Auditoria de sistemas
Rafael.Ausejo@dvc.es
Consultor de Seguridad
© 2003 por Rafael Ausejo Prieto. Los logotipos de DAVINCI y el Colegio Oficial de Ingenieros son usados con permiso. Esta versión es una modificación de la presentación original usada en el FIST 2003.
1
29 diapositivas
Índice
– Introducción a las Auditorías de Seguridad – Dimensionamientode la Auditoría – La metodología OSSTMM – Seguridad en las aplicaciones 2 – El informe de Auditoría – Para qué sirve la Auditoría – Conclusiones
Introducción a las Auditorías de Seguridad
Tipos de Auditoría de Seguridad
• Análisis de Vulnerabiliades
Auditoría de Seguridad Hacking ético
• Test de Intrusión • Auditoría de Seguridad • Comprobación de la Seguridad • Hacking éticoPenetration Testing
3
Comprobación de Seguridad
coste
Análisis de Vulnerabilidades
Fuente: OSSTMM
tiempo
Introducción a las Auditorías de Seguridad
Dos grandes grupos
Auditoría de Seguridad Auditoría de Sistemas de Información Test de Intrusión
• Interna (Caja Blanca) • Realizada en las instalaciones de ACME • Se parte de un esquema de red • Información proporcionada por elcliente
• Externa (Caja Negra) • Realizada de forma remota • Se parte de un rango de IPs o de un dominio DNS • Información desconocida
4
Introducción a las Auditorías de Seguridad
Peligros de una Auditoría Interna
Auditoría de Seguridad Auditoría de Sistemas de Información Al final se convierte en Análisis remoto
• Interna (Caja Blanca) • Realizada en las instalaciones del cliente •Se parte de un esquema de red • Información proporcionada por el cliente
• No es posible conectar un portátil • No se puede acceder al CPD
5
• No existe esquema de red • El cliente no sabe o no proporciona la información
Introducción a las Auditorías de Seguridad
Peligros de un Test de Intrusión
Auditoría de Seguridad Test de Intrusión Al final se convierte en Auditoría interna
•Oye, necesito que te pases por ACME • Ya que estás aquí, échame una mano con el firewall • Inclúyeme el password cracking • Necesito un hardening de las máquinas
• Externa (Caja Negra) • Realizado de forma remota • Se parte de un rango de IPs o de un dominio DNS • Información desconocida
6
• Revísame los IDSs • ¡Tienes dos semanas!
Introducción a las Auditorías de SeguridadSolución:
Auditoría de Seguridad Internet: fase I OSSTMM
Auditoría de Seguridad Internet • • • • • • • Externa (Caja Negra) Realizada de forma remota Se parte de un rango de IPs o de un dominio DNS Información desconocida Cobertura: detección remota de vulnerabilidades Se realiza en dos o tres semanas Se sigue la metodología OSSTMM
7
Dimensionamiento de la Auditoría
El tiempo es dineroCobertura propuesta Tiempo y recursos necesarios Presupuesto final
El dinero es tiempo
Presupuesto inicial Tiempo y recursos asignados Cobertura alcanzable
8
Dimensionamiento de la Auditoría
Gestión del Proyecto
9
Dimensionamiento de la Auditoría
Batería de preguntas
• ¿Cuántos son los dispositivos a Auditar? Ej: 100 dispositivos físicos con 150 IPs en la misma clase C •¿Cuál es la cobertura necesaria? Ej: Determinación y análisis de vulnerabilidades de cada uno • ¿Cuál es el tiempo necesario? Ej: Tres semanas SE DETERMINA EL TIEMPO NECESARIO Y EL NÚMERO DE RECURSOS 10
Dimensionamiento de la Auditoría
ACME: Seguimiento de la Auditoría de Seguridad
Día Lunes Martes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Jueves Viernes Sábado Domingo LunesMartes Miércoles Jueves Viernes Sábado Domingo Lunes Martes Miércoles Fecha 14 de junio de 2004 15 de junio de 2004 16 de junio de 2004 17 de junio de 2004 18 de junio de 2004 19 de junio de 2004 20 de junio de 2004 21 de junio de 2004 22 de junio de 2004 23 de junio de 2004 24 de junio de 2004 25 de junio de 2004 26 de junio de 2004 27 de junio de 2004 28 de junio de 2004 29 de julio de 2004...
Regístrate para leer el documento completo.