INTRODUCCIÓN A LA CIBERSEGURIDAD

INTEGRANTE
S:
ALCALÁ LUYO, RENATO PAOLO

BOADO CHUCO, JOSE FRANCISCO

GUZMAN AMAYA, JOSE DANIEL

MAMANI AGUILAR, JULIO CESAR

PACHECO TACAY, MICHELL

MARCOS

PAREDES LORENZO, JHIN

JHONATAN

SORIA GUERRERO, MILAGROS

JUANA
DESARROLLO DEL CAPITULO 4 Y 5
Capítulo 4: Protección de
la organización
En esta sección expondremos los procesos y
tecnologías utilizados por los profesionales de la
ciberseguridad para proteger la red, equipos y los
datos de una organización. Las herramientas que
los profesionales de la ciberseguridad utilizan para
detectar y prevenir los ataques a la red.

Introducción
Tipos de firewall

Un firewall está diseñado para controlar o filtrar la

entrada o salida de comunicaciones de un dispositivo
o una red, como se muestra en la figura.

- Firewall en una sola computadora(Firewall

ejecutado en un host).

- Dispositivo de red independiente(Firewall basado

en la red).
Esta es una lista de los tipos de firewall comunes:

Servidor proxy Firewall de capa de red

Firewall basado en host

Firewall de traducción de Firewall de capa de

Servidor de proxy inverso
direcciones de red (NAT) transporte

Firewall de capa de
Firewall de aplicación Firewall de capa de aplicación
consciente del contexto aplicación
 Escaneo de puertos

El escaneo de puertos generalmente provoca alguna de estas tres

respuestas:

-Abierto o aceptado: el host respondió e indicó que hay un servicio

activo en el puerto.

-Cerrado, denegado o no escucha: el host respondió e indicó que se

denegarán las conexiones en el puerto.

- Filtrado, caído o bloqueado: no hubo respuesta del host.

 Dispositivos de Seguridad

Routers: funciones de ruteo, entre ellas, el filtrado de tráfico, la capacidad de ejecutar un

sistema de prevención de intrusiones (IPS), el cifrado y las capacidades de VPN para las
conexiones de cifrado seguro.

Firewalls: los firewalls de nueva generación de Cisco tienen todas las capacidades de un
router ISR además de análisis y administración de redes avanzadas.

IPS: Están dedicados a la prevención de intrusiones.

VPN: Cuentan con tecnologías de redes virtuales privadas (VPN) tanto de cliente como
servidor. Están diseñados para conexiones de cifrado seguro.

Malware/antivirus: Puede instalarse como software en los equipos host.

 Detección de ataques en tiempo real

- Análisis en tiempo real de principio a fin: Detectar ataques requiere

un análisis de firewall y de dispositivos de red IDS/IPS
- Ataques DDoS: Los ataques DDos ocurren regularmente en muchas
empresas y requiere una detección en tiempo real es crucial ya que
es difícil de defenderse de ellos.
PROTECCION CONTRA EL MALWARE
¿Como detectar la presencia de ataques de día cero?

Una de las soluciones seria una aplicación de detección de malware en tiempo

real
Los administradores deben monitorear constantemente la red para detectar
signos de malware o presencias de APT(amenazas persistentes avanzadas).
 Buenas prácticas de seguridad

- Realizar una evaluación de riesgos. - Revisar periódicamente la respuesta ante

incidentes.
- Crear una política de seguridad.
- Implementar una herramienta de administración,
- Medidas de seguridad física. análisis y supervisión de red.

- Medidas de seguridad de recursos humanos. - Implementar dispositivos de seguridad de la red.

- Efectuar y probar las copias de respaldo. - Implementar una solución de seguridad integral
para terminales.
- Mantener parches y actualizaciones de seguridad.
- Informar a los usuarios.
- Implementar controles de acceso.
- Cifrar los datos.
Comportamiento a seguir en la
ciberseguridad
¿Qué es un BOTNET?
Un botnet es un grupo de bots conectados a
través de Internet con la capacidad de ser
controlados por un individuo o grupo
malicioso.
Los hackers se aprovechan de la
ingenuidad de los usuarios a la hora de
abrir archivos maliciosos o hacer click en
enlaces que esconden un malware.

Los botnets por lo general se controlan a

través de un servidor de comando y
control.
Cadena de eliminación cibernética o proceso de
ataque
En la ciberseguridad, la cadena de eliminación
o proceso de ataque representa las etapas de un
ataque a los sistemas de información:
Reconocimiento: Selección de las victimas.
Armamentización: Construcción de un
malware que puede explotar la vulnerabilidad
de la victima.
Entrega: Enviar el malware a la victima.
Explotación: Ejecución del malware que fue
enviado a la victima.
Instalación: Instalación del malware en el
sistema para que el atacante pueda tener acceso
Mando y control: Cuando se instala el
malware , le tiene que informar al atacante que
fue un éxito.
Acciones: El objetivo del atacante que quería
lograr contra su victima.
 Seguridad basada en el comportamiento
Consiste en la captura y el análisis del flujo de comunicación entre un usuario de la red local y un destino
local o remoto. La detección basada en el comportamiento puede detectar la presencia de un ataque
mediante un cambio en el comportamiento normal.

Honeypot: una honeypot es una herramienta de detección basada en el comportamiento que primero atrae al
atacante apelando al patrón previsto de comportamiento malicioso del atacante; una vez dentro de la
honeypot, el administrador de la red puede capturar, registrar y analizar el comportamiento del atacante.

Arquitectura de Cyber Threat Defense Solution de Cisco: El objetivo es definir quién, qué, dónde, cuándo y
cómo se produce un ataque. Esta arquitectura de seguridad utiliza muchas tecnologías de seguridad para
lograr este objetivo.
NetFlow
La tecnología NetFlow se usa para recopilar
información sobre los datos que atraviesan la
red. Muestra quién y qué dispositivos están en
la red también como y cuando los usuarios y
dispositivos tuvieron acceso a la red. Los
switches, routers y firewalls equipados con
NetFlow pueden comunicar información sobre
los datos que ingresan, egresan y viajan por la
red.
Organizaciones CSIRT
Una organización CSIRT es un Equipo de respuesta a incidentes
de seguridad informática para recibir, revisar y responder a
informes de incidentes de seguridad informática. La función
principal del CSIRT es ayudar a proteger la empresa, el sistema
y la preservación de datos realizando investigaciones integrales
de los incidentes de seguridad informática.
 Libro de estrategias de seguridad
Las organizaciones deben tener planes para prepararse, para tratar las violaciones a la seguridad y
recuperarse de estas. Un libro de estrategias de seguridad es un conjunto de consultas repetidas (informes) de
fuentes de datos de eventos de seguridad que conducen a la detección y la respuesta ante los incidentes.

- Detectar equipos infectados con malware.

- Detectar actividad de red sospechosa.
- Detectar intentos de autenticación irregulares.
- Describir y entender el tráfico entrante y saliente.
- Proporcionar información de resumen que incluya tendencias, estadísticas y recuentos.
- Proporcionar acceso rápido y utilizable a estadísticas y métricas.
- Establecer una correspondencia de eventos en todas las fuentes de datos relevantes.
 HERRAMIENTAS PARA PREVENCION Y DETECCION DE
INCIDENTES
Estas son algunas de las herramientas utilizadas para detectar y evitar incidentes:

- SIEM: Es un software que
recopila y analiza las alertas de
seguridad, los registros y otros
datos históricos y en tiempo real
de los dispositivos de seguridad de
la red.
- DLP: Es un sistema de hardware o
software diseñado para evitar el robo o la
fuga de datos confidenciales de la red. Puede
concentrarse en la autorización de acceso a
los archivos, intercambio de datos, la copia
de datos, la supervisión de la actividad del
usuario y mas. Además, están diseñados para
supervisar y proteger los datos en tres
diferente estados:
-CISCO ISE y TRUSTEC: Aplican el acceso
a los recursos de red mediante la creación de
políticas de control de acceso basado en roles que
segmenta el acceso a la red sin complejidad
agregada. La clasificación del tráfico se basa en la
identidad del usuario o el dispositivo.

• Datos en uso (cliente)

• Datos en movimiento (datos que viajan
en la red)
• Datos almacenados.
 IDPS E IPS

IDS IPS
• dispositivo de red exclusivo analiza los datos de • Bloquea el tráfico según las coincidencias
una base de datos para buscar un tráfico positivas de la regla.
malicioso

• Registra la detección y crea una alerta para el IPS/IDS más reconocido:

administrador de red

•
SNORT: realiza análisis de tráfico en tiempo real, detectando
Detecta, registra y genera informes
sondas, ataques y escaneo de puertos, puede combinarse con otras
herramientas.
• Ralentiza la red, es por ello que se configura sin
una conexión, el cual se separa del tráfico de red
común.

• Los datos son copiados o duplicados en un switch

para que los IDS puedan detectarlos sin una
conexión a una red.
Capítulo 5:
¿ Su futuro estará
relacionado con la
ciberseguridad?
Este capítulo comprende las cuestiones éticas y
legales que los profesionales de la ciberseguridad
comúnmente enfrentan.

Introducción
 Cuestiones legales en la ciberseguridad

A diario los ataques propiciados por hackers

vulneran los limites legales de la sociedad ,
estableciendo a que un profesional de
ciberseguridad deba tener las mismas habilidades
del atacante. Es por ello, que es esencial que un
profesional de ciberseguridad ofrezca protección
contra los ataques dentro de los limites legales.
Dentro de esta sección se comprende los siguientes puntos para un profesional de ciberseguridad:

Asuntos legales personales

En el entorno personal, un profesional de ciberseguridad desarrolla muchas
habilidades que se pueden utilizar para bien o mal, lo cual utilizan sus habilidades
ya sea dentro del sistema legal o no.

Asuntos legales corporativos

En el entorno empresarial, las empresas deben cumplir las leyes relacionados con
la privacidad corporativa, las redes, entre otros; Puesto que si el profesional de
ciberseguridad infringe las leyes de ciberseguridad durante la realización de un
trabajo, supondría a una condena y perdida laboral. Por consiguiente a que la
empresa resultase castigada.

Derecho internacional y ciberseguridad

El área de la ley de ciberseguridad es mucho más nueva que la ciberseguridad en sí.

Por la cual, si bien la mayoría de los países tienen algunas leyes, no cabe duda que
habrá más leyes por venir.
 Cuestiones éticas en ciberseguridad

Asuntos eticos personales

Dentro del marco ético que dispone una persona con habilidades en ciberseguridad, es imposible
enumerar todos los distintos comportamiento no ético que puede exhibir alguien con esas habilidades,
puesto que las acciones que conllevaría una persona con esas cualidades podrían no ser técnicamente
ilegal. Pero eso no significa que el comportamiento sea aceptable.

Cuestiones eticas corporativos

Debido a que muchas áreas de ciberseguridad no están (o aún no están) cubiertas por las leyes, muchas
organizaciones profesionales de TI han creado códigos de ética para las personas del sector. Dentro de
ellas están :

- El Instituto de Ciberseguridad (CSI)

- La Asociación de seguridad de sistemas de información (ISSA).
- La asociación de profesionales de la tecnología de la información (AITP)
Casos Prácticos:
Caso Practico Capitulo 4
 Un caso practico de protección de la organización seria en una ferretería que cuenta con un sistema de
inventario instalado en sus computadoras y puntos de venta y que a su vez puedan ingresar de manera
remota mediante un servicio en la nube, al contar con este sistema lo mas preocupante serian las
conexiones que se realizan entre las PC remotas y los equipos locales que se realizan mediante internet
puro. Esto puede llevar consigo una serie de vulnerabilidades potencialmente peligrosas a ataques,
sabotajes y robos de información. Además que no se especifica que la información que viaja tenga algún
tipo de encriptación, por lo tanto cualquiera se puede poner entre 2 conexiones y robar o alterar la
información. Para ello se deben de implementar una serie de protecciones mediante firewall, servidores
DNS propios con bloqueos, Ips ,Antivirus, Monitoreo constante de la red para detectar signos de malware.
Caso Practico Capitulo 5
 Un caso practico de Ciberseguridad o varios ataques cibernéticos que sucedió que todo el mundo, uno de
los casos mas sonados fue de Anonymous.
 Desde el 2008 Anonymous se dio a conocer al mundo entero, siempre alineado con propósitos justos y que
han puesto en serios aprietos a gobiernos, como ahora lo hace con Estados Unidos. Este grupo
de “vengadores cibernéticos” siempre han ocultado su identidad con una máscara inspirada en el
personaje Guido Fawkes.
 CONCLUSIONES
1. El IDS es el responsable de analizar la información dentro de una base de dato de reglas o firmas de ataque,
registra lo encontrado y crea una alerta para el administrador de red.
2. Se considera entonces que existe una necesidad creciente de salvaguardar los activos de información de las
empresas debido a la integración de la computación con los procesos corporativos y a la inefectividad de los
sistemas de detección y control de amenazas digitales disponibles en el mercado.
Gracias