View
5
Download
0
Category
Preview:
Citation preview
2006 – Todos los derechos reservados
D A D I L I B I N O P S I D R O W S S A PA S U R I V Q S N O I C C E Y N I S E D FD P F G H U J G L I M E T O D O L O G I AT O Q W E L R S I N T E G R I D A D U Y Yy L O W O N A S U G C T I A Z C V B R U Hu O Q I T E S T D E P E N E T R A C I O NE K G M E R R T E N A B F X S W U N D Q SD I A S D A E C R I P T O G R A F I A A EO P D T E B W G M E I O R X G Z J H D Z LS P O O F I N G W R U P M L T R O Y A N OS I S U H L R G L I Y Ñ A M E N A Z A X RT S X U N I L N L A N H C C H A M Y V S TM H D F G D Q I D S T D I N T R U S I O NM I H C R A C K P O F F O S E C O R P W OC N J N M D A C O C R R N W G Q I T S E CR G V A L O R A C I O N B C I Ñ K G F D WF G A X F G H H L A I C N E C I F N O C AR A T I D U A P O L I T I C A P L B R C R
El Valor del Hacker en la OrganizaciónEl Valor del Hacker en la Organización
Andrés Ricardo Almanza JuAndrés Ricardo Almanza Ju
andres_almanza@hotmail.coandres_almanza@hotmail.co
““Hay alguna forma de Hay alguna forma de atacar una fuerza diez atacar una fuerza diez veces mayor que la mía ?”veces mayor que la mía ?”
Sun TzuSun Tzu
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
PropósitosPropósitos
� Mostrar la habilidad de los hackers al servicio de la organización, con el propósito de replantear las estrategias de seguridad de la organización.
� Administrar la inseguridad de la información mediante la
validación de las estrategias, tácticas y planes de seguridad de
la organización.
� Hackers al servicio de la organización y su relación con los
modelos de gestión de seguridad de la información. No solo de
bits y de bytes se puede hablar.
� Metodologías que se pueden utilizar en el proceso.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
AgendaAgenda
� Introducción
� La organización y la seguridad de la información
� El hacker y la Organización
� Rol del hacker
� Que y Como ?
� Retos y conclusiones
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
IntroducciónIntroducción
� Aumentan día a día el número de vulnerabilidades. Mayor grado de exposición.
� Problemas al momento de
justificar las inversiones en
seguridad (ROI)
� Por lo tanto hay dificultad en los
procesos de gestión del riesgo.2000 2001 2002 2003 2004 2005 2006
1000
1500
2000
2500
3000
3500
4000
4500
5000
5500
6000
1090
1597
2437
3784 3780
5990
1597
Tendencia de Vulnerabilidades
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
IntroducciónIntroducción
� Costos en seguridad crecen exponencialmente.
� Existen problemas para
encontrar los puntos de
equilibrio entre Costos,
Riesgos y Seguridad.
� Los puntos de equilibrio
normalmente no reflejan las
realidades de la
organización en seguridad.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
� Seguridad de la Información = conjunto de elementos de la organización combinados.
� Todos los
elementos deben
procurar estar
alineación con los
objetivos del
negocio.
Organización y la SeguridadOrganización y la Seguridad
Activos deActivos deActivos deActivos de
InformaciónInformaciónInformaciónInformación
Activos deActivos deActivos deActivos de
InformaciónInformaciónInformaciónInformación
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
� Se debe plantear la SISISISISISISISI como un componente estratégico de la organización
� Se deben plantear estrategiasestrategiasestrategiasestrategiasestrategiasestrategiasestrategiasestrategias y tácticastácticastácticastácticastácticastácticastácticastácticas de seguridad de la
información que garanticen:
Organización y la SeguridadOrganización y la Seguridad
�� Gobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SIGobierno de SI
�� Gestión de SIGestión de SIGestión de SIGestión de SIGestión de SIGestión de SIGestión de SIGestión de SI
�� Continuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del NegocioContinuidad del Negocio
Activos de Activos de Activos de Activos de
InformaciónInformaciónInformaciónInformación
ValorarValorarValorarValorar
ProtegerProtegerProtegerProteger
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
� La seguridad debe ser vista como un Proceso. Por lo tanto se debe gestionar.
� La gestión busca garantizar
que los activos de activos de activos de activos de activos de activos de activos de activos de
informacióninformacióninformacióninformacióninformacióninformacióninformacióninformación, tenga la mejor
protección(controles) de
acuerdo al valorvalorvalorvalorvalorvalorvalorvalor de los
activos.
Seguridad dela InformaciónSeguridad deSeguridad dela Informaciónla Información
PlanearPlanear
VerificarVerificar
HacerHacerActuarActuar
Organización y la SeguridadOrganización y la Seguridad
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Seguridad dela InformaciónSeguridad deSeguridad dela Informaciónla Información
PlanearPlanear
VerificarVerificar
HacerHacerActuarActuar
Organización y la SeguridadOrganización y la Seguridad
�Implementación de controles, para mitigar riesgo� Estratégicos� Operativos� Tácticos
��Implementación de Implementación de controles, para mitigar riesgocontroles, para mitigar riesgo�� EstratégicosEstratégicos�� OperativosOperativos�� TácticosTácticos
�Probar el correcto funcionamiento del sistema�Cumplimiento con lo establecido�Mediciones de los controles implementados
��Probar el correcto Probar el correcto funcionamiento del sistemafuncionamiento del sistema��Cumplimiento con lo Cumplimiento con lo establecidoestablecido��Mediciones de los Mediciones de los controles implementadoscontroles implementados
�Auditaría y retroalimentación �Mejoramiento y aprendizaje�Ajustes y acciones en pro del mejoramiento
��Auditaría y Auditaría y retroalimentación retroalimentación ��Mejoramiento y Mejoramiento y aprendizajeaprendizaje��Ajustes y acciones en Ajustes y acciones en pro del mejoramientopro del mejoramiento
�Identificación, Valoración del Riesgo�Plan estratégico de seguridad y protección de los activos de información�Creación de la Postura de Inseguridad
��Identificación, Valoración Identificación, Valoración del Riesgodel Riesgo��Plan estratégico de Plan estratégico de seguridad y protección de seguridad y protección de los activos de informaciónlos activos de información��Creación de la Postura de Creación de la Postura de InseguridadInseguridad
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Hacker y la OrganizaciónHacker y la Organización
“La diferencia básica entre un hacker y un cracker, es que un hacer construye cosas y un cracker las destruye”. Eric Raymon
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Hacker y la OrganizaciónHacker y la Organización
� La organización debe verlo como un elemento de apoyo en el proceso de seguridad de la información.
� Continuamente replantean la postura de inseguridad
� Su habilidad debe ser aprovechada al máximo para identificar los
posibles puntos vulnerables en la arquitectura de seguridad
establecida.
� Replantean la seguridad como medida de mejoramiento en el
proceso de gestión de la seguridad.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Seguridad dela InformaciónSeguridad deSeguridad dela Informaciónla Información
PlanearPlanear
VerificarVerificar
HacerHacerActuarActuar
Rol del HackerRol del Hacker
GarantíaGarantía MedicionesMediciones
SolucionesSoluciones�Que Problemas�Como resolverlos
�Que Problemas�Como resolverlos
�Reglas claras de lo que se va a realizar�Reducción de los niveles de riesgos. “Lo que se propone puede ser la mejor solución””
�Reglas claras de lo que se va a realizar�Reducción de los niveles de riesgos. “Lo que se propone puede ser la mejor solución””
�Medición que permita:� Identificar grado o
postura de seguridad
� Demostrar el ROI en temas de seguridad
�Medición que permita:� Identificar grado o
postura de seguridad
� Demostrar el ROI en temas de seguridad
� El hacker debe ofrecer
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Rol del HackerRol del Hacker
� Dentro de sus actividades y cualidades están:
� Utilizar sus conocimientos en pro de la defensa
� Continuo autoestudio de la arquitectura de seguridad e
infraestructura
� Habilidad para ver la seguridad como un proceso el cual se
gestiona
� Dedicación, entusiasmo y paciencia.
� Imparcialidad en la organización, no sujeto de juicios que
sesguen su visión.
� Embebido el principio. “Conoce a tu enemigo. Para protegerte a
ti mismo”.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Rol del HackerRol del Hacker
Que pasa con Que pasa con las intrusiones las intrusiones sean exitosas sean exitosas
o no ?o no ?
Que pasa si existe una falla de seguridad ?
Que pasa si existe Que pasa si existe una falla de una falla de seguridad ?seguridad ?
En caso de que exista la intrusión, que puede hacer
con la Información ?
En caso de que En caso de que exista la intrusión, exista la intrusión, que puede hacer que puede hacer
con la Información ?con la Información ?
� Buscar responder los siguientes interrogantes
� Con ello puede crear
planes y estrategias
para validar los
esquemas de seguridad
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Rol del HackerRol del Hacker
� Tres grandes premisas son las que debe vender y tener muy claras, y con ellas empieza a impactar la estrategia y proceso de seguridad de la organización.
Que estamos protegiendo ?Que estamos Que estamos protegiendo ?protegiendo ?
Contra que nos debemos
proteger?
Contra que Contra que nos debemos nos debemos
proteger?proteger?
Cuanto debemos gastar en tiempo, esfuerzo y
dinero para conseguirlo ?
Cuanto debemos gastar Cuanto debemos gastar en tiempo, esfuerzo y en tiempo, esfuerzo y
dinero para conseguirlo ?dinero para conseguirlo ?
Gestión de ActivosGestión de ActivosGestión de Activos
Gestión de AmenazasGestión de AmenazasGestión de AmenazasROI en SeguridadROI en SeguridadROI en Seguridad
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Que y Como ?Que y Como ?
� Para ello el hacker debe utilizar la mayor cantidad de herramientas y metodologías disponibles, que creen una postura de seguridad dentro de las cuales están:
Visión de SeguridadVisión de Visión de SeguridadSeguridadVisión TécnicaVisión TécnicaVisión Técnica
Visión de Negocio
Visión de Visión de NegocioNegocio
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Que y Como ?Que y Como ?Visión de SeguridadVisión de Visión de SeguridadSeguridad
�� Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que Se cuestiona acerca de lo que
podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de podrá suceder si se ingresa de
manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan manera no autorizada. Cuan
críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los críticos pueden llegar a ser los
activos de información.activos de información.activos de información.activos de información.activos de información.activos de información.activos de información.activos de información.
�� Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las Evalúa y cuestiona las
necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de necesidades en términos de
seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la seguridad y protección de la
organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los organización. Como manejar los
riesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradasriesgos y amenazas encontradas�� Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los Identifica las limitaciones de los
mecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protecciónmecanismos de protección
�� Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta Cuan preparado se esta
frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.frente a una intrusión.
�� Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las Como se puede fortalecer las
medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la medidas de protección de la
organizaciónorganizaciónorganizaciónorganizaciónorganizaciónorganizaciónorganizaciónorganización
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Que y Como ?Que y Como ?
INTRUSIÓNINTRUSIÓNINTRUSIÓN
Con conocimiento Con conocimiento Con conocimiento Con conocimiento de la de la de la de la
infraestructura o infraestructura o infraestructura o infraestructura o sin elsin elsin elsin el
Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento Con conocimiento de la de la de la de la de la de la de la de la
infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o infraestructura o sin elsin elsin elsin elsin elsin elsin elsin elContemplar todos Contemplar todos Contemplar todos Contemplar todos
los escenarios. los escenarios. los escenarios. los escenarios. Interno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ Externo
Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos Contemplar todos los escenarios. los escenarios. los escenarios. los escenarios. los escenarios. los escenarios. los escenarios. los escenarios.
Interno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ ExternoInterno/ Externo
Validez por Validez por Validez por Validez por tiempo tiempo tiempo tiempo
definidosdefinidosdefinidosdefinidos
Validez por Validez por Validez por Validez por Validez por Validez por Validez por Validez por tiempo tiempo tiempo tiempo tiempo tiempo tiempo tiempo
definidosdefinidosdefinidosdefinidosdefinidosdefinidosdefinidosdefinidos
Objetivo y Objetivo y Objetivo y Objetivo y alcance alcance alcance alcance
claramente claramente claramente claramente definidodefinidodefinidodefinido
Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y Objetivo y alcance alcance alcance alcance alcance alcance alcance alcance
claramente claramente claramente claramente claramente claramente claramente claramente definidodefinidodefinidodefinidodefinidodefinidodefinidodefinido
Se buscan Se buscan Se buscan Se buscan vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades del sistema y se del sistema y se del sistema y se del sistema y se
aprovechanaprovechanaprovechanaprovechan
Se buscan Se buscan Se buscan Se buscan Se buscan Se buscan Se buscan Se buscan vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades vulnerabilidades del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se del sistema y se
aprovechanaprovechanaprovechanaprovechanaprovechanaprovechanaprovechanaprovechan
Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema
de manera no de manera no de manera no de manera no autorizadaautorizadaautorizadaautorizada
Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Obtener un trofeo. Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema Ingreso al sistema
de manera no de manera no de manera no de manera no de manera no de manera no de manera no de manera no autorizadaautorizadaautorizadaautorizadaautorizadaautorizadaautorizadaautorizada
Jugar el rol Jugar el rol Jugar el rol Jugar el rol de un de un de un de un
atacanteatacanteatacanteatacante
Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol Jugar el rol de un de un de un de un de un de un de un de un
atacanteatacanteatacanteatacanteatacanteatacanteatacanteatacante
Producir Producir Producir Producir soluciones para soluciones para soluciones para soluciones para
mitigar mitigar mitigar mitigar vulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidades
Producir Producir Producir Producir Producir Producir Producir Producir soluciones para soluciones para soluciones para soluciones para soluciones para soluciones para soluciones para soluciones para
mitigar mitigar mitigar mitigar mitigar mitigar mitigar mitigar vulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidadesvulnerabilidades
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Que y Como ?Que y Como ?
Ethical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical HackingEthical Hacking Test de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de PenetraciónTest de Penetración
��Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para Proceso diseñado para identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades identificar vulnerabilidades en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.en los sistemas.��Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera Se realiza de manera coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, coordinada y comprensiva, buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los buscando valorar los activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su activos de información y su nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.nivel de exposición.��Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los Enfocado al diseño de los diferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de testdiferentes tipos de test
��Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical Componente del Ethical HackerHackerHackerHackerHackerHackerHackerHacker��Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de Refiere a la parte de implementaciónimplementaciónimplementaciónimplementaciónimplementaciónimplementaciónimplementaciónimplementación��Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.Simula el ataque.��Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y Intento localizado y limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para limitado en el tiempo para obtener control del obtener control del obtener control del obtener control del obtener control del obtener control del obtener control del obtener control del sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.sistema, o crear daño.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Que y Como ?Que y Como ?
IngenieríaIngenieríaIngenieríaIngenieríaSocialSocialSocialSocial
IngenieríaIngenieríaIngenieríaIngenieríaIngenieríaIngenieríaIngenieríaIngenieríaSocialSocialSocialSocialSocialSocialSocialSocial
Otros Otros Otros Otros MediosMediosMediosMedios
Otros Otros Otros Otros Otros Otros Otros Otros MediosMediosMediosMediosMediosMediosMediosMedios
Acceso Acceso Acceso Acceso FísicoFísicoFísicoFísico
Acceso Acceso Acceso Acceso Acceso Acceso Acceso Acceso FísicoFísicoFísicoFísicoFísicoFísicoFísicoFísico
AgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivoAgresivo
BlackBlackBlackBlack---- BoxBoxBoxBoxBlackBlackBlackBlack---- BoxBoxBoxBox
DescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubiertoDescubierto
OrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientadoOrientado
RedRedRedRedRedRedRedRedRedRedRedRed
LimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitadoLimitado
ExternoExternoExternoExternoExternoExternoExternoExternoExternoExternoExternoExterno
InternoInternoInternoInternoInternoInternoInternoInternoInternoInternoInternoInterno
TotalTotalTotalTotalTotalTotalTotalTotalTotalTotalTotalTotal
CalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculadoCalculado
CuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCuidadoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubiertoCubierto
PasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivoPasivo
WhiteWhiteWhiteWhite---- boxboxboxboxWhiteWhiteWhiteWhite---- boxboxboxbox
Test deTest deTest deTest dePenetraciónPenetraciónPenetraciónPenetración
Test deTest deTest deTest deTest deTest deTest deTest dePenetraciónPenetraciónPenetraciónPenetraciónPenetraciónPenetraciónPenetraciónPenetración
Nivel de Nivel de Nivel de Nivel de conocimiento conocimiento conocimiento conocimiento acerca del acerca del acerca del acerca del
objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet
(WB)(WB)(WB)(WB)
Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de Nivel de conocimiento conocimiento conocimiento conocimiento conocimiento conocimiento conocimiento conocimiento acerca del acerca del acerca del acerca del acerca del acerca del acerca del acerca del
objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet objetivo. Internet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet (BB)/ Intranet
(WB)(WB)(WB)(WB)(WB)(WB)(WB)(WB) Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo será el test será el test será el test será el test durante su durante su durante su durante su ejecuciónejecuciónejecuciónejecución
Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo Que tan agresivo será el test será el test será el test será el test será el test será el test será el test será el test durante su durante su durante su durante su durante su durante su durante su durante su ejecuciónejecuciónejecuciónejecuciónejecuciónejecuciónejecuciónejecución
A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas se les realizara la se les realizara la se les realizara la se les realizara la
pruebapruebapruebaprueba
A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas A cuales sistemas se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la se les realizara la
pruebapruebapruebapruebapruebapruebapruebaprueba
Tipo de Tipo de Tipo de Tipo de visibilidad visibilidad visibilidad visibilidad del ataquedel ataquedel ataquedel ataque
Tipo de Tipo de Tipo de Tipo de Tipo de Tipo de Tipo de Tipo de visibilidad visibilidad visibilidad visibilidad visibilidad visibilidad visibilidad visibilidad del ataquedel ataquedel ataquedel ataquedel ataquedel ataquedel ataquedel ataque
Que técnicas Que técnicas Que técnicas Que técnicas serán serán serán serán
utilizadas en utilizadas en utilizadas en utilizadas en el testel testel testel test
Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas Que técnicas serán serán serán serán serán serán serán serán
utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en utilizadas en el testel testel testel testel testel testel testel test
Desde donde Desde donde Desde donde Desde donde va a ser va a ser va a ser va a ser
ejecutado el ejecutado el ejecutado el ejecutado el testtesttesttest
Desde donde Desde donde Desde donde Desde donde Desde donde Desde donde Desde donde Desde donde va a ser va a ser va a ser va a ser va a ser va a ser va a ser va a ser
ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el ejecutado el testtesttesttesttesttesttesttest
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Análisis de Vulnerabilidades
Análisis de Análisis de VulnerabilidadesVulnerabilidades
ReconocimientoReconocimientoReconocimiento
IntrusiónIntrusiónIntrusión
Resultados FinalesResultados FinalesResultados Finales
PlaneaciónPlaneaciónPlaneación
Que y Como ?Que y Como ?
Seguridad deSeguridad dela informaciónla información
SeguridadSeguridadFísicaFísica
Seguridad deSeguridad deProcesosProcesos
Segu
ridad
Segu
ridad
Inte
rnet
Inte
rnet
SeguridadSeguridadInhalámbricaInhalámbrica
Seguridad
Seguridad
Comunicacione
Comunicacione
ss
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Que y Como ?Que y Como ?Visión TécnicaVisión TécnicaVisión Técnica
�� Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y Se validan las debilidades y
fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos fortalezas de los mecanismos
de control.de control.de control.de control.de control.de control.de control.de control.
�� Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles Enfocadas identificar los detalles
técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de técnicos de las debilidades de
seguridadseguridadseguridadseguridadseguridadseguridadseguridadseguridad�� Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar Normalmente buscan identificar
y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las y cuantifican las
vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a vulnerabilidades y amenazas a
los activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de informaciónlos activos de información
�� Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que Identificar áreas que
requieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramientorequieren mejoramiento
�� Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más Se considera un estudio más
amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los amplio, en el sentido de los
elementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucraelementos que involucra
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Retos y ConclusionesRetos y Conclusiones
� Importancia de el hacker en la organización por que ayuda en el proceso de fortalecimiento de la seguridad de la información.
� Debe pensar el hacker en como integrar todas las herramientas y
metodologías disponibles y como ellas pueden producir un
resultado.
� Su valor estará medido en la medida que influya en el
replanteamiento de las arquitecturas e infraestructuras de seguridad
a través de los planes generados
� Los resultados de sus pruebas tendrán valor si estas se convierten
en planes de ejecución en pro de mejoramiento.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Retos y ConclusionesRetos y Conclusiones
� Importante el aprovechamiento de las metodologías y prácticas de la industria en el desarrollo de sus funciones.
� El valor para la organización estará medido en la medida que
fortalezca el proceso de gestión de seguridad de la información, y
definan un mejoramiento continuo en la postura de seguridad.
� Entender que no solo es un proceso mecánico y de nivel operativo,
sino que va un poco más allá de lo que podemos contemplar.
� La gestión del riesgo, junto como las políticas de seguridad y
protección, serán claves a la hora de definir la postura de seguridad.
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
Retos y ConclusionesRetos y Conclusiones
� De vital importancia que para la realización de cualquier prueba, sea de auditoria, intrusión, o valoración exista un claro proceso deidentificación y valoración de activos.
� El ROI del test estará dado en la medida en que se hable de
“productividad del usuario”, “generación de ingresos”, “reducción
de costos en el negocio” , “reducción de riesgos”.
� Disciplina y autoestudio, son de sus herramientas más importantes a
la hora de combatir un ataque.
2006 – Todos los derechos reservados
D A D I L I B I N O P S I D R O W S S A PA S U R I V Q S N O I C C E Y N I S E D FD P F G H U J G L I M E T O D O L O G I AT O Q W E L R S I N T E G R I D A D U Y Yy L O W O N A S U G C T I A Z C V B R U Hu O Q I T E S T D E P E N E T R A C I O NE K G M E R R T E N A B F X S W U N D Q SD I A S D A E C R I P T O G R A F I A A EO P D T E B W G M E I O R X G Z J H D Z LS P O O F I N G W R U P M L T R O Y A N OS I S U H L R G L I Y Ñ A M E N A Z A X RT S X U N I L N L A N H C C H A M Y V S TM H D F G D Q I D S T D I N T R U S I O NM I H C R A C K P O F F O S E C O R P W OC N J N M D A C O C R R N W G Q I T S E CR G V A L O R A C I O N B C I Ñ K G F D WF G A X F G H H L A I C N E C I F N O C AR A T I D U A P O L I T I C A P L B R C R
El Valor del Hacker en la OrganizaciónEl Valor del Hacker en la Organización
Andrés Ricardo Almanza JuAndrés Ricardo Almanza Ju
andres_almanza@hotmail.coandres_almanza@hotmail.co
““Si Utilizas al enemigo para Si Utilizas al enemigo para enfrentarlo , serás poderoso enfrentarlo , serás poderoso en cualquier lugar a donde en cualquier lugar a donde vayas.”vayas.”
Por lo tanto............Por lo tanto............
Sun Tzu
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
BibliografíaBibliografía� James S. Tiller. The ethical hack. A framework for Bussines Value Penetration
Testing.
� Carlos Crembil. Vulnerabillity Scanning y Penetration Testing. Congreso Argentino
de Seguridad de la Información
� Alejandro Corletti Estrada. Auditoria, Evaluación, Test de seguridad. Universidad
Politécnica de Madrid.
� Dominic Baier. Improving Application Security Through Penetration Testing.
� Char van der Walt. Assessing Internet Security Risk.
� Cesar Colado. Calidad en la pruebas de intrusión.
� CANO J. Auditoria de seguridad, Evaluación de seguridad y Pruebas de
Penetración: Tres paradigmas de la Seguridad Informática
� Scott Berinato(2005) .The Global State of Information Security
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
BibliografíaBibliografía� John Wack, Miles Tracy, Murugiah Souppaya. Guideline on Network Security
Testing. . NIST SP- 800- 42
� Peter Herzog. Open Source Security Testing Metodology Manual 2.1.
� John Chirillo(2001). Hack Attacks Reveled. Wiley Computer Publishing
� Aggresive Network Self- Defense(2005) . Neil Archibald. Seth Fogie. Chirs Hurley.
Dan Kamisky.
� Johnny Long (2005). Penetration Tester's Open Source Toolkit.
� Winkler. IRA (2000). Audit, Assessment & Test (OH, MY). P1,P2,P3,P4. Information
Security Magazine
� Peake. Crihs (2003). Red Teaming: The art of Ethical Hacking. SANS GIAC
� Sans Institute. (2002). Penetration Testing – Is it right for you?. SANS GIAC
2006 – Todos los derechos reservados. Andrés Ricardo Almanza
D A D IA S U RD P F GT O Q Wy L O Wu O Q IE K G MD I A SO P D TS P O OS I S UT S X UM H D FM I H CC N J NR G V AF G A XR A T I
L I B I NI V Q I NH U J S L
BibliografíaBibliografía
� Vincent LeVeque. Information Security: A Strategic Approach. Chapter 1
� Amanda Andress. Surviving Security: How to Integrate People, Process, and
Technology, Second Edition
� T. J. Klevinsky Scott Laliberte Ajay Gupta .Hack I.T.: Security Through Penetration
Testing
� Is auditing procedure. ISACA
� Bill Hayes. Conducting a Security Audit: An Introductory Overview
� Steven Purser. A practical Guide to Managing Information Security
� Sans Institue. 2001. A MODEL FOR PEER VULNERABILITY ASSESSMENT
� Wan. Lee (2001). Security Life Cycle. SANS GIAC
� Lowery, Jessica. “Penetration testing: The Third Party Hacker”, SANS GIAC
Recommended