Componentes del SGSI

INTRODUCCION AL ETHICAL HACKING Y PENTEST

Clase 5
Análisis de Vulnerabilidades
COMENZAMOS A LAS 19:35
Componentes del SGSI
INTRODUCCION AL ETHICAL HACKING Y PENTEST

Clase
Análisis de Vulnerabilidades
 Profesores
▪ Valeria.Villalobos@usach.cl
▪ Julio.briones.n@usach.cl

Recuerde utilizar los foros de cada módulo

22
 Road Map de clases

 Clase 1: Introducción al ethical hacking / Frameworks de trabajo - Normativa legal

 Clase 2: Introducción al ethical hacking (Cont) / Fase 1 : Reconocimiento
 Clase 3: Fase 1 : Reconocimiento / Fase 2: Escaneo
 Clase 4: Enumeración
 Clase 5: Análisis de Vulnerabilidades

33
 Índice de Contenidos
• Visión general de la investigación de la vulnerabilidad.
• Evaluación de la vulnerabilidad y los sistemas de exploración de la vulnerabilidad.
• Ciclo de vida de gestión de la vulnerabilidad (fases de evaluación).
• Tipos de clasificación y evaluación de la vulnerabilidad.
• Tipos de herramientas de evaluación de vulnerabilidades.
• Comprensión de los diferentes tipos de herramientas de evaluación de la vulnerabilidad.
• Herramientas de Evaluación de Vulnerabilidad.
• Generación y análisis de informes de evaluación de la vulnerabilidad.

44
 Visión general de la investigación de la vulnerabilidad

55
 Investigación de vulnerabilidades
Proceso de análisis de protocolos, servicios y configuraciones para descubrir vulnerabilidades y defectos de diseño que
exponen a un sistema operativo y a sus aplicaciones a la explotación, el ataque o el mal uso.

Las vulnerabilidades se clasifican en función del nivel de gravedad (bajo, medio o alto) y el alcance de la explotación (local o
remota)

Un administrador necesita investigar la vulnerabilidad:

Recopilar información sobre tendencias de

Recopilar información para ayudar a la prevención
seguridad, amenazas, superficies de ataque,
de problemas de seguridad.
vectores y técnicas de ataque.

Descubrir los puntos débiles del sistema operativo y

las aplicaciones, y alertar al administrador de la red Saber cómo recuperarse de un ataque a la red.
antes de un ataque a la misma.

66
 Recursos para la investigación de la vulnerabilidad

77
 ¿Qué es la evaluación de la vulnerabilidad?
La evaluación de la vulnerabilidad es un examen en profundidad de la capacidad de un sistema o aplicación, incluidos los
procedimientos y controles de seguridad actuales, para resistir la explotación.

Reconoce, mide y clasifica las vulnerabilidades de seguridad de un sistema informático, de la red y de los canales de
comunicación.

Una evaluación de la vulnerabilidad puede utilizarse para:

 Identificar los puntos débiles que podrían ser explotados.
 Predecir la eficacia de las medidas de seguridad adicionales para proteger los recursos de información de
los ataques.

La información obtenida del escáner de vulnerabilidad incluye:

 Vulnerabilidades de la red.
 Puertos abiertos y servicios en ejecución.
 Vulnerabilidades de aplicaciones y servicios.
 Errores de configuración de aplicaciones y servicios.

88
 Evaluación de la vulnerabilidad y los sistemas de exploración de la vulnerabilidad

99
 Sistemas y bases de datos de puntuación de la vulnerabilidad

 CVSS proporciona un marco abierto para comunicar las características e impactos de las vulnerabilidades de TI.

 Su modelo cuantitativo garantiza una medición precisa repetible, al tiempo que permite a los usuarios ver las
características de vulnerabilidad subyacentes utilizadas para generar las puntuaciones.

10
10
 Sistemas y bases de datos de puntuación de la vulnerabilidad

Un repositorio del gobierno de EE. UU. de

datos de administración de vulnerabilidades
basados en estándares representados
mediante el Protocolo de automatización de
contenido de seguridad (SCAP).

Estos datos permiten la automatización de la

gestión de vulnerabilidades, la medición de la
seguridad y el cumplimiento.

El NVD incluye bases de datos de referencias

de listas de comprobación de seguridad,
defectos de software relacionados con la
seguridad, configuraciones incorrectas,
nombres de productos y métricas de impacto.

11
11
 Sistemas y bases de datos de puntuación de la vulnerabilidad

Un sistema de categorías para vulnerabilidades y

debilidades de software.

Está patrocinado por la FFRDC Nacional de

Ciberseguridad, que es propiedad de The MITRE
Corporation, con el apoyo de US-CERT y la División
Nacional de Seguridad Cibernética del Departamento
de Seguridad Nacional de los Estados Unidos.

Cuenta con más de 600 categorías de debilidades, que

permiten a CWE ser empleada eficazmente por la
comunidad como base para los esfuerzos de
identificación, mitigación y prevención de debilidades.

12
12
 Sistemas y bases de datos de puntuación de la vulnerabilidad
Las enumeraciones y clasificaciones de patrones de ataques comunes (CAPEC ™) pueden resultar
abrumadoras para alguien nuevo en los patrones de ciberataques. Este documento ofrece algunos consejos
sobre cómo familiarizarse con lo que CAPEC tiene para ofrecer, antes de explorar más a fondo esta amplia
base de conocimientos.

13
13
https://capec.mitre.org/index.html
 Indicadores de ataque (IOA) vs Indicadores de compromisos (IOC)

14
14
 Cuál es la diferencia entre ambos
Como se ilustra en el siguiente gráfico, los IOCs
constituyen una postura reactiva. La presencia de
malware, firmas, exploits, vulne-rabilidades y
direcciones IP son evidencias típicas de que ha
ocurrido una brecha. Los IOAs, por su parte,
representan una postura proactiva, en la que los
defensores buscan señales tempranas de advertencia
de que un ataque puede estar en curso, tales como la
ejecución de códigos, la persistencia, el sigilo, el
comando y control y el movimiento lateral dentro de
una red. Es la diferencia entre llegar a la escena del
crimen después de que éste ha tenido lugar y tratar de
recrearlo con base en las pruebas que quedaron,
versus estar atento a indicadores más sutiles de que un
ataque es inminente o ya está en curso.

15
15
 Cuál es la diferencia entre ambos

16
16
 Ciclo de vida de gestión de la vulnerabilidad (fases de evaluación)

17
17
 Ciclo de vida de la gestión de la vulnerabilidad

2
1 3
1. identificar los activos y crear una línea de base.
2. Exploración de la vulnerabilidad.
3. Evaluación de riesgos.
4. Remediación.
5. Verificación.
6. Monitorización.

6 4
5

18
18
 Fase de preevaluación (identificar los activos y crear una línea de base)

Identificar y comprender los procesos de negocio.

Identifique las aplicaciones, los datos y los servicios que admiten los procesos empresariales y realizan revisiones de código.

Identifique el software aprobado, los controladores y la configuración básica de cada sistema.

Cree un inventario de todos los activos y priorice/clasifique los activos críticos.

Comprender la arquitectura de red y asignar la infraestructura de red.

Identificar los controles ya establecidos.

Comprender la implementación de políticas y el cumplimiento de normas.

Definir el alcance de los evaluadores.

Crear procedimientos de protección de la información para apoyar la planificación, programación, coordinación y logística efectivas.

19
19
 Fase de evaluación de vulnerabilidades
Examinar y evaluar la seguridad física.

Compruebe si hay errores de configuración y errores humanos.

Ejecutar análisis de vulnerabilidades utilizando herramientas.

Seleccione el tipo de análisis en función de la organización o los requisitos de cumplimiento.

Identificar y priorizar vulnerabilidades.

Identificar falsos positivos y falsos negativos.

Aplique el contexto empresarial y tecnológico a los resultados del escáner.

Realizar la recopilación de información de OSINT para validar las vulnerabilidades.

Crear un análisis de reportes de vulnerabilidades.

20
20
 Fase posterior a la evaluación

Evaluación de riesgos Remediación

Realizar categorización de riesgos. Priorizar la corrección en función de la clasificación de riesgos.

Elaborar un plan de acción para implementar la

Evaluar el nivel de impacto. recomendación/remediación.

Realizar análisis de causa raíz.

Determinar los niveles de amenaza y riesgo.
Aplicar parches/arreglos.

Capturar las lecciones aprendidas.

Llevar a cabo capacitación de sensibilización.

Monitorización Verificación

Análisis y evaluación periódicas de vulnerabilidades.
Corrección oportuna de vulnerabilidades identificadas.
Registros de detección de intrusiones y prevención de
intrusiones.
Reescanear los sistemas para identificar si la corrección
aplicada ha corregido la vulnerabilidad.
Realizar análisis dinámicos.
Revisión de la superficie de ataque.

Implementación de políticas, procedimientos y

controles.

21
21
 Tipos de clasificación y evaluación de la vulnerabilidad

22
22
 Clasificación de la vulnerabilidad

23
23
 Tipos de evaluación de la vulnerabilidad
Evaluación activa
Utiliza un escáner de red para encontrar hosts, servicios y vulnerabilidades.

Evaluación pasiva
Se utiliza para olfatear el tráfico de red para descubrir los sistemas activos actuales, los servicios de red, las aplicaciones y las
vulnerabilidades presentes.

Evaluación externa
Evalúa la red desde la perspectiva de un hacker para descubrir exploits y vulnerabilidades accesibles al mundo exterior.

Evaluación interna
Analiza la infraestructura interna para descubrir vulnerabilidades.

Evaluación basada en host

Realiza una comprobación a nivel de configuración para identificar configuraciones del sistema, directorios de usuarios,
sistemas de archivos, configuraciones del registro, etc., para evaluar la posibilidad de comprometerse.

Evaluación basada en la red

Determina los posibles ataques de seguridad de red que pueden ocurrir en el sistema de la organización.

Evaluación de solicitudes
Prueba y analiza todos los elementos de la infraestructura web en busca de cualquier configuración incorrecta, contenido
obsoleto o vulnerabilidades conocidas.

Evaluación de bases de datos

Se centra en probar bases de datos, como MYSQL, MSSQL, ORACLE, POSTGRESQL, etc., para la presencia de
vulnerabilidades de exposición de datos o tipo de inyección.

24
24
 Tipos de evaluación de la vulnerabilidad
Evaluación de redes inalámbricas
Determina las vulnerabilidades en las redes inalámbricas de la organización.

Evaluación distribuida
Evalúa los activos de la organización distribuida, como las aplicaciones cliente y servidor, simultáneamente a través de
técnicas de sincronización adecuadas.

Evaluación acreditada
Evalúa la red obteniendo las credenciales de todas las máquinas presentes en la red.

Evaluación no acreditada
Evalúa la red sin adquirir ninguna credencial de los activos presentes en la red empresarial.

Evaluación manual
En este tipo de evaluación, el hacker ético evalúa manualmente las vulnerabilidades, clasificación de vulnerabilidades,
puntuación de vulnerabilidad, etc.

Evaluación automatizada
En este tipo de evaluación, el hacker ético emplea varias herramientas de evaluación de vulnerabilidades, como Nessus,
Qualys, GFI LanGuard, etc.

25
25
 Tipos de herramientas de evaluación de vulnerabilidades

26
26
 Comparación de enfoques para la evaluación de la vulnerabilidad

Soluciones de evaluación basadas en productos o en servicios.

Soluciones basadas en productos Evaluación basada en la inferencia

Instalado en la red interna de la organización. Ofrecido por terceros, como empresas de

auditoría o consultoría de seguridad.
Instalado en el espacio privado o no ruteable
o en la porción direccionable de la red de una Algunas soluciones se alojan dentro de la red,
organización. mientras que otras se alojan fuera de la red.

Si se instala en la red privada o, en otras

palabras, detrás del cortafuegos, no siempre Una desventaja de esta solución es que los
puede detectar los ataques externos. atacantes pueden auditar la red desde fuera.

27
27
 Comparación de enfoques para la evaluación de la vulnerabilidad
Evaluación basada en el árbol o en la inferencia.
Evaluación basada en los árboles
El auditor selecciona diferentes estrategias para cada
máquina o componente del sistema de información.
Por ejemplo, el administrador selecciona un escáner para
los servidores que ejecutan Windows, bases de datos y
servicios web, y utiliza otro escáner para los servidores
Linux.
Este enfoque se basa en que el administrador
proporciona un disparo inicial de inteligencia, y luego
escanea continuamente sin incorporar ninguna
información encontrada en el momento del escaneo.
28
28
Evaluación basada en la inferencia
El escaneo comienza construyendo un inventario de
los protocolos encontrados en la máquina.
Después de encontrar un protocolo, el proceso de
escaneo detecta qué puertos están conectados a
servicios, como un servidor de correo electrónico, un
servidor web o un servidor de base de datos.
Después de encontrar los servicios, el proceso
selecciona las vulnerabilidades en cada máquina y
comienza a ejecutar sólo las pruebas pertinentes.
 Características de una buena solución de evaluación de la vulnerabilidad

1. Garantiza resultados correctos probando la red, los recursos de red, los puertos, los protocolos
y los sistemas operativos.

2. Utiliza un enfoque bien organizado basado en conferencias para las pruebas.

3. Escanea automáticamente contra bases de datos continuamente actualizadas.

4. Crea informes breves, procesables y personalizables, incluidos los títulos de las

vulnerabilidades, por nivel de gravedad y análisis de tendencias.

5. Soporta múltiples redes.

6. Sugiera recomendaciones y soluciones adecuadas para corregir las vulnerabilidades.

7. Límite la visión exterior de los atacantes para conseguir su objetivo.

29
29
 Funcionamiento de las soluciones de exploración de vulnerabilidades

Término de referencias

Realiza el Probar los

servicio de servicios y el
localización de sistema
nodos y el operativo en
Localizar nodos descubrimiento busca de
del sistema vulnerabilidade
operativo en s conocidas
ellos

Resultados y recomendaciones

30
30
 Tipos de herramientas de evaluación de la vulnerabilidad
Herramientas de evaluación de la
vulnerabilidad basadas en el host
Busca e identifica el sistema operativo que
se ejecuta en un ordenador anfitrión
concreto y comprueba si existen deficiencias
conocidas.
Busca aplicaciones y servicios comunes.
Herramientas de evaluación del alcance
Proporciona seguridad al sistema
informático mediante la comprobación de
vulnerabilidades en las aplicaciones y el
sistema operativo.
31
31
Herramientas de evaluación en Herramientas de evaluación de la
profundidad vulnerabilidad de la capa de aplicación
Encuentra e identifica vulnerabilidades Dirigido a servidores web o bases de datos.
previamente desconocidas en un sistema.
Este tipo de herramientas incluyen los
"fuzzers“.
Herramientas de localización y examen de
Herramientas activas y pasivas
datos
Los escáneres activos realizan Escáner basado en red.
comprobaciones de vulnerabilidad en la
red que consumen recursos de la misma. Escáner basado en agentes.
Los escáneres pasivos no afectan Escáner proxy.
considerablemente a los recursos del
sistema; sólo observan los datos del Escáner de clústeres.
sistema y realizan el procesamiento de los
datos en una máquina de análisis
independiente.
 Las herramientas de evaluación de la vulnerabilidad se utilizan para probar un host o
una aplicación en busca de vulnerabilidades

 Elija las herramientas que mejor satisfagan los siguientes requisitos:

 Puede probar desde docenas hasta 30.000 vulnerabilidades diferentes, dependiendo del producto.

 Contiene varios centenares de características de ataque diferentes.

 Se adapte a su entorno y a su experiencia.

 Tiene una red precisa, mapeo de aplicaciones y pruebas de penetración.

 Tiene un número de escrúpulos de vulnerabilidad regularmente actualizados para las plataformas que usted
está.

 Genera informes.

 Comprueba diferentes niveles de penetración en arder para evitar bloqueos.

32
32
 Criterios para elegir una herramienta de evaluación de la vulnerabilidad

Tipos de vulnerabilidades que se evalúan.

Capacidad de prueba del escaneo.

Capacidad de proporcionar informes precisos.

Capacidad de proporcionar informes precisos.

Capacidad de realizar una búsqueda inteligente.

Funcionalidad para escribir sus propias pruebas.

Programación de la ejecución de pruebas.

33
33
 Mejores prácticas para la selección de herramientas de evaluación de la vulnerabilidad

Asegúrese de no dañar su red o sistema mientras se ejecutan las herramientas.

Comprenda la funcionalidad y decida la información que debe recogerse antes

de empezar.

Decidir la ubicación de origen de la red, teniendo en cuenta la información que debe

recogerse.

Habilitar el registro cada vez que se escanee un ordenador.

Los usuarios deben escanear sus sistemas con frecuencia en busca de vulnerabilidades.

34
34
 Herramientas de Evaluación de Vulnerabilidad

35
35
 Herramientas de evaluación de la vulnerabilidad: Qualys Vulnerability Management

Fuente: https://www.qualys.com

Qualys VM es un servicio basado en la nube

que ofrece una visibilidad global e inmediata
de los puntos en los que los sistemas de TI
pueden ser vulnerables a las últimas
amenazas de Internet y de cómo protegerlos.
Ayuda a identificar continuamente las
amenazas y a supervisar los cambios
inesperados en una red antes de que se
conviertan en infracciones.

36
36
 Herramientas de evaluación de la vulnerabilidad: Nessus profesional

Fuente: https://www.tenable.com
Nessus Professional es una solución de evaluación para identificar las vulnerabilidades, los problemas de configuración y el
malware que los atacantes utilizan para penetrar en las redes. lt realiza la evaluación de la vulnerabilidad, la configuración y el
cumplimiento. Esto es compatible con diversas tecnologías, tales como sistemas operativos, dispositivos de red, hipervisores,
bases de datos, tablets, teléfonos, servidores web, e infraestructuras criticas.
37
37
 Herramientas de evaluación de la vulnerabilidad: OpenVas

OpenVAS
Fuente: http://www.openvas.org
OpenVAS es un marco de varios servicios y herramientas que ofrecen una solución completa y potente de exploración y gestión de
vulnerabilidades. El marco forma parte de la solución comercial de gestión de vulnerabilidades de Greenbone Network, cuyos desarrollos se han
aportado a la comunidad de código abierto desde 2009.
El propio escáner de seguridad va acompañado de una fuente de pruebas de vulnerabilidad de la red (NVT) que se actualiza periódicamente,
más de 50.000 en total.
38
38
 Herramientas de evaluación de la vulnerabilidad para móviles

Una aplicación para Android que realiza una Una aplicación para Android que cumple con las
detección pasiva de vulnerabilidades basada en directrices del PCI SSC para generar un informe
la huella digital de la versión del software. de escaneo.

39
39
 Otras Herramientas de evaluación de la vulnerabilidad

40
40
 Generación y análisis de informes de evaluación de la vulnerabilidad

41
41
 Informes de evaluación de la vulnerabilidad

El informe de evaluación de la vulnerabilidad revela los riesgos detectados después de escanear una
red.

El informe alerta a la organización de posibles ataques y sugiere contramedidas.

La información disponible en los informes se utiliza para corregir los fallos de seguridad.

Informe de evaluación de la vulnerabilidad

Escaneo del objetivo Información del objetivo Resultados

42
42
 Break

Volvemos en 20 minutos

43
43
 Actividades practicas

44
44
 Componentes del SGSI
P0 : INICIANDONOS EN EL ETHICAL HACKING Y PENTEST

MUCHAS GRACIAS POR SU PARTICIPACIÓN