Information Assurance Management-NSA Model GSI732 – Introducción a Seguridad Carmen R. Cintrón...

Information Assurance Information Assurance Management-NSA Management-NSA

ModelModel

GSI732 – Introducción a SeguridadGSI732 – Introducción a SeguridadCarmen R. Cintrón Ferrer, 2004, Derechos ReservadosCarmen R. Cintrón Ferrer, 2004, Derechos Reservados

Fases del ProcesoFases del Proceso

Avalúo Avalúo (“Assessment”)(“Assessment”) EvaluaciónEvaluación (“Evaluation”)(“Evaluation”) Penetración Penetración (“Red Team”)(“Red Team”) Informe de HallazgosInforme de Hallazgos RecomendacionesRecomendaciones

Modelo NSA-IAMModelo NSA-IAM

Fase de avalúoFase de avalúo:: Análisis colaborativo de alto nivel (“top level”)Análisis colaborativo de alto nivel (“top level”) Avalúo de recursos de informaciónAvalúo de recursos de información Análisis de funciones críticasAnálisis de funciones críticas Recopilación y examen de:Recopilación y examen de:

Políticas de seguridadPolíticas de seguridad ProcedimientosProcedimientos Arquitectura de seguridadArquitectura de seguridad Flujo de informaciónFlujo de información

Ponderación de visión de seguridad organizaciónalPonderación de visión de seguridad organizaciónal


Fase de Evaluación:Fase de Evaluación: Pruebas de seguridad de sistemas:Pruebas de seguridad de sistemas:

““Firewalls”Firewalls” ““Routers”Routers” ““Intrusion detection systems”Intrusion detection systems” ““Network scanning”Network scanning” ““Guards”Guards”

Identificación de vulnerabilidadesIdentificación de vulnerabilidades Determinación de medidas de mitigación:Determinación de medidas de mitigación:

TécnicasTécnicas Administrativas/gerencialesAdministrativas/gerenciales OperacionalesOperacionales


Fase de Penetración:Fase de Penetración: Pruebas externas de penetraciónPruebas externas de penetración Ingeniería socialIngeniería social Simulación de adversariosSimulación de adversarios Simulación de ataquesSimulación de ataques ““Hacking the systems”Hacking the systems”

Information Assurance Information Assurance Management ModelManagement Model

Áreas a considerar:Áreas a considerar: Expectativas de la organización:Expectativas de la organización:

Protección de la infraestructuraProtección de la infraestructura Requerimientos de los aseguradoresRequerimientos de los aseguradores Requirimientos legales o reglamentariosRequirimientos legales o reglamentarios Protección de los activos de informaciónProtección de los activos de información

Restricciones o limitaciones:Restricciones o limitaciones: TiempoTiempo EconómicasEconómicas Recursos humanosRecursos humanos Cultura organizacionalCultura organizacional


Áreas a considerar Áreas a considerar (continuación)(continuación):: Premisas a definir o acordar:Premisas a definir o acordar:

Delimitación del proceso de avalúoDelimitación del proceso de avalúo Disponibilidad del personalDisponibilidad del personal Necesidad de transporte ($)Necesidad de transporte ($) Disponibilidad de documentaciónDisponibilidad de documentación Respaldo técnico y gerencial de la organizaciónRespaldo técnico y gerencial de la organización

Acuerdos vagos o pobremente definidos:Acuerdos vagos o pobremente definidos: Descripción del proyectoDescripción del proyecto Estimados de tiempo y costosEstimados de tiempo y costos ContrataciónContratación

Personal requerido:Personal requerido: Líder o gerente del proyectoLíder o gerente del proyecto Personal técnico:Personal técnico:

OperacionesOperaciones SistemasSistemas Sistemas OperativosSistemas Operativos RedesRedes SeguridadSeguridad

Técnicos de documentación de procesosTécnicos de documentación de procesos


Determinar información crítica:Determinar información crítica: Tabla de entidades y atributosTabla de entidades y atributos Información reguladaInformación regulada Tabla de datos críticos – atributos esencialesTabla de datos críticos – atributos esenciales Tabla de impactosTabla de impactos

Registrar tracto de documentos:Registrar tracto de documentos: Registro de uso y disposiciónRegistro de uso y disposición Registro de modificaciónRegistro de modificación

##


Organization Information Criticality Organization Information Criticality Matrix – Information typesMatrix – Information types

EntidadEntidad AtributosAtributosClienteCliente DirecciónDirección

TeléfonosTeléfonos

#Seguro Social#Seguro Social

BalanceBalance

Red(es)Red(es) Configuración de la redConfiguración de la red

Configuración de servidoresConfiguración de servidores

Cuentas de usuariosCuentas de usuarios

Conexion(es)Conexion(es)

Recursos HumanosRecursos Humanos Información generalInformación general

#Seguro Social#Seguro Social

Evaluaciones de personalEvaluaciones de personal

Historial de salariosHistorial de salarios

Organization Information Criticality Organization Information Criticality Matrix – Matrix – Regulatory Information typesRegulatory Information types

Tipo de informaciónTipo de información Regulación aplicableRegulación aplicableExpedientes académicosExpedientes académicos FERPAFERPA

Expedientes finacierosExpedientes finacieros GLBAGLBA

Datos médicosDatos médicos HIPAAHIPAA

Descripción de cursosDescripción de cursos

Listas de matrículaListas de matrícula

Organization Information Criticality Organization Information Criticality Matrix – Matrix – High-Water markHigh-Water mark

Tipo de Tipo de informacióninformación ConfidencialidadConfidencialidad IntegridadIntegridad DisponibilidadDisponibilidad

Expedientes Expedientes académicosacadémicos ALTAALTA ALTAALTA ALTAALTA

Expedientes Expedientes financierosfinancieros MEDIAMEDIA ALTAALTA ALTAALTA

Datos MédicosDatos Médicos ALTAALTA MEDIAMEDIA BAJABAJA

Descripción cursosDescripción cursos BAJABAJA MEDIAMEDIA ALTAALTA

Listas de matrículaListas de matrícula MEDIAMEDIA MEDIAMEDIA ALTAALTA

ALTAALTA ALTAALTA ALTAALTA

Organization Information Criticality Organization Information Criticality Matrix – Matrix – Impact definitionsImpact definitions

Pérdida Pérdida informacióninformación

ALTOALTO MEDIOMEDIO BAJOBAJO

Expedientes Expedientes académicosacadémicos

Imposibilidad Imposibilidad certificar grados y certificar grados y récordsrécords

Responsabilidad Responsabilidad legal y económicalegal y económica

Pérdida credibilidadPérdida credibilidad

Inconveniente Inconveniente personal y personal y estudiantesestudiantes

Expedientes finacierosExpedientes finacieros Pérdida confianzaPérdida confianza Pérdidas Pérdidas económicaseconómicas

Dificultad de Dificultad de ofrecer serviciosofrecer servicios

Datos médicosDatos médicos Responsabilidad Responsabilidad legal y económicalegal y económica

Pérdida credibilidadPérdida credibilidad Dificultad de Dificultad de ofrecer serviciosofrecer servicios

Descripción de cursosDescripción de cursos

Listas de matrículaListas de matrícula

Organization Information Criticality Organization Information Criticality Matrix – Matrix – Document Use TrackingDocument Use Tracking

Documento Custodio Solicitado Fecha Entregado

Fecha Fecha RecibidoRecibido

Fecha Fecha DestruídoDestruído

Organization Information Criticality Organization Information Criticality Matrix – Matrix – Document VersionTrackingDocument VersionTracking

Documento Versión Autorizado Fecha Vigencia

Reseña de Reseña de cambioscambios

Medidas de mitigación:Medidas de mitigación: Administrativas:Administrativas:

Documentación de procesos seguridadDocumentación de procesos seguridad Resposabilidades y roles de seguridadResposabilidades y roles de seguridad Planeación para contingenciasPlaneación para contingencias Administración de configuracionesAdministración de configuraciones

Operacionales:Operacionales: RotulaciónRotulación Controles del entorno y mediosControles del entorno y medios Personal de seguridadPersonal de seguridad Entorno físicoEntorno físico Programas de concienciación y educación sobre seguridadProgramas de concienciación y educación sobre seguridad


Medidas de mitigación:Medidas de mitigación: Técnicas:Técnicas:

Controles y procesos de identificación y autenticaciónControles y procesos de identificación y autenticación Manejo de cuentasManejo de cuentas Control de sesionesControl de sesiones Protección contra código maliciosoProtección contra código malicioso Auditoría de sistemasAuditoría de sistemas Mantenimiento de sistemasMantenimiento de sistemas Robustecimiento de sistemasRobustecimiento de sistemas Controles de conexividad (red)Controles de conexividad (red) Seguridad de las comunicacionesSeguridad de las comunicaciones


Informe modelo de hallazgos:Informe modelo de hallazgos: Hallazgos técnicosHallazgos técnicos Hallazgos operacionalesHallazgos operacionales Hallazgos gerencialesHallazgos gerenciales

Informe modelo recomendaciones/acción:Informe modelo recomendaciones/acción: Hallazgos técnicosHallazgos técnicos Hallazgos operacionalesHallazgos operacionales Hallazgos gerencialesHallazgos gerenciales

Modelo análisis de hallazgos y recomendacionesModelo análisis de hallazgos y recomendaciones

##


Managing the Findings – Managing the Findings – Technical FindingsTechnical Findings

Vulnerabilidad #Hallazgo Fuente del Riesgo

Nivel Impacto

ConsecuenciasConsecuencias

Msadcs.dllMsadcs.dll 11 Acceso no Acceso no autorizadoautorizado

AltoAlto Permite a un Permite a un hacker trabajar a hacker trabajar a nivel del servidor nivel del servidor con privilegios de con privilegios de administrador.administrador.

Newdsn.exeNewdsn.exe 22 Acceso no Acceso no autorizadoautorizado

AltoAlto Si NTFS no es Si NTFS no es seguro un atacante seguro un atacante puede crear puede crear archivos en archivos en cualquier parte.cualquier parte.

aexp2.htraexp2.htr 33 Acceso no Acceso no autorizadoautorizado

AltoAlto Mediante ataques Mediante ataques de fuerza bruta se de fuerza bruta se pueden descubrir pueden descubrir listas de usuarios y listas de usuarios y clavesclaves

Managing the Findings – Managing the Findings – Operational FindingsOperational Findings


Nivel Impacto


Remote terminal Remote terminal services permite services permite ir sobre controles ir sobre controles de seguridadde seguridad

11 Acceso no Acceso no autorizadoautorizado

MedioMedio Permite servicios Permite servicios de consola remota de consola remota sin autenticar o sin autenticar o auditar usuarios. auditar usuarios.

Controles de Controles de integridad y integridad y validación de validación de datos no se datos no se implantan implantan consistentementeconsistentemente

22 SabotajeSabotaje

Ataques Ataques terroristaterrorista

MedioMedio Falta de controles Falta de controles de integridad y de integridad y validación de datos validación de datos puede resultar en puede resultar en pérdida datos o pérdida datos o pérdida de pérdida de integridad de datosintegridad de datos

Audit trail no Audit trail no permite hacer permite hacer investigaciones investigaciones de incidentesde incidentes

33 SabotajeSabotaje

Ataques Ataques terroristaterrorista

MedioMedio No hay bitácoras de No hay bitácoras de Web server, otras Web server, otras bitácoras en bitácoras en depósito central.depósito central.

Managing the Findings – Managing the Findings – Management FindingsManagement Findings


Nivel Impacto


Falta separación Falta separación de funcionesde funciones

11 Modificación Modificación intencional de intencional de datosdatos

AltoAlto Administrador de Administrador de sistemas puede hacer sistemas puede hacer procesos sin registrar procesos sin registrar tracto debido a falta tracto debido a falta de recursos.de recursos.

Incidentes y Incidentes y alertas de alertas de seguridad sin seguridad sin documentardocumentar

22 Error Error administrativoadministrativo

BajoBajo Como no hay Como no hay procesos procesos documentados la documentados la respuesta a respuesta a incidentes puede incidentes puede resultar en errores de resultar en errores de juicio.juicio.

Falta proceso de Falta proceso de trámite rápida trámite rápida terminación de terminación de empleadoempleado

33 Empleado Empleado disgustadodisgustado

BajoBajo Permite que ex-Permite que ex-empleado acceda los empleado acceda los sistemas.sistemas.

Managing the Findings – Managing the Findings – Technical Findings RecommendationsTechnical Findings Recommendations

Vulnerabilidad #Hallazgo Recomendación Fecha Revisión

Acción Acción

ResponsableResponsable

Msadcs.dllMsadcs.dll 11 Instalar parchos Instalar parchos recientesrecientes

Newdsn.exeNewdsn.exe 22 Eliminar el archivo si Eliminar el archivo si no es necesario, o no es necesario, o restringir el accesorestringir el acceso

aexp2.htraexp2.htr 33 Eliminar el archivo si Eliminar el archivo si no es necesario, o no es necesario, o restringir el accesorestringir el acceso

Managing the Findings – Managing the Findings – Operational Findings RecommendationsOperational Findings Recommendations


Acción Acción


Remote terminal Remote terminal services permite services permite ir sobre controles ir sobre controles de seguridadde seguridad

11 Migrar a MS Migrar a MS Terminar services o Terminar services o imponer requsitos imponer requsitos de passwords y de passwords y auditoríaauditoría

Controles de Controles de integridad y integridad y validación de validación de datos no se datos no se implantan implantan consistentementeconsistentemente

22 Implantar Tripwire o Implantar Tripwire o cualquier otro cualquier otro proceso de control proceso de control de integridad y de integridad y validaciónvalidación

Audit trail no Audit trail no permite hacer permite hacer investigaciones investigaciones de incidentesde incidentes

33 Implantar proceso Implantar proceso de almacenamiento de almacenamiento y custodia de y custodia de bitácorasbitácoras

Managing the Findings – Managing the Findings – Management FindingsManagement Findings


Acción Acción


Falta separación Falta separación de funcionesde funciones

11 Contratar personal Contratar personal adicional encargado adicional encargado de funciones de de funciones de seguridadseguridad

Incidentes y Incidentes y alertas de alertas de seguridad sin seguridad sin documentardocumentar

22 Adoptar, diseminar y Adoptar, diseminar y adiestrar sobre adiestrar sobre procedimientos de procedimientos de respuesta a respuesta a incidentesincidentes

Falta proceso de Falta proceso de trámite rápida trámite rápida terminación de terminación de empleadoempleado

33 Actualizar y cumplir Actualizar y cumplir con proceso de con proceso de terminación de terminación de empleadoempleado

Hallazgo: Hallazgo: DRP no se ha actualizadoDRP no se ha actualizado

Categoría: Categoría: documentación de seguridad y documentación de seguridad y planificación de contingenciasplanificación de contingencias

Severidad: Severidad: AltaAlta

Discusión:Discusión: DRP provee el marco operacional requerido para DRP provee el marco operacional requerido para restaurar las operaciones en caso de una emergencia. El restaurar las operaciones en caso de una emergencia. El documento actual no incluye áreas críticas de la red, ni de servicios documento actual no incluye áreas críticas de la red, ni de servicios de conexión.de conexión.

Recomendaciones: Recomendaciones: Desarrollar un plan integral que incluya todas las sedes y Desarrollar un plan integral que incluya todas las sedes y

sistemas.sistemas. Desarrollar un plan basado en sistemas que respalda IT y Desarrollar un plan basado en sistemas que respalda IT y

probar el plan anualmente.probar el plan anualmente. Actualizar el plan existente para integrar todos los sistemas Actualizar el plan existente para integrar todos los sistemas

críticos.críticos.

Managing the Findings – Managing the Findings – Findings Analysis and RecommendationsFindings Analysis and Recommendations

ISO Network Management ModelISO Network Management Model

Fault Management:Fault Management: Análisis de vulnerabilidadesAnálisis de vulnerabilidades Pruebas de penetraciónPruebas de penetración HerramientasHerramientas

Configuration & Change Management:Configuration & Change Management: Administrar configuración de componentes de seguridadAdministrar configuración de componentes de seguridad Manejo de cambios técnicos en:Manejo de cambios técnicos en:

EstrategiasEstrategias Operaciones Operaciones Componentes de seguridadComponentes de seguridad

Manejo de cambios no técnicosManejo de cambios no técnicos

ISO Network Management ModelISO Network Management Modelrecommended toolsrecommended tools

Ethereal Ethereal (www.ehtereal.com) – Network Protocol analyzer(www.ehtereal.com) – Network Protocol analyzer

Nessus Nessus (www.nessus.org) – Remote security scanner(www.nessus.org) – Remote security scanner

NMAP NMAP (www.nmap.org) – Network vulnerability tester(www.nmap.org) – Network vulnerability tester

Snort Snort (www.snort.org) – Network Intrussion Detection System(www.snort.org) – Network Intrussion Detection System

Sam Spade Sam Spade (www.samspade.org) Linux/Unix toolbox:(www.samspade.org) Linux/Unix toolbox:

PingPing DigDig Web-BrowserWeb-Browser Usenet cancel Usenet cancel checkcheck

Blacklist Blacklist lookuplookup

NslookupNslookup TracerouteTraceroute Keep-aliveKeep-alive Web site Web site downloaddownload

Abuse.net Abuse.net queryquery

WhoisWhois FingerFinger DNS zone transferDNS zone transfer Web site Web site searchsearch

TimeTime

Ip block Ip block WhoisWhois

SMTP VRFYSMTP VRFY SMTP relay checkSMTP relay check E-mail header E-mail header analysisanalysis

ISO Network Management ModelISO Network Management Model Accounting and Auditing Management:Accounting and Auditing Management:

Contabilidad de costos (“charge back”)Contabilidad de costos (“charge back”) Creación, revisión, almacén y disposición de BitácorasCreación, revisión, almacén y disposición de Bitácoras

Performance Management:Performance Management: Estándares (“baselines”) y Métricas de tráficoEstándares (“baselines”) y Métricas de tráfico Estándares (“baselines”) y Métricas de serviciosEstándares (“baselines”) y Métricas de servicios Estándares (“baselines”) y Métricas sobre consumo de ancho de Estándares (“baselines”) y Métricas sobre consumo de ancho de

bandabanda

Security Program Management (BS7799/ISO17799):Security Program Management (BS7799/ISO17799): PlanificarPlanificar HacerHacer VerificarVerificar ActuarActuar

Planificar:Planificar: Análisis de riesgosAnálisis de riesgos Análisis de vulnerabilidadesAnálisis de vulnerabilidades Determinación de impactoDeterminación de impacto

Hacer:Hacer: Adoptar e implantar controles internos para administrar riesgosAdoptar e implantar controles internos para administrar riesgos

Verificar:Verificar: Verificación periódica de cumplimientoVerificación periódica de cumplimiento Validación de efectividadValidación de efectividad

Actuar:Actuar: Desarrollar planes de respuesta a incidentesDesarrollar planes de respuesta a incidentes Adoptar procedimiento para restauración o recuperaciónAdoptar procedimiento para restauración o recuperación

ISO Network Management Model ISO Network Management Model Security Program Management (BS7799/ISO17799)Security Program Management (BS7799/ISO17799)

Proceso de mantenimiento:Proceso de mantenimiento: Examen y pruebas externasExamen y pruebas externas Examen y pruebas internasExamen y pruebas internas Acopio de riesgos, amenazas y ataquesAcopio de riesgos, amenazas y ataques Avalúo de impactosAvalúo de impactos Actualizar base datos de riesgos, amenazas y ataquesActualizar base datos de riesgos, amenazas y ataques Reaccionar a incidentesReaccionar a incidentes Tomar medidas de mitigación o eliminaciónTomar medidas de mitigación o eliminación Actualizar base de datos de vulnerabilidadesActualizar base de datos de vulnerabilidades Documentar y actualizar procedimientosDocumentar y actualizar procedimientos


Recopilación de datos Recopilación de datos (IDS- análisis diferencial):(IDS- análisis diferencial):

Reglas del FirewallReglas del Firewall Reglas del Router (Border /edge)Reglas del Router (Border /edge) Presencia en InternetPresencia en Internet Listas de direcciones IP internasListas de direcciones IP internas Servicios críticos en servidores internosServicios críticos en servidores internos Listas de direcciones IP externasListas de direcciones IP externas Servicios críticos en servidores externosServicios críticos en servidores externos


Avalúo de riesgos de seguridad operacional:Avalúo de riesgos de seguridad operacional: Conexividad de la redConexividad de la red ModemsModems Conexión con socios de negociosConexión con socios de negocios AplicacionesAplicaciones PrivacidadPrivacidad VulnerabilidadVulnerabilidad Cambios en la organización Cambios en la organización (“acquisition/divestiture”)(“acquisition/divestiture”)


Avalúo de vulnerabilidades:Avalúo de vulnerabilidades: InternetInternet IntranetIntranet Plataforma de sistemas Plataforma de sistemas

errores de configuración en sistemas operativoserrores de configuración en sistemas operativos Documentación de cambiosDocumentación de cambios

Red inalámbricaRed inalámbrica

Documentación de hallazgosDocumentación de hallazgos Corrección:Corrección:

Aceptación de riesgosAceptación de riesgos Eliminación de amenazasEliminación de amenazas Corrección de vulnerabilidadesCorrección de vulnerabilidades


Actualización y ejecución:Actualización y ejecución: Revisión de políticas y procedimientosRevisión de políticas y procedimientos Revisión de componentes primariosRevisión de componentes primarios Simulacros y pruebasSimulacros y pruebas


Information Assurance Management-NSA Model GSI732 – Introducción a Seguridad Carmen R. Cintrón...

Documents

Transcript of Information Assurance Management-NSA Model GSI732 – Introducción a Seguridad Carmen R. Cintrón...