Documentos de Académico
Documentos de Profesional
Documentos de Cultura
0
En el año 2022 el NIST cumplió 50 años de investigación en materia de ciberseguridad,
desarrollando guías de buenas prácticas, estándares, guías de privacidad entre otros recursos. Esto
ha permitido asegurar mejor la tecnología existente y proporcionar una plataforma para el
desarrollo seguro de las tecnologías del futuro.
Dentro de estos recursos podemos encontrar “Cybersecurity Framework” (CSF), una herramienta
muy útil para la reducción de los ciber-riesgos en las organizaciones. El CSF proporciona un
lenguaje común y simplificado, se adapta a muchas tecnologías, fases del ciclo de vida, sectores y
usos. Tiene un enfoque basado en riesgos y se conforma a partir de estándares internacionales,
esto es en parte lo que lo hace altamente reconocido en todo el mundo.
El CSF también está respaldado por múltiples perspectivas, incluyendo la del sector privado y
público, y aportes del sector académico, esto garantiza en cierta forma que se tenga en cuenta
una amplia gama de opiniones y necesidades. Además, ayuda a alinear los requisitos
legales/regulatorios con las prioridades de gestión de riesgos y organizacionales. En resumen nos
ayuda a mejorar la seguridad de los sistemas, datos y operaciones en general.
¿Cómo se utiliza el CSF v1.1?
Un proceso típico de implementación de este framework está conformado por los siguientes
pasos:
Evaluación de riesgos
La organización identifica los activos críticos, amenazas y vulnerabilidades relevantes para sus
operaciones.
Planificar la mejora
Identificada la brecha entre ambos perfiles, se establecen prioridades para mejorar la postura de
seguridad de la organización. Se diseña un plan de mejora según los objetivos de la organización y
la evaluación de riesgo anterior.
Implementación
Este Framework es una herramienta flexible que se puede adaptar a las necesidades de cualquier
organización, independientemente de su tamaño, sector o complejidad. El proceso de
implementación variará según la organización, pero los principios del marco pueden aplicarse en
cualquier contexto para mejorar la postura de seguridad.
Versión 2
NIST ha comenzado el proceso de actualización del CSF, desde el 2018 existe la versión 1.1. En esta
nueva actualización 2.0 se está trabajando sobre la evolución de las amenazas, el mapeo contra
estándares y pretende un formato más simple para permitir a las organizaciones abordar los
riesgos.
Sabiendo el amplio uso y relevancia que ha tomado este framework en los últimos años, se
pretende realizar un cambio en el enfoque sobre las organizaciones a las que está dirigido. Desde
el cambio de título, cambio de alcance para no solo incluir infraestructuras críticas o un mercado
en particular sino para todo tipo de organizaciones independientemente del tipo o tamaño de la
misma.
Para la versión 2.0 del CSF no solo se mantendrá el nivel de detalle, también se hará énfasis en
relacionarlo claramente con otros marcos del NIST. Se mantendrán referencias entre estos y otros
marcos de ciberseguridad reconocidos de forma actualizada y disponibles en línea.
Como en la versión actual, se hará especial hincapié en permanecer neutral en cuanto a tecnología
y proveedores, pero reflejando los cambios en las prácticas de ciberseguridad más reconocidas.
https://csrc.nist.gov/projects/olir/informative-reference-catalog
Se prioriza la necesidad de mejorar el sitio web del CSF para destacar los recursos de
implementación y facilitar su uso.
https://www.nist.gov/cyberframework/getting-started
Con el objetivo de resaltar la importancia de las tareas de gestión y gobierno alrededor de todo el
proceso de implementación del framework, se propone agregar una nueva Función de
Gobernanza que sea transversal. Se espera que esto también mejore la discusión sobre la relación
con la gestión de riesgos.
⦁ Destacar la importancia de la “Gestión del riesgo de la cadena de suministro”
Para esta nueva versión se pretende poner especial foco e incorporar específicamente la gestión
sobre la cadena de suministros (Cybersecurity Supply Chain Risk Management o CSRC), agregando
subcategorías o categorías completas que lo incluyan.
No es fácil para las organizaciones generar mediciones claras alrededor de la ciberseguridad, esta
nueva versión pretende aclarar de que forma el CSF puede respaldar la medición y evaluación de
los programas de ciberseguridad implementados.
CONCLUSIONES
Se puede notar que la actualización del Framework de Ciberseguridad (CSF) busca acompañar la
evolución de las amenazas. La priorización de la función de gobierno, la expansión de la cobertura
de la cadena de suministro (impulsada por el notorio foco de los atacantes). Además, se resalta la
importancia mantener la neutralidad tecnológica y de mejorar la relación entre el CSF y otros
marcos de ciberseguridad.
Se espera que estos cambios permitirán a las organizaciones de diferentes sectores, tipos y
tamaños implementar el CSF de manera más óptima y adaptarlo a sus necesidades específicas,
aumentando así la seguridad de todo el ecosistema
Prueba Hacking Ético Ingeniería en Ciberseguridad – AIEP
18.211.910-5
1. Un ataque de fuerza bruta es un tipo de ataque que tiene como objetivo la vulneración
criptográfica de las claves de un sistema mediante el ingreso iterativo de todas las posibles
combinaciones de caracteres hasta coincidir con la contraseña buscada.
Los pasos por seguir son (i) determinación del nombre de usuario o usuarios del sistema a
atacar, (ii) determinar si se posee algún hash derivado de un algoritmo de encriptación, (iii)
si el ataque es online (contra login y password) se deben probar todas las combinaciones de
caracteres posibles (considerando las restricciones de caracteres o de longitud). Esto por lo
general posee el inconveniente de que es fácilmente detectado por IDS y excede la cantidad
de intentos permitidos por la mayoría de las aplicaciones. Por otro lado (iv) si el ataque es
offline, es requerido el archivo de nombres de usuario y contraseña y se realiza la fuerza
bruta hasta obtener el hash correcto asociado al usuario.
De todas maneras, siempre es recomendable cotejar el hash con alguna rainbow table para
no sacrificar tiempo y poder de computación en estas tareas.
Algunos tipos de ataques de fuerza bruta son los ataques de diccionario (listas de
contraseñas más comunes).
Ejemplos de herramientas de Kali para este tipo de ataques son John The Ripper y HashCat.
Yo recomiendo John The Ripper si es necesario tener una gran variedad de algoritmos de
encriptación, y HashCat en caso de que se requiera utilizar la GPU en el crackeo de las
constraseñas.
2. BurpSuite es una herramienta que tiene como objetivo analizar, encontrar y explotar
vulnerabilidades en aplicaciones web. Dentro de sus usos encontramos el análisis y
explotación de vulnerabilidades, la interceptación de mensajes HTTP, cambiar el contenido
de los mensajes, entre otros. Esto es posible ya que contiene varias funcionalidades
diferentes que le permiten ofrecer distintos tipos de ataques para testeo de aplicaciones.
Es en ese contexto en que es útil.
3. Una wordlist, como su nombre lo dice, es una lista de palabras utilizada para realizar ataques
de fuerza bruta de diccionario vía iteración.
4. Una reverse shell es conseguir iniciar una sesión de consola remota, explotando alguna
vulnerabilidad para ese efecto por ejemplo el famoso EternalBlue que se aprovecha de la
vulnerabilidad del servicio SMB del sistema operativo Windows para obtener una conexión
remota vía los puertos 139 y 445. Para conseguir una reverse shell en un sitio web podemos
escanear los puertos del servidor víctima cargar un payload .PHP que contenga un puerto
vulnerable y la IP del servidor víctima para luego establecer una conexión vía Netcat.
5. Información útil puede ser sistema operativo del servidor y versión, puertos abiertos,
lenguajes de programación involucrados, subdominios, DNS utilizados, contenidos de los
requerimientos HTTP, datos de las páginas de error, etcétera.
Parte II.