(NSA) para “Information Assurance”.
Download
Report
Transcript (NSA) para “Information Assurance”.
Information Assurance
Management-NSA
Model
GSI732 – Introducción a Seguridad
Carmen R. Cintrón Ferrer, 2004, Derechos Reservados
Fases del Proceso
Avalúo
(“Assessment”)
Evaluación (“Evaluation”)
Penetración (“Red Team”)
Informe de Hallazgos
Recomendaciones
Modelo NSA-IAM
Fase de avalúo:
Análisis colaborativo de alto nivel (“top level”)
Avalúo de recursos de información
Análisis de funciones críticas
Recopilación y examen de:
Políticas de seguridad
Procedimientos
Arquitectura de seguridad
Flujo de información
Ponderación de visión de seguridad organizaciónal
Modelo NSA-IAM
Fase de Evaluación:
Pruebas de seguridad de sistemas:
“Firewalls”
“Routers”
“Intrusion detection systems”
“Network scanning”
“Guards”
Identificación de vulnerabilidades
Determinación de medidas de mitigación:
Técnicas
Administrativas/gerenciales
Operacionales
Modelo NSA-IAM
Fase de Penetración:
Pruebas externas de penetración
Ingeniería social
Simulación de adversarios
Simulación de ataques
“Hacking the systems”
Information Assurance
Management Model
Áreas a considerar:
Expectativas de la organización:
Protección de la infraestructura
Requerimientos de los aseguradores
Requirimientos legales o reglamentarios
Protección de los activos de información
Restricciones o limitaciones:
Tiempo
Económicas
Recursos humanos
Cultura organizacional
Information Assurance
Management Model
Áreas a considerar (continuación):
Premisas a definir o acordar:
Delimitación del proceso de avalúo
Disponibilidad del personal
Necesidad de transporte ($)
Disponibilidad de documentación
Respaldo técnico y gerencial de la organización
Acuerdos vagos o pobremente definidos:
Descripción del proyecto
Estimados de tiempo y costos
Contratación
Information Assurance
Management Model
Personal requerido:
Líder o gerente del proyecto
Personal técnico:
Operaciones
Sistemas
Sistemas Operativos
Redes
Seguridad
Técnicos de documentación de procesos
Information Assurance
Management Model
Determinar información crítica:
Tabla de entidades y atributos
Información regulada
Tabla de datos críticos – atributos esenciales
Tabla de impactos
Registrar tracto de documentos:
Registro de uso y disposición
Registro de modificación
#
Organization Information Criticality
Matrix – Information types
Entidad
Atributos
Cliente
Dirección
Teléfonos
#Seguro Social
Balance
Red(es)
Configuración de la red
Configuración de servidores
Cuentas de usuarios
Conexion(es)
Recursos Humanos
Información general
#Seguro Social
Evaluaciones de personal
Historial de salarios
Organization Information Criticality
Matrix – Regulatory Information types
Tipo de información
Regulación aplicable
Expedientes académicos
FERPA
Expedientes finacieros
GLBA
Datos médicos
HIPAA
Descripción de cursos
Listas de matrícula
Organization Information Criticality
Matrix – High-Water mark
Tipo de
información
Confidencialidad
Integridad
Disponibilidad
Expedientes
académicos
ALTA
ALTA
ALTA
Expedientes
financieros
MEDIA
ALTA
ALTA
Datos Médicos
ALTA
MEDIA
BAJA
Descripción cursos
BAJA
MEDIA
ALTA
Listas de matrícula
MEDIA
MEDIA
ALTA
ALTA
ALTA
ALTA
Organization Information Criticality
Matrix – Impact definitions
Pérdida
información
ALTO
MEDIO
BAJO
Expedientes
académicos
Imposibilidad
certificar grados y
récords
Responsabilidad
Inconveniente
legal y económica
personal y
Pérdida credibilidad estudiantes
Expedientes finacieros
Pérdida confianza
Pérdidas
económicas
Datos médicos
Responsabilidad
legal y económica
Pérdida credibilidad Dificultad de
ofrecer servicios
Descripción de cursos
Listas de matrícula
Dificultad de
ofrecer servicios
Organization Information Criticality
Matrix – Document Use Tracking
Documento
Custodio
Solicitado
Fecha
Entregado
Fecha
Recibido
Fecha
Destruído
Organization Information Criticality
Matrix – Document VersionTracking
Documento
Versión
Autorizado
Fecha
Vigencia
Reseña de
cambios
Information Assurance
Management Model
Medidas de mitigación:
Administrativas:
Documentación de procesos seguridad
Resposabilidades y roles de seguridad
Planeación para contingencias
Administración de configuraciones
Operacionales:
Rotulación
Controles del entorno y medios
Personal de seguridad
Entorno físico
Programas de concienciación y educación sobre seguridad
Information Assurance
Management Model
Medidas de mitigación:
Técnicas:
Controles y procesos de identificación y autenticación
Manejo de cuentas
Control de sesiones
Protección contra código malicioso
Auditoría de sistemas
Mantenimiento de sistemas
Robustecimiento de sistemas
Controles de conexividad (red)
Seguridad de las comunicaciones
Information Assurance
Management Model
Informe modelo de hallazgos:
Hallazgos técnicos
Hallazgos operacionales
Hallazgos gerenciales
Informe modelo recomendaciones/acción:
Hallazgos técnicos
Hallazgos operacionales
Hallazgos gerenciales
Modelo análisis de hallazgos y recomendaciones
#
Managing the Findings –
Technical Findings
Vulnerabilidad #Hallazgo
Fuente del
Riesgo
Nivel
Impacto
Consecuencias
Msadcs.dll
1
Acceso no
autorizado
Alto
Permite a un
hacker trabajar a
nivel del servidor
con privilegios de
administrador.
Newdsn.exe
2
Acceso no
autorizado
Alto
Si NTFS no es
seguro un atacante
puede crear
archivos en
cualquier parte.
aexp2.htr
3
Acceso no
autorizado
Alto
Mediante ataques
de fuerza bruta se
pueden descubrir
listas de usuarios y
claves
Managing the Findings –
Operational Findings
Vulnerabilidad #Hallazgo
Remote terminal
services permite
ir sobre controles
de seguridad
1
Fuente del
Riesgo
Nivel
Impacto
Consecuencias
Acceso no
autorizado
Medio
Permite servicios
de consola remota
sin autenticar o
auditar usuarios.
Controles de
2
integridad y
validación de
datos no se
implantan
consistentemente
Sabotaje
Ataques
terrorista
Medio
Falta de controles
de integridad y
validación de datos
puede resultar en
pérdida datos o
pérdida de
integridad de datos
Audit trail no
permite hacer
investigaciones
de incidentes
Sabotaje
Ataques
terrorista
Medio
No hay bitácoras
de Web server,
otras bitácoras en
depósito central.
3
Managing the Findings –
Management Findings
Vulnerabilidad #Hallazgo
Fuente del
Riesgo
Nivel
Impacto
Consecuencias
Falta separación
de funciones
1
Modificación Alto
intencional de
datos
Administrador de
sistemas puede hacer
procesos sin registrar
tracto debido a falta
de recursos.
Incidentes y
alertas de
seguridad sin
documentar
2
Error
Bajo
administrativo
Como no hay
procesos
documentados la
respuesta a
incidentes puede
resultar en errores de
juicio.
Falta proceso de
trámite rápida
terminación de
empleado
3
Empleado
disgustado
Permite que exempleado acceda los
sistemas.
Bajo
Managing the Findings –
Technical Findings Recommendations
Vulnerabilidad
#Hallazgo
Recomendación
Msadcs.dll
1
Instalar parchos
recientes
Newdsn.exe
2
Eliminar el archivo si
no es necesario, o
restringir el acceso
aexp2.htr
3
Eliminar el archivo si
no es necesario, o
restringir el acceso
Fecha
Revisión
Acción
Responsable
Managing the Findings –
Operational Findings Recommendations
Vulnerabilidad #Hallazgo Recomendación
Remote terminal
services permite
ir sobre controles
de seguridad
1
Migrar a MS
Terminar services o
imponer requsitos
de passwords y
auditoría
Controles de
2
integridad y
validación de
datos no se
implantan
consistentemente
Implantar Tripwire o
cualquier otro
proceso de control
de integridad y
validación
Audit trail no
permite hacer
investigaciones
de incidentes
Implantar proceso
de almacenamiento
y custodia de
bitácoras
3
Fecha
Revisión
Acción
Responsable
Managing the Findings –
Management Findings
Vulnerabilidad
#Hallazgo
Recomendación
Falta separación
de funciones
1
Contratar personal
adicional encargado
de funciones de
seguridad
Incidentes y
alertas de
seguridad sin
documentar
2
Adoptar, diseminar y
adiestrar sobre
procedimientos de
respuesta a
incidentes
Falta proceso de
trámite rápida
terminación de
empleado
3
Actualizar y cumplir
con proceso de
terminación de
empleado
Fecha
Revisión
Acción
Responsable
Managing the Findings –
Findings Analysis and Recommendations
Hallazgo:
DRP no se ha actualizado
Categoría:
documentación de seguridad y
planificación de contingencias
Severidad:
Discusión:
Alta
DRP provee el marco operacional requerido
para restaurar las operaciones en caso de una emergencia. El
documento actual no incluye áreas críticas de la red, ni de servicios
de conexión.
Recomendaciones:
Desarrollar un plan integral que incluya todas las sedes y
sistemas.
Desarrollar un plan basado en sistemas que respalda IT y
probar el plan anualmente.
Actualizar el plan existente para integrar todos los sistemas
críticos.
ISO Network Management Model
Fault Management:
Análisis de vulnerabilidades
Pruebas de penetración
Herramientas
Configuration & Change Management:
Administrar configuración de componentes de seguridad
Manejo de cambios técnicos en:
Estrategias
Operaciones
Componentes de seguridad
Manejo de cambios no técnicos
ISO Network Management Model
recommended tools
Ethereal (www.ehtereal.com) – Network Protocol analyzer
Nessus (www.nessus.org) – Remote security scanner
NMAP (www.nmap.org) – Network vulnerability tester
Snort (www.snort.org) – Network Intrussion Detection System
Sam Spade (www.samspade.org) Linux/Unix toolbox:
Ping
Dig
Web-Browser
Usenet cancel
check
Blacklist
lookup
Nslookup
Traceroute
Keep-alive
Web site
download
Abuse.net
query
Whois
Finger
DNS zone transfer
Web site
search
Time
Ip block
Whois
SMTP VRFY SMTP relay check
E-mail header
analysis
ISO Network Management Model
Accounting and Auditing Management:
Contabilidad de costos (“charge back”)
Creación, revisión, almacén y disposición de Bitácoras
Performance Management:
Estándares (“baselines”) y Métricas de tráfico
Estándares (“baselines”) y Métricas de servicios
Estándares (“baselines”) y Métricas sobre consumo de ancho de
banda
Security Program Management (BS7799/ISO17799):
Planificar
Hacer
Verificar
Actuar
ISO Network Management Model
Security Program Management (BS7799/ISO17799)
Planificar:
Análisis de riesgos
Análisis de vulnerabilidades
Determinación de impacto
Hacer:
Adoptar e implantar controles internos para administrar riesgos
Verificar:
Verificación periódica de cumplimiento
Validación de efectividad
Actuar:
Desarrollar planes de respuesta a incidentes
Adoptar procedimiento para restauración o recuperación
ISO Network Management Model
Proceso de mantenimiento:
Examen y pruebas externas
Examen y pruebas internas
Acopio de riesgos, amenazas y ataques
Avalúo de impactos
Actualizar base datos de riesgos, amenazas y ataques
Reaccionar a incidentes
Tomar medidas de mitigación o eliminación
Actualizar base de datos de vulnerabilidades
Documentar y actualizar procedimientos
ISO Network Management Model
Recopilación de datos (IDS- análisis diferencial):
Reglas del Firewall
Reglas del Router (Border /edge)
Presencia en Internet
Listas de direcciones IP internas
Servicios críticos en servidores internos
Listas de direcciones IP externas
Servicios críticos en servidores externos
ISO Network Management Model
Avalúo de riesgos de seguridad operacional:
Conexividad de la red
Modems
Conexión con socios de negocios
Aplicaciones
Privacidad
Vulnerabilidad
Cambios en la organización (“acquisition/divestiture”)
ISO Network Management Model
Avalúo de vulnerabilidades:
Internet
Intranet
Plataforma de sistemas
errores de configuración en sistemas operativos
Documentación de cambios
Red inalámbrica
Documentación de hallazgos
Corrección:
Aceptación de riesgos
Eliminación de amenazas
Corrección de vulnerabilidades
ISO Network Management Model
Actualización y ejecución:
Revisión de políticas y procedimientos
Revisión de componentes primarios
Simulacros y pruebas