Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Gestin de Vulnerabilidades
Pablo Palacios
Consultor de Seguridad de la Informacin y Cumplimiento PCI-DSS E-Gov Solutions ppalacios@e-govsolutions.net | pablo.palacios@moplin.com Web: seguridad.moplin.com Linkedin: http://www.linkedin.com/in/moplin/es Twitter: @moplin (593) 8 464-4844
Hablaremos de:
Introduccin a la vulnerabilidad Tendencias y estadsticas Gestin de Vulnerabilidades
http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta http://hackosis.com/projects/bfcalc/bfcalc.php
Introduccin a la vulnerabilidad
Informacin y Seguridad de la Informacin Por que se necesita la Seguridad de la Informacin Riesgos de la Informacin en la Organizacin Enemigo publico No 1 Vulnerabilidades Tipos de vulnerabilidades Ejemplos de sistemas vulnerables Top 10 OWASP y otros TOP 10 Quien puede abusar de una vulnerabilidad?
1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)
1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Fuentes como: Fraude por computadora Espionaje Sabotaje Vandalismo Fuego o inundacin.
1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)
1. Information Technology Security Techniques Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Enemigo publico No 1
Las Vulnerabilidades Tecnolgicas afectan a todas las plataformas tecnolgicas y se convierten en uno de los riesgos mas extenso que afrontan los profesionales de la seguridad Explotar o abusar de una vulnerabilidad es el mecanismo agresivo ms efectivo con el que cuenta un atacante.
El 79% de todas las vulnerabilidades documentadas en la segunda mitad del 2006 fueron consideradas como fcilmente explotables.
Vulnerabilidades
DEFINICIONES Una deficiencia en el diseo, la implementacin, la operacin o la ausencia de los controles internos en un proceso, que podra explotarse para violar la seguridad del sistema1. El termino caracteriza la ausencia o riesgo de un control de reduccin de riesgo. Es la condicin que tienen el potencial de permitir que una amenaza ocurra con mayor frecuencia, gran impacto o cualquiera de los dos2. Debilidades de un sistema que permiten a un individuo malintencionado explotarlo y violar su integridad3.
1. Manual de Preparacin al examen CISM 2009; ISBN: 978-1-60420-040-9; Glosario 2. Official (ISC)2 Guide to CISSP Exam; ISBN: 0-8493-1518-2; 1.2 Risk Analisis and Assesment 3. Normas de Seguridad de Datos para las Aplicaciones de Pago y Normas Octubre de 2008 de Seguridad de Datos de la PCI; Glosario de trminos, abreviaturas y acrnimos 4. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Vulnerabilidades
Cuando estas son expuestas o visibles, pueden ser objeto de abuso Su abuso puede resultar en:
Acceso no autorizado a la red Exposicin informacin confidencial Dao o distorsin de la informacin Proveer de datos para el hurto o secuestro de identidad Exponer secretos organizacionales Desencadenar fraudes Paralizar las operaciones del negocio.
Tipos de vulnerabilidades
Vulnerabilidades no Tecnolgicas1
Hacking no tecnolgico Ingeniera social Donde se considera que la vulnerabilidad es El individuo y El proceso mal definido
1. Jhony Long; No Tech Hacking: A Guide to Social Engineering ; ISBN 13: 978-1-59749-215-7 2. DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es
Servidores Web
Bases de datos
Aplicaciones Web
Mltiples errores de programacin (TOP 10 OWASP), Muchas ocasiones dependientes de la arquitectura establecida
http://www.owasp.org/index.php/Top_10_2007
Top 10 OWASP
http://www.owasp.org/index.php/Top_10_2007
Top 10 OWASP
http://www.owasp.org/index.php/Top_10_2007
1 HTTP method 'DELETE' Enabled 2 Microsoft Windows Server Service Could Allow Remote Code Execution 3 Microsoft SMB Remote Code Execution Vulnerability
6 Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability 7 Microsoft IIS FTP Server Remote Stack Based Overflow 8 Apache Chunked-Encoding Memory Corruption Vulnerability 9 Writeable SNMP Information
N/A CVE-2008-4250 CVE-2008-4834 CVE-2008-4835 CVE-2008-4114 CVE-2005-1978 CVE-2005-2119 CVE-2005-1979 CVE-2005-1980 CVE-2003-0715 CVE-2003-0528 CVE-2003-0605 CVE-2003-0995 CVE-2003-0352 CVE-2009-3023 CVE-2009-2521 CVE-2002-0392 CVE-1999-0792 CVE-2000-0147 CVE-2001-0380 CVE-2001-1210 CVE-2002-0478 CVE-2000-0515 CVE-2008-0166
http://www.qualys.com/research/rnd/top10/
3 Adobe Acrobat and Adobe Reader Multiple Vulnerabilities 4 Adobe Reader JavaScript Methods Memory Corruption Vulnerability
5 Sun Java Multiple Vulnerabilities
7 Microsoft Excel Remote Code Execution Vulnerability 8 Sev4 Microsoft Word Multiple Remote Code Execution Vulnerabilities
CVE-2007-2022 CVE-2007-3456 CVE-2007-3457 CVE-2009-0519 CVE-2009-0520 Varios ms CVE-2008-2641 CVE-2009-1492 CVE-2009-1493 CVE-2008-2086 CVE-2008-5339 Varios ms CVE-2009-0556 CVE-2009-0220 Varios ms CVE-2009-0238 CVE-2009-0100 CVE-2008-4024 CVE-2008-4026 Varios ms CVE-2008-4841 CVE-2009-0087 Varios ms CVE-2009-1537 CVE-2009-1538 CVE-2009-1539
http://www.qualys.com/research/rnd/top10/
Hackers
Un firewall $100.000 dlares Un IPS $250.000 dlares Una vulnerabilidad, no tiene precio!
Por: moplin (CC) 2009
Vulnerabilidades
Solo puedes estar seguro de que aun hay ms !
Por: moplin (CC) 2009
Tendencias y estadsticas
Tendencias Vulnerabilidades por impacto Vulnerabilidades de da 0 Ataques comunes en aplicaciones WEB Virus, Spyware, Gusanos, Trojanos, etc Tiempo de explotacin de nuevas vulnerabilidades Herramientas disponibles en internet
Tendencias
En el pasado, la motivacin era solo diversin o demostracin. Existen factores econmicos que impulsan a miles de individuos a buscar la forma de atacar a las organizaciones y al sistema financiero (Banca electrnica, tarjetas de crdito) Existe un incremento del profesionalismo y la comercializacin de actividades maliciosas (crimen organizado) Convergencia en los mtodos de ataque Expansin en el numero de aplicaciones y plataformas de ataque.
Tendencias
Segn la encuesta Crmenes de Informticos y Encuesta de Seguridad del Instituto de Seguridad de Computo (CSI), las perdidas econmicas en las organizaciones se deben a:
Fraude financiero (31%) Virus/gusano/spyware (12%) Penetracin al sistema por un externo (10%) Robo de informacin confidencial (8%)
1. CIS; www.gocsi.com
Tendencias
99 % de los casos de intrusin a redes son el resultado del ataque en contra de vulnerabilidades conocidas o errores de configuracin solucionables
CERT, CARNEGIE MELLON UNIVERSITY
Organizaciones que implementan un proceso efectivo para gestin de vulnerabilidades experimentarn una reduccin del 60 % en ataques exitosos externos
GARNER 2007
25
26
Vulnerabilidades de da 0
OtrosOther 18%
20x
En los ltimos 5 aos
3x
Tan solo en el ltimo ao
FUENTE : F-SECURE
High
SQL Injection Blended Blended Attacks Attacks Distributed Distributed Attack Tools Attack Tools www www Attacks Attacks Automated Probes/Scans GUI Probes/Scans GUI
Low
Password Guessing
1980 1980
1985 1985
1990 1990
1995 1995
2000 2000
2005 2005
Gestin de Vulnerabilidades
A quienes les debe interesar Procesos de Gestin Seguridad de la Informacin Que es la Gestin de Vulnerabilidades Objetivos principales Preparacin inicial y requerimientos La Gestin de Vulnerabilidades
Para un cyber-criminal, las vulnerabilidades en una red son los objetivos de mayor valor1!
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Objetivos principales
Identificar y corregir las fallas que afectan la seguridad, desempeo o funcionalidad en el software. Alterar la funcionalidad o actuar frente a una amenaza de seguridad, como al actualizar una firma de antivirus Cambiar las configuraciones del software para hacerlo menos susceptible a una taque, que se ejecute con mayor velocidad o mejore su funcionalidad Utilizar los medios mas efectivos para afrontar los ataques automatizados (como gusanos, negacin de servicios, etc.) Habilitar la forma efectiva y gestin la gestin correcta de seguridad del riesgo Documentar el estado de seguridad para auditoria y cumplimiento con las leyes, regulaciones y polticas de negocio.
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Pasos
Alineacin de la Poltica Identificacin
Paso 1, El inventario
Evaluacin
Paso 2. La Deteccin de vulnerabilidades Paso 3, Verificacin de la vulnerabilidad contra el inventario Paso 3, Verificacin de la vulnerabilidad contra el inventario Paso 4, Clasificacin y valoracin del riesgo
Remediacin
Paso 5, Remediacin
Monitoreo
Paso 6, Verificacin
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights reserved. www.isaca.org. 2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Alineacin de la Poltica
La creacin de las polticas debe iniciar en la parte mas alta de la gerencia o presidencia de una organizacin, de forma que requiera de la observacin ejecutiva la que asegura una implementacin sistemtica. La creacin de normas y lineamientos de seguridad que respalden los controles adecuados en para la Gestin de Vulnerabilidades, aseguran la implementacin y funcionalidad de la Gestin de Vulnerabilidades.
La misma vulnerabilidad no tendr el mismo impacto en un sistema perteneciente al CORE de negocio que en un sistema con una funcin poco importante.
El reporte de vulnerabilidades
Las herramientas de deteccin de vulnerabilidades deben tener la capacidad de generar reporte:
Que mantengan la asociacin del activo a las vulnerabilidades Que presenta la informacin de la vulnerabilidad y de la remediacin o control de la misma Que no reporte exceso de falsos positivos o falsos negativos Que se a de fcil comprensin Que muestre la asociacin del activo con un valor de riesgo de negocio
Critico: El abuso puede permitir la propagacin de un gusano sin intervencin humana, o la ejecucin de cdigo sin restriccin. Importante: El abuso puede permitir el compromiso de la confidencialidad, integridad o disponibilidad de los datos de usuario o de la integridad o disponibilidad de los recursos. Moderado: El abuso es serio, pero es mitigado por factores como configuracin, auditoria, la necesidad de accin del usuario o dificultad de ejecucin. Bajo: El abuso es extremadamente difcil o su impacto es mnimo.
www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true
Paso 5: Remediacin
La remediacin es el proceso de control de la vulnerabilidad. La remediacin puede ser directa o indirecta Siempre se debe realizar pruebas antes de colocar un parche en produccin (pre-test), lo que evita la posibilidad de dao en el sistema Directa:
Aplicacin de un parche o programa de correccin (fix) Cambio de configuracin Actualizacin de versin
Implementacin de sistemas HIPS (Host Intrusion Prevencin System) Implementacin de sistemas SIEM (Security Information and Event Management) Sistemas de Parchado Virtual Control con IPS de red o firewalls de ultima generacin
Remediaciones posteriores
Revisar cumplimiento contra documento de estndar de configuracin Revisar cumplimiento contra lista de revisin Aplicar parches adicionales (Sistema Operativo y aplicaciones) realizar pre-test antes de instalaciones en produccin Aplicar remediaciones adicionales Documentar cambios en estndar de configuracin y lista de revisin
Importante
La Gestin de Vulnerabilidades no se puede llevar a cabo con un solo producto Los productos ofertados no son la panacea, son herramientas que permiten llevar a cabo el proceso La integracin del Proceso de Gestin de Vulnerabilidades y la educacin apropiada sobre el tema es muchas veces mas importante que cualquier producto La organizacin, visin, estrategia y procesos de integracin permiten la ejecucin apropiada de la Gestin de Vulnerabilidades
http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317
Preguntas?
FIN
Lista de referencias en los comentarios de la lamina