáner de vulnerabilidad que es capaz de descubrir
los signos reveladores de un producto de Sniffer .Eavesdropping es
solamenteotro término para el Sniffer. Sin embargo, la escucha disimulada
puede incluir más que la justa captura y el tráfico de red de grabación. La
escucha disimulada también incluye la grabación o escuchando a
comunicaciones de audio, faxes, señales de radio, etcétera. En otras
palabras, la escucha disimulada escucha en sobre, la grabación, la captura,
 o de otra manera dándose cuenta del contenido de cualquier forma de
comunicación.

c. Radiation Monitoring

Es una forma específica de aspiración o escucha disimulada que implica la

detección, la captura, y la grabación de señales de radiofrecuencia y otros
métodos de comunicación irradiados, incluyendo el sonido y la luz. La
radiación que supervisa puede ser tan simple como la utilización de un
micrófono ocultado en un espacio para registrar voces o tan sofisticado
como la utilización de una cámara para registrar las reflexiones ligeras en
un espacio para reconstruir el contenido de una demostración de ordenador
visual que de otra manera es ocultada de la inspección directa. La radiación
que supervisa también incluye el toque de frecuencias de radio a menudo
usadas por teléfonos móviles, interfaces de red inalámbricos, radio de
doble dirección, radio y difusiones de televisión, radio de onda corta, y
CBS. Además, esto incluye el toque de una amplia gama de las variaciones
de señal eléctricas que directamente no pueden ofrecer la información,
pero pueden ser usadas en ataques de inferencia. Estos incluyen el cambio
del uso eléctrico por un sistema de ordenador entero, un disco duro, un
módem, un interfaz de red, un interruptor, y una rebajadora. Dependiendo
el dispositivo, las señales electromagnéticas producidas por el hardware
pueden ser capturadas y usadas recrear los datos, o al menos metadata
sobre los datos, y la sesión de comunicación.
TEMPEST es un estándar que define el estudio y el control de señales
electrónicas producidas por varios tipos de hardware electrónico, como
ordenadores, televisiones y teléfonos. Su objetivo primario es de prevenir la
interferencia electromagnética (EMI) y la radiación de radiofrecuencia (RF) ,
dejar un área estrictamente definida para eliminar la posibilidad de
radiación externa, escucha disimulada, y la aspiración de señal.

d. Dumpster Diving

Es el acto de buscar basura o restos de una organización o la operación

para descubrir o deducir la información confidencial. La búsqueda en el
basurero principalmente es asociado con cavarse por la basura real. Esto
también puede incluir la busca, la investigación, y la ingeniería inversa el
sitio web de una organización, productos comerciales, y la literatura
públicamente accesible (como declaraciones financieras, folletos, la
información de producto, informes de accionista, etc.). Scavenging es una
forma de buscar en la basura que es realizado electrónicamente. Es
realizado para buscar la información útil en los remanentes de datos
dejados después de que los procesos o tareas son completados. Esto
podría incluir rastros de auditoría, archivos de tronco, vertederos de
memoria, ajustes variables, el trazar un mapa de puerto, y datos cache.
Dumpster diving y scavenging puede ser empleado como una prueba de
penetración para descubrir cuanta información sobre su organización sin la
debida atención es desechada en la basura o abandonada alrededor,
 después del cierre de una instalación. Las contramedidas al salto de
basurero y el rescatando incluyen la disposición segura de toda la basura.
Esto por lo general quiere decir el desfibrado toda la documentación. Otras
salvaguardas incluyen el mantenimiento del control de acceso físico.

e. Social Engineering
Un ataque de la ingeniería social es una tentativa por un atacante para
convencer a un empleado de realizar una actividad no autorizada para
derribar la seguridad de una organización. A menudo el objetivo de
ingeniería social es de ganar el acceso a la infraestructura de TI o la
instalación física. La ingeniería social es una habilidad por la cual una
persona desconocida gana la confianza de alguien dentro de su
organización. Individuos expertos pueden convencer a empleados que
ellos son asociados con la dirección superior, el soporte técnico, el
escritorio de ayuda, etcétera. Una vez que este engaño es acertado, a
menudo animan a la víctima a hacer un cambio a su cuenta de usuario
sobre el sistema, como la puesta a cero de su contraseña. Otros ataques
incluyen la instrucción de la víctima de abrir ficheros adjuntos del correo
electrónico específicos, lanzar un uso, o unirse a URL específico.
Independientemente de la actividad real es, por lo general es dirigido hacia
la apertura de una puerta de atrás que el atacante puede soler ganar el
acceso a la red. Los Ataques de la ingeniería social exclusivamente no
ocurren sobre el teléfono; ellos pueden pasar en la persona también.
Individuos malévolos que imitan a técnicos de reparación, la dirección
superior, o gerentes de empresa de viaje pueden intimidar a algunos
empleados en las actividades artísticas que violan la seguridad. Las
contramedidas a ataques en persona de la ingeniería social que incluyen
la verificación de la identidad del intruso/visitante vía una fotografía
asegurada, poniéndose en contacto con su empresa de la fuente, o
encontrando a un gerente local que reconoce al individuo. Ataques de la
ingeniería social pueden ser usados como pruebas de penetración. Estos
que los tipos de pruebas ayudarán a determinar como vulnerable sus
empleados de primera línea son al adepto de individuos en la mentira. Para
una discusión detallada de ataques sociales de la ingeniería, mirar el
Capítulo 4, " la Seguridad de Comunicaciones y Contramedidas. "

f. Problem Management

Una vez la revisión, la supervisión, y pruebas de penetración han ocurrido,

el siguiente paso es la dirección de problema.
La dirección de problema es exactamente lo que suena: un proceso
formalizado o estructura para resolver problemas. Principalmente, la
dirección de problema es una solución se desarrolló inte-rno para dirigir
varios tipos de discusiones y problemas encontrados en el ambiente.
La dirección de problema típicamente es definida como el teniendo tres
objetivos u objetivos:
  Reducir fracasos a un nivel manejable
 Para prevenir la presencia o nueva presencia de un problema
 Para mitigar el impacto negativo de problemas sobre servicios y
recursos

4. Inappropriate Activities
Son las acciones erróneas que pueden ocurrir en un ordenador, sobre la
infraestructura del Área de TI o dentro de una organización en general, no son
crímenes reales y de gran magnitud, pero a menudo hay razones para castigos
internos o despido de la Organización.
Algunos tipos de actividades inadecuadas incluyen la creación o la inspección el
contenido inadecuado, el hostigamiento sexual y racial y el abuso. El contenido
inadecuado puede ser definido como algo que no es relacionado con el apoyo de
las tareas de trabajo de una organización. Esto incluye, pero no es limitado con, la
pornografía, el material sexualmente explícito, la hospitalidad, datos políticos, y el
contenido violento. La definición de contenido inadecuado puede ser definida por
el ejemplo (por catalogando los tipos de información consideró inadecuado) o por
la exclusión (por catalogando los tipos de información considerada apropiado). El
contenido inadecuado puede ser definido para incluir el correo electrónico personal
que no es el trabajo relacionado. El cuidado del contenido inadecuado a un
mínimo requiere varios pasos. Primero, debe ser incluido como un objetivo en la
política de seguridad. Segundo, el personal debe tener la conciencia que se
entrena con respecto al contenido inadecuado. Tercero, los instrumentos de
filtración de contenido pueden ser desplegados para filtrar datos basados en el
contenido de palabra o la fuente. No es posible previenen programativamente todo
el contenido inadecuado, pero penas suficientes pueden ser impuestas contra
violaciones, con regularcion que revisan/supervisan para mantener su nivel a un
mínimo. El hostigamiento sexual y racial es una forma de contenido inadecuado o
actividad sobre el equipo de empresa. El acoso sexual puede tomar muchas
formas, incluyendo la distribución de imágenes, vídeos, clips de audio, o la
información de texto (como bromas). Mandos de hostigamiento sexuales y raciales
incluyen la educación de conciencia y la filtración contenta. El gasto de los
recursos pueden tener un efecto directo sobre la rentabilidad de una organización.
Si el espacio de almacenaje, calculando el poder, o la capacidad de amplitud de
banda conectada a una red es consumido por datos inadecuados o no
relacionados con el trabajo, la organización pierde el dinero sobre actividades no
lucrativo que producen.
Algunos ejemplos más comunes de gasto de recurso incluyen el funcionamiento
de un asunto personal sobre el equipo de empresa, el tener acceso y la
distribución de datos inadecuados (la pornografía, la hospitalidad, la música,
vídeos, etc.), y sin rumbo el surf la Internet. Tal como con el material inadecuado,
pueden reducir el gasto de recurso, pero no eliminarlo. Un poco del medio primario
de reducir el gasto incluye la educación de conciencia del usuario, la supervisión
de actividad, y la filtración contenta. El abuso de los derechos y privilegios son la
 tentativa de realizar actividades o el acceso de beneficio a los recursos que son
restringidos o asignados a una clasificación más alta y tienen acceso al nivel.
Cuando el acceso es ganado de manera poco apropiada, la confidencialidad de
datos es violada y la información sensible puede ser revelada.
Las contramedidas para abusar incluyen las puestas en práctica fuertes de
mandos de acceso y la tala de actividad.

5. Indistinct Threats and Countermeasures – CONTRAMEDIDAS Y AMENAZAS

INDISTINTAS
No todos los problemas que la infraestructura de TI enfrentará tienen
contramedidas definitivas o son aún una amenaza reconocible. Hay numerosas
vulnerabilidades contra las cuales no hay ninguna amenaza inmediata y contra
tales amenazas hay pocas contramedidas. Muchas de estas contramedidas de
efecto directo de carencia de vulnerabilidades, o el despliegue de contramedidas
disponibles ofrecen poco en la reducción de riesgo.

a. Errors and Omissions

Una de las vulnerabilidades más comunes y la más difícil de proteger es

contra la presencia de errores y omisiones. Los errores y omisiones
ocurren porque la gente actúa con el programa, con el control, y datos
importantes para TI. No hay ninguna contramedida directa para prevenir
todos los errores y omisiones. Algunas salvaguardas contra errores y
omisiones incluyen la entrada validators y la educación de usuario. Sin
embargo, estos mecanismos ofrecen sólo una reducción mínima de errores
totales y omisiones encontradas en un ambiente de TI.

b. Fraud and Theft – FRAUDE Y ROBO

El fraude y el robo son las actividades criminales que pueden ser

cometidas sobre ordenadores o son hechas por ordenadores. La mayor
parte de los mandos de acceso desplegados en un ambiente asegurado
reducirán el fraude y el robo, pero no cada forma de estos crímenes puede
ser predicha y protegida contra. Tantos usuarios internos autorizados como
intrusos externos no autorizados pueden aprovechar la infraestructura para
realizar varias formas de fraude y robo. Manteniendo una revisión intensiva
y el programa de supervisión y el procesamiento de todos los incidentes
criminales ayudarán a reducir el fraude y el robo.

c. Collusion

La colusión es un acuerdo múltiple entre personas para realizar una acción

no autorizada o ilegal.
 Es dificultado por la separación de deberes , responsabilidades de trabajo
restringidas, la tala de revisión de cuentas, y la rotación de trabajo, que
todos reducen la probabilidad que un colega estará dispuesto a colaborar
sobre un esquema ilegal o abusivo debido al riesgo más alto de detección.
Sin embargo, estos salvaguardas principalmente no son dirigidos hacia la
prevención de Collusion. La reducción de colusión es simplemente las
ganancias suplementarias de estos mandos de seguridad.

d. Sabotage
El sabotaje de empleado puede hacerse una cuestión si un empleado es
bastante bien informado sobre la infraestructura de TI de una organización,
tiene el acceso suficiente para manipular los aspectos críticos del
ambiente. El sabotaje del empleado ocurre más a menudo cuando un
empleado sospecha que ellos serán terminados sin la justa causa. Esto es
una terminación de razón importante debería ser manejada rápidamente,
incluyendo inutilizando todo el acceso a la infraestructura (TI y físico) y el
escoltar del ex-empleado de los locales. Las salvaguardas contra el
sabotaje de empleado son la revisión intensiva, la supervisión para la
actividad anormal o no autorizada, las líneas de cuidado de comunicación
abierta entre empleados y gerentes, y correctamente la compensación y
empleados de reconocer para la excelencia y extra trabajan.

e. Loss of Physical and Infrastructure Support – PERDIDA DE LO MATERIAL

FISICO Y PERDIDA DE SOPORTE DE INFRAESTRUCTURA
Loss of Physical and Infrastructure Support puede Es causado por paros
del suministro eléctrico, catástrofes, interrupciones de comunicación, el
tiempo severo, la pérdida de cualquier utilidad principal o servicio,
interrupción de transporte, huelgas, y casos de urgencia nacionales. Esto
puede causarlo el tiempo de inactividad y casi siempre considerablemente
reduce la productividad y la rentabilidad durante la longitud del
acontecimiento. Es casi imposible predecir y proteger contra los
acontecimientos que causan físico y la pérdida de apoyo de infraestructura.
La recuperación de desastre y la planificación de continuidad de negocio
pueden proporcionar métodos de restauración si el acontecimiento de
pérdida es severo. En la mayor parte de casos, usted simplemente debe
esperar hasta que la emergencia o la condición expiren y la vuelta de cosas
a normal.

f. Malicious Hackers or Crackers

Son los individuos que activamente procuran infiltrar a la infraestructura
para su propia fama, el acceso, o el beneficio financiero. Estas intrusiones
o ataques son amenazas importantes contra las cuales su política de
seguridad y su infraestructura de seguridad entera son diseñadas para
 rechazar. La mayor parte de salvaguardas y contramedidas protegen
contra una amenaza específica o el otro, pero no es posible proteger contra
todas las amenazas posibles que un cracker representa. Lo restante sobre
la seguridad, rastreando la actividad y poniendo en práctica sistemas de
detección de intrusión puede proporcionar un nivel razonable de
protección.

g. Espionage
Es un mal acto de juntar la información propietaria, secreta, privada,
sensible, o confidencial sobre una organización para el objetivo expreso de
revelación y a menudo el vender esto datos a un competidor u otra
organización interesada (como un gobierno extranjero). El espionaje a
veces es cometido por los empleados internos que se han hecho
descontentos con sus empleos y se han hecho comprometidos de algún
modo. También puede ser cometido por un topo o la planta colocada en su
organización para robar la información para su patrón primario secreto. Las
contramedidas contra el espionaje deben estrictamente controlar el acceso
a todos los datos no públicos, a fondo proteger a nuevos candidatos de
empleado, y de manera eficiente rastrear las actividades de todos los
empleados.

h. Malicious Code
Es cualquier script o programa que realiza una actividad no deseada, no
autorizada, o desconocida sobre un sistema de ordenador. El evil script
puede tomar muchas formas, incluyendo virus, gusanos, caballos de Troya,
documentos con macros destructivas, y bombas lógicas. Alguna forma de
evil script existe para cada tipo de ordenador o el dispositivo calculador. La
supervisión y la filtración del tráfico que entra y viajan dentro de un
ambiente asegurado es la única contramedida eficaz al código malévolo.

i. Initial Program Load Vulnerabilities

Hay un período de tiempo entre los momentos cuando un dispositivo es

desconectado y cuando totalmente es boteado y operacional, que el
sistema totalmente no es protegido por sus mecanismos de seguridad.
Conocen este período de tiempo como la carga de programa inicial (IPL) y
esto tiene numerosas vulnerabilidades. Sin la seguridad física, no hay
ningunas contramedidas para vulnerabilidades IPL. Alguien con el acceso
físico a un dispositivo fácilmente puede explotar sus debilidades durante su
proceso de bootup. Echando a un sistema móvil de operaciones de un CD
o el disquete, y tienen acceso a CMOS para cambiar ajustes de
configuración, como el permiso o la incapacitación de dispositivos.

Summary
La seguridad de operaciones requiere esfuerzos dirigidos en la revisión y la supervisión.
Estos esfuerzos dan lugar al descubrimiento de ataques e intrusiones. Esto a su turno
dirige la selección de contramedidas, anima pruebas de penetración, y ayuda a limitar,
restringir, y prevenir actividades inadecuadas, crímenes, y otras amenazas. La revisión es
un examen metódico o la revisión de un ambiente para asegurar el cumplimiento por
regulaciones y descubrir anormalidades, presenciales no autorizadas, o crímenes
rotundos.
Asegure los ambientes pesadamente confiables en la revisión. En general, la revisión
sirve como el tipo primario de control policíaco usado por un ambiente seguro. Rastros de
auditoría son los registros creados por registrando la información sobre acontecimientos y
acontecimientos en una base de datos o registran el archivo, y ellos pueden ser usados
por ejemplo: reconstruya un acontecimiento, extraiga la información sobre un incidente, y
demuestre o refute la culpabilidad. Rastros de auditoría proveen una forma pasiva de
seguridad policíaca controla y sirve como una fuerza disuasoria en la misma manera que
CCTV o las guardias de seguridad. Además, ellos pueden ser esenciales como pruebas
en el procesamiento de criminales. La retención de registro es la política de organización
que define que información es mantenida y para cuanto tiempo. En la mayor parte de
casos, los registros en cuestión son los rastros de auditoría de actividad de usuario,
incluyendo el archivo y el acceso de recurso, el modelo de conexión, el correo electrónico,
y el empleo de privilegios. La supervisión es una forma de revisión que enfoca más en la
revisión activa de la información revisada o el activo revisado. El más a menudo es usado
en la conjunción con el funcionamiento, pero esto puede ser usado en un contexto de
seguridad también. Los instrumentos reales y técnicas solían funcionar la supervisión
varía enormemente entre ambientes y plataformas de sistema, pero hay varias formas
comunes encontradas en la mayor parte de ambientes: advirtiendo banderas, supervisión
de pulsación, análisis de tráfico y análisis de tendencia, y otros instrumentos de
supervisión. Las pruebas de penetración son una tentativa prueba de romper su red
protegida que usa alguno de estos medios antes expresados, y esto es un método común
para probar la fuerza de sus medidas de seguridad.
Las organizaciones a menudo alquilan a consultores externos para realizar la penetración
que prueba entonces los probadores no son privados a los elementos confidenciales de la
configuración de la seguridad, conectan una red el diseño, y otros secretos internos. La
penetración que prueba métodos puede incluir la marcación de guerra, la aspiración, la
escucha disimulada, la supervisión de radiación, el salto de basurero, y la ingeniería
social. Actividades inadecuadas pueden ocurrir sobre un ordenador o sobre la
infraestructura de TI, y no pueden ser crímenes reales, pero ellos son a menudo razones
para castigos internos o terminación. Actividades inadecuadas incluyen la creación o la
inspección el contenido inadecuado, el hostigamiento sexual y racial, el gasto, y el abuso.
La infraestructura de TI puede incluir numerosas vulnerabilidades contra las cuales allí no
es ninguna amenaza inmediata o distinta y contra tales amenazas hay pocas
contramedidas. Estos tipos de amenazas incluyen errores, omisiones, fraude, robo,
colusión, sabotaje, pérdida de físico y el apoyo de infraestructura, crakers , espionaje, y el
evil script. Hay, sin embargo, pasos que usted puede tomar para disminuir el impacto de
la mayor parte de estos.
Exam Essentials
Understand auditing.. La revisión es un examen metódico o la revisión de un ambiente
para asegurar el cumplimiento por regulaciones y descubrir anormalidades,
presencias(acontecimientos) no autorizadas, o crímenes rotundos. Asegúrelo los
ambientes confían pesadamente en la revisión. En general, la revisión sirve como el tipo
primario de control policíaco usado por un ambiente seguro.
Know the types or forms of auditing.. La revisión abarca una amplia variedad de
actividades diferentes, incluyendo la grabación de datos de acontecimiento/presencia,
examen de datos, la reducción de datos, el empleo de gatillos de alarma de
acontecimiento/presencia, el análisis de tronco, y la respuesta (algunos otros nombres
para estas actividades registran, la supervisión, alarmas de examen, análisis, y hasta la
detección de intrusión). Esté capaz de explicar lo que cada tipo de revisar la actividad
implica.
Understand compliance checking La comprobación de cumplimiento o pruebas de
cumplimiento asegura que todos los elementos necesarios y requeridos de una solución
de seguridad correctamente son desplegados y funcionando como esperado. Las
comprobaciónes de cumplimiento pueden tomar muchas formas, como exploraciones de
vulnerabilidad y pruebas de penetración. Ellos también pueden implicar la revisión y ser
realizado usando instrumentos de análisis de tronco para determinar si cualquier
vulnerabilidad para la cual las contramedidas han sido desplegadas ha sido realizada
sobre el sistema.
Understand the need for frequent security audits. La frecuencia de una la revisión de
cuentas de seguridad de infraestructura de TI o la revisión de seguridad está basada en el
riesgo. Usted debe determinar si el riesgo suficiente existe para garantizar el costo y la
interrupción de una revisión de cuentas de seguridad en una base más o menos
frecuente. La frecuencia de revisiones de auditoría claramente debería ser definida y
adherida a.
Understand that auditing is an aspect of due care. Las revisiones de cuentas de Seguridad
y revisiones de eficacia son elementos claves en la demostración del cuidado previsto. La
dirección debe hacer cumplir el cumplimiento con revisiones de seguridad regulares
periódicas o ellos serán imputados la responsabilidad y obligado de cualquier pérdida de
activo que ocurre por consiguiente.
Understand audit trails. Rastros de auditoría son los registros creados por la información
sobre acontecimientos y acontecimientos en una base de datos o registran el archivo.
Ellos son usados para reconstruir un acontecimiento, extraer la información sobre un
incidente, y demostrar o refutar la culpabilidad. La utilización de rastros de auditoría es
una forma pasiva de control de seguridad policíaco, y rastros de auditoría son pruebas
esenciales en el procesamiento de criminales.
Understand how accountability is maintained. La responsabilidad es mantenida para
sujetos individuales por el empleo de rastros de auditoría. Las actividades de usuarios y
acontecimientos causados por las acciones de usuarios mientras en línea pueden ser
registradas así los usuarios pueden ser imputados la responsabilidad para sus acciones.
Esto directamente promueve el comportamiento de usuario bueno y el cumplimiento con
la política de seguridad de la organización.
Know the basic elements of an audit report. Informes de auditoría todos deberían dirigir
unos conceptos básicos o centrales: el objetivo de la revisión de cuentas, el alcance de la
revisión de cuentas, y los resultados descubiertos o revelados por la revisión de cuentas.
Ellos a menudo incluyen muchos otros detalles específicos al ambiente, como el tiempo,
la fecha, y sistemas específicos. Informes de auditoría pueden incluir una amplia gama de
contenido que se fija en problemas/acontecimientos/condiciones, normas/criterios/líneas
de fondo, causa/razon, hacer impacto/efectuar, o salvaguardas de
solutions/recomendaciones.
Understand the need to control access to audit reports. Informes de auditoría incluyen la
información sensible y deberían ser asignados una etiqueta de clasificación y manejados
de manera apropiada. Sólo la gente con el privilegio suficiente debería tenerles el acceso.
Un informe de auditoría también debería estar preparado en varias versiones según la
jerarquía de la organización, proporcionando sólo los detalles relevantes a la posición de
los empleados para los que ellos están preparados.
Understand sampling. El probar, o la extracción de datos, son el proceso de extraer los
elementos de datos de un banco grande de datos para construir una representación
significativa o el sumario del todo. Hay dos formas de probar: estadístico y no estadístico.
Un instrumento de revisión que usa funciones exactas matemáticas para extraer la
información significativa de un volumen grande de datos realiza el probar estadístico. El
probar estadístico es usado medir el riesgo asociado con el proceso de probar.
Understand record retention. Es el acto de conservar y mantenimiento de la información
importante. Debería haber una política de organización que define que información es
mantenida y para cuanto tiempo. Los registros en cuestión son los rastros por lo general
de auditoría de actividad de usuario, incluyendo el archivo y el acceso de recurso, el
modelo de conexión, el correo electrónico, y el empleo de privilegios. Dependiendo su
industria y su relación con el gobierno, usted puede tener que conservar registros durante
tres años, siete años, o indefinidamente
Understand monitoring and the uses of monitoring tools. La supervisión es una forma de
revisión que enfoca más en la revisión activa de la información revisada o el activo
revisado. Es más usado a menudo en la conjunción con el funcionamiento, pero esto
puede también ser usado en un contexto de seguridad. La supervisión puede enfocar
acontecimientos, subsistemas, usuarios, hardware, software, o cualquier otro objeto
dentro del ambiente de TI. Aunque los instrumentos reales y técnicas suelan funcionar la
supervisión varía enormemente entre ambientes y plataformas de sistema, hay varias
formas comunes encontradas en la mayor parte de ambientes: Los warning barnners,
supervisión de pulsación, análisis de tráfico y análisis de tendencia, y otros instrumentos
de supervisión. Esté capaz de catalogar varios instrumentos de supervisión y saber
cuándo y cómo usar cada instrumento
Understand failure recognition and response. Sobre los sistemas que usan la revisión
manual, el reconocimiento de fracaso es la responsabilidad del observador o el
interventor. Para reconocer un fracaso, hay que entender que es normal y esperado.
Cuando los acontecimientos supervisados o revisados de esta línea de fondo estándar,
luego un fracaso, la intrusión, el error o el problema han ocurrido y una respuesta debe
ser iniciada.
Understand what penetration testing is and be able to explain the methods used. Las
organizaciones usan pruebas de penetración para evaluar la fuerza de su infraestructura
de seguridad. Sepa que esto implica ataques de intrusión de lanzamiento sobre su red y
ser capaz de explicar los métodos usados: marcación de guerra, aspiración y escucha
disimulada, supervisión de radiación, salto de basurero, e ingeniería social.
Know what dumpster diving and scavenging are. El salto de basurero y el rescatando
implican cavarse por el rechazar, restos, o restos de una organización o la operación para
descubrir o deducir la información confidencial. Las contramedidas al salto de basurero y
el rescatando incluyen la disposición segura de toda la basura. Esto por lo general
significa el desfibrado toda la documentación e incinerando todo el material y otra basura.
Otros salvaguardas incluyen el mantenimiento del control de acceso físico y la supervisión
del empleo de actividad de privilegio en línea.
Understand social engineering. Un ataque social de la ingeniería es una tentativa por un
atacante para convencer a un empleado de realizar una actividad no autorizada para
derribar la seguridad de una organización. A menudo el objetivo de ingeniería social es de
ganar el acceso a la infraestructura de TI o la facilidad física. El único modo de proteger
contra ataques sociales de la ingeniería es de a fondo entrenar a usuarios como
responder y actuar recíprocamente con comunicaciones así como con el personal
desconocido.
Know what inappropriate activities are. Actividades inadecuadas son las acciones que
pueden ocurrir sobre un ordenador o sobre la infraestructura de TI y no puede ser
crímenes reales, pero es a menudo razones para castigos internos o terminación. Algunos
tipos de actividades inadecuadas incluyen la creación o la inspección el contenido
inadecuado, el hostigamiento sexual y racial y el abuso.
Know that errors and omissions can cause security problems. Una de las vulnerabilidades
más comunes y el más difícil proteger contra los errores y omisiones. Los errores y
omisiones ocurren porque la gente actúa recíprocamente con, el programa, el control, y
proporciona datos para TI . No hay ningunas contramedidas directas para prevenir todos
los errores y omisiones. Algunas salvaguardas contra errores y omisiones incluyen la
entrada validators y el entrenamiento del usuario. Sin embargo, estos mecanismos
ofrecen sólo una reducción mínima de errores totales y omisiones encontradas en un
ambiente de TI
Understand fraud and theft. El fraude y el robo son las actividades criminales que pueden
ser cometidas sobre ordenadores o hechas posibles por ordenadores. La mayor parte de
los mandos de acceso desplegados en un ambiente asegurado reducirán el fraude y el
robo, pero no cada forma de estos crímenes puede ser predicha y protegida. Tanto
usuarios internos autorizados como intrusos externos no autorizados pueden explotarlo su
la infraestructura para realizar varias formas de fraude y robo. Manteniendo una revisión
intensiva y el programa de supervisión y el procesamiento todos los incidentes criminales
ayudarán a reducir el fraude y el robo.
Understand employee sabotage. El sabotaje de empleado puede hacerse si un empleado
es bastante bien informado sobre la infraestructura de TI de una organización, tiene el
acceso suficiente para manipular los aspectos críticos del ambiente. Los salvaguardas
contra el sabotaje de empleado son la revisión intensiva, la supervisión para la actividad
anormal o no autorizada, las líneas de cuidado de comunicación abierta entre empleados
y gerentes, y correctamente la compensación y empleados de reconocer para la
excelencia y extra trabajan.
Understand espionage. . El espionaje es el mal acto por un empleado interno de juntar la
información propietaria, secreta, privada, sensible, o confidencial sobre una organización
para el objetivo expreso de revelación y a menudo el vender estos datos a un competidor
u otra organización interesada (como un gobierno extranjero). Las contramedidas contra
el espionaje deben estrictamente controlar el acceso a todos los datos no públicos, a
fondo proteger a nuevos candidatos de empleado, y de manera eficiente rastrear las
actividades de todos los empleados.