Auditor As
Páginas: 8 (1878 palabras)
Publicado: 15 de marzo de 2015
Auditorías
La auditoría es el control y registro de las acciones de base de datos de usuarios seleccionados. Se puede basarse en las acciones individuales, tales como el tipo de instrucción SQL ejecutada, o en combinaciones de factores que pueden incluir el nombre de usuario, la aplicación, el tiempo, y así sucesivamente. Las políticas de seguridad puedendesencadenar la auditoría cuando se accede o alterados elementos especificados en una base de datos Oracle, incluido el contenido en un objeto especificado.
Yo le voy hacer una auditoría a la compañía multinacional Juan Computer Services Inc. Esta compañía necesita una auditoría en las áreas de seguridad de la red, bases de datos y sistemas operativos. Por lo que voy a usar varios métodos.Los hackers y el uso de software y técnicas de hacking son en sí mismas amenazas a seguridad de la información de una organización. Explotar una pieza de software o tecnología que se aprovecha de algún fallo o vulnerabilidad, dando lugar a un acceso no autorizado, escalada de privilegios, o negación de servicio en un sistema informático. Los hackers están buscando vulnerabilidades en los sistemasinformáticos para abrir la puerta a un ataque inicial. La mayoría de los exploits son pequeñas cadenas de código informático que, cuando ejecutado en un sistema, exponer la vulnerabilidad. Hackers experimentados crean sus propias hazañas, pero no es necesario tener conocimientos de programación para ser un hacker ético como muchos hackear programas de software han hazañas ya hechos que pueden serlanzados contra un equipo sistema o red. Un exploit es una forma definida para violar la seguridad de un sistema informático a través de una vulnerabilidad.
Un hacker ético sigue procesos similares a los de un hacker malicioso.
Fase 1: Pasivo y Reconocimiento Activo
Reconocimiento pasivo implica la recopilación de información sobre un blanco potencial sin el conocimiento de laempresa de cada persona de destino. Reconocimiento pasivo puede ser tan simple como ver un edificio para identificar lo que los empleados de tiempo entrar en el edificio y cuando se van. Sin embargo, la mayoría de reconocimiento se realiza sentado delante de un ordenador. Cuando los hackers están buscando información sobre un objetivo potencial, que comúnmente se ejecutan una búsqueda en Internetsobre una persona o empresa para obtener información. Este proceso cuando se utiliza para recopilar información sobre un TOE generalmente se llama la recopilación de información. La ingeniería social y basurero de buceo también se consideran métodos de recopilación de información pasiva.
Tanto reconocimiento pasivo y activo puede conducir al descubrimiento de información útil para utilizaren un ataque. Por ejemplo, por lo general es fácil encontrar el tipo de servidor web y el sistema operativo (OS) número de versión que la compañía está utilizando. Esta información puede permitir a un hacker para encontrar una vulnerabilidad en esa versión del sistema operativo y explotar la vulnerabilidad para obtener más acceso.
Fase 2: Escanear
Escaneo implica tomar la informacióndescubierta durante el reconocimiento y usarlo para examinar la red. Las herramientas que un hacker puede emplear durante la fase de exploración incluyen: Dialers. Analizadores de puertos. (ICMP) escáneres de Protocolo de mensajes de control de Internet. Barridos de ping. Cartógrafos de red. (SNMP) barredoras de protocolo simple de administración de red. Los scanners de vulnerabilidades.
Los hackersestán buscando cualquier información que pueda ayudar a perpetrar un ataque contra un objetivo, como las siguientes:
Los nombres de equipo
Sistema operativo (SO)
Software instalado
Direcciones IP
Las cuentas de usuario.
Fase 3: Acceso Ganando
Fase 3 es cuando la verdadera piratería tiene lugar. Las vulnerabilidades expuestas durante la fase de reconocimiento y exploración están explotados...
La auditoría es el control y registro de las acciones de base de datos de usuarios seleccionados. Se puede basarse en las acciones individuales, tales como el tipo de instrucción SQL ejecutada, o en combinaciones de factores que pueden incluir el nombre de usuario, la aplicación, el tiempo, y así sucesivamente. Las políticas de seguridad puedendesencadenar la auditoría cuando se accede o alterados elementos especificados en una base de datos Oracle, incluido el contenido en un objeto especificado.
Yo le voy hacer una auditoría a la compañía multinacional Juan Computer Services Inc. Esta compañía necesita una auditoría en las áreas de seguridad de la red, bases de datos y sistemas operativos. Por lo que voy a usar varios métodos.Los hackers y el uso de software y técnicas de hacking son en sí mismas amenazas a seguridad de la información de una organización. Explotar una pieza de software o tecnología que se aprovecha de algún fallo o vulnerabilidad, dando lugar a un acceso no autorizado, escalada de privilegios, o negación de servicio en un sistema informático. Los hackers están buscando vulnerabilidades en los sistemasinformáticos para abrir la puerta a un ataque inicial. La mayoría de los exploits son pequeñas cadenas de código informático que, cuando ejecutado en un sistema, exponer la vulnerabilidad. Hackers experimentados crean sus propias hazañas, pero no es necesario tener conocimientos de programación para ser un hacker ético como muchos hackear programas de software han hazañas ya hechos que pueden serlanzados contra un equipo sistema o red. Un exploit es una forma definida para violar la seguridad de un sistema informático a través de una vulnerabilidad.
Un hacker ético sigue procesos similares a los de un hacker malicioso.
Fase 1: Pasivo y Reconocimiento Activo
Reconocimiento pasivo implica la recopilación de información sobre un blanco potencial sin el conocimiento de laempresa de cada persona de destino. Reconocimiento pasivo puede ser tan simple como ver un edificio para identificar lo que los empleados de tiempo entrar en el edificio y cuando se van. Sin embargo, la mayoría de reconocimiento se realiza sentado delante de un ordenador. Cuando los hackers están buscando información sobre un objetivo potencial, que comúnmente se ejecutan una búsqueda en Internetsobre una persona o empresa para obtener información. Este proceso cuando se utiliza para recopilar información sobre un TOE generalmente se llama la recopilación de información. La ingeniería social y basurero de buceo también se consideran métodos de recopilación de información pasiva.
Tanto reconocimiento pasivo y activo puede conducir al descubrimiento de información útil para utilizaren un ataque. Por ejemplo, por lo general es fácil encontrar el tipo de servidor web y el sistema operativo (OS) número de versión que la compañía está utilizando. Esta información puede permitir a un hacker para encontrar una vulnerabilidad en esa versión del sistema operativo y explotar la vulnerabilidad para obtener más acceso.
Fase 2: Escanear
Escaneo implica tomar la informacióndescubierta durante el reconocimiento y usarlo para examinar la red. Las herramientas que un hacker puede emplear durante la fase de exploración incluyen: Dialers. Analizadores de puertos. (ICMP) escáneres de Protocolo de mensajes de control de Internet. Barridos de ping. Cartógrafos de red. (SNMP) barredoras de protocolo simple de administración de red. Los scanners de vulnerabilidades.
Los hackersestán buscando cualquier información que pueda ayudar a perpetrar un ataque contra un objetivo, como las siguientes:
Los nombres de equipo
Sistema operativo (SO)
Software instalado
Direcciones IP
Las cuentas de usuario.
Fase 3: Acceso Ganando
Fase 3 es cuando la verdadera piratería tiene lugar. Las vulnerabilidades expuestas durante la fase de reconocimiento y exploración están explotados...
Leer documento completo
Regístrate para leer el documento completo.