Post on 25-Jun-2015
description
TÓPICOS SELECTOS
De Hacker a C-Level
México, D.F.24 de Febrero de 2010
Master in Business Administration
Alejandro Hernándeznitrousenador@gmail.comhttp://www.brainoverflow.org
Asesor de Seguridad en TICubilFelino Security Research Labs
AGENDA
Hacker mindset
Vulnerabilidades / Investigación
Pentesting / Evaluación de vulnerabilidades / Espionaje Industrial
CVSS
Amenazas
Certificaciones
C-Level mindset
CIA Triad
Administración de Riesgos
Gobierno de TI
Estrategia de “Defensa en Profundidad”
Regulaciones, estándares y mejores prácticas
Certificaciones
Comparación de enfoques (Hacker | C-Level)
Punto de partida – Hacker
Punto de partida – C-Level
- CEO (Chief Executive Officer)
- CISO (Chief Information Security officer)
- CSO (Chief Security Officer)
HACKER MINDSET
Vulnerabilidades
Stack/Brain/Heap overflows
blah blah SQL Injections, blah blah, XSS, blah!...
CVSS
Investigación
R + D
¿En México?
De repente todos hacen “research” en (in)seguridad pero lo que no saben… Es que enviar “A”x1000000 a una aplicación, o poner <script>alert(‘h4ck3r’);</script> en cualquier formulario Web,
NO ES HACER INVESTIGACIÓN !!!
Vulnerabilidades / Investigación
Penetration Testing
Tiger Teaming
Black/Gray/White Box
Explotación táctica
Evaluación de Vulnerabilidades
Espionaje
Corporativo
Industrial
Político
CVSS (Common Vulnerability Scoring System)
Fuente: A Complete Guide to the CVSS v2.0
Malware
Ciber-crimen
Spam
Ciber-terrorismo
Botnets
Script-kiddies
Phishing
Servicios de Inteligencia?
Narcotráfico?
Y la lista sigue.. Sigue y .. Sigue !!!
Amenazas
Algunos ejemplos:
CEH(Certified Ethical Hacker)
OPST (OSSTMM Professional Security Tester)
GPEN (GIAC Certified Penetration Tester)
LPT (Licensed Penetration Tester)
CPTS (Certified Penetration Testing Specialist)
CEPT (Certified Expert Penetration Tester)
Certificaciones
C-LEVEL MINDSET
CIA Triad
Administración de Riesgos
Riesgos
The CISA Review Manual provides the following definition of risk management: "Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization."
Operacionales
Reputacionales
Internos/Externos
Naturales
Etc.
Amenazas
Probabilidad
Impacto
Contramedidas (Controles)
Gobierno de TI
The primary goals for Information Technology governance are to assure that the investments in IT generate business value, and mitigate the risks that are associated with IT. This can be done by implementing an organizational structure with well-defined roles for the responsibility of information, business processes, applications, infrastructure, etc.
Gobierno Corporativo
Cumplimiento
P.e. Sarbanes Oxley
Defensa en Profundidad
Origen militar
En vez de una sola línea de defensa, varias líneas consecutivas
Principio / Estrategia
Regulaciones, estándares y mejores prácticas
ISO 27001 / 27002
PCI – DSS
Sarbanes Oxley
CobiT
ITIL
NIST-800
CNBV (CUB)
Certificaciones
Algunos ejemplos:
CISA (Certified Information Systems Auditor)
CISM (Certified Information Security Manager)
Lead Auditor ISO 27001
CGEIT (Certified in the Governance of Enterprise IT)
CISSP (Certified Information Systems Security Professional)
CBCP (Certified Business Continuity Professional)
Finalmente… Una (divertida) COMPARACIÓN DE
ENFOQUES(Hacker | C-level)
Riesgo
• ¿Mi sniffer será detectado en modo promiscuo por la flag PROMISC en mi NIC?
• ¿Y si no completo la ejecución remota de código, y %EIP queda apuntando a una dirección de memoria inválida y el proceso me manda SIGSEGV?
• ¿Y si el BOFH (Baster Operator From Hell = Sysadmin) está conectado en el momento que ingreso y ve mi $export HISTFILE=/dev/null ?
• ¿Y si troyanizo el servidor Web Apache con mod_rootme y al reiniciar el módulo no es compatible con la versión y es imposible iniciar el demonio httpd nuevamente?
• ¿Y si al hacer back-connect el Firewall detiene mi conexión y a la ves el NIDS reporta la intrusión?
Hacker C-Level
Disponibilidad
Hacker C-Level
Herramientas de trabajo
Hacker C-Level
Lugar de trabajo
Hacker C-Level
Lecturas
Hacker C-Level
Eventos / Reuniones
Hacker C-Level
C-levels, en la sala de juntas del piso 25, discutiendo la estrategia de seguridad de la información a seguir en el próximo periodo, la cual debe estar alienada a los objetivos de la Compañía.
Mexicanos saliendo de DefCon17, haciendo wardriving desde una limosina en Las Vegas, discutiendo si los algoritmos de encripción de la redes WiFi de Casinos/Hoteles son inseguros y si la antena tiene suficiente alcance para romper las contraseñas.
hkm
nitr0us
sirdarckcat
scp
lightos
GRACIAS
México, D.F.24 de Febrero de 2010
Alejandro Hernándeznitrousenador@gmail.comhttp://www.brainoverflow.org
Asesor de Seguridad en TICubilFelino Security Research Labs