Introducción - Conceptos Básicos de Seguridad-1

CONCEPTOS
BASICOS DE
SEGURIDAD
Diseño e implementación de Seguridades
705
Ing. Ivette Carrera M
© Universidad de Guayaquil Sesión 1
2016
Unidad 1
1. Conceptos Importantes
2. Pilares Fundamentales de la Seguridad (CIA)
3. Amenazas Internas
4. Amenazas Externas
5. Fases de un ataque y defensas

2016
Objetivos
• Definir conceptos importantes de la seguridad de la información
• Comprender los Pilares Fundamentales de la Seguridad (CIA)
• Identificar las amenazas internas y externas
• Comprender las fases de un ataque y los mecanismos de
defensa de cada una de ellas

2016
Definición de Seguridad Informática
“Measures and controls that ensure confidentiality, integrity, and availability

of information system assets including hardware, software, firmware, and
information being processed, stored, and communicated.”
http://nvlpubs.nist.gov/nistpubs/ir/2013/NIST.IR.7298r2.pdf

2016
Definición de Seguridad de la Información
• Proteger la información de un amplio espectro de

amenazas, a efectos de asegurar la continuidad del
negocio, minimizar los daños a la organización y maximizar
el retorno de inversiones y las oportunidades del negocio.

2016
Conceptos Importantes

2016
Conceptos Importantes
• Identificación
• Autenticación
• Autorización
• Control de acceso
• Accountability
• No repudio

2016
Identificación:
• Profesar una identidad:

2016
Autenticación
• Confirmar una identidad con el fin de acceder a un objeto
Profesar Identidad
Verificar Identidad
Objeto

2016
Autenticación:
• Propiedad de ser genuino, verificable y confiable
• Algo que conoces:
• Algo que posees:
• Algo que tu eres:

2016
Autorización
• Qué es Autorización?
• Permisos para acceder a un recurso después de ser
autenticado:

2016
Control de acceso
• Medidas tomadas para restringir el acceso a un recurso

2016
Accountability
• Propiedad que asegura que las acciones de una entidad
sean rastreadas exclusivamente a esa entidad.

2016
No-Repudio
• Repudio = Negar un evento ocurrido
• No-Repudio = No poder negar un evento occurrido

2016
Pilares Fundamentales de la Seguridad

2016
Pilares Fundamentales de la Seguridad – El triángulo CIA

2016
Confidencialidad
• Previene la divulgación de información a usuarios no
autorizados a través de:
• Autenticación/Control de Accesso/Autorización
• Criptografía / Encriptación
• Protege:
• Privacidad de información personal
• Información propiedad de una compañía
• Información médica (HIPAA)
2016
Criptografía
• “Art or science concerning the principles, means, and

methods for rendering plain information unintelligible
and for restoring encrypted information to intelligible
form.“

2016
Encriptación
• “Conversion of plaintext to ciphertext through the use of a
cryptographic algorithm.”
• Algoritmo Criptográfico = Cifrador
• Cifradores bien conocidos: AES, DES, 3DES, RC4
• 2 técnicas principales:
• Encriptación simétrica (clave privada)
• Encriptación asimétrica (clave pública)
2016
Ataques contra la confidencialidad

2016
Ataques contra la confidencialidad

2016
Integridad
• Protege contra la modificación o destrucción de datos que
se están almacenando o en tránsito.
• Técnicas para verificar la integridad de los datos:
• Message Digests (MD5, SHA-1, SHA-2)
• Message Authentication/Integrity Codes (MAC/MIC)
• Checksums (Cyclic Redundancy Check (CRC), Frame
Check Sequence (FCS))
• Comparaciones (diff en Linux, FC en Windows)
2016
Ejemplo de Integridad:

2016
Ataques contra la integridad

2016
Disponibilidad
• Asegurar que se pueda acceder a los datos y servicios de
una manera oportuna y confiable
• Técnicas para asegurar la disponibilidad:
• Redundancia
• Disco, Servidor, Red, Almacenamiento, Sitio
• Backups (Respaldos)
• UPS
• Control del ambiente
2016
Ejemplo de Redundancia en Disco:
http://technet.microsoft.com/en-us/library/cc966420.aspx

2016
Ejemplo de Redundancia en Servidor/Red/Almacenamiento/Sitio:
http://social.technet.microsoft.com/forums/
windowsserver/en-US/623ccb66-af91-4218-
b373-4660bfd9df9b/single-node-different-
vlan-clustering-networking-setup

2016
Ataques contra la disponibilidad

2016
Herramienta DDoS Anonymous contra la disponibilidad

2016
Desafíos
• Mantener la DISPONIBILIDAD mientras se garantiza la
seguridad de la organización
• Obtener la aceptación de la alta dirección
• Usuarios ven a la seguridad como un impedimento a la
eficiencia
• Permanecer un paso más adelante de los atacantes
• Selección y ubicación de la infraestructura de seguridad
• Seguridad requiere monitoreo constante y regular
2016
Conceptos y Relaciones de Seguridad

2016
Tipos de Seguridad

2016
Tipos de Seguridad
Activa
Comprende el conjunto de defensas o medidas cuyo objetivo es
evitar o reducir los riesgos que amenazan al sistema
• Impedir el acceso a la información a usuarios no autorizados
mediante introducción de nombres de usuario y contraseñas
• Evitar la entrada de virus instalando un antivirus
• Impedir, mediante encriptación, la lectura no autorizada de
mensajes

2016
Tipos de Seguridad
Pasiva
Está formada por las medidas que se implantan para, una vez
producido el incidente de seguridad, minimizar su repercusión y
facilitar la recuperación del sistema
• Tener siempre al día copias de seguridad de los datos.

2016
Amenazas
Se entiende por amenaza la presencia de uno o más

factores de diversa índole (personas, máquinas o sucesos)
que – de tener la oportunidad– atacarían al sistema
produciéndole daños aprovechándose de su nivel de
vulnerabilidad.

2016
Amenazas
En función del tipo de alteración, daño o intervención que

podrían producir sobre la información, las amenazas se
clasifican en 4 grupos:
De interrupción: El objetivo de la amenaza es deshabilitar el

acceso a la información
• Destruir componentes físicos como el disco duro,
bloqueando el acceso a los datos, o cortando o saturando
los canales de comunicación.
2016
Amenazas
De interceptación: Personas, programas o equipos no

autorizados podrían acceder a un determinado recurso del
sistema y captar información confidencial de la organización,
como pueden ser datos, programas o identidad de personas.

2016
Amenazas
De modificación: Personas, programas o equipos no autorizados no

solamente accederían a los programas y datos de un sistema de
información sino que además los modificarían.
• Modificar la respuesta enviada a un usuario conectado o alterar el

comportamiento de una aplicación instalada.

2016
Amenazas
De fabricación: Agregan información falsa en el conjunto de

información del sistema.

2016
Amenazas Internas

2016
Amenazas Internas
Iniciadas dentro del perímetro de seguridad:
• Claves Débiles
• Bombas Lógicas
• Web Defacement
• Usuarios borran información (accidentalmente o a propósito)
• Robo de propiedad intelectual
• Archivos compartidos
• Rogue AP
• Código Inseguro
• Usar sistemas para atacar a otras organizaciones
• Ingeniería Social y Phishing
2016
Educación de los usuarios/Awareness Training
• Contraseñas fuertes
• Tácticas de Ingeniería Social
• Tácticas de Phishing

2016
Phishing

2016
Campañas de Phishing – Temas más usados

2016
Campañas de Phishing – Temas más usados

2016
Ejemplo de un mail legítimo

2016
Cabeceras de correo legítimas

2016

2016

2016
Cabeceras de correo legítimas - Verificar IP del
Emisor

2016
Fuente de Email legítima - Dominio Correcto

2016
Amenazas Externas

2016
Amenazas externas
Iniciadas fuera del perímetro de seguridad:
• Web Exploit Kits / Sitios Maliciosos

• Malware (Rootkits, Virus, Gusanos, etc.)
• Ingeniería Social o Phishing
• Tailgating
• DoS / DDoS
• Ataque del intruso / Elevar Acceso / Backdoor
2016
Atacantes externos

2016
Web Exploit Kits

2016
Exploit kits web comunes
• Darkleech
• Blackhole
• Crimeboss
• Nuclear
• Sweet Orange
• Cool Exploit Kit
• Redkit
• Neutrino
2016
Tipos de malware
• Adware
• Virus
• Spyware
• Worm
• Keylogger
• Trojan
• Backdoor
• Bot/Botnet
• Logic Bomb
• Rootkit
• Ransomware
• Fake A/V Trojan
• Downloader Trojan
2016
5 fases de un ataque
1. Reconocimiento
2. Escaneo
3. Ganar Acceso
• Nivel de Red
• Nivel de SO/ APP
• Elevando acceso
• DOS
4. Mantener Acceso
5. Cubrir huellas
2016
Defensas contra reconocimiento
1. Registro de dominio anónimo

2. Deshabilitar transferencias de zonas DNS
3. Limitar info en medios sociales y en búsquedas
4. Limitar info de tecnología en anuncios de trabajo

2016
Defensas contra escaneo
1. Remover o asegurar modems

2. IDS wireless
3. Deshabilitar peticiones ICMP
4. Bloquear Ips
5. Deshabilitar puertos y servicios no utilizados

2016
Defensas contra ganar acceso
A nivel de Red:
1. IDS/IPS
2. Firewalls
3. Tablas ARP
4. Detectores de Sniffers
5. Seguridad en puertos a nivel de switches
6. SSH
2016
A nivel de SO/APP:
1. Patches
2. Data Execution Prevention en windows
3. Verificar el tamaño de las entradas del usuario en
aplicaciones
4. Revisar código
5. Monitorear tráfico saliente
6. A/V
2016
Elevar acceso:
1. Claves fuertes
2. Monitorear el usuario sudo/admin
3. Deshabilitar usuarios no utilizados
4. Utilizar menos privilegios
5. Verificar por setuid/setgid de aplicaciones con acceso
de root
2016
DOS:
1. Patches
2. IPS
3. Deshabilitar servicios innecesarios
4. Filtros anti-spoof en gateways
5. Contactar ISP para bloquear ataques

2016
Defensas contra mantener acceso
1. Sistemas hardenizados
2. Monitorear tráfico (alertas IDS)
3. Buscar por registros modificados o nuevos servicios
4. Borrar backdoors
5. Monitorear el regreso del atacante

2016
Defensas contra cubrir rastros
1. Enviar logs a un servidor diferente

2. Verificar la integridad de los archivos de logs

2016
Vulnerabilidades
• Probabilidad de que una amenaza se materialice contra un
activo.
• No todos los activos son vulnerables a las mismas
amenazas.
• Por ejemplo, los datos son vulnerables a la acción de los
hackers, mientras que una instalación eléctrica es
vulnerable a un cortocircuito.

2016
Defense in Depth

2016
Questions???

2016

Introducción - Conceptos Básicos de Seguridad-1

Загружено:

Сведения о документе

Авторское право

Доступные форматы

Поделиться этим документом

Поделиться или встроить документ

Параметры публикации

Этот документ был вам полезен?

Это неприемлемый материал?

Авторское право:

Доступные форматы

Introducción - Conceptos Básicos de Seguridad-1

Загружено:

Авторское право:

Доступные форматы

CONCEPTOS

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

“Measures and controls that ensure confidentiality, integrity, and availability

Diseño e implementación de Seguridades

• Proteger la información de un amplio espectro de

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

• Algo que conoces:

• Algo que posees:

• Algo que tu eres:

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

• “Art or science concerning the principles, means, and

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

• Tener siempre al día copias de seguridad de los datos.

Diseño e implementación de Seguridades

Se entiende por amenaza la presencia de uno o más

Diseño e implementación de Seguridades

En función del tipo de alteración, daño o intervención que

De interrupción: El objetivo de la amenaza es deshabilitar el

De interceptación: Personas, programas o equipos no

Diseño e implementación de Seguridades

De modificación: Personas, programas o equipos no autorizados no

• Modificar la respuesta enviada a un usuario conectado o alterar el

Diseño e implementación de Seguridades

De fabricación: Agregan información falsa en el conjunto de

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

• Web Exploit Kits / Sitios Maliciosos

Diseño e implementación de Seguridades

Diseño e implementación de Seguridades

1. Registro de dominio anónimo

Diseño e implementación de Seguridades

1. Remover o asegurar modems