Auditoría de Seguridad Informática.

IFCT seguridad informática

http://cpsi.esy.es/modulo2.html

Heliodoro Menéndez Alegre,IFES: Instituto de Formación y Estudios Sociales

Ingeniero en InformáticaExperto profesional en redes de ordenadores

Auditor Jefe en Continuidad de NegocioMiembro listas de peritos de CITIPA

heli@cpsi.esy.es

http://cpsi.esy.es

Auditoría. Definición

Proceso sistemático, independiente y documentado para obtener evidencias de la auditoría y evaluarlas de manera objetiva con el fin de determinar el grado en que se cumplen los criterios de auditoría. UNE-EN ISO 9000:2005

AENOR. Manual de auditoría de los sistemas de gestión.

Auditoría. Principios La Norma UNE-EN ISO 19011:2002 pone de

relieve cinco principios fundamentales: Conducta ética: “El fundamento de la

profesionalidad”. Presentación ecuánime: “La obligación de informar

con veracidad y exactitud”. Debido cuidado profesional: “La aplicación de

diligencia y juicio al auditar”. Independencia: “La base para la imparcialidad de

la auditoría y la objetividad de las conclusiones de la auditoría”.

Enfoque fundado en la evidencia: “El método racional para alcanzar conclusiones de la auditoría fiables y reproducibles en un proceso de auditoría sistemático”.

AENOR. Manual de auditoría de los sistemas de gestión.

Auditoría. Código deontológico

Principio de beneficio del auditado. Principio de calidad. Principio de capacidad. Principio de cautela. Principio de comportamiento

profesional. Principio de concentración en el

trabajo. Principio de confianza. Principio de criterio propio. Principio de discreción. Principio de economía. Principio de formación continuada. Principio de fortalecimiento y respeto

de la profesión. Principio de independencia. Principio de información suficiente.

Auditoría. Código deontológico Principio de integridad moral. Principio de legalidad. Principio de libre competencia. Principio de no discriminación. Principio de no injerencia. Principio de precisión. Principio de publicidad adecuada. Principio de responsabilidad. Principio de secreto profesional. Principio de servicio público. Principio de veracidad.

AUDITORÍA INFORMÁTICA: Un enfoque prácticoMario G. Piattini Velthuis y Emilio del Peso Navarro

Auditoría. Tipos

Interna Una organización audita su propio

sistema. Externa

Llevada a cabo por un cliente o tercero independiente.

Auditoría. Clasificación De primera parte

La empresa analiza su propio sistema De segunda parte

Se realiza normalmente por sectores que tienen un interés en la empresa, como por ejemplo, los clientes

De tercera parte Llevada a cabo por organizaciones externas

independientes que proporcionan la certificación o registro de conformidad con requisitos

Auditoría de sistemas informáticos. Tipos.

Auditoría física. Edificio Instalaciones Equipamiento y telecomunicaciones. Datos. Personas.

Auditoría de la ofimática. Economía Seguridad Normativa

Auditoría de la dirección. Planificar (Plan de sistemas) Organizar y coordinar (Comités TI,

Posición de TI en la empresa) Controlar

Auditoría de la explotación. Auditorías periódicas siguiendo

CobIT. Auditoría del desarrollo. Auditoría del mantenimiento. Auditoría de bases de datos.

La auditoría de técnica de sistemas.

Auditoría de la calidad. Auditoría de la seguridad. Auditoría de redes. Auditoría de aplicaciones. Auditoría Informática de

EIS(sistemas de información a la dirección)/DSS (sistemas de ayuda a la decisión) y aplicaciones de simulación.

Auditoría Jurídica de entornos informáticos.

AUDITORÍA INFORMÁTICA: Un enfoque práctico

Mario G. Piattini Velthuis y Emilio del Peso Navarro

Auditoría. Equipo auditor.

Jefe del equipo de auditoría.

Auditores (internos o externos).

Obtener evidencias eficaces.

Formación suficiente.GUÍA DE SEGURIDAD (CCN-STIC-802)

Obtención de evidencias. Pruebas de cumplimiento

Una prueba de cumplimiento es el examen de la evidencia disponible de que una o más técnicas de control interno están operando durante el periodo de auditoría.

El auditor deberá obtener evidencia de auditoría mediante pruebas de cumplimiento de: Existencia: el control existe. Efectividad: el control está funcionando con

eficiencia. Continuidad: el control ha estado funcionando

durante todo el periodo.

Obtención de evidencias. Pruebas sustantivas

Las pruebas sustantivas tienen por objeto obtener evidencia de auditoría relacionada con la integridad, exactitud y validez de la información auditada.

Métodos para obtener evidencia: Se suelen obtener mediante observación,

cálculos, muestreos, entrevistas, técnicas de examen analítico, revisiones y conciliaciones.

Obtención de evidencias. Muestreo

El muestreo, desde el punto de vista de la auditoría, es la técnica que permite al auditor inferir conclusiones de un conjunto de elementos (universo o población) a través del estudio de una parte (muestra). Consiste en la aplicación de un procedimiento de auditoría a menos del 100% de la población total, para obtener evidencia de auditoría sobre ciertas características de la población. El muestreo en auditoría se usa tanto en las pruebas de cumplimiento como en las sustantivas y es especialmente útil cuando la selección que se debe hacer es sobre una población muy grande y no se conocen las características de las partidas que se prueban, como puede ser que el saldo de una cuenta esté sobre valorada o disminuida como resultado de la aplicación de cantidades, precios incorrectos o por errores en los cálculos o sumas.

Obtención de evidencias. Tipos de muestreo

Estadístico. La selección de las partidas que la integran y la evaluación de los resultados, se hace por métodos matemáticos, basados en el cálculo de probabilidades.

No estadístico. Se basa fundamentalmente en el juicio profesional del auditor, sin que los niveles de confianza se puedan expresar en términos cuantitativos. El método más relevante es la selección en base al juicio del auditor.

Herramientas CAAT (Computer Audit Assisted Techniques) CAAT. Computer Audit Assisted Techniques:

Las TAAC’s son un conjunto de técnicas y herramientas utilizados en el desarrollo de las auditorias informáticas con el fin de mejorar la eficiencia, alcance y confiabilidad de los análisis efectuados por el auditor, a los sistemas y los datos de la entidad auditada.

Incluyen métodos y procedimientos empleados por el auditor para efectuar su trabajo y que pueden ser administrativos, analíticos, informáticos, entre otros; y, los cuales, son de suma importancia para el auditor informático cuando este realiza una auditoría.

Herramientas CAAT (Computer Audit Assisted Techniques) Las TAAC's pueden ser usadas en:

Pruebas de detalles de transacciones y balances (Recálculos de intereses, extracción de ventas por encima de cierto valor, etc.)

Procedimientos analíticos: por ejemplo identificación de inconsistencias o fluctuaciones significativas.

Pruebas de controles generales, tales como configuraciones en sistemas operativos, procedimientos de acceso al sistema, comparación de códigos y versiones.

Programas de muestreo para extraer datos. Pruebas de control en aplicaciones. Recálculos.

Hallazgo de auditoría Evidencia de la auditoría: Registros,

declaraciones de hechos o cualquier otra información que son pertinentes para los criterios de auditoría y que son verificables. UNE-EN ISO 19011:2002

Hallazgos de auditoría. Resultados de la evaluación de la evidencia de auditoría recopilada frente a los criterios de auditoría.

UNE-EN ISO 19011:2002

Hallazgo de auditoría. Requisitos Los hallazgos de la auditoría pueden indicar

tanto conformidad o no conformidad con los criterios de auditoría como oportunidades de mejora.AENOR. Manual de auditoría de los sistemas de gestión.

Requisistos: Importancia relativa que amerite ser comunicado. Basado en hechos y evidencias precisas que

figuran en los papeles de trabajo. Objetivo. Convincente para una persona que no ha participado

en la auditoría.

Hallazgo de auditoría. Categorías Observación. Evidencia encontrada que puede generar en

un futuro una No Conformidad. No conformidad. Incumplimiento de un requisito.

Especificado en: Condiciones contractuales. Estándar norma. Sistema de gestión. Requisitos legales o estatutarios.

No conformidad. No conformidad – Menor. Error individual que, por él

mismo, no levanta una duda significativa sobre la capacidad del sistema de gestión de alcanzar la política y los objetivos de la organización.

No conformidad – Mayor. Fallo o incapacidad de cumplir con uno o varios requisitos de la norma de gestión para controlar con efectividad el proceso para el que está previsto.

Auditoría sistemas información. Normativas y metodologías

Modelo ampliado de AENOR PARA TI:

Gobierno corporativo de las TIC:

UNE 71599-2 ISO/IEC 38500

Gestión: UNE-ISO/IEC 20000-1 UNE-ISO/IEC 27001

SGSTI. Calidad en los servicios de TI considerando los objetivos de negocio: UNE-ISO/IEC 20000-1

SGSI. Gestión de riegos de los sistemas de información: UNE-ISO/IEC 27001.

Auditoría sistemas información. Normativas y metodologías ISO 27001. Presentación Inteco. Centros de cómputo Ciberseguridad Cobit COSO/Sarbanes Oxley ISO SC27 ISO 20000 – ITIL ISO 22301 ISO 31000 NIST PAS 99 UNE 71502

Vulnerabilidades y amenazas

Riesgo. Estimación del grado de exposición a que una amenaza se materialice sobre uno o más activos causando daños o perjuicios.

Presentación Inteco. Amenaza. Evento que puede desencadenar un incidente en la

organización, produciendo daños materiales o pérdidas inmateriales en sus activos.

Vulnerabilidad. Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas.

Vulnerabilidades

ActivosExposición

Amenazas

RiesgoContramedidas

Pro

tege

nE

n pe

lligr

o po

r

explotan

Resultando en

Prot

egen

mitigado por

Activo

Impacto Vulnerabilidad

Amenaza

Riesgo

Frecuenciade

materialización

Vulnerabilidades de los sistemas informáticos. Causas Debilidad en el diseño de los protocolos

utilizados en las redes Errores de programación Configuración inadecuada Políticas de seguridad deficientes o inexistentes Desconocimiento y falta de sensibilización Herramientas que facilitan los ataques Limitación al tamaño de las claves

criptográficas Puertas traseras Descuido de los fabricantes

Vulnerabilidades de los sistemas informáticos. Tipos

Vulnerabilidades que afectan a equipos

Vulnerabilidades que afectan a programas y aplicaciones informáticos

Vulnerabilidades que afectan a equipos

Routers Cámaras Web y servidores de

vídeo Impresoras, escáneres, etc … Smartphones Agendas electrónicas

Vulnerabilidades de programas y aplicaciones informáticas

Sistemas operativos, servidores y bases de datos

Navegadores Aplicaciones ofimáticas Otras utilidades y aplicaciones

informáticas

Código malicioso (malware) Malware. Programa desarrollado para

causar daños o introducirse de forma no autorizada en algún sistema informático. INTECO: DESMONTANDO EL MALWARE

Virus informático. Programa capaz de infectar un sistema informático. Mecanismos de propagación. Carga dañina (payload). Puede incorporar medidas de autoprotección.

APT. Amenazas persistentes avanzadas.

Virus. Técnicas de autoprotección

Ocultamiento (stealth) Autocifrado Polimorfismo Incubación Desactivación de salvaguardas Armouring

Virus. Propagación

Disco a disco. Stuxnet. Programa a programa. De documento a documento. Correo electrónico o Web. Redes de ordenadores.

Ransomware, Flame. Compartición P2P. Ingeniería social y redes sociales.

Criptolocker.

Virus. Tipos Sector de arranque. Ficheros ejecutables. Lenguajes de macros. Lenguaje script. Troyanos. Rootkits. Gusanos. Bacterias. Hoaxes. Jokes.

Virus. Últimas tendencias

Fichero adjunto. Explotación de vulnerabilidades. Recursos compartidos sin

contraseña en redes Windows. Páginas Web (scripts y applets

maliciosos).

Virus. Protección Firewall. Configuración robusta. Antivirus actualizado. Comprobación de ficheros adjuntos. Bloqueo de mensajes con adjuntos

ejecutables. Comprobación de pendrives. Análisis de contenido en ficheros comprimidos. Revisión de backups. Detección de rootkits. www.chkrootkit.com

Virus. Protección

Formación y concienciación. Comprobación de fuentes, y contenidos, de

descarga. Observación de comportamientos anómalos. Actuar con celeridad. Escaneo de todos los equipos. Revisión de logs. Escaneo de puertos. Atención a equipamiento móvil (smartphones). Instalación de appliances especialilzados en

epidemias de red.

Virus. Protección Limitación de instalación de aplicaciones. Cuarentena para ficheros sospechosos. Utilización de certificados digitales para

software. Drivers verificados por Microsoft. Documentos Offices con macros

certificados. ActiveX firmados, etc.

Antivirus

Debería estar instalado en todos los equipos.

Instalado en servidor proxy, correo o firewall.

Actualización permanente de los ficheros de “firmas”.

Antivirus. Arquitectura

Seguinfo Virus - Programas Antivirus

Módulo de control. Seguimiento actividad. Protección preventiva. Detección. Configuración.

Módulo de respuesta. Alarmas y registro de incidencias. Bloqueo. Desinfección.

Antivirus. Estrategias de detección Escaneo a demanda. Escaneo en acceso. Análisis heurístico. Basado en la

experiencia. Comprobación de integridad de los

archivos del sistema. Análisis de comportamiento. Dispositivos todo en uno: firewall, IDS, VPN

y más. https://www.virustotal.com/es/

Herramientas para el análisis de vulnerabilidades

Analizar y evaluar vulnerabilidades, con ranking de severidad.

Vulnerabilidades que afectan a: Parches del SO. Seguridad del sistema de ficheros. Cuentas de usuario. Servicios y aplicaciones. Protocolos y servicios de red. Control de accesos a recursos. Registro y auditoría de eventos. Configuración de herramientas de

seguridad.

Ejecución de test de penetración. Etapas.

PENTEST Reconocimiento del

sistema. Búsqueda offline. Búsqueda online.

Escaneo (enumeración). Penetración. Generación de informes. Limpieza.

Ejecución de test de penetración. Búsqueda.

Búsqueda offline. Shoulder surfing. Teléfono. Dumpster diving.

Búsqueda online. Google hacking. Recursos online. Extensiones firefox.

Ejecución de test de penetración. Tipos

Externos. Internos.

De caja negra. De caja blanca.

Ejecución de test de penetración. Limitaciones y problemas

Falsos positivos. Falsos negativos. Impacto en el rendimiento del

sistema.

Ejecución de test de penetración. Informe de auditoría Tras realizar un análisis de

vulnerabilidades se debe realizar un contraste y verificación de las vulnerabilidades y errores de diseño o configuración detectados, reflejando sus conclusiones en un informe de auditoría. Vulnerabilidades y tipos de ataque probados. Vulnerabilidades detectadas. Listado de dispositivos. Valoración de nivel de riesgo. Herramientas y técnicas utilizadas.

Herramientas del sistema operativo

ping traceroute arp netstat ifconfig nslookup net nbtstat

Aplicaciones

Transporte

Internet

Enlace

Físico

Aplicaciones

TCP/UPD

ICMP

ARP/RARP

IP

Enlace

Físico

Herramientas del sistema operativo

ping traceroute arp netstat ifconfig nslookup net nbtstat

Herramientas del sistema operativo. Supuesto práctico I

Crea una nueva máquina virtual: Audit.

Configura Audit para que alcance la red del aula.

Prueba los comandos del SO.

Herramientas del sistema operativo. Supuesto práctico II Desde la VM XP comprueba si se

encuentra disponible el servidor W2003. Levanta firewall de servidor. Vuelve a comprobar. Desactiva el firewall de nuevo.

Desde Audit, revisa dominio de IFES y localiza: Nombre de dominio. Servidor de correo electrónico. Servidor DNS. IP de servidor Web.

¿ Qué ISP aloja el servidor ?.

Herramientas del sistema operativo. Supuesto práctico III Revisa la configuración TCP/IP del portátil.

¿ Qué valor tiene la puerta de enlace predeterminada, qué dice la tabla de rutas ?.

A todas estas, ¿ con qué IP estamos navegando ?.

Desde la VM XP revisa estadísticas netbios del servidor.

Revisa la tabla de rutas ARP del portátil. Elimina una entrada, y apúntala. Revisa la tabla de rutas. Realiza ping a la IP borrada. Échale otro vistazo a la tabla de rutas.

Herramientas del sistema operativo. Supuesto práctico IV Determina la ruta para alcanzar al servidor

Web de IFES. ¿ A quién corresponde la dirección del primer salto ?. Revisa las sesiones TCP/IP del portátil.

Localiza una sesión de navegación a IFES. Revisa las sesiones TCP/IP de la VM XP.

Analiza el cometido de cada sesión. Desde la línea de comandos la VM XP lista:

Usuarios de la máquina local. Usuarios del dominio. Máquinas en el dominio.

Herramientas de análisis de red, puertos y servicios

Nmap Netcat Nping Zenmap Sysinternals Security Utilities NirSoft

Herramientas de análisis de red. Supuesto práctico I Desde Audit relaciona los dispositivos

conectados a la red wi-fi. Desde la VM XP relaciona los

dispositivos conectados al servidor. Desde Audit revisar si la web de IFES se

encuentra disponible. ¿ Está apagada ?. Establece una conexión TCP por el

puerto de HTTP con el servidor Web de IFES. Lo mismo, pero al SMTP … y ya de paso dile hola.

Herramientas de análisis de red. Supuesto práctico II Consigue el esquema gráfico de la red

wi-fi: nombres máquinas, tipos de dispositivos, direcciones IP y servicios.

Instala el paquete Sysinternal Utilities: Chequea accesos a carpetas, y a registro. Consulta inicio automático. Consulta procesos, y sesiones TCP/IP. Entrena con PsTools: PsExec. Borrado seguro. Y un vistazo general a la suite …

Prueba NirSoft.

Análisis de vulnerabilidades

Nessus openVAS

Microsoft Baseline Security Analyzer

Análisis de vulnerabilidades. Supuesto práctico I

Microsoft Baseline Security Analyzer Instala en Audit. Realiza un escaneo del servidor. Realiza un escaneo de la red. Analiza los informes de resultados.

Análisis de vulnerabilidades. Supuesto práctico II

Instala Nessus en Audit. Realiza un escaneo básico de red. Realiza una auditoría de credenciales. Realiza un escaneo de malware para

Windows.

Analizadores de protocolos WireShark Dsniff Cain & Abel

Analizadores de protocolos. Supuesto práctico I INTECO Guía sobre análisis de tráfico con

WireShark. WireShark

Instala en Audit. Pídele que resuelva nombres. Captura una sesión de HTTP. Revisa la sesión TCP.

Prueba a rehacerla con Ncat. ¿ Qué es modo promiscuo ?. Captura un ping y analízalo. Salva una sesión para seguir analizándola más

tarde. Revisa expert info.

Analizadores de protocolos. Supuesto práctico II

Cain & Abel Instala en Audit. Échale un vistazo a la pestaña

Network y recuerda … Utiliza el sniffer.

Analizadores de páginas Web Acunetix Dirb ParosProxy Wpscan

Analizadores de páginas Web. Supuesto práctico

Probar Acunetix.

Auditoría de contraseñas

Cain & Abel ophCrack John the Ripper l0pthcrack

Auditoría de contraseñas. “password cracking” Política de contraseñas

Fuerza bruta Diccionario

Rainbow tables

/etc/shadow (John the Ripper) SAM

Auditoría de contraseñas. Caso práctico

/etc/shadow: (John the Ripper) SAM: optCrack, y Cain y Abel

Supuesto práctico Red local con:

DC Windows2003. PCs Windows XP. Servidor Linux.

Establecer requisitos de seguridad. Crear nueva prueba para DC. Plan de pruebas para DC. Emplear herramientas. Analizar resultados. Redactar informe de auditoría.