Continuamos avanzando en la divulgación de
material que nos ayude conformar una guía para
abordar los procesos de gestión de riesgos relacionados con la
información en las organizaciones, y abordar en detalle las
diferentes áreas de seguridad de la información, y garantizar la
evaluación de la seguridad en redes IP de una forma estructura y
lógica.
Estándares
de evaluación reconocidos
Hoy toca, puesto
que nuestro objetivo es ofrecer una metodología testada en base a
nuestra experiencia, trabajar los estándares
de evaluación
reconocidos en países como Estados Unidos, Reino Unido, y otras
asociaciones de estándares. Más adelante analizaremos las del
ámbito europeo, y ampliaremos las que hoy explicamos.
Conforme a los
estándares de pruebas de penetración gubernamentales utilizadas en
los países citados, a continuación comentamos los programas de
acreditación:
Estados
Unidos: NSA IAM.
Reino Unido:
CESG CHECK.
Otras:
MasterCard, SDP, CREST, CEH, y OSSTMM.
NSA
IAM
La Agencia de
Seguridad de los Estados Unidos (NSA) creó un entorno de trabajo IAM
(INFOSEC Assesment Methodology) para
ayudar a consultores y profesionales de la seguridad que no
pertenecieran a la NSA y a proporcionar servicios de evaluación a
clientes en línea con un estándar reconocido.
El
entorno de trabajo IAM define tres niveles de evaluación
relacionados con el testeo de redes informáticas basadas en IP.
Evaluación:
El nivel 1 implica
realizar una descripción cooperativa de alto nivel de la
organización que se va a evaluar, incluyendo el acceso a
políticas, procedimientos y flujos de información. En este nivel
no se realiza ninguna prueba práctica sobre redes o sistemas.
Valoración:
El
nivel 2 es un proceso práctico cooperativo que implica la
realización de pruebas con herramientas de explotación y
penetración de redes, y el uso de conocimientos técnicos
específicos.
Equipo
Rojo: El
nivel 3 es no cooperativo y es externo a la red objetivo de la
prueba, e implica pruebas de penetración que simulen al adversario
apropiado. La evaluación IAM no es intrusiva, de forma que dentro
de este marco de trabajo, una evaluación de nivel 3 supone un
completo conocimiento sobre las vulnerabilidades.
Nosotros,
en nuestros post-guía
abarcaremos la exploración técnica de redes y las técnicas de
evaluación utilizadas dentro de los niveles 2 (Valoración) y 3
(Equipo Rojo) del entorno de trabajo IAM, ya que la evaluación del
nivel 1 implica la recopilación de información de alto nivel, como
las políticas de
seguridad.
CESG
CHECK
El
GCHQ del Reino Unido dispone de un brazo de protección de la
información conocido como el CESG. Del mismo modo que el entorno de
trabajo NSA IAM permite a los consultores de seguridad que no
pertenezcan al NSA proporcionar servicios evaluación, el CESG
dispone de un programa conocido como CHECK para evaluar y acreditar,
dentro del Reino Unido, a equipos destinados a realizar pruebas de
seguridad que vayan a realizar trabajos de evaluación para el
gobierno. La página web del CESG CHECK es accesible desde:
A
diferencia del NSA IAM, que cubre muchos aspectos de la seguridad de
la información (revisión de la política de seguridad, antivirus,
copias de seguridad y recuperación de la información tras tener
problemas), CHECK afronta directamente el área de la evaluación de
la que abarca la seguridad de la información en un sentido más
amplio y afronta áreas como e BS7799, la creación de política de
seguridad y la auditoría.
Para
acreditar correctamente a los consultores CHECK, el CESG realiza un
curso de asalto para probar técnicas y métodos de ataque y
penetración demostrados por los asistentes. El curso de asalto del
CESG CHECK enumera las áreas de competencia técnica relacionadas
con la evaluación de la seguridad de redes:
Utilización de
las herramientas de recuperación de la información DNS, tanto para
un único registro como para múltiples registros.
Utilización de
mapeos de redes ICMP, TCP y UDP, y la utilización de herramientas
de exploración.
Demostración
de la obtención del servicio de encabezado TCP.
Recuperación
de la información utilizando SNMP, incluyendo la comprensión de la
estructura MIB relacionada con la configuración del sistema y de
las rutas de red.
Conocimiento de
las debilidades más frecuentes de routers y
switches relacionadas
con la configuración del sistema y de las rutas de red.
En
Unix, las competencias específicas son:
Demostración
de ataques de enumeración de usuarios, incluyendo las técnicas de
las que hablaremos largo y tendido: finger, rusers, rwho y SMTP.
Utilización de
herramientas para enumerar servicios RPC (Remote Procedure
Call) y demostración de las
implicaciones de seguridad asociadas a esos servicios.
Demostración
de prueba para defectos de Network File System.
Comprobación
de vulnerabilidades dentro de r-services (rsh, rexec y rlogin).
Detección de
servidores X Windows no seguros.
Comprobación
de vulnerabilidades dentro de Web, FTP, y servicios Samba.
Las
competencias específicas para Windows:
Evaluación de
los servicios NetBIOS y CIFS para enumerar usuarios, grupos
,compartir, dominios, controladores de dominio, políticas de
contraseña y vulnerabilidades asociadas.
Averiguar un
nombre de usuario y contraseña a través de servicios NetBIOS y
CIFS.
Estándares
de protección de datos de PCI
Dos
acreditaciones de asesoramiento de seguridad que han ganado
popularidad en los últimos años son el programa SPD (Site Data
Protection) de MasterCard, el cual, junto con el esquema AIS (Payment
Card Industry). Comerciantes, procesadores y entidades de
almacenamiento de datos que procesan los datos de pago de tarjeta
deben ser evaluados por un proveedor compatible con PCI. El
desarrollo del asalto del programa de acreditación de PCI es similar
al ejecutado bajo CESG CHECK y Sentinel de Matta, en el que los
consultores deben probar una red de dispositivos y servidores
vulnerables, y deben encontrar e informar con precisión las
vulnerabilidades encontradas.
Podéis
encontrar más detalles sobre los estándares de protección de datos
de PCI, el programa SDP de MasterCard, y AIS de VISA en las
siguientes Web:
-
-
-
Otros
estándares de protección y asociaciones
Cinco
estándares y asociaciones que merece la pena conocer, y mantener
actualizados en nuestros esquemas y metodologías:
%2B22.17.39.png)
%2B22.28.49.png)
%2B22.33.43.png)
%2B22.40.08.png)
%2B22.52.00.png)
%2B22.57.23.png)
%2B23.00.01.png)
%2B23.02.55.png)
