Mostrando entradas con la etiqueta seguridad informática. redes de información IP. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad informática. redes de información IP. Mostrar todas las entradas

viernes, 6 de febrero de 2015

Apuntes sobre la estadística de ataques a redes de información

El Ministro de Asuntos Exteriores y Cooperación, hizo en el día de ayer unas declaraciones que apuntaban que nuestro país había sufrido durante 2014 más de 70.000 ataques informáticos. Surge la oportunidad, y os cuento algunas cosas relacionadas.



Figura 1. Enlace a la noticia.

Para conocer en profundidad esas estadísticas, las Administraciones Públicas con competencias, emiten informes periódicos que nos ayudan a evaluar vulnerabilidades, riesgos, amenazas, tendencias, etcétera. 

 Figura 2. Enlace al informe CCN-CERT. CNI.


Según este informe, fueron 12.000 los incidentes registrados entre Enero - Octubre de 2014 presentación.

Figura 3: Estadísticas de incidentes detectados.


¿Cómo lo hacen? Pues a través de sondas IDS y los motores de correlación de eventos desplegados entorno al conocimiento de la industria de seguridad.

Figura 4: Esquema monitorización.

Las monitorizaciones se realizan en las redes de las Administraciones Públicas, pero también entorno a las infraestrucuturas críticas. Ambos, conforman el total de los incidentes registrados en los informes.

Figura 4: Enlace CNPIC.

Esos datos son completados por Incibe que entre otros servicios, se encarga de registrar la detección y el reporte de incidentes en cualquier empresa o a cualquier ciudadano.

Figura 5: Enlace a las herramientas de Incibe.

Añadimos, algunas Comunidades Autónomas también cuentan con CERT Regionales.


Figura 6. CERT-Regionales.

Por último, contamos incidentes registrados por el Grupo de Delitos Telemáticos de la Guardia Civil. y la Brigada de Investigación Tecnológica de la Policía. 



Es viernes, puede estar bien... no obstante, en futuros post ampliaremos la información sobre ciberseguridad, con más detalles sobre los tipos de incidentes registrados por cada organismo, el Mando Unificado de Ciberdefensa, el Esquema Nacional de Ciberseguridad y muchos otros contenidos de los que estamos seguros, estáis deseando conocer más. 
Publicado por en No hay comentarios:
Etiquetas: ,

jueves, 5 de febrero de 2015

Estándares de evaluación en Seguridad Informática


Continuamos avanzando en la divulgación de material que nos ayude conformar una guía para abordar los procesos de gestión de riesgos relacionados con la información en las organizaciones, y abordar en detalle las diferentes áreas de seguridad de la información, y garantizar la evaluación de la seguridad en redes IP de una forma estructura y lógica.
Estándares de evaluación reconocidos
Hoy toca, puesto que nuestro objetivo es ofrecer una metodología testada en base a nuestra experiencia, trabajar los estándares de evaluación reconocidos en países como Estados Unidos, Reino Unido, y otras asociaciones de estándares. Más adelante analizaremos las del ámbito europeo, y ampliaremos las que hoy explicamos.
Conforme a los estándares de pruebas de penetración gubernamentales utilizadas en los países citados, a continuación comentamos los programas de acreditación:
    • Estados Unidos: NSA IAM.
    • Reino Unido: CESG CHECK.
    • Otras: MasterCard, SDP, CREST, CEH, y OSSTMM.
NSA IAM

La Agencia de Seguridad de los Estados Unidos (NSA) creó un entorno de trabajo IAM (INFOSEC Assesment Methodology) para ayudar a consultores y profesionales de la seguridad que no pertenecieran a la NSA y a proporcionar servicios de evaluación a clientes en línea con un estándar reconocido.

NSA IAM WWW.IATRP.COM
El entorno de trabajo IAM define tres niveles de evaluación relacionados con el testeo de redes informáticas basadas en IP.
    • Evaluación: El nivel 1 implica realizar una descripción cooperativa de alto nivel de la organización que se va a evaluar, incluyendo el acceso a políticas, procedimientos y flujos de información. En este nivel no se realiza ninguna prueba práctica sobre redes o sistemas.
    • Valoración: El nivel 2 es un proceso práctico cooperativo que implica la realización de pruebas con herramientas de explotación y penetración de redes, y el uso de conocimientos técnicos específicos.
    • Equipo Rojo: El nivel 3 es no cooperativo y es externo a la red objetivo de la prueba, e implica pruebas de penetración que simulen al adversario apropiado. La evaluación IAM no es intrusiva, de forma que dentro de este marco de trabajo, una evaluación de nivel 3 supone un completo conocimiento sobre las vulnerabilidades.
Nosotros, en nuestros post-guía abarcaremos la exploración técnica de redes y las técnicas de evaluación utilizadas dentro de los niveles 2 (Valoración) y 3 (Equipo Rojo) del entorno de trabajo IAM, ya que la evaluación del nivel 1 implica la recopilación de información de alto nivel, como las políticas de seguridad.
CESG CHECK
El GCHQ del Reino Unido dispone de un brazo de protección de la información conocido como el CESG. Del mismo modo que el entorno de trabajo NSA IAM permite a los consultores de seguridad que no pertenezcan al NSA proporcionar servicios evaluación, el CESG dispone de un programa conocido como CHECK para evaluar y acreditar, dentro del Reino Unido, a equipos destinados a realizar pruebas de seguridad que vayan a realizar trabajos de evaluación para el gobierno. La página web del CESG CHECK es accesible desde:

A diferencia del NSA IAM, que cubre muchos aspectos de la seguridad de la información (revisión de la política de seguridad, antivirus, copias de seguridad y recuperación de la información tras tener problemas), CHECK afronta directamente el área de la evaluación de la que abarca la seguridad de la información en un sentido más amplio y afronta áreas como e BS7799, la creación de política de seguridad y la auditoría.
Para acreditar correctamente a los consultores CHECK, el CESG realiza un curso de asalto para probar técnicas y métodos de ataque y penetración demostrados por los asistentes. El curso de asalto del CESG CHECK enumera las áreas de competencia técnica relacionadas con la evaluación de la seguridad de redes:
  • Utilización de las herramientas de recuperación de la información DNS, tanto para un único registro como para múltiples registros.
  • Utilización de mapeos de redes ICMP, TCP y UDP, y la utilización de herramientas de exploración.
  • Demostración de la obtención del servicio de encabezado TCP.
  • Recuperación de la información utilizando SNMP, incluyendo la comprensión de la estructura MIB relacionada con la configuración del sistema y de las rutas de red.
  • Conocimiento de las debilidades más frecuentes de routers y switches relacionadas con la configuración del sistema y de las rutas de red.
En Unix, las competencias específicas son:
  • Demostración de ataques de enumeración de usuarios, incluyendo las técnicas de las que hablaremos largo y tendido: finger, rusers, rwho y SMTP.
  • Utilización de herramientas para enumerar servicios RPC (Remote Procedure Call) y demostración de las implicaciones de seguridad asociadas a esos servicios.
  • Demostración de prueba para defectos de Network File System.
  • Comprobación de vulnerabilidades dentro de r-services (rsh, rexec y rlogin).
  • Detección de servidores X Windows no seguros.
  • Comprobación de vulnerabilidades dentro de Web, FTP, y servicios Samba.
Las competencias específicas para Windows:
    • Evaluación de los servicios NetBIOS y CIFS para enumerar usuarios, grupos ,compartir, dominios, controladores de dominio, políticas de contraseña y vulnerabilidades asociadas.
    • Averiguar un nombre de usuario y contraseña a través de servicios NetBIOS y CIFS.

        • Detectar y probar de la presencia de debilidades de seguridad conocidas dentro de Internet Information Server (IIS), el servicio ISS Web, el servicio IIS FTP y Microsoft SQL Server.
      Estándares de protección de datos de PCI
      Dos acreditaciones de asesoramiento de seguridad que han ganado popularidad en los últimos años son el programa SPD (Site Data Protection) de MasterCard, el cual, junto con el esquema AIS (Payment Card Industry). Comerciantes, procesadores y entidades de almacenamiento de datos que procesan los datos de pago de tarjeta deben ser evaluados por un proveedor compatible con PCI. El desarrollo del asalto del programa de acreditación de PCI es similar al ejecutado bajo CESG CHECK y Sentinel de Matta, en el que los consultores deben probar una red de dispositivos y servidores vulnerables, y deben encontrar e informar con precisión las vulnerabilidades encontradas.
      Podéis encontrar más detalles sobre los estándares de protección de datos de PCI, el programa SDP de MasterCard, y AIS de VISA en las siguientes Web:

Otros estándares de protección y asociaciones
Cinco estándares y asociaciones que merece la pena conocer, y mantener actualizados en nuestros esquemas y metodologías:







Publicado por en No hay comentarios:
Etiquetas: ,
Suscribirse a: Entradas (Atom)