Añadir a la recogida (s) Añadir a salvo
  1. Ingeniería
  2. Informática
  3. Seguridad informática

Guía de Análisis y Seguridad

Anuncio 
Guía de
Análisis
y Seguridad
Por
AWERTY
Clientes | Tecnología | Asistencia
AWERTY
Clientes | Tecnología | Asistencia
Índice
0. Introducción
1. Análisis de seguridad
2. Análisis de seguridad interna
2.1. Usuarios y permisos
2.2. Sistemas desactualizados
2.3. Redes Wifi empresariales
2.4. Electrónica de red y comunicaciones
2.5. Copias de seguridad
2.6. Sistemas de protección
2.7. Seguridad ambiental y física
3. Análisis de seguridad externa
3.1. Comunicaciones
3.2. Sitios web corporativos
3.3. Dispositivos móviles vinculados
4. Métodos para el análisis y la periodicidad
4.1. La monitorización
5. Conclusiones
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
0. Introducción
Internet nos hace libres. La frase, acuñada en los inicios de la globalización del servicio, aludía a
la nueva forma de conocimiento auspiciada por la red, donde el usuario, siempre conectado,
tiene acceso al conocimiento desde cualquier lugar, con cualquier dispositivo y sobre cualquier
aspecto. En el terreno empresarial, las ventajas son innegables. Seguramente, la más destacada
es la posibilidad dellegar a más clientes.
Sin embargo, la moneda siempre tiene dos caras e internet no es la excepción. La simplicidad, la
posibilidad de disponer de nuevos servicios siempre requiere de intermediarios y avanzadas
programaciones construidas sobre la base de otras avanzadas programaciones. Es decir, es un
proceso complejo que implica la actuación de muchas personas y ello puede generar
vulnerabilidades de todo tipo.
Las brechas de seguridad en una empresa pueden estar desencadenadas por negligencias
cotidianas en nuestra forma de interaccionar con los ordenadores (contraseñas escritas en un
post-it, redes Wifi desprotegidas, administración de sitios web sin ninguna seguridad, etc.), pero
también las hay externas y premeditadas. Las vulnerabilidades se pueden convertir entonces en
ataques que pueden derivar desde en robo de información confidencial o en daños de de un
valor incalculable.
Por fortuna, internet también permite que las máquinas faciliten información a otras máquinas
y que éstas, a su vez, puedan ser controladas y gestionadas por personas. En definitiva, permite
automatizar procesos que afectan a nuestra cotidianidad sin nuestra intervención.
Con esta guía, desde Awerty Servicios Informáticos queremos mostrarte cómo gestionar los
aspectos de seguridad relativos a los elementos habituales dentro de una empresas, sin obviar
qué medios y tiempos son necesarios para mantener dicho control.
Esperamos que te sea de utilidad.
Con todo, no queremos desaprovechar la ocasión de ponernos a tu disposición para cualquier
posible duda o problema que pueda surgir. Nos encontrarás en:
[email protected]
902 500 016
@awerty_TI
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
1. Análisis de seguridad
El entorno privado de una empresa u organización puede ser un esquema complejo y, por tanto,
el foco de una ristra de vulnerabilidades. Es precisamente la necesidad de conocer el estado de
la seguridad empresarial (de forma preventiva), o de indagar en la causa que ha ocasionado un
problema (de forma forense) la que da origen al servicio de Análisis de Seguridad (AdS).
Habitualmente, los AdS siguen unos patrones o estándares ISO. Es decir, pueden estar
certificados legalmente acorde a la normativa. Sin embargo, la prioridad de una compañía cuando
realiza un ADS no debe ser que la pueda certifica un tercero, sino asegurarse de que la
información que pueda recabar sea realmente importante: ¿qué experiencia tiene sobre el
terreno?, ¿de qué información dispone?, ¿qué cantidad de recursos tiene a su alcance?
Como partners de las compañías líder del sector de seguridad (Microsoft, Cisco, VMWare y
Clavister) y, por tanto, conocedores de los entornos informáticos y de comunicaciones complejos
más extendidos en el entorno empresarial, en Awerty Servicios Informáticos realizamos Análisis
de Seguridad completos. En unas horas, podemos localizar el foco del problema, proponer al
cliente la mejor solución y ejecutarla con celeridad para evitar daños mayores.
Nos centramos en los siguientes campos:
Detección de
vulnerabilidades
Análisis de
la empresa
• Filtración de información
• Ataque externo
• Defacing de un sitio
• Recursos de los usuarios
• Prácticas diarias de los usuarios y de la empresa
• Disposición de los elementos
Para tomar una foto exacta de la estructura de la empresa que sea un fiel reflejo de la situación
en la que se halla, deben diferenciarse dos partes básicas:
-
el análisis externo
el análisis interno
Antes de contratar cualquiera de los dos servicios es fundamental tener claro en qué consiste
cada uno, puesto que el foco de análisis es completamente distinto y, por tanto, también las
acciones llevadas a cabo.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
Análisis
de seguridad
Intro red
de redes
Análisis
Interno
Análisis
Externo
-Usuarios y permisos
-Nivel de actualización
de los sistemas
- Comunicaciones
externas
-Redes Wifi
- Sitios web corporativos
-Comunicaciones
- Dispositivos móviles
vinculados
-Copias de seguridad
Medios para
el análisis
- Personal especializado
en seguridad
- Servicio de
Monitorización
-Sistemas de protección
-Seguridad ambiental
- Permisos
Antes de llevar a cabo un ADS interno o externo, debes tener en cuenta qué necesitarás:
Inversión
de tiempo
AUDITORÍA
RELEVANTE
Inversión de
recursos (humanos
y tecnológicos)
Herramientas
analíticas
A continuación, te detallamos los pasos a seguir para realizar un correcto análisis de seguridad.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
2. Análisis de seguridad interna
El análisis de seguridad interna puede perseguir dos objetivos, o bien corroborar que todo
funciona correctamente y evitar a la empresa sorpresas desagradables, o bien realizar un análisis
forense. En el segundo caso, siempre hay un factor precipitante: pérdida de datos, intrusiones,
infecciones, etc.
Los apartados que verás a continuación te servirán para repasar, punto por punto, cómo proceder
en ambos casos.
2.1. Usuarios y permisos
Antes de iniciar un análisis de seguridad interna debes tener en cuenta si dispones, o no, de unas
credenciales de uso para la red o equipos. Si dispones de ellas puedes acceder a varios recursos.
Si no, deberás verificar hasta qué punto te condiciona, hasta dónde puedes llegar.
En esta guía, centraremos este análisis en un entorno Windows, dado que el 95% del total de
entornos con los que trabajamos a diario usan este sistema operativo.
En cualquier caso, te mostraremos también cómo proceder si no dispones de credenciales y
quieres comprabar si el acceso a la red es posible. Si dispones de un parque de ordenadores y
demás recursos (servidores, almacenamiento en red, impresoras, etc.) debes tener en cuenta que
la validación de cada usuario es constante, de modo que es fundamental que te asegures de que
esa validación es fuerte.
Si no dispones de credenciales
Si estás tratando de dar con un usuario y una contraseña en una red empresarial lo primero que
debes hacer es verificar lo siguiente:
USUARIO
PASSWORD
INGENIERÍA SOCIAL
Asegúrate de que el usuario no
tiene el password visible
(cajones del escritorio, post-it
pegado en el monitor o en el
portátil, etc.)
Comprueba que es segura, que
no usa nombre, apellidos u otras
recurrentes ('123456',
'password', 'contraseña', en
blanco, etc.)
Obtén información del usuario
(redes sociales, foros, etc) y
asegúrate de que no es fácil dar
con su contraseña (mascota,
nombre del hijo).
Si dispones de credenciales…
Si tienes acceso a las credenciales lo más probable es que también conozcas el perfil de cada
usuario. Es decir, si dispone o carece de permisos administrativos. Para realizar un análisis es
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
mejor tener unas credenciales elevadas, sobre todo si lo que quieres es comprobar los permisos
de algún usuario. Cuando más elevados sean los permisos, más información podrás recopilar.
Como hablamos de entornos Windows, debes centrarte en dos tipos de entornos, con Active
Directory (AD) y sin él.
Para poder ver todo lo que atañe al perfil de un usuario, debes centrarte en:
Permisos sobre los recursos
Los permisos en los recursos compartidos de la red o de una máquina deben estar
controlados (tanto en entorno AD como sin él). Existen herramientas asociadas de
Microsoft que permiten realizar la tarea de forma automatizada.
Políticas aplicadas al perfil del usuario (sólo para AD)
Puedes ver el conjunto resultante mediante la herramienta RsOP. De esta forma,
verás qué políticas se aplican a los usuarios.
Grupos de pertenencia del usuario (sólo para AD)
Podrás ver a qué grupos de distribución o seguridad pertenecen los usuarios de
dominio. Mediante scripting, sabrás a qué grupo pertenece cada usuario.
Herramientas de terceros para ver permisos en AD
Deben usarse con cuidado, dado que se integran con AD (no forman parte de un
entorno Microsoft). Además, podrías realizar cambios no deseados.
2.2. Sistemas desactualizados
Todos los sistemas que forman parte de la estructura informática empresarial deben mantenerse
al día para evitar fallos de seguridad. Las desactualizaciones provocan agujeros de seguridad o
vulnerabilidades, son incapaces de hacer frente a ataques nuevos y más sofisticados.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
•Revisar actualizaciones. La administración centralizada es más fluida que la
gestión equipo por equipo. Hay dos alternativas:
SO
Windows
1. Administración de los equipos Windows de red mediante WSUS.
2. Administración de los dispositivos (Servers no) desde la nube
mediante Windows Intune.
•Se puede trabajar de forma centralizada.
Por ejemplo, mediante SUSE Manager.
SO
Linux
•El fabricante suele disponer de herramientas para sus sistemas. En este
apartado debemos incluir todos los dispositivos que son susceptibles de
tener un firmware o drivers para actualizar:
Actualizar
hardware
Actualizar
Apps
Actualizar
•Ej. Servidores, equipos cliente, Thin clients, Impresoras locales o en red,
electrónica de red (switchs, router, firewall)
•En un entorno Microsoft no existe una centralización de updates para
las aplicaciones de terceros. Se debe trabajar con otras herramientas
que requieren de licenciamiento de pago (Shavlik). De no optar por
una solución centralizada se deberán revisar en todos los equipos
las actualizaciones de las aplicaciones de terceros.
•Se debe revisar, administrar y realizar las actualizaciones de los
servicios que se presten en cloud, como por ejemplo los sitios web.
Es decir, revisar la actualización de un gestor de contenidos, del
servidor web, del servidor ftp, etc.
entorno
Cloud
Actualizar
BYOD
•Bring Your Own Device está absolutamente desplegado en casi todas
las empresas. Esto requiere un mayor control sobre las aplicaciones de los
smartphones y tablets que acceden a recursos de la red empresarial
(clientes de correo empresarial, navegadores, actualización del sistema
operativo, etc.)
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
2.3. Redes wifi empresariales
Disponer de un servicio Wifi en la empresa es lo más habitual. Ahora bien, antes de ponerla a
disposición de todos los usuarios debes considerar los siguientes aspectos:
… Quién
Las redes wifi deben estar segmentadas para que se usen únicamente con el fin de acceder a
internet. La red debe permanecer aislada del resto, sobre todo, si se cuenta con servicios más
sensibles como los servidores de datos.
Cualquier usuario, independientemente de dónde esté, debería poder acceder a los servidores
de la empresa, siempre teniendo en cuenta que la Wifi no debe proporcionar servicios de carácter
interno. Si también quieres proporcionar acceso a la red interna, configura un segundo acceso.
… Cómo
La práctica correcta debería ser crear una VLAN específica para la conexión Wifi que no pueda
ver el resto de la red. Puedes leer aquí un ejemplo básico de esta práctica.
Del mismo modo, mediante otra conexión Wifi puedes dar acceso al resto de dispositivos que
pueden hacer uso de los recursos de la red interna. Por ejemplo, que un portátil pueda ver un
servidor de ficheros.
… Cuándo
Asegúrate de que cuando no estás supervisando la conexión (fuera de horario de oficina) ésta no
está disponible para su uso. Si el hardware te lo permite configura la Wifi para que deje de emitir
en determinadas horas.
… Auditoría
De forma adicional, deberías realizar un anlisis sobre las conexiones Wifi. Siempre, claro, si tu
hardware lo permite. Si la asignación de IP está configurada mediante un DHCP interno en la red
(servidor Windows) también podrás auditar las horas de conexión.
2.4. Electrónica de red y comunicaciones
En las comunicaciones, lo común es organizar y auditar por capas. En un sistema de cascada,
podríamos reducir los elementos en
Router
Firewall
Switches
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
2.4.1. Router
El router es el elemento que da entrada a las comunicaciones, en primera instancia, y al tráfico
de salida, en última. En el apartado de ADS Externa podrás obtener más información acerca de
cómo puede detectarse desde el exterior, teniendo en cuenta que es precisamente el router
quien se encarga de dar paso o salida a la comunicación por los puertos que tú determines.
Para supervisar el router deberás tener en cuenta:
Supervisión:
Cambio de la contraseña / usuario por defecto
Puertos TCP abiertos
Redirecciones NAT realizadas hacia recursos internos
No conceder respuestas ICMP
Opción de configurar el dispositivo en modo transparente si tenemos un
firewall por detrás
Si presta el servicio Wifi, tener en cuenta todas las recomendaciones
descritas en el apartado de redes Wifi empresariales.
2.4.2. Firewall
En la actualidad es un elemento imprescindible. No se entiende un entorno seguro sin el firewall,
que es quien gestionará y protegerá todo el tráfico de entrada y salida para la red corporativa.
Tienes la posibilidad de dar mucha granularidad a la configuración, en función de las necesidades
que presente cada red pero, a grandes rasgos, los parámetros básicos a tener en cuenta son:
Supervisión:
Gestión de logs, alarmas y demás información acerca de intentos de
acceso, ataques, etc.
Gestión de tráfico elemental para la empresa. Se debe abrir y redirigir el
tráfico tanto de entrada como de salida de los puertos y protocolos
básicos. Ejemplos: http, https, smtp, ftp, etc.
En caso de que el dispositivo lo permita, es recomendable tener un
control IDPS (Intrusion Detection and Prevention Systems, que recoja
información acerca de todo el tráfico y las conexiones, detecte y se
anticipe a ataques y reporte información, etc.
En caso de que también podamos hacerlo con nuestro firewall, habilitar
un filtro http de salida, que nos permita bloquear en las máquinas cliente
webs maliciosas o de contenido no productivo.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
2.4.3. Switchs
Los switchs nos sirven para repartir la red hacia distintos puntos de la empresa. Para sintetizar,
podría decirse que el switch recibe el canal de datos y lo reparte hacia las distintas tomas que
tiene. De la misma forma, cuando recibe una petición en uno de estos puertos se encarga de
enrutarla hacia el destino que más convenga.
Para confirmar un entorno seguro con la electrónica de red es necesario:
Buenas
prácticas:
Cambio de la contraseña/usuario por defecto
Segmentación de la red. Si es posible, crea segmentos por
departamentos, plantas, etc. De esta forma, aislas cada segmento de
posibles problemas que se transmitan por la red (virus, etc). Esta
segmentación debería hacerse con la inclusión de VLANs*.
Deshabilitar todos los protocolos que no se vayan a usar en el tráfico de
red para evitar posibles ataques DDoS
Desactivar los puertos que no se usen o dejarlos en una VLAN aislada
Si disponemos de la opción, habilitar el protocolo Spanning Tree
Si disponemos de la opción, habilitar Dynamic ARP Inspection
Si disponemos de la opción, habilitar DHCP Spoofing. Indica qué
servidores DHCP van a poder trabajar a través de un puerto. Esto evita
que alguien ponga un servidor DHCP en nuestra red, ya sea por error o de
forma intencionada para llevar a cabo un ataque man in the middle.
Tener controlados los registros a nivel de puertos activos
* La creación de VLANs te permite:
1. Dividir la red en distintos rangos IP. Esto permite delimitar los dominios de broadcast y
descongestiona la red. A partir de 80-100 direcciones IP en funcionamiento, la red
funcionará mejor si está dividida en distintas subredes, que si toda la compañía trabaja
en el mismo rango.
2. Protegerte contra a propagación de malware tipo gusano.
3. Si tu electrónica de red es lo suficientemente avanzada puedes ir un paso más allá y
controlar qué protocolos/puertos dejas pasar entre una VLAN y otra. ¿Es necesario que
todos los PCs de la compañía se vean entre todos al navegar por la red? Seguramente no.
¿Quizá sería suficiente con que viesen a los servidores? ¿Es necesario que lo vean todo
de todos los servidores? Seguramente tampoco.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
2.5. Copias de seguridad
Para seguir todo un estándar de seguridad, en la auditoría debe quedar certificado que existen
copias de seguridad de los datos imprescindibles de la empresa. La tónica general es creer son
los datos almacenados en un recurso compartido los que se deben copiar para tener un resguardo
suficiente. Pero en realidad, hay mucho más a tener en cuenta acerca de qué debe copiarse,
cómo y dónde.
… Qué
Evidentemente, hay información crítica alojada en recursos de la red en formato documento que
se debe copiar (facturas, procedimientos, contratos, etc), pero debes tener en cuenta otros
elementos igualmente importantes:
Controladores de dominio
Copiar el System State para poder tener la seguridad de que podremos recuperar el
entorno Active Directory en caso de desastre, ya que incluye el registro, certificados,
metabase de IIS, etc. x
Bases de datos
Debe hacerse una copia de todas las bases de datos mediante procesos automatizados,
tanto si ocupa 10GB como 100GB. Un fallo de la base de datos, cuando no hay una
copia de seguridad correcta, puede suponer un desastre absoluto para la compañía.
Ejemplos de procesos de copia mediante Studio Management en SQL 2012 y 2008
Sistemas de correo
Realizar la copia de seguridad de los buzones es de vital importancia si tenemos en
cuenta el peso e importancia que ha cobrado el correo electrónico empresarial.
Ejemplo de proceso de copia en Microsoft Exchange
Otros elementos
Seguramente, se podrían contemplar muchísimos más factores a tener en cuenta para
una copia (máquinas virtuales por ejemplo), pero cada escenario es un mundo y es aquí
donde el análisis adopta su vertiente más analítica. La pregunta es:
¿Todo lo que debería estar guardado lo está?
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
… Cómo y cuándo
Cómo y dónde realizar las copias de seguridad es algo que atañe más a la elección que hagas a la
hora de adquirir un software de copias de seguridad. Nuestra recomendación es que optes por
un software de terceros, dado que en este aspecto Microsoft no cubre las necesidades (no es su
mercado).
En tu elección debes tener en cuenta que…
-
puedas realizar las copias de seguridad al medio del que dispongas: cinta, almacenaje en
red, almacenamiento externo, etc.
-
las copias deben seguir una rotación lógica. Por ejemplo, realizando backups
incrementales de lunes a jueves, y un completo el viernes.
-
si realizas las copias en un medio extraíble (cinta, disco duro) debes tener, por lo menos,
uno de estos elementos de la rotación fuera de la empresa. Es decir, cada cierto tiempo,
uno de estos medios debe quedar alojado fuera de las instalaciones para evitar la pérdida
de datos por catástrofe en las oficinas (un incendio, por ejemplo).
-
si se realizan las copias en un entorno que lo permita, puede optarse también por el
backup online, o la duplicación del backup en otro nodo externo (a través de Internet).
Aquí tienes algunos ejemplos de fabricantes de copias de seguridad
-
gratuita (Cobian Backup).
de pago (ARCServe Backup UDP - D2D)
2.6. Sistemas de protección
Como sistema de seguridad entendemos una herramienta que nos cubra la seguridad de nuestros
dispositivos. Por eso, una organización no puede plantearse como alternativa no tener una
solución de antivirus en su infraestructura, dado el control que debemos tener sobre los
dispositivos y los usuarios. Para poder cubrir este espectro de la seguridad hemos de tener en
cuenta las siguientes consideraciones:
Antivirus
de pago
•Garantiza un soporte avanzado de resolución
de problemas
•Garantiza la actualización de firmas
Gestión
centalizada
•Permite administrar los dispositivos desde
un mismo punto
•Los fabricantes permiten obtener reportes
sobre estadísticas, infecciones, ataques, etc.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
2.7. Seguridad ambiental y física
Hay una serie de factores que son primordiales a la hora de blindar la seguridad de que nuestros
sistemas, son los denominados factores ambientales o físicos.
Todos los elementos electrónicos
deben estar en un CLIMA
AMBIENTAL propicio.
Sobre todo, aquellos que estén en
un CPD o sitio centralizado.
Deben estar exentas de
PELIGROS ADICIONALES.
Ejemplos: equipos encima de
estanterías inestables, con cuadros
eléctricos sobrecargados, etc.
Las ubicaciones deben tener
un acceso restringido a
personal NO AUTORIZADO.
SISTEMAS DE ALIMENTACIÓN
ininterrumpida bien dimensionados.
En caso de falta de suministro
eléctrico se debe poder proceder al
cierre ordenado de los diversos
sistemas y apagado de dispositivos.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
3. Análisis de seguridad externa
El ADS Externo cubre los aspectos que atañen sobre todo a las comunicaciones de la empresa y
que deben estar supervisados para que los accesos hacia la red interior o los servicios externos
relacionados no supongan un factor de riesgo.
Dividimos estos accesos en tres categorías que hay que analizar regularmente y dar certificación
de que no podrán ser atacados, no podrán ser usados para recabar información o no supondrán
un filtraje de información empresarial.
3.1. Comunicaciones
Las comunicaciones externas se ciñen estrictamente en un aspecto: la IP pública. Esta dirección
(o direcciones) es la que está al frente de todo en Internet y, quie tiene la potestad de recibir la
llamada de entrada de todas las peticiones.
Por lo tanto, lo que aquí se analiza sobre todo son los siguientes puntos:
3.1.1. Puertos TCP y UDP visibles desde el exterior
Para analizar esto puedes usar cualquier web que te ofrezca el servicio online como MxToolbox
o usar herramientas más especializadas como Nmap.
La ventaja de usar el segundo ejemplo es que podrás recabar mucha más información (incluye
software de figerprinting para tratar de averiguar posibles versiones de software y hardware a la
escucha), así como definir rangos de puertos, tipos, scripts personalizados, etc.
3.1.2. Vulnerabilidades de los puertos abiertos
Todas las posibles vulnerabilidades de los puertos abiertos y a la escucha, deben ser analizadas
minuciosamente. En este punto, te adentras en el terreno del pentesting, que no es más que la
labor de trabajar con todo tipo de herramientas específicas para arrojar luz en las posibles
vulnerabilidades de los servicios, programas o hardware que haya detrás de los puertos abiertos
y a la escucha.
Hay un abanico enorme de posibilidades, pero lo más lógico sería seguir un patrón:
 Análisis de los puertos (como ya has visto anteriormente en la guía)
 Búsqueda de información sobre los estándares IANA
 Relación de servicios, software y hardware en CVE
 Pentesting de las posibles vulnerabilidades con herramientas como Metasploit, o bien
usar entornos específicos con más herramientas como Kali
3.2. Sitios web corporativos
Las páginas web son un pilar imprescindible para cualquier empresa hoy en día, y por lo tanto no
pueden quedar exentas de ser analizadas. No importa si están alojadas en las propias
instalaciones de la compañía o en la nube pública. En ambos casos, es necesario someterlas a un
análisis para evitar que supongan un riesgo para ellas mismas o para la propia compañía.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
Análisis de
la web
Analisis de
metadatos
• Buscar todas las vulnerabilidades mediante herramientas
tipo Crawler como WebScarab
•Este listado de vulnerabilidades deberá ser analizado
resultado a resultado y comprobando todos los tipos de
vulnerabilidades (XSS, SQLInjection, etc)
•Los metadatos revelan información empresarial de carácter
crítico: nombres de usuarios, direcciones de correo, accesos,
nombres de servidores, etc.
•Para entender este procedimiento y como recabar esta
información, se puede usar una herramienta como FOCA
3.3. Dispositivos móviles vinculados | BYOD
La práctica BYOD (Bring Your Own Device) está ya absolutamente implantada en casi todas las
empresas debido a las ventajas que ofrece tanto al trabajador como a la propia compañía. Sin
embargo, la empresa que incorpore esta prática debe ser consciente también de que esta manera
de trabajar la obliga a extremar precacuciones.
Si se consiente el acceso a recursos de la empresa desde dispositivos que son propiedad de los
usuarios y no de la compañía, ésta debe tener la certeza de que no suponen un riesgo en materia
de seguidad.
Los servicios más comunes usados por los smartphones, tablets, portátiles, etc., para acceder a
los recursos de la empresa son:







Acceso al correo corporativo mediante app cliente
Acceso al correo corporativo mediante http
Acceso a la/s página/s web corporativa
Acceso a máquinas virtuales mediante VMware View
Acceso a un equipo mediante servicio de Escritorio Remoto
Acceso a la red interna mediante conexión VPN
Acceso a una red social empresarial, por ejemplo Yammer
La lista podría aumentar si se analiza en profundidad la infraestructura de una compañía y se
conocen bien todos los servicios que se ofrecen hacia el exterior. En cualquier caso, lo importante
en este sentido es no obviar que los dispositivos de los usuarios se conectan a la red y lo hacen,
claro, con todo lo que tienen dentro, sea bueno o malo.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
Es decir, si un dispositivo está infectado con un troyano y se conecta a través de Escritorio Remoto
contra un servidor de la empresa, éste puede verse comprometido y la brecha de seguridad
podría desembocar en el robo del usuario y la contraseña del Administrador del Dominio.
Para beneficiarte de la práctica BYOD sin comprometer la seguridad de tu instalación debes seguir
unas pautas (el sentido común se presupone). Aunque es imposible controlar al 100% los
dispositivos BYOD (teniendo en cuenta que son propiedad del usuario), hay factores
imprescindibles.
1. Sistema de protección antivirus
Probablemente, es más económico dejar que el usuario incorpore su dispositivo como
herramienta de trabajo, que no comprar todo un parque informático y aplicarle ciertas
restricciones. Si usas una protección centralizada (véase, Windows Intune) procura que gestione
la seguridad tanto de sistemas Windows (escritorio o smartphone) como Android o iPhone.
2. Actualizaciones del sistema operativo
También las podrías gestionar desde Intune para los dispositivos Windows. Para Android o
iPhone, la gestión debería hacerse de forma individual, de forma que deberías asegurarte de que
tanto el sistema como las aplicaciones reciben las últimas actualizaciones.
3. Controlar el acceso a las descargas
Educar a los usuarios del uso de GooglePlay, Intunes, WindowsMarket o descargas
convencionales. De esta forma, podremos darle al usuario un patrón para saber qué puede y qué
no instalar en el dispositivo.
4. Educar al usuario en el uso de redes Wifi
Ya sea porque desde el usuario accederá a través de su dispositivo a alguno de los ejemplos
anteriores, o por su propia seguridad, debe tener claro a qué redes Wifi puede conectarse y qué
puede hacer en ellas. Por ejemplo, no es nada recomendable que un usuario consulte datos
críticos en un recurso de la empresa mediante Escritorio Remoto, estando conectado mediante
la Wifi gratuita de una cafetería.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
4. Métodos para el análisis y periodicidad
Para un correcto control de la seguridad de nuestro sistema informático hemos de combinar
diversos métodos.
Dotarnos de mecanismos de alerta
que nos informen mediante alertas
y control de métricas del estado de
nuestros sistemas.
Herramientas de monitorización
correctamente configuradas que
agrupan la recogida de información
de todos los equipos y servicios
informáticos son fundamentales.
Personal orientado a este tipo de
materia, con conocimiento y ganas
de indagar en nuevas
vulnerabilidades y en cómo
subsanarlas.
Un equipo multidisciplinar en la
microinformática siempre
proporciona una visión más
concreta de la seguridad que
conviene aplicar en una red
informática dentro de una empresa.
Disponer de un calendario bien
definido de chequeos rutinarios de
nuestros sistemas.
Depediendo de la importancia de
cada sistema, la periodicidad será
mayor o menor. Sólo un minuto
después de una revisión de
seguridad, puede haber una nueva
brecha en nuestro sistema.
Estos procesos han de estar
debidamente documentados en un
informe que dé información sobre
los procedimientos que se han
aplicado para hacer la revisión.
También mostrará los resultados
obtenidos y en caso de encontrar
deficiencias, explicitará cómo de
resolverlas o informará de cómo se
han resuelto
4.1 La monitorización
Mediante un software de control en tiempo real que analiza cómo están actuando los dispositivos
informáticos, tanto hardware de toda índole como softwares relevantes dentro de la organización
(los llamados sensores), en Awerty Servicios Informáticos añadimos una capa de seguridad a
nuestra infraestructura al mismo tiempo que tenemos información histórica de diversas métricas
que nos permiten ver tendencias.
Los softwares de monitorización se encargan fundamentalmente de:
 Conocer la disponibilidad de los elementos de la red
 Tener información del estado del hardware que compone estos elementos
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
 Ver los consumos de memoria y CPU
 Saber el estado de los servicios que ofrece cada elemento
 Anuar el estado general de un conjunto de elementos, hardware y software, que afectan
a un proceso de negocio de la empresa.
Software de
monitorización
Personas
Interfaz gráfica que
visualiza en forma de
mapa el estado de cada
sensor
Alarmas vía mail/sms
cuando hay errores en
los o se superan los
umbrales de consumo
definidos
La monitorización de estos sensores se puede acometer hablando con ellos mediante diversos
protocolos. Algunos de ellos específicos del control de medios informáticos, tales como SNMP
(Simple Network Management Protocol) o WMI (Windows Management Infraestructure), y otros
mediante el lenguaje específico dento del STACK TCPIP. Algunos ejemplos son POP3, SMTP, PING,
HTTP, TELNET, IMAP, etc.
La monitorización es un guardián activo, que permanece vigilante las 24 horas del día y vela
siempre por el correcto funcionamiento de todos nuestros sistemas.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
AWERTY
Clientes | Tecnología | Asistencia
5. Conclusiones
Esperamos que esta guía haya contrinuido a arrojar luz acerca de la importancia capital que
tiene la seguridad dentro de una organización. Hemos intentado acercarnos al análisis de
seguridad sin demasiados tecnicismos ni centrándonos en un procedimientos concreto de
análisis de seguridad, que nos podrían llevar horas de documentación adicional.
Nuestro objetivo ha sido proporcionar una visión global de cómo acometer el proceso de
seguridad de los sistemas informáticos de una empresa.
Si queres hacernos algún comentario o necesitas aclaración respecto a alguno de los aspectos
tratados en este documento no dudes en contactar con nosotros. Estaremos encantados de
poder mejorar el documento con tus aportaciones y tus ideas.
[email protected]
902 500 016
@awerty_TI
Awerty Servicios Informáticos, S.L
Aviso Legal. Los contenidos de esta Guía son de propiedad exclusiva de Awerty Servicios Informáticos, S.L. Queda
prohibida su divulgación, publicación, distribución, reproducción sin previo consentimiento de ésta. Todas las marcas
registradas y logotipos de terceros que puedan aparecer en este texto son propiedad de sus respectivos fabricantes.
Limitación de responsabilidad. Awerty Servicios Informáticos, S.L. no se hace responsable de los daños directos o indirectos que
puedan producirse en los sistemas informáticos de terceros como consecuencia de la puesta en práctica del contenido de esta guía.
www.awerty.net | 902 500 016 | Aragón 295, 7ª planta, Barcelona
Documentos relacionados
Municipios en zonas desfavorecidas de montaña
Municipios en zonas desfavorecidas de montaña
Entidades colaboradoras para el abono de la Tasa 524
Entidades colaboradoras para el abono de la Tasa 524
Otras actividades relacionadas con el ocio
Otras actividades relacionadas con el ocio
LA LITERA/ LA LLITERA
LA LITERA/ LA LLITERA
Futuro industrial y seguridad
Futuro industrial y seguridad
Guía de Instalación Módem WiFi de alta velocidad
Guía de Instalación Módem WiFi de alta velocidad
anexo v - Gobierno de Aragón
anexo v - Gobierno de Aragón
MAPA3 SUSCEPTIBILIDAD SISMOS
MAPA3 SUSCEPTIBILIDAD SISMOS
Cablemel S.L. ofrece unas Condiciones inmejorables de alta y
Cablemel S.L. ofrece unas Condiciones inmejorables de alta y
LO 5/2007 de 20 Abr. (reforma del Estatuto de
LO 5/2007 de 20 Abr. (reforma del Estatuto de
Descargar
Anuncio
Anuncio