Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Correlación y
DETECTIVO Monitorización
Análisis
Gestión y
REACTIVO Gestión de Análisis Ingeniería
Respuesta a
Crisis Forense Inversa
Incidentes
dit
UPM
Gestión de Vulnerabilidades
• Verizon Breach Investigation Report (2015):
– 99,9% de vulnerabilidades explotadas se
realizaron después de más de un año desde que
su publicó la vulnerabilidad y sus parches.
• Necesidad de una funcionalidad de gestión
de vulnerabilidades:
– Auditar nuestros sistemas en busca de nuevas y
antiguas vulnerabilidades no corregidas
– Gestión de parches de seguridad
• Gestión de Vulnerabilidades:
– Identificar -> Clasificar -> Remediar -> Mitigar
dit
UPM
Gestión de Vulnerabilidades
• Tratamiento de las Vulnerabilidades
– El SOC puede:
• Mitigarla: proporcionar una contramedida
• Transferirla: comprar seguro para disminuir el impacto
• Aceptarla: asumir el potencial coste del riesgo
• Obviarla: pretender que no hay riesgo
– Metodologías de Análisis de Riesgos!
• MAGERIT
• (ISC)2
• OWASP Risk Rating Mathodology
dit
UPM
Gestión de Vulnerabilidades
Gestión de Vigilancia
PROACTIVO Vulnerabilidades Digital
• Ejemplos de vulnerabilidades:
– Fallos en software
– Malas configuraciones del software
– Políticas de seguridad débiles (ej: permitir claves cortas
y adivinables)
– Falta de educación en los usuarios
dit
UPM
– Debilidades en protocolos usados
– Etc.
Gestión de Vulnerabilidades
• Servicios de Identificación de Vulnerabilidades
– Auditorías y Verificación de Cumplimiento
• Evalúan riesgos o controles frente a estándares y guías
• Falsa sensación de seguridad….
– Escaneo de Vulnerabilidades
• Basadas en herramientas
– Escaneo de Configuraciones Inseguras
• Basadas en herramientas
– Test de penetración
• Capacidad de explotar las vulnerabilidades descubiertas
dit
UPM
Gestión de Vulnerabilidades
• Hacking Ético: Herramientas usadas en los
SOC:
– Nmap
– OpenVAS
– Nessus
– Metasploit
– Kali Linux
– Core Impact
– …
dit
UPM
Gestión de vulnerabilidades
2.0
1.0 4.0 Escaneo
Escaneo ordinario extraordinario de
Seguimiento del estado de
de vulnerabilidades vulnerabilidades
las vulnerabilidades
(In-band) (Out-of-band)
3.0
Gestión del inventario de
sistemas en la Base de
Datos de vulnerabilidades
5.0 Administrar
dit
actualización de los procesos, las herramientas y la tecnología existente.
UPM
Gestión de vulnerabilidades
Análisis y
comunicación Gestión
Solicitud Análisis Amenazas Planificación
Riesgo
- Llevar a cabo el escaneo (con o Vulnerabilidades
Inband
periódica de
escaneo
sin herramienta de escaneo de
vulnerabilidades)
- Generar el informe inicial de - Bajo petición del área de Análisis y
resultados (por defecto con la Comunicación de Amenazas (por la
herramienta).
1.1 Solicitud de aparición de una nueva amenaza
potencial) o derivado de una orden de
- Guardar los resultados del
- Examinar los resultados en
busca de datos relevantes, falsos escaneo en un sistema seguro. escaneo escaneo periódico (Gestión del Riesgo).
positivos, calidad del informe. Alertas - Eliminar las pruebas del Planificación
Alertas
Alertas
Seguridad
Informes escaneo en el sistema desde el escaneos
Seguridad
Seguridad que se realizó (temporales,
Vulnerabilidades ordinarios
informes, lista de sistemas, etc.).
- Revisión de las nuevas
1.4 Revisión de firmas de escaneo de la
- Informe de Vulnerabilidades .
1.3 Realización 1.2 Preparación herramienta de escaneo
- Cargar el resultado los resultados Actualización respecto al impacto sobre la
del escaneo en la
Base de Datos de vulnerabilidades, de escaneo del escaneo Firmas
plataforma, grado de
del escaneo
accesible por los responsables de intrusión, riesgo, etc.
servicio (Web de Objetivos). - Creación del nuevo fichero
- Ticket a los responsables de servicio de base de datos que
con las vulnerabilidades de sus contendrá el resultado del
sistemas. escaneo.
- Determinar y generar la
del escaneoAlertas
vulnerabilidades resolución
Alertas
Alertas
Seguridad
Informes
Seguridad
Seguridad - Responder a las dudas y necesidades del
Vulnerabilidades
IRT en la resolución de incidencias
Ticket - Seguimiento del derivados de vulnerabilidades.
estado de las
Vulnerability vulnerabilidades y - Reescanear los sistemas.
dit
Database IRT
Alertas
Alertas realización de informes - Informar de los resultados del reescaneo.
Alertas
Seguridad
Informes
Seguridad
Seguridad
Vulnerabilidades
Análisis y
UPM comunicación
Amenazas
Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario de 4.0 Seguimiento del estado de las extraordinario de
vulnerabilidades (In-band) vulnerabilidades vulnerabilidades (Out-of-
band)
5.0 Administración
dit
UPM
Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario de 4.0 Seguimiento del estado de las extraordinario de
vulnerabilidades (In-band) vulnerabilidades vulnerabilidades (Out-of-
band)
5.0 Administración
Solicitud Análisis
Out-of-band
2.2 Realización
2.1 Solicitud de del escaneo y
escaneo presentación de
resultados
- Se realiza el escaneo
- Se recibe una petición de escaneo
vía e-mail o a través de la Web de - Revisión de los resultados del escaneo
Nuevo Elemento Gestión Objetivos (nuevo sistema en la para confirmar la calidad del servicio.
Infraestructura Riesgo plataforma, solicitudes de
- Remisión del resultado del escaneo al
responsables de sistemas).
solicitante vía e-mail o a través de la Web
- Se evalúa el impacto potencial para de Objetivos.
los recursos del escaneo (tiempo a
emplear, impacto negativo en la red y
recursos disponibles.
- Verificar que el solicitante tiene
dit
autorización para solicitar el escaneo
en cuestión.
UPM
Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario de 4.0 Seguimiento del estado de las extraordinario de
vulnerabilidades (In-band) vulnerabilidades vulnerabilidades (Out-of-
band)
5.0 Administración
HERRAMIENTAS NECESARIAS
dit
UPM
Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario de 4.0 Seguimiento del estado de las extraordinario de
vulnerabilidades (In-band) vulnerabilidades vulnerabilidades (Out-of-
band)
de la Base de
dit
Datos de
- Revisión del correcto estado de actualidad de los sistemas de la
Base de Datos de vulnerabilidades con respecto a los sistemas
contemplados en el inventario de sistemas de la CMDB.
vulnerabilidades - Detección e investigación de discrepancias entre ambos
listados de sistemas a través de escaneos de descubrimiento de
UPM la plataforma. Las discrepancias serán remitidas a Gestión del
Riesgo.
VUL: Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario de 4.0 Seguimiento del estado de las extraordinario de
vulnerabilidades (In-band) vulnerabilidades vulnerabilidades (Out-of-
band)
5.0 Administración
HERRAMIENTAS NECESARIAS
3.3 Mantener el
listado de sistemas
dit
de la Base de
Datos de
vulnerabilidades
UPM
Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario
4.0 Seguimiento del estado de extraordinario de
de vulnerabilidades
las vulnerabilidades vulnerabilidades (Out-
(In-band)
of-band)
Responsable Servicio
5.0 Administración
dit
la Web de Objetivos.
UPM
Gestión de vulnerabilidades
2.0 Escaneo
1.0 Escaneo ordinario
4.0 Seguimiento del estado de extraordinario de
de vulnerabilidades
las vulnerabilidades vulnerabilidades (Out-
(In-band)
of-band)
5.0 Administración
HERRAMIENTAS NECESARIAS
dit
UPM
1.0 Escaneo ordinario de vulnerabilidades 4.0 Seguimiento del 2.0 Escaneo
extraordinario de
(In-band) estado de las
Gestión
vulnerabilidades
Análisis y Solicitud Análisis
Riesgo
Planificación
vulnerabilidades (Out-of-band)
comunicación Vulnerabilidades
Inband periódica de
Amenazas escaneo
Solicitud Análisis
Responsable Servicio
Out-of-band
1.1
1.1 Solicitud
Solicitud de
de Actualización
escaneo
escaneo Firmas
1.4
1.4 Revisión
Revisiónde
delos
los 4.1 2.2
1.3
1.3 Realización
Realizaciónde
de 1.2
1.2 Preparación
Preparacióndel
del Notificación
resultados
resultadosdel
del 4.2 4.3 Realización
escaneo
escaneo escaneo
escaneo de Generación 2.1 Solicitud
del escaneo y
escaneo
escaneo discrepancia
Corrección e
de informes de escaneo
informe de presentación
en el estado bajo de resultados
discrepancia
de una demanda
vulnerabilidad
Análisis y
comunicación 3.3 Mantener el listado de
Gestión Nuevo Elemento sistemas de la Base de Datos Gestión Baja de elemento de
Amenazas Riesgo Infraestructura de vulnerabilidades Infraestructura
Riesgo
5.0 Administrar
5.1 5.3
5.2 5.4 5.5
Plan y Gestión de Mantenimiento del área,
Presupuesto Formación Informe
Proyectos Herramientas,Tecnología
dit
UPM
5.10
Establecer y
Mantener contactos
5.9
Planificación
de Recursos
5.8
Concienciación
5.7
Mejora Contínua
5.6
Gestión del conocimiento
Gestión de Vulnerabilidades
Gestión de Vigilancia
PROACTIVO Vulnerabilidades Digital
dit
– Presentación Inicial
– Candidatura
UPM – Inclusión en lista
Gestión de Vulnerabilidades
• Modelado de Vulnerabilidades: CVE
– Estándar para describir una vulnerabilidad
• Cada vulnerabilidad tiene un único identificador
– Identificador (CVE-ID):
• CVE-YYYY-NNNNNN…
– CVE: Incluye:
• Identificador
• Descripción
• Referencias
– Algunos ejemplos:
• CVE-2014-6271 (Shellshock)
• CVE-2014-0160 (Heartbleed)
• CVE-2016-5195 (DirtyCow)
dit
UPM
• CVE-2017-7240 ()
Gestión de Vulnerabilidades
• Clasificación de CVE: CVSS
– Common Vulnerability Scoring System
– Estandar para describir la severidad de una
vulnerabilidad
– Puntuación: basadas en métricas.
• Valor entre 0 y 10
– 0-4: Severidad baja
– 4-7: Severidad media
– 7-10: Severidad alta
• 3 tipos de métricas:
– Base: características intrínsecas y constantes en tiempo y
entorno de usuario
– Temporal: características variables en tiempo, pero no en
dit
UPM
entorno usuario
– Entorno: características específicas del entorno de usuario
Gestión de Vulnerabilidades
• Métricas de CVSS
dit
UPM
Gestión de Vulnerabilidades
• CWE: Common Weakness Enumeration
– Tipos de debilidades de software
– Catálogo de debilidades documentadas que se pueden
dar programando y dan lugar a vulnerabilidades
dit
UPM
Gestión de Vulnerabilidades
dit
UPM
Gestión de Vulnerabilidades
• Normalización de Activos: CPE
– Common Platform Enumeration
– Identificación estandarizada de Sistemas
operativos, Aplicaciones y Hardware
– Nomenclatura: CPE Naming
• Creación de WFN (Well Formed CPENames),
identificadores únicos de activos.
Wfn: [a1=v1, a2=v2, … , an=vn]
• Atributos:
Part/Vendor/Product/Version/Update/Edition/Language/
SW_Edition/Target_sw/Target_hw/Other
dit
wfn:[part="a",vendor="microsoft",product="internet_explorer",
version="8\.0\.6001",update="beta",edition=NA]
UPM
Gestión de Vulnerabilidades
• Vulnerabilidades Extendidas: NVD
– National Vulnerability Database
– CVE Extendido
– Incluye los campos de CVE más referencias a:
• CWE
• CPE
• CVSS
• Fechas estandarizadas de publicación y modificación
• Ejemplo:
– https://nvd.nist.gov/vuln/detail/CVE-2017-15011
dit
UPM
Gestión de Vulnerabilidades
• Threat Intelligence (Inteligencia de Amenazas):
– Modelos y Estándares de representación y
compartición de conocimiento de vulnerabilidades
– Fuentes Externas Abiertas
• https://github.com/hslatman/awesome-threat-intelligence
• Firmas de ataques
– Reglas SNORT
– Reglas SURICATA
– Reglas YARA
• Listas negras / blancas /grises
dit
UPM
Gestión de Vulnerabilidades
• La pirámide del dolor
(Fuente: http://detect-respond.blogspot.com.es/2013/03/the-pyramid-of-pain.html)
dit
UPM
Gestión de Vulnerabilidades
• Formatos de Compartición de Conocimiento:
Indicadores de Compromiso (IoC)
– Reglas Yara
– OpenIoC
– STIX
• TAXII: Protocolo de intercambio
• Herramientas
– Importación por parte de los principales SIEM
– Definición y sincronización: MISP / LUCIA
dit
UPM
Gestión de Vulnerabilidades
• OpenIOC
– Esquema XML extensible para la descripción de
una amenaza, una metodología u otras
evidencias
dit
UPM
Gestión de Vulnerabilidades
• STIX: lenguaje
– Structured Threat Information eXpression
– Integra otros esquemas:
• CybOX: Cyber Observable eXpression
• CAPEC: Common Attack Pattern Enumeration and
Classification
• MAEC: Malware Attribute Enumeration and Characterization
• CIQ: OASIS Customer Information Quality
dit
UPM
Gestión de Vulnerabilidades
• STIX:
– ¿Qué actividades estoy observando?
– ¿Qué amenazas debo buscar en mis
sistemas?
– ¿Donde se ha visto la amenaza?
– ¿Qué hace?
– ¿Qué vulnerabilidades explota?
– ¿Qué puedo hacer?
– ¿Quién es el atacante?
– ¿Por qué lo hace?
dit
UPM
Gestión de Vulnerabilidades
• STIX: Arquitectura
dit
UPM
Gestión de Vulnerabilidades
• Observables:
– Propiedades de eventos medibles
referentes a la operación de sistemas
y redes
• Nombre, hash, tamaño de un fichero
• Un valor de registro
• Un servicio que se ejecuta
• Una solicitud HTTP
– Se codifican en CybOX
• Indicators
– 1 o más Observables junto a
información de contexto (TTP y
dit
UPM
metadatos)
Gestión de Vulnerabilidades
• Incidents:
– Indicators que afectan a la
organización, junto a información
descubierta en la investigación
ObservedTTP Infrastructure
Observables
Indicator-9742
dit
UPM
Ejemplo STIX y Relaciones
Initial Compromise Spear Phishing Email
Sender: John Smith
Subject: Press Release
l33t007@badassin.com Indicator Observable
MD5:
d8bb32a7465f55c368230bb52d52d885
Observed TTP
Electronic Address Establish Foothold WEBC2
Indicator Observable
Malware
Behavior cachedump
Leet Associated Actor
Observed TTP
Uses Tool
Pamina Republic lslsass
Army Observed TTP Uses Tool
Unit 31459 Escalate Privilege
Attack Pattern
Leverages Internal ipconfig
Infrastructure Observed TTP Reconnaissance net view
net group “domain admins”
Khaffeine
Bronxistan Uses Tool
dit
Perturbia Exfiltration GETMAIL
C2 Servers
Blahniks
...
IP Range: | 37
UPM 172.24.0.0-112.25.255.255 |
Gestión de Vulnerabilidades
dit
UPM
Gestión de Vulnerabilidades
Modelos de Compartición:
Subscriber Subscriber
Peer D Peer C
Source
Subscriber Subscriber
Peer E
Peer B
Peer A Spoke
Spoke
(Consumer &
(Producer only)
Producer)
Spoke
Hub
(Consumer
Spoke & Producer)
dit
(Consumer only)
UPM
Gestión de Vulnerabilidades
• Servicios TAXII:
– Discovery: qué servicios soporta una entidad y
como interactuar con ella
– Collection management: descubrir y solicitar
suscripciones a Data Collections
– Inbox (Push)
– Poll (Pull)
dit
UPM
| 41 |
dit
UPM
| 42 |
Gestión de Vulnerabilidades
Collect.
Discovery Poll Client
Manage Inbox
Get connection
Pull recent data
info
from the hub
Spoke Spoke
1 Hub
4
Subscribe to
data collections
Push recent
data to a spoke
Push new data
to the hub
Spoke Spoke
dit
2 3
UPM
Gestión de Vulnerabilidades
• MISP: Malware Information Sharing Platform
dit
UPM
Gestión de Vulnerabilidades
• Capacidades MISP
– Correlación de atributos identificando relaciones entre
eventos
– Definición de distintos niveles de compartición
– Definición de filtros
– Definición de taxonomías específicas para etiquetado
– Integración de cifrado y firma PGP y S/MIME
• Integración
– Exportación: reglas SNORT, OpenIOC, texto plano,
CSV, STIX, MISP XML o JSON
– Importación: OpenIOC, GFI sandbox y texto plano
(herramienta), feed (herramienta)
– Disponibilidad de API REST y librerías (PyMISP)
dit
– Disponiblidad de módulos de expansión: passive
UPM
DNS/SSL, virustotal, country code, etc.
Gestión de Vulnerabilidades
• Y muchos más…
dit
UPM