Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Modulo 2 Sintesis Del Modulo Analisis de Vulnerabilidades

    Cargado por

    Falcon Noguera
    8 vistas4 páginas

    Título original

    MODULO_2_SINTESIS_DEL_MODULO_ANALISIS_DE_VULNERABILIDADES

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    8 vistas4 páginas

    Modulo 2 Sintesis Del Modulo Analisis de Vulnerabilidades

    Cargado por

    Falcon Noguera

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 4

    Diplomado Virtual en

    Seguridad
    Informática
    Módulo 1
    2

    Módulo 2: Análisis de vulnerabilidades

    Objetivo del Módulo:

    Al finalizar el módulo el estudiante estará en capacidad de:

    Reconocer el proceso de gestión de vulnerabilidades en los sistemas de


    información a partir de las principales Metodologías y herramientas de Ethical
    Hacking para la identificación y mitigación de vulnerabilidades.

    Ejes temáticos del módulo:

    • Eje temático 1: Introducción a la búsqueda de vulnerabilidades en los sistemas


    de información
    • Eje temático 2: Ingeniería social, la mayor vulnerabilidad
    • Eje temático 3: Tipos de vulnerabilidades en aplicaciones web
    • Eje temático 4: Herramientas y su clasificación para el escaneo de
    vulnerabilidades
    • Eje temático 5: Metodologías de Ethical Hacking

    Hemos llegado al final de la estación 4. Has logrado avanzar rigurosamente en


    cada una de las estaciones logrando satisfactoriamente los retos dispuestos. Por
    ello, tienes la oportunidad de acceder a este valioso material concluyente respecto
    a las principales ideas del contenido estudiado en la estación 2. Puedes acceder a
    este material cada vez que lo consideres pertinente para consolidar el aprendizaje
    propuesto en este diplomado.
    Eje temático 1: Introducción a la búsqueda de vulnerabilidades en los
    sistemas de información

    • La transformación digital es considerada la tercera fase de la adopción de


    tecnologías, por lo tanto, son las oportunidades de crecimiento que se ofrecen
    para sectores, regiones y empresas con el fin de mejorar los procesos, aumen-
    tar la eficacia y reducir los costos.
    • Para abordar la búsqueda de vulnerabilidades es importante detallar el origen
    de estas y evidenciar las causas, las cuales pueden ser: por debilidad en el
    diseño de los protocolos o políticas deficientes, por operación, al tener una
    configuración inadecuada, limitada, desconocida o sin disponibilidad, o por
    implementación en errores de programación. Al final dichos elementos permi-
    ten clasificar las vulnerabilidades en función del ciclo de vida de su desarrollo.
    • Footprinting es el proceso de recolección de información en internet sobre algo
    concreto, está asociado a la seguridad informática por ser un método empleado
    en su mayoría por los hackers informáticos. También lo son la recolección de
    datos, Google hacking y la ingeniería social.

    Eje temático 2: Ingeniería social, la mayor vulnerabilidad

    • La psicología social aborda las herramientas empleadas por los ingenieros so-
    ciales, frente a la persuasión. Para ello, los hackers emplean: rasgos de un rol,
    credibilidad, desviación de la atención, impulso de la conformidad, ocasionar
    que el objetivo adopte un rol, deseos de ayudar, simpatía, atribuciones o miedo.
    • La ingeniería social es la extracción de forma engañosa de datos personales,
    con la capacidad de expandirse a distintos medios. El email es uno de los servi-
    cios más extendido y usado por las organizaciones, por ende, se ha convertido
    en un canal de la ingeniería social para la ejecución de ataques por parte de
    los estafadores, spammers, intrusos y gusanos.
    • Los ataques pueden afectar a cualquier usuario, sin embargo, existen algunas
    medidas que se pueden tomar para identificar algún correo malicioso, como:
    validación de las cabeceras y contenido del email, búsquedas en línea de los
    códigos y revisión de la dirección IP de donde fue enviado el correo.

    Eje temático 3: Tipos de vulnerabilidades en aplicaciones web

    • Una vulnerabilidad es un fallo de programación, configuración o diseño, que


    permite a los atacantes alterar el comportamiento normal de un programa y
    realizar acciones maliciosas.
    • Para clasificar una vulnerabilidad, es importante conocer el origen de esta y por
    ende el ciclo de vida que comprende: su creación, descubrimiento, explosión
    de la disponibilidad, divulgación, parche del proveedor e instalación del parche.
    • La clasificación de las vulnerabilidades ha sido un trabajo que ha llevado tiem-
    po, sin embargo, hasta el momento se ha logrado reconocer mejor la clasifica-
    ción de acuerdo con su aplicación (SANS) o las de aplicaciones web (OWASP)

    Eje temático 4: Herramientas y su clasificación para el escaneo de


    vulnerabilidades.

    • Las aplicaciones web han traído al mundo bastantes beneficios pero así mismo
    ciberdelincuentes que tienen como objetivo esas aplicaciones, haciendo que
    se reporten anualmente cifras alarmantes por ataques. Estos ataques apro-
    vechan los defectos y problemas de seguridad por la deficiencia y fallos en la
    construcción de la aplicación, para realizar actos delictivos.
    • Es posible encontrar vulnerabilidades en la fase de desarrollo por la mala co-
    dificación, fase de pruebas, fallas en la integración de los componentes o la
    ausencia de las pruebas de intrusión, o en la fase de operación por la ausencia
    de mecanismos de monitoreo. Errores que anualmente pueden costar millones
    a una organización.
    • Las herramientas automatizadas contribuyen a reducir el proceso y a imponer
    la política de seguridad, sin embargo, no hace al software más seguro, dado
    que son herramientas genéricas que no están diseñadas para códigos especí-
    ficos sino para aplicaciones en general. Entre las herramientas más conocidas
    se encuentran SAST y DAST para la evaluación de una aplicación.

    Eje temático 5: Metodologías de Ethical Hacking

    • Un hacker es una persona que invade ilegalmente un sistema o red, para des-
    truir, robar o realizar ataques maliciosos. Suele estar mal relacionado con la
    habilidad y creatividad que se necesitan para realizar los ataques. Actualmente
    se reconocen cinco tipos de hacker: sombre blanco, sombrero negro, sombrero
    gris, script kiddies y hacktivista, cada uno nombrado de esa manera por sus
    intenciones y motivaciones para realizar los actos.
    • El ethical hacker busca explotar las vulnerabilidades existentes en un sistema
    por medio de pruebas, que buscan detectar el nivel de seguridad interno y
    externo de los sistemas de información, con el fin de corregir las debilidades
    identificadas y no atacarlas como sería el caso de un hacker.
    • Para llevar a cabo el trabajo de ethical hacker, es necesario conocer las fases
    que generalmente contienen las metodologías de ethical hacking, las cuales
    son: recopilación de información, descripción de la red, análisis de vulnerabi-
    lidades, explotación de las vulnerabilidades, post-explotación e informe final.

    Regresa al material de estudio y avanza a la estación 5. Allí encontrarás las


    orientaciones finales previas al siguiente módulo.

    También podría gustarte