Mostrando entradas con la etiqueta estándares de evaluación reconocidos. Mostrar todas las entradas
Mostrando entradas con la etiqueta estándares de evaluación reconocidos. Mostrar todas las entradas

jueves, 5 de febrero de 2015

Estándares de evaluación en Seguridad Informática


Continuamos avanzando en la divulgación de material que nos ayude conformar una guía para abordar los procesos de gestión de riesgos relacionados con la información en las organizaciones, y abordar en detalle las diferentes áreas de seguridad de la información, y garantizar la evaluación de la seguridad en redes IP de una forma estructura y lógica.

Estándares de evaluación reconocidos

Hoy toca, puesto que nuestro objetivo es ofrecer una metodología testada en base a nuestra experiencia, trabajar los estándares de evaluación reconocidos en países como Estados Unidos, Reino Unido, y otras asociaciones de estándares. Más adelante analizaremos las del ámbito europeo, y ampliaremos las que hoy explicamos.

Conforme a los estándares de pruebas de penetración gubernamentales utilizadas en los países citados, a continuación comentamos los programas de acreditación:

    • Estados Unidos: NSA IAM.
    • Reino Unido: CESG CHECK.
    • Otras: MasterCard, SDP, CREST, CEH, y OSSTMM.

NSA IAM

La Agencia de Seguridad de los Estados Unidos (NSA) creó un entorno de trabajo IAM (INFOSEC Assesment Methodology) para ayudar a consultores y profesionales de la seguridad que no pertenecieran a la NSA y a proporcionar servicios de evaluación a clientes en línea con un estándar reconocido.

NSA IAM WWW.IATRP.COM

El entorno de trabajo IAM define tres niveles de evaluación relacionados con el testeo de redes informáticas basadas en IP.

    • Evaluación: El nivel 1 implica realizar una descripción cooperativa de alto nivel de la organización que se va a evaluar, incluyendo el acceso a políticas, procedimientos y flujos de información. En este nivel no se realiza ninguna prueba práctica sobre redes o sistemas.
    • Valoración: El nivel 2 es un proceso práctico cooperativo que implica la realización de pruebas con herramientas de explotación y penetración de redes, y el uso de conocimientos técnicos específicos.
    • Equipo Rojo: El nivel 3 es no cooperativo y es externo a la red objetivo de la prueba, e implica pruebas de penetración que simulen al adversario apropiado. La evaluación IAM no es intrusiva, de forma que dentro de este marco de trabajo, una evaluación de nivel 3 supone un completo conocimiento sobre las vulnerabilidades.

Nosotros, en nuestros post-guía abarcaremos la exploración técnica de redes y las técnicas de evaluación utilizadas dentro de los niveles 2 (Valoración) y 3 (Equipo Rojo) del entorno de trabajo IAM, ya que la evaluación del nivel 1 implica la recopilación de información de alto nivel, como las políticas de seguridad.

CESG CHECK

El GCHQ del Reino Unido dispone de un brazo de protección de la información conocido como el CESG. Del mismo modo que el entorno de trabajo NSA IAM permite a los consultores de seguridad que no pertenezcan al NSA proporcionar servicios evaluación, el CESG dispone de un programa conocido como CHECK para evaluar y acreditar, dentro del Reino Unido, a equipos destinados a realizar pruebas de seguridad que vayan a realizar trabajos de evaluación para el gobierno. La página web del CESG CHECK es accesible desde:


A diferencia del NSA IAM, que cubre muchos aspectos de la seguridad de la información (revisión de la política de seguridad, antivirus, copias de seguridad y recuperación de la información tras tener problemas), CHECK afronta directamente el área de la evaluación de la que abarca la seguridad de la información en un sentido más amplio y afronta áreas como e BS7799, la creación de política de seguridad y la auditoría.

Para acreditar correctamente a los consultores CHECK, el CESG realiza un curso de asalto para probar técnicas y métodos de ataque y penetración demostrados por los asistentes. El curso de asalto del CESG CHECK enumera las áreas de competencia técnica relacionadas con la evaluación de la seguridad de redes:

  • Utilización de las herramientas de recuperación de la información DNS, tanto para un único registro como para múltiples registros.
  • Utilización de mapeos de redes ICMP, TCP y UDP, y la utilización de herramientas de exploración.
  • Demostración de la obtención del servicio de encabezado TCP.
  • Recuperación de la información utilizando SNMP, incluyendo la comprensión de la estructura MIB relacionada con la configuración del sistema y de las rutas de red.
  • Conocimiento de las debilidades más frecuentes de routers y switches relacionadas con la configuración del sistema y de las rutas de red.

En Unix, las competencias específicas son:

  • Demostración de ataques de enumeración de usuarios, incluyendo las técnicas de las que hablaremos largo y tendido: finger, rusers, rwho y SMTP.
  • Utilización de herramientas para enumerar servicios RPC (Remote Procedure Call) y demostración de las implicaciones de seguridad asociadas a esos servicios.
  • Demostración de prueba para defectos de Network File System.
  • Comprobación de vulnerabilidades dentro de r-services (rsh, rexec y rlogin).
  • Detección de servidores X Windows no seguros.
  • Comprobación de vulnerabilidades dentro de Web, FTP, y servicios Samba.

Las competencias específicas para Windows:

    • Evaluación de los servicios NetBIOS y CIFS para enumerar usuarios, grupos ,compartir, dominios, controladores de dominio, políticas de contraseña y vulnerabilidades asociadas.
    • Averiguar un nombre de usuario y contraseña a través de servicios NetBIOS y CIFS.

        • Detectar y probar de la presencia de debilidades de seguridad conocidas dentro de Internet Information Server (IIS), el servicio ISS Web, el servicio IIS FTP y Microsoft SQL Server.

      Estándares de protección de datos de PCI

      Dos acreditaciones de asesoramiento de seguridad que han ganado popularidad en los últimos años son el programa SPD (Site Data Protection) de MasterCard, el cual, junto con el esquema AIS (Payment Card Industry). Comerciantes, procesadores y entidades de almacenamiento de datos que procesan los datos de pago de tarjeta deben ser evaluados por un proveedor compatible con PCI. El desarrollo del asalto del programa de acreditación de PCI es similar al ejecutado bajo CESG CHECK y Sentinel de Matta, en el que los consultores deben probar una red de dispositivos y servidores vulnerables, y deben encontrar e informar con precisión las vulnerabilidades encontradas.

      Podéis encontrar más detalles sobre los estándares de protección de datos de PCI, el programa SDP de MasterCard, y AIS de VISA en las siguientes Web:


Otros estándares de protección y asociaciones

Cinco estándares y asociaciones que merece la pena conocer, y mantener actualizados en nuestros esquemas y metodologías: