Date post: | 28-Jan-2016 |
Category: |
Documents |
Upload: | angelita-jurado |
View: | 248 times |
Download: | 1 times |
Auditoría de Seguridad Informática.
IFCT seguridad informática
http://cpsi.esy.es/modulo2.html
Heliodoro Menéndez Alegre,IFES: Instituto de Formación y Estudios Sociales
Ingeniero en InformáticaExperto profesional en redes de ordenadores
Auditor Jefe en Continuidad de NegocioMiembro listas de peritos de CITIPA
http://cpsi.esy.es
Auditoría. Definición
Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. UNE-EN ISO 9000:2005
AENOR. Manual de auditoría de los sistemas de gestión.
Auditoría. Principios La Norma UNE-EN ISO 19011:2002 pone de
relieve cinco principios fundamentales: Conducta ética: “El fundamento de la
profesionalidad”. Presentación ecuánime: “La obligación de informar
con veracidad y exactitud”. Debido cuidado profesional: “La aplicación de
diligencia y juicio al auditar”. Independencia: “La base para la imparcialidad de
la auditoría y la objetividad de las conclusiones de la auditoría”.
Enfoque fundado en la evidencia: “El método racional para alcanzar conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático”.
AENOR. Manual de auditoría de los sistemas de gestión.
Auditoría. Código deontológico
Principio de beneficio del auditado. Principio de calidad. Principio de capacidad. Principio de cautela. Principio de comportamiento
profesional. Principio de concentración en el
trabajo. Principio de confianza. Principio de criterio propio. Principio de discreción. Principio de economía. Principio de formación continuada. Principio de fortalecimiento y respeto
de la profesión. Principio de independencia. Principio de información suficiente.
Auditoría. Código deontológico Principio de integridad moral. Principio de legalidad. Principio de libre competencia. Principio de no discriminación. Principio de no injerencia. Principio de precisión. Principio de publicidad adecuada. Principio de responsabilidad. Principio de secreto profesional. Principio de servicio público. Principio de veracidad.
AUDITORÍA INFORMÁTICA: Un enfoque prácticoMario G. Piattini Velthuis y Emilio del Peso Navarro
Auditoría. Tipos
Interna Una organización audita su propio
sistema. Externa
Llevada a cabo por un cliente o tercero independiente.
Auditoría. Clasificación De primera parte
La empresa analiza su propio sistema De segunda parte
Se realiza normalmente por sectores que tienen un interés en la empresa, como por ejemplo, los clientes
De tercera parte Llevada a cabo por organizaciones externas
independientes que proporcionan la certificación o registro de conformidad con requisitos
Auditoría de sistemas informáticos. Tipos.
Auditoría física. Edificio Instalaciones Equipamiento y telecomunicaciones. Datos. Personas.
Auditoría de la ofimática. Economía Seguridad Normativa
Auditoría de la dirección. Planificar (Plan de sistemas) Organizar y coordinar (Comités TI,
Posición de TI en la empresa) Controlar
Auditoría de la explotación. Auditorías periódicas siguiendo
CobIT. Auditoría del desarrollo. Auditoría del mantenimiento. Auditoría de bases de datos.
La auditoría de técnica de sistemas.
Auditoría de la calidad. Auditoría de la seguridad. Auditoría de redes. Auditoría de aplicaciones. Auditoría Informática de
EIS(sistemas de información a la dirección)/DSS (sistemas de ayuda a la decisión) y aplicaciones de simulación.
Auditoría Jurídica de entornos informáticos.
AUDITORÍA INFORMÁTICA: Un enfoque práctico
Mario G. Piattini Velthuis y Emilio del Peso Navarro
Auditoría. Equipo auditor.
Jefe del equipo de auditoría.
Auditores (internos o externos).
Obtener evidencias eficaces.
Formación suficiente.GUÍA DE SEGURIDAD (CCN-STIC-802)
Obtención de evidencias. Pruebas de cumplimiento
Una prueba de cumplimiento es el examen de la evidencia disponible de que una o más técnicas de control interno están operando durante el periodo de auditoría.
El auditor deberá obtener evidencia de auditoría mediante pruebas de cumplimiento de: Existencia: el control existe. Efectividad: el control está funcionando con
eficiencia. Continuidad: el control ha estado funcionando
durante todo el periodo.
Obtención de evidencias. Pruebas sustantivas
Las pruebas sustantivas tienen por objeto obtener evidencia de auditoría relacionada con la integridad, exactitud y validez de la información auditada.
Métodos para obtener evidencia: Se suelen obtener mediante observación,
cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones.
Obtención de evidencias. Muestreo
El muestreo, desde el punto de vista de la auditoría, es la técnica que permite al auditor inferir conclusiones de un conjunto de elementos (universo o población) a través del estudio de una parte (muestra). Consiste en la aplicación de un procedimiento de auditoría a menos del 100% de la población total, para obtener evidencia de auditoría sobre ciertas características de la población. El muestreo en auditoría se usa tanto en las pruebas de cumplimiento como en las sustantivas y es especialmente útil cuando la selección que se debe hacer es sobre una población muy grande y no se conocen las características de las partidas que se prueban, como puede ser que el saldo de una cuenta esté sobre valorada o disminuida como resultado de la aplicación de cantidades, precios incorrectos o por errores en los cálculos o sumas.
Obtención de evidencias. Tipos de muestreo
Estadístico. La selección de las partidas que la integran y la evaluación de los resultados, se hace por métodos matemáticos, basados en el cálculo de probabilidades.
No estadístico. Se basa fundamentalmente en el juicio profesional del auditor, sin que los niveles de confianza se puedan expresar en términos cuantitativos. El método más relevante es la selección en base al juicio del auditor.
Herramientas CAAT (Computer Audit Assisted Techniques) CAAT. Computer Audit Assisted Techniques:
Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada.
Incluyen métodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y, los cuales, son de suma importancia para el auditor informático cuando este realiza una auditoría.
Herramientas CAAT (Computer Audit Assisted Techniques) Las TAAC's pueden ser usadas en:
Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.)
Procedimientos analíticos: por ejemplo identificación de inconsistencias o fluctuaciones significativas.
Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones.
Programas de muestreo para extraer datos. Pruebas de control en aplicaciones. Recálculos.
Hallazgo de auditoría Evidencia de la auditoría: Registros,
declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables. UNE-EN ISO 19011:2002
Hallazgos de auditoría. Resultados de la evaluación de la evidencia de auditoría recopilada frente a los criterios de auditoría.
UNE-EN ISO 19011:2002
Hallazgo de auditoría. Requisitos Los hallazgos de la auditoría pueden indicar
tanto conformidad o no conformidad con los criterios de auditoría como oportunidades de mejora.AENOR. Manual de auditoría de los sistemas de gestión.
Requisistos: Importancia relativa que amerite ser comunicado. Basado en hechos y evidencias precisas que
figuran en los papeles de trabajo. Objetivo. Convincente para una persona que no ha participado
en la auditoría.
Hallazgo de auditoría. Categorías Observación. Evidencia encontrada que puede generar en
un futuro una No Conformidad. No conformidad. Incumplimiento de un requisito.
Especificado en: Condiciones contractuales. Estándar norma. Sistema de gestión. Requisitos legales o estatutarios.
No conformidad. No conformidad – Menor. Error individual que, por él
mismo, no levanta una duda significativa sobre la capacidad del sistema de gestión de alcanzar la política y los objetivos de la organización.
No conformidad – Mayor. Fallo o incapacidad de cumplir con uno o varios requisitos de la norma de gestión para controlar con efectividad el proceso para el que está previsto.
Auditoría sistemas información. Normativas y metodologías
Modelo ampliado de AENOR PARA TI:
Gobierno corporativo de las TIC:
UNE 71599-2 ISO/IEC 38500
Gestión: UNE-ISO/IEC 20000-1 UNE-ISO/IEC 27001
SGSTI. Calidad en los servicios de TI considerando los objetivos de negocio: UNE-ISO/IEC 20000-1
SGSI. Gestión de riegos de los sistemas de información: UNE-ISO/IEC 27001.
Auditoría sistemas información. Normativas y metodologías ISO 27001. Presentación Inteco. Centros de cómputo Ciberseguridad Cobit COSO/Sarbanes Oxley ISO SC27 ISO 20000 – ITIL ISO 22301 ISO 31000 NIST PAS 99 UNE 71502
Vulnerabilidades y amenazas
Riesgo. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios.
Presentación Inteco. Amenaza. Evento que puede desencadenar un incidente en la
organización, produciendo daños materiales o pérdidas inmateriales en sus activos.
Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.
Vulnerabilidades
ActivosExposición
Amenazas
RiesgoContramedidas
Pro
tege
nE
n pe
lligr
o po
r
explotan
Resultando en
Prot
egen
mitigado por
Activo
Impacto Vulnerabilidad
Amenaza
Riesgo
Frecuenciade
materialización
Vulnerabilidades de los sistemas informáticos. Causas Debilidad en el diseño de los protocolos
utilizados en las redes Errores de programación Configuración inadecuada Políticas de seguridad deficientes o inexistentes Desconocimiento y falta de sensibilización Herramientas que facilitan los ataques Limitación al tamaño de las claves
criptográficas Puertas traseras Descuido de los fabricantes
Vulnerabilidades de los sistemas informáticos. Tipos
Vulnerabilidades que afectan a equipos
Vulnerabilidades que afectan a programas y aplicaciones informáticos
Vulnerabilidades que afectan a equipos
Routers Cámaras Web y servidores de
vídeo Impresoras, escáneres, etc … Smartphones Agendas electrónicas
Vulnerabilidades de programas y aplicaciones informáticas
Sistemas operativos, servidores y bases de datos
Navegadores Aplicaciones ofimáticas Otras utilidades y aplicaciones
informáticas
Código malicioso (malware) Malware. Programa desarrollado para
causar daños o introducirse de forma no autorizada en algún sistema informático. INTECO: DESMONTANDO EL MALWARE
Virus informático. Programa capaz de infectar un sistema informático. Mecanismos de propagación. Carga dañina (payload). Puede incorporar medidas de autoprotección.
APT. Amenazas persistentes avanzadas.
Virus. Técnicas de autoprotección
Ocultamiento (stealth) Autocifrado Polimorfismo Incubación Desactivación de salvaguardas Armouring
Virus. Propagación
Disco a disco. Stuxnet. Programa a programa. De documento a documento. Correo electrónico o Web. Redes de ordenadores.
Ransomware, Flame. Compartición P2P. Ingeniería social y redes sociales.
Criptolocker.
Virus. Tipos Sector de arranque. Ficheros ejecutables. Lenguajes de macros. Lenguaje script. Troyanos. Rootkits. Gusanos. Bacterias. Hoaxes. Jokes.
Virus. Últimas tendencias
Fichero adjunto. Explotación de vulnerabilidades. Recursos compartidos sin
contraseña en redes Windows. Páginas Web (scripts y applets
maliciosos).
Virus. Protección Firewall. Configuración robusta. Antivirus actualizado. Comprobación de ficheros adjuntos. Bloqueo de mensajes con adjuntos
ejecutables. Comprobación de pendrives. Análisis de contenido en ficheros comprimidos. Revisión de backups. Detección de rootkits. www.chkrootkit.com
Virus. Protección
Formación y concienciación. Comprobación de fuentes, y contenidos, de
descarga. Observación de comportamientos anómalos. Actuar con celeridad. Escaneo de todos los equipos. Revisión de logs. Escaneo de puertos. Atención a equipamiento móvil (smartphones). Instalación de appliances especialilzados en
epidemias de red.
Virus. Protección Limitación de instalación de aplicaciones. Cuarentena para ficheros sospechosos. Utilización de certificados digitales para
software. Drivers verificados por Microsoft. Documentos Offices con macros
certificados. ActiveX firmados, etc.
Antivirus
Debería estar instalado en todos los equipos.
Instalado en servidor proxy, correo o firewall.
Actualización permanente de los ficheros de “firmas”.
Antivirus. Arquitectura
Seguinfo Virus - Programas Antivirus
Módulo de control. Seguimiento actividad. Protección preventiva. Detección. Configuración.
Módulo de respuesta. Alarmas y registro de incidencias. Bloqueo. Desinfección.
Antivirus. Estrategias de detección Escaneo a demanda. Escaneo en acceso. Análisis heurístico. Basado en la
experiencia. Comprobación de integridad de los
archivos del sistema. Análisis de comportamiento. Dispositivos todo en uno: firewall, IDS, VPN
y más. https://www.virustotal.com/es/
Herramientas para el análisis de vulnerabilidades
Analizar y evaluar vulnerabilidades, con ranking de severidad.
Vulnerabilidades que afectan a: Parches del SO. Seguridad del sistema de ficheros. Cuentas de usuario. Servicios y aplicaciones. Protocolos y servicios de red. Control de accesos a recursos. Registro y auditoría de eventos. Configuración de herramientas de
seguridad.
Ejecución de test de penetración. Etapas.
PENTEST Reconocimiento del
sistema. Búsqueda offline. Búsqueda online.
Escaneo (enumeración). Penetración. Generación de informes. Limpieza.
Ejecución de test de penetración. Búsqueda.
Búsqueda offline. Shoulder surfing. Teléfono. Dumpster diving.
Búsqueda online. Google hacking. Recursos online. Extensiones firefox.
Ejecución de test de penetración. Tipos
Externos. Internos.
De caja negra. De caja blanca.
Ejecución de test de penetración. Limitaciones y problemas
Falsos positivos. Falsos negativos. Impacto en el rendimiento del
sistema.
Ejecución de test de penetración. Informe de auditoría Tras realizar un análisis de
vulnerabilidades se debe realizar un contraste y verificación de las vulnerabilidades y errores de diseño o configuración detectados, reflejando sus conclusiones en un informe de auditoría. Vulnerabilidades y tipos de ataque probados. Vulnerabilidades detectadas. Listado de dispositivos. Valoración de nivel de riesgo. Herramientas y técnicas utilizadas.
Herramientas del sistema operativo
ping traceroute arp netstat ifconfig nslookup net nbtstat
Aplicaciones
Transporte
Internet
Enlace
Físico
Aplicaciones
TCP/UPD
ICMP
ARP/RARP
IP
Enlace
Físico
Herramientas del sistema operativo
ping traceroute arp netstat ifconfig nslookup net nbtstat
Herramientas del sistema operativo. Supuesto práctico I
Crea una nueva máquina virtual: Audit.
Configura Audit para que alcance la red del aula.
Prueba los comandos del SO.
Herramientas del sistema operativo. Supuesto práctico II Desde la VM XP comprueba si se
encuentra disponible el servidor W2003. Levanta firewall de servidor. Vuelve a comprobar. Desactiva el firewall de nuevo.
Desde Audit, revisa dominio de IFES y localiza: Nombre de dominio. Servidor de correo electrónico. Servidor DNS. IP de servidor Web.
¿ Qué ISP aloja el servidor ?.
Herramientas del sistema operativo. Supuesto práctico III Revisa la configuración TCP/IP del portátil.
¿ Qué valor tiene la puerta de enlace predeterminada, qué dice la tabla de rutas ?.
A todas estas, ¿ con qué IP estamos navegando ?.
Desde la VM XP revisa estadísticas netbios del servidor.
Revisa la tabla de rutas ARP del portátil. Elimina una entrada, y apúntala. Revisa la tabla de rutas. Realiza ping a la IP borrada. Échale otro vistazo a la tabla de rutas.
Herramientas del sistema operativo. Supuesto práctico IV Determina la ruta para alcanzar al servidor
Web de IFES. ¿ A quién corresponde la dirección del primer salto ?. Revisa las sesiones TCP/IP del portátil.
Localiza una sesión de navegación a IFES. Revisa las sesiones TCP/IP de la VM XP.
Analiza el cometido de cada sesión. Desde la línea de comandos la VM XP lista:
Usuarios de la máquina local. Usuarios del dominio. Máquinas en el dominio.
Herramientas de análisis de red, puertos y servicios
Nmap Netcat Nping Zenmap Sysinternals Security Utilities NirSoft
Herramientas de análisis de red. Supuesto práctico I Desde Audit relaciona los dispositivos
conectados a la red wi-fi. Desde la VM XP relaciona los
dispositivos conectados al servidor. Desde Audit revisar si la web de IFES se
encuentra disponible. ¿ Está apagada ?. Establece una conexión TCP por el
puerto de HTTP con el servidor Web de IFES. Lo mismo, pero al SMTP … y ya de paso dile hola.
Herramientas de análisis de red. Supuesto práctico II Consigue el esquema gráfico de la red
wi-fi: nombres máquinas, tipos de dispositivos, direcciones IP y servicios.
Instala el paquete Sysinternal Utilities: Chequea accesos a carpetas, y a registro. Consulta inicio automático. Consulta procesos, y sesiones TCP/IP. Entrena con PsTools: PsExec. Borrado seguro. Y un vistazo general a la suite …
Prueba NirSoft.
Análisis de vulnerabilidades
Nessus openVAS
Microsoft Baseline Security Analyzer
Análisis de vulnerabilidades. Supuesto práctico I
Microsoft Baseline Security Analyzer Instala en Audit. Realiza un escaneo del servidor. Realiza un escaneo de la red. Analiza los informes de resultados.
Análisis de vulnerabilidades. Supuesto práctico II
Instala Nessus en Audit. Realiza un escaneo básico de red. Realiza una auditoría de credenciales. Realiza un escaneo de malware para
Windows.
Analizadores de protocolos WireShark Dsniff Cain & Abel
Analizadores de protocolos. Supuesto práctico I INTECO Guía sobre análisis de tráfico con
WireShark. WireShark
Instala en Audit. Pídele que resuelva nombres. Captura una sesión de HTTP. Revisa la sesión TCP.
Prueba a rehacerla con Ncat. ¿ Qué es modo promiscuo ?. Captura un ping y analízalo. Salva una sesión para seguir analizándola más
tarde. Revisa expert info.
Analizadores de protocolos. Supuesto práctico II
Cain & Abel Instala en Audit. Échale un vistazo a la pestaña
Network y recuerda … Utiliza el sniffer.
Analizadores de páginas Web Acunetix Dirb ParosProxy Wpscan
Analizadores de páginas Web. Supuesto práctico
Probar Acunetix.
Auditoría de contraseñas
Cain & Abel ophCrack John the Ripper l0pthcrack
Auditoría de contraseñas. “password cracking” Política de contraseñas
Fuerza bruta Diccionario
Rainbow tables
/etc/shadow (John the Ripper) SAM
Auditoría de contraseñas. Caso práctico
/etc/shadow: (John the Ripper) SAM: optCrack, y Cain y Abel
Supuesto práctico Red local con:
DC Windows2003. PCs Windows XP. Servidor Linux.
Establecer requisitos de seguridad. Crear nueva prueba para DC. Plan de pruebas para DC. Emplear herramientas. Analizar resultados. Redactar informe de auditoría.