Escolar Documentos
Profissional Documentos
Cultura Documentos
Gestión de Vulnerabilidades
Pablo Palacios
Consultor de Seguridad de la Información y Cumplimiento PCI-DSS
E-Gov Solutions
ppalacios@e-govsolutions.net | pablo.palacios@moplin.com
Web: seguridad.moplin.com
Linkedin: http://www.linkedin.com/in/moplin/es
Twitter: @moplin
(593) 8 464-4844
Hablaremos de:
• Introducción a la
vulnerabilidad
• Tendencias y
estadísticas
• Gestión de
Vulnerabilidades
http://es.wikipedia.org/wiki/Ataque_de_fuerza_bruta
http://hackosis.com/projects/bfcalc/bfcalc.php
Introducción a la vulnerabilidad
• Información y Seguridad de la Información
• Por que se necesita la Seguridad de la
Información
• Riesgos de la Información en la Organización
• Enemigo publico No 1
• Vulnerabilidades
• Tipos de vulnerabilidades
• Ejemplos de sistemas vulnerables
• Top 10 OWASP y otros TOP 10
• ¿Quien puede abusar de una vulnerabilidad?
Información y Seguridad de la
Información
• La información se la puede definir como:
“Datos dotados de significado y propósito”
• La seguridad de la Información se
logra implementando un adecuado
conjunto de controles; incluyendo
políticas, procesos, procedimientos, e
structuras organizacionales y
funciones de software y hardware1.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Por que se necesita la Seguridad de la
Información
• La información, los
procesos, sistemas y redes de apoyo
son activos comerciales importantes.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Riesgos de la Información en la
Organización
• Las organizaciones, sus sistemas y redes de información enfrentan
amenazas de seguridad.
• Fuentes como:
▫ Fraude por computadora
▫ Espionaje
▫ Sabotaje
▫ Vandalismo
▫ Fuego o inundación.
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Riesgos de la Información en la
Organización
• Las causas de daño como:
▫ Código malicioso
▫ Pirateo computarizado
▫ Negación de servicio
▫ Acceso no autorizado
1. Information Technology — Security Techniques — Code of practice for information Security Management, ISO/IEC 27002:2005(E)
Enemigo publico No 1
• Las Vulnerabilidades
Tecnológicas afectan a
todas las plataformas
tecnológicas y se
convierten en uno de los
riesgos mas extenso que
afrontan los profesionales
de la seguridad
1. Jhony Long; No Tech Hacking: A Guide to Social Engineering …; ISBN 13: 978-1-59749-215-7
2. DefCon 15 - T112 - No-Tech Hacking (58 min); http://video.google.com/videoplay?docid=-2160824376898701015&hl=es
Ejemplos de sistemas vulnerables
• Redes y Servicios
▫ Ftp, Telnet, Http, “SSL”
• Redes inalámbricas “WIFI”
▫ WEP y falta de encripción
• Aplicaciones de escritorio
▫ Office, Outlook, Acrobat, flash, Java
JRE, etc.
• Servidores Web
▫ Apache, IIS, Websphere, Etc.
• Bases de datos
▫ Oracle, DB2, MySQL, MS SQL
Server, etc.
• Aplicaciones Web
▫ Múltiples errores de programación
(TOP 10 OWASP), Muchas
ocasiones dependientes de la
arquitectura establecida
http://www.owasp.org/index.php/Top_10_2007
Top 10 OWASP
http://www.owasp.org/index.php/Top_10_2007
Top 10 OWASP
http://www.owasp.org/index.php/Top_10_2007
Los TOP 10 Externos, Diciembre 2009
Las 10 Vulnerabilidades Externas más comunes
1 HTTP method 'DELETE' Enabled N/A
2 Microsoft Windows Server Service Could Allow Remote Code Execution CVE-2008-4250
3 Microsoft SMB Remote Code Execution Vulnerability CVE-2008-4834
CVE-2008-4835
CVE-2008-4114
4 Microsoft MSDTC and COM+ Remote Code Execution Vulnerability CVE-2005-1978
CVE-2005-2119
CVE-2005-1979
CVE-2005-1980
5 Microsoft Windows DCO0M RPCSS Service Vulnerabilities CVE-2003-0715
CVE-2003-0528
CVE-2003-0605
CVE-2003-0995
6 Microsoft Windows DCOM RPC Interface Buffer Overrun Vulnerability CVE-2003-0352
7 Microsoft IIS FTP Server Remote Stack Based Overflow CVE-2009-3023
CVE-2009-2521
8 Apache Chunked-Encoding Memory Corruption Vulnerability CVE-2002-0392
9 Writeable SNMP Information CVE-1999-0792
CVE-2000-0147
CVE-2001-0380
CVE-2001-1210
CVE-2002-0478
CVE-2000-0515
10 Debian OpenSSL Package Random Number Generator Weakness CVE-2008-0166
http://www.qualys.com/research/rnd/top10/
Los TOP 10 Internos, Diciembre 2009
Las 10 Vulnerabilidades Internas más comunes
1 Adobe Flash Player Multiple Vulnerabilities CVE-2007-2022
CVE-2007-3456
CVE-2007-3457
2 Adobe Flash Player Update Available to Address Security Vulnerabilities CVE-2009-0519
CVE-2009-0520
Varios más
3 Adobe Acrobat and Adobe Reader Multiple Vulnerabilities CVE-2008-2641
4 Adobe Reader JavaScript Methods Memory Corruption Vulnerability CVE-2009-1492
CVE-2009-1493
5 Sun Java Multiple Vulnerabilities CVE-2008-2086
CVE-2008-5339
Varios más
6 Microsoft Office PowerPoint Could Allow Remote Code Execution CVE-2009-0556
CVE-2009-0220
Varios más
7 Microsoft Excel Remote Code Execution Vulnerability CVE-2009-0238
CVE-2009-0100
8 Sev4 Microsoft Word Multiple Remote Code Execution Vulnerabilities CVE-2008-4024
CVE-2008-4026
Varios más
9 WordPad and Office Text Converters Remote Code Execution Vulnerability CVE-2008-4841
CVE-2009-0087
Varios más
10 Vulnerabilities in Microsoft DirectShow Could Allow Remote Code Execution CVE-2009-1537
CVE-2009-1538
CVE-2009-1539
http://www.qualys.com/research/rnd/top10/
¿Quien puede abusar de una
vulnerabilidad?
• El hacker (el malo!)
• El estudiante de sistemas
• El desarrollador o programador
• La competencia
• El trabajador interno (resentido)
• El que ya no trabaja
• Cualquier estudiante con un
computador e Internet
• El software
• El virus, troyano, spyware, etc.
• Ley de Murphy:
1. CIS; www.gocsi.com
Tendencias
Vulnerabilidades de “día 0”
Fuga de
Infromación no
OtrosOther intencional
18% 17%
Predicción de
credenciales de Vulnerabilidades
sesion Conocidas
8% 15%
FUENTE : WHID 2008
Virus, Spyware, Gusanos, Trojanos, etc
La cantidad de “Malware” se incrementa cada año
1,600,000
1,500,000 20x
1,400,000 En los últimos 5
1,300,000 años
1,200,000
1,100,000 3x
Tan solo en el
1,000,000
último año
900,000
800,000
700,000
600,000
500,000
400,000
300,000
200,000
100,000
86 87 88 89 90 91 92 93 94 95 96 97 98 99 00 01 02 03 04 05 06 07 08
FUENTE : F-SECURE
Tiempo de explotación de nuevas
vulnerabilidades
Herramientas disponibles en internet
pharming
Auto-coordinated
Auto-
High Cross- Site Scripting
Fraud
Intruder Knowledge “ Stealth” /Advanced
Intruder Knowledge phishing
Scanning Techniques
Denial of
Packet Spoofing Service SQL Injection
Blended
Blended Attacks
Attacks
Sniffers
Distributed
Distributed
AttackAttack
Tools Tools
www
www Attacks
Attacks
Automated Probes/Scans
Sweepers GUI Probes/Scans
GUI
Back
Doors Networked Management
Disabling Diagnosis
Audits
Exploiting Known
Vulnerabilities
Password
Cracking
Password Self- Replicating Code
Low Guessing
1980
1980 1985
1985 1990
1990 1995
1995 2000
2000 2005
2005
SOURCE: © Carnegie Mellon University
Gestión de Vulnerabilidades
• Gestión de Sistemas de
Seguridad de la Información
• Gestión de Usuarios y
Recurso Humano
• Gestión de Incidentes
• Gestión de Respaldos
• Gestión de Control de
Cambios
• …
• Gestión de
Vulnerabilidades e
Implementación de
Parches
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Que es la Gestión de Vulnerabilidades
• La Gestión de Vulnerabilidades, es el proceso que debe ser
implementado para hacer que las plataformas de IT sean mas
seguras y para mejorar la capacidad de cumplimiento de normas en
la organización1.
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Preparación inicial - Requerimientos
• Establecimiento previo de Gestión de Políticas de Seguridad
• Establecer los roles y responsabilidades del personal involucrado en
el proceso.
• Establecer un inventario de activos de la plataforma tecnológica
(Servidores, equipos, versiones de sistemas operativos, aplicaciones
cliente - servidor, bases de datos, aplicaciones web, etc.)
• Establecer los roles de los activos del inventario
• Desarrollar métricas de seguridad de la información
• Establecer la línea base “Donde se comienza” y el GAP “Donde se
desea llegar”
Pasos
• Alineación de la Política
• Identificación
▫ Paso 1, El inventario
• Evaluación
▫ Paso 2. La Detección de vulnerabilidades
▫ Paso 3, Verificación de la vulnerabilidad contra
el inventario
▫ Paso 3, Verificación de la vulnerabilidad contra
el inventario
▫ Paso 4, Clasificación y valoración del riesgo
• Remediación
▫ Paso 5, Remediación
• Monitoreo
▫ Paso 6, Verificación
1. An Approach to Vulnerability Management; Umesh Chavan ; Information Systems Audit and Control Association. All rights
reserved. www.isaca.org.
2. Vulnerability Management For Dummies; ISBN: 978-0-470-69457-2
Alineación de la Política
• La creación de las políticas debe
iniciar en la parte mas alta de la
gerencia o presidencia de una
organización, de forma que
requiera de la observación
ejecutiva la que asegura una
implementación sistemática.
• La creación de normas y
lineamientos de seguridad que
respalden los controles adecuados
en para la Gestión de
Vulnerabilidades, aseguran la
implementación y funcionalidad
de la Gestión de Vulnerabilidades.
Identificación, Paso 1: El inventario
Crear el inventario y categorizar los activos
• Para encontrar y corregir adecuadamente las
vulnerabilidades, es necesario primero identificar
los elementos o activos tecnológicos
(servidores, estaciones de trabajo, equipos de
comunicaciones, etc.)
• Es importante crear una base de datos, que
relacione el activo a sus características técnicas
(IP, Sistema Operativo, Aplicaciones, ROL)
Identificar en el inventario
• Es importante identificar en el inventario el
Rol, criticidad de negocio, Unidad de
negocio, agrupación geográfica o lógica.
Identificación, Paso 1: El inventario
Priorización por impacto al negocio
• Es importante que el activo se lo categorice en base al riesgo e
impacto de negocio.
Que es más critico para los objetivos del negocio!
www.microsoft.com/technet/community/columns/secmgmt/sm0404.mspx?pf=true
Paso 5: Remediación
• Directa:
▫ Aplicación de un parche o programa de corrección (fix)
▫ Cambio de configuración
▫ Actualización de versión
• Indirecta (Controles compensatorios)
▫ Implementación de sistemas HIPS (Host Intrusion Prevención System)
▫ Implementación de sistemas SIEM (Security Information and Event
Management)
▫ Sistemas de Parchado Virtual
▫ Control con IPS de red o firewalls de ultima generación
Remediación inicial y endurecimiento
1. Remover servicios, funciones, usuarios no requeridos.
2. Mantener solo una función por servidor (Controlados de
dominio, Base de datos, Servidor Web, FTP, etc.)
3. Cambiar las configuraciones de fabrica (Sistema operativo y
aplicaciones)
4. Instalar parches Sistema operativo
5. Instalar aplicaciones adicionales (Solo requeridas)
6. Instalar parches de aplicaciones adicionales
7. Aplicar plantillas de endurecimiento (Por producto)
8. Instalar y mantener un antivirus
9. Documentar estándar de configuración
10. Implementar respaldos y bitácoras
11. Generar lista de revisión
Remediaciones posteriores
• Revisar cumplimiento contra documento de estándar de
configuración
• Revisar cumplimiento contra lista de revisión
• Aplicar parches adicionales (Sistema Operativo y aplicaciones)
realizar pre-test antes de instalaciones en producción
• Aplicar remediaciones adicionales
• Documentar cambios en estándar de configuración y lista de revisión
Monitoreo, Paso 6:Verificación
• La verificación de los correctivos aplicados es importante, se debe
demostrar que la plataforma ya no tiene la vulnerabilidad.
No debemos depender de la
posibilidad de que el
enemigo no nos ataque, sino
del hecho de que logramos
que nuestra posición
sea inatacable.
http://www.amazon.com/Arte-guerra-El-Spanish-Sunt-Zu/dp/8497775317
Preguntas?
FIN
Lista de referencias en los comentarios de la lamina