Aplicación de la Disciplina de administración de

Aplicación de la Disciplina
de administración de riesgos
de seguridad
La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones
sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de
correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías,
organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. El
cumplimiento de todas las leyes de derechos de autor aplicables es responsabilidad del usuario. Sin limitar los derechos de copyright, ninguna parte
de este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea
electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation.
Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los
contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u
otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft.
© 2004 Microsoft Corporation. Reservados todos los derechos.
Microsoft, MS-DOS, Windows, Windows NT, Windows Server y Active Directory son marcas comerciales o marcas registradas de Microsoft
Corporation en EE.UU. y otros países.
Los nombres de las compañías y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios.
Los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y
acontecimientos aquí mencionados son ficticios. No se pretende indicar, ni debe deducirse, ninguna asociación con compañías, organizaciones,
productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales.
3 Aplicación de la Disciplina de administración de riesgos de seguridad
Aplicación de la Disciplina de
administración de riesgos de seguridad
Descripción del módulo
En este módulo se proporciona un ejemplo práctico en el que se demuestra cómo utilizar la Disciplina de
administración de riesgos de seguridad (SRMD) para analizar e identificar dichos riesgos. La SRMD (detallada
en este módulo, "Comprensión de la Disciplina de administración de riesgos de seguridad" de esta guía) es una
metodología comprobada, destinada a identificar y abordar posibles cuestiones de seguridad en una organización.
El módulo utiliza una organización ficticia modelo denominada "Contoso Inc.", una compañía dedicada a la
investigación de mercado, que cuenta con dos sedes principales y miles de empleados. Se identifican y establecen
prioridades en cuanto a los problemas de seguridad que pueda enfrentar esta organización.
Objetivos
Utilice este módulo para:
•
Identificar posibles amenazas a la seguridad de la tecnología de información (TI) y su factibilidad aproximada.
•
Identificar el valor de los activos, incluido su valor indirecto en caso de daño o infracción.
•
Identificar y establecer prioridades en cuanto a las posibles cuestiones de seguridad en su propia organización
por medio de la SRMD.
Marco de aplicación
Este módulo se aplica a los siguientes productos y tecnologías
•
Toda infraestructura de TI
Uso del módulo
Se proporciona una guía para ayudarlo a interpretar y aplicar la información de este módulo, "Comprensión de
la Disciplina de administración de riesgos de seguridad". Lea el módulo para conocer las generalidades del uso
de la SRMD en una organización genérica.
Máximo aprovechamiento del módulo:
•
Lea el módulo "Definición del panorama de seguridad de Windows 2000", que es la introducción a la
terminología utilizada y los temas que aborda el módulo.
•
Lea el módulo "Comprensión de la Disciplina de administración de riesgos de seguridad" como
introducción al análisis de Riesgos de seguridad por medio de la SRMD.
4 Aplicación de la Disciplina de administración de riesgos de seguridad
Contenido
Introducción
Generalidades del entorno
Identificación de riesgos de seguridad
Análisis y priorización de riesgos de seguridad
Resumen
Información adicional
Introducción
La Disciplina de administración de riesgos de seguridad (SRMD) es un proceso detallado y útil para determinar
las amenazas y vulnerabilidades de mayor impacto potencial en una organización dada. Debido a que cada
compañía tiene necesidades comerciales diferentes, es imposible crear una lista de vulnerabilidades que tengan
el mismo impacto en cada entorno.
Este proceso se describe detalladamente en el módulo "Comprensión de la Disciplina de administración de riesgos
de seguridad". El módulo aplica el proceso a un cliente genérico. Se dan algunos detalles de alto nivel referentes
al entorno destino, con el objeto de brindar un trasfondo adecuado para el ejemplo práctico. Al concluir el módulo
se definen, describen y analizan detalladamente los riesgos específicos debatidos.
Generalidades del entorno
La solución gira en torno a una compañía de investigación de mercado denominada Contoso, Ltd. Contoso tiene
dos oficinas: la sede central ubicada en Atlanta, Georgia, y una segunda oficina en Boston, Massachussets.
Contoso es una empresa de cierta envergadura, y tiene miles de empleados que utilizan recursos informáticos.
Las ganancias declaradas el año pasado fueron de $829 millones.
La infraestructura de la compañía está totalmente actualizada al sistema operativo de servidor Microsoft®
Windows® 2000 pero el desarrollo de sus clientes aún se encuentra en una etapa de transición. Actualmente, la
compañía posee una combinación de Microsoft Windows 98 SR2, Microsoft Windows NT® Workstation versión
4.0, Windows 2000, y Windows XP.
Modelo administrativo
Contoso ha segmentado los grupos administrativos de la compañía y ha formado divisiones que se concentran
en tecnologías específicas. Existe un grupo de administradores que supervisan todas las administraciones a nivel
de dominio, incluida la administración de los controladores de dominio. Existe también un segundo grupo que
administra los servicios de infraestructura de la compañía, tal como el Servicio de nombre de Internet para
Windows [Windows Internet Name Service (WINS)], el Protocolo de configuración de host dinámico [Dynamic
Host Configuration Protocol (DHCP)], y los Sistemas de nombre de dominio [Domain Name Systems [(DNS)],
así como los servidores de archivo e impresión en la organización.
Además, hay un grupo de servicios Web que maneja la administración de todos los servidores de Servicios de
información por Internet [Internet Information Services (IIS)] en el entorno. IIS es el software de servidor Web
de Microsoft que utiliza el protocolo de transferencia de hipertexto [Hypertext Transfer Protocol (HTTP)] y el
protocolo de transferencia de archivos [File Transfer Protocol (FTP)]. Los grupos administrativos se detallan en
la siguiente tabla.
5 Aplicación de la Disciplina de administración de riesgos de seguridad
Tabla 1: Grupos administrativos de Contoso
Nombre del grupo
Responsabilidades
Ingeniería de dominio
Administración de dominio
Administración del controlador de dominio
DNS
Operaciones
WINS
DHCP
Servicios de archivo
Servicios de impresión
Servicios Web
Administración IIS
Diseño de infraestructura
Diseño de redes
Contoso posee dos centros de datos conectados a dos líneas T1. Parte del personal de ingeniería y operaciones
de cada oficina tiene a su cargo servicios de infraestructura de redes. Todos los servidores Web están ubicados
en el centro principal de datos de Atlanta.
Cada sede posee conexiones de 100 megabits por segundo (Mbps) con todos los servidores y de 10 Mbps con
todas las estaciones de trabajo de los clientes. Los servidores presentan una subred propia. Los equipos de los
clientes se encuentran en una subred aparte. Todos los equipos tienen acceso a Internet a través de la conexión
de Atlanta.
Diseño de Active Directory
Contoso ha implementado un bosque único para Windows 2000 Server con raíz vacía y dominio secundario
único. Un dominio raíz vacío es un dominio aparte que alberga sólo las cuentas de equipos correspondientes a
los controladores de dominio en ese dominio y las cuentas de usuario predeterminadas.
Puede crearse un dominio raíz vacío si se desea obtener dominios secundarios múltiples divididos equitativamente
en límites geográficos y administrados por un grupo central. Un dominio raíz vacío no proporciona seguridad
adicional alguna, pero puede evitar que los errores no intencionados afecten a todo el bosque al separar los
Administradores de la empresa y los administradores de dominio regionales. Contoso creó una raíz vacía porque
esperaba expandirse a otros países en el futuro.
6 Aplicación de la Disciplina de administración de riesgos de seguridad
La ilustración siguiente muestra un diagrama de dominio de alto nivel.
Figura 1
Diseño de Active Directory para Contoso, Ltd.
Contoso también ha dividido su red en dos Active Directories Microsoft® sitios de servicios para directorios —
Atlanta y Boston. Las funciones de las operaciones maestras únicas flexibles (FSMO) se dividen en estos sitios.
Cada sitio posee controladores de dominio Active Directory integrado con DNS, DHCP y servidores de archivo
e impresión. Atlanta es la base de los servidores WINS para toda la organización. La mayoría de los servidores
IIS de la organización se encuentra en Atlanta; sin embargo, algunos servidores Web de departamentos de menor
importancia están en Boston.
Actualmente, Contoso se encuentra en proceso de actualización de su red interna. Está migrando a una topología
de red a base de conmutadores pero en algunos de los edificios todavía existe una gran cantidad de equipos
conectados por concentradores.
7 Aplicación de la Disciplina de administración de riesgos de seguridad
Figura 2
Diseño de servicio para Contoso Ltd.
La ilustración anterior muestra la distribución de servicios a base de servidores en Contoso pero no representa
con precisión la cantidad total de servidores dentro de la organización.
Necesidades comerciales
Tal y como se ha mencionado, Contoso es una compañía dedicada a la investigación de mercado. La investigación
de mercado es una actividad que se concentra en el planeamiento y control de la suma de actividades involucradas
en el flujo de artículos y servicios de los fabricantes a los consumidores, incluidos el envasado, la fijación de
precio, la promoción y distribución física de los productos para satisfacer las necesidades de un mercado en
particular.
Los investigadores de mercado deben aprender lo máximo posible sobre sus clientes para descubrir las necesidades
del mercado. Para facilitarles la tarea, Contoso les ofrece información detallada de sus mercados destino.
La mayor parte de la información de mercado de Contoso está alojada en servidores IIS ubicados dentro de la
organización. El personal de investigación de mercado utiliza los servidores Web internos para recolectar
información detallada de sus clientes. Parte de esta información también se encuentra en recursos compartidos
de archivo, pero la información de estos recursos es sólo una porción de la información disponible en los servidores
de la intranet.
Contoso desea garantizar la seguridad de sus datos internos. La investigación de mercado es un campo muy
competitivo y los datos de la compañía representan una ventaja comparativa principal respecto de la competencia.
Por ello, la prioridad máxima de la organización es mantener un alto nivel de seguridad de los datos de mercado
de la compañía.
8 Aplicación de la Disciplina de administración de riesgos de seguridad
Se ha iniciado un proyecto independiente para analizar la seguridad de la conectividad externa de Contoso y de
su red perimetral. Estos temas quedan fuera del alcance de este proyecto.
Identificación de riesgos de seguridad
El primer paso en todo proyecto de seguridad es definir los riesgos de seguridad a debatir. Estos riesgos son una
combinación de activos, las amenazas que pudieran afectarlos y las vulnerabilidades de dichos activos que puedan
ser explotadas de modo alguno. Una buena analogía de estos tipos de relaciones es una casa.
La casa es un activo. Tiene valor y debe ser protegida. Un ladrón representa un agente que amenaza la casa
porque tiene el potencial de dañarla o robar elementos. Las ventanas de la casa son necesarias; sin embargo, toda
ventana abierta se convierte en una vulnerabilidad porque el ladrón puede usarla para entrar a la casa. Este simple
ejemplo muestra cómo un agente amenazante puede explotar una vulnerabilidad para obtener acceso a un activo.
El primer paso para garantizar la seguridad total en el entorno de los equipos de una organización es identificar
los activos, las amenazas que pudieran afectar el entorno y las vulnerabilidades de los activos identificados.
Llevar a cabo este proceso en una organización ayuda a establecer un conjunto de riesgos de seguridad que se
pueden analizar y clasificar por orden de prioridad adecuadamente.
Identificación de activos
Los activos pueden incluir una amplia gama de elementos. Este módulo sólo analiza un subconjunto de activos
informáticos. Identificar estos activos puede ser muy simple en algunas organizaciones y muy difícil en otras,
según los procesos de obtención y los mecanismos de seguimiento de activos utilizados.
Conocer las funciones de los servidores es más importante que conocer la cantidad de servidores implementados
en la organización. Por ejemplo, Contoso es una empresa de investigación de mercado que utiliza servidores
Web para que sus empleados tengan acceso a datos de mercado. La compañía puede determinar que estos equipos
son más importantes que un servidor de impresión. Sin embargo, Contoso también puede determinar que diferentes
servidores Web del entorno poseen diferentes niveles de importancia en la estructura general de la organización.
Además, los activos no son sólo hardware físico. En un entorno informático, los activos potenciales que deben
ser evaluados incluyen servicios tales como los servicios de nombre provistos por un servidor DNS. Los activos
también pueden incluir cuentas de usuario tales como cuentas de servicio o de administrador.
Priorización de activos
Si bien identificar activos es un proceso cualitativo, deben considerarse los beneficios generales de las metas
comerciales de la organización al determinar el valor potencial de cada servidor o grupo de servidores. Al hacerlo,
se puede definir una prioridad de activo (PA) para cada servidor o grupo de servidores. Entre los principales
factores a considerar como parte de este proceso se incluyen:
•
El valor financiero del activo.
•
El coste de construcción del activo.
•
El coste de protección del activo.
•
El valor del activo para la competencia.
•
El coste de recuperación del activo.
Puede resultar muy difícil clasificar todos los activos de una organización en la misma escala. Por ello, resulta
útil desglosarlos en tecnologías similares y luego clasificarlos. Este enfoque facilita la comparación del valor
relativo de diferentes activos utilizando una escala similar en la organización.
9 Aplicación de la Disciplina de administración de riesgos de seguridad
Determinación de los valores de los activos
Al identificar activos es extremadamente importante determinar el Valor del activo (VA) para cada recurso. El
VA es el valor monetario del activo. Al determinar el valor del activo es importante considerar una cantidad de
elementos, incluidos el valor físico y el valor comercial de los datos alojados en dicho activo.
El valor físico es fácil de calcular. El monto se genera en función de los siguientes costes:
•
Costes de hardware
•
Costes de software
•
Costes de soporte técnico
•
Costes de reemplazo
El valor comercial de los datos contenidos en dichos activos puede ser muy difícil de expresar numéricamente.
Puede basarse en su contribución a las metas financieras generales de la compañía o en el valor que un individuo
o una organización externa pueda darles. Normalmente, este valor es muy debatible pero debería ocasionar un
impacto relativo en la pérdida de datos en comparación con datos de activos similares. A menudo, el valor de
los datos supera ampliamente el valor del hardware en sí.
El valor indirecto del activo puede resultar lo más difícil de cuantificar. Esta cifra debe ser el valor que la compañía
puede perder por publicidad negativa, acciones legales o lucro cesante si el activo se extravía o se pone en peligro.
Además, este valor puede incluir el coste comercial de reemplazo o reparación por la pérdida del activo.
Finalmente, se debe evaluar el valor que una organización externa le da al activo. Al igual que con el valor
comercial indirecto, puede resultar difícil de calcular. Esta cifra debe reflejar el valor monetario que un agente
externo pagaría por los datos reales contenidos en el activo.
El Valor del activo es una suma en dólares que puede utilizarse al computar las expectativas de pérdida para el
activo. El VA debe calcularse sumando el valor físico del activo, su valor comercial directo e indirecto y el valor
del activo para una organización externa.
Tal y como se ha mencionado anteriormente, esta cifra es muy difícil de determinar. EL valor físico de un servidor
es sólo una fracción del valor total del equipo. El valor real de un activo dentro de la organización viene dado
por su funcionalidad o por los datos que contiene.
Lista de activos de Contoso
Como parte del proceso de análisis de riesgos de seguridad, todo activo de una organización debe ser identificado
y clasificado para proporcionar información a la evaluación general de riesgos de seguridad y un medio para
calcular sus valores relativos dentro de la organización. El proceso de análisis de riesgos de seguridad ofrece un
método para identificar riesgos y evaluar el daño que podría ocasionarse para justificar la protección de la
seguridad.
Contoso ha identificado varios grupos de activos que desea debatir en la primera fase del proyecto. Uno de ellos
es la infraestructura de Windows 2000. Este agrupamiento incluye los controladores de dominio, los servidores
de archivo e impresión, los servidores IIS y los servidores de infraestructura. Contoso también ha definido
servidores de infraestructura de modo que incluyan específicamente los servicios DNS, DHCP y WINS.
Estos servicios fueron clasificados en función de los criterios mencionados anteriormente. Como parte de este
proceso, tanto la Ingeniería de dominio como las Operaciones, los servidores Web y los equipos de seguridad
extendida, determinaron una prioridad de activo (PA) general para cada grupo de servicios. Para hacerlo, los
equipos basaron sus calificaciones en la siguiente escala de 1 a 10, que puede utilizarse para designar activos
clave para la compañía:
10 Aplicación de la Disciplina de administración de riesgos de seguridad
•
1 — El servidor ofrece funcionalidad básica pero no representa un impacto financiero en los negocios.
•
3 — El servidor almacena información importante pero los datos pueden recuperarse rápida y fácilmente.
•
5 — El servidor contiene información importante que llevaría tiempo recuperar.
•
8 — El servidor contiene información importante para las metas comerciales de la compañía. La pérdida de
este equipo tendría un gran efecto sobre la productividad de todos los usuarios.
•
10 — El servidor representa un gran impacto en los negocios de la compañía. La pérdida de este equipo
ocasionaría una desventaja comparativa.
La siguiente tabla ilustra las calificaciones de prioridad del activo otorgadas a algunos de los activos de Contoso.
No es una lista completa de activos pero sí una muestra del proceso de calificación general realizado en el entorno
Contoso.
Tabla 2: Prioridades de activos de Contoso
Clasificación de servidores
Prioridad de activo (PA)
Controladores de dominio raíz
8
Cuentas del Administrador de la empresa
10
Controladores de dominio secundario
8
Cuentas del Administrador de dominio Norteamérica
10
Cuentas del usuario de dominio Norteamérica
5
Servicios DNS raíz
4
Servicios DNS secundario
5
Servidores WINS
3
Servidores DHCP
1
Servidores de archivo e impresión
8
Servidores IIS de investigación
10
Servidores IIS de departamento
6
Servidores IIS de recursos humanos
7
Además, se realizó la valuación de los activos para cada uno de los servidores de la siguiente tabla.
Un detalle adicional de estos valores está disponible en la hoja de cálculo de Excel "JA0401.xls", incluida en
esta solución.
Tabla 3: Valuación de activos de Contoso
Clasificación de servidores
Valor físico
Valor adicional
Valor del activo (VA)
Controlador de dominio raíz único
$18.000
$10.000
$28.000
Cuentas del Administrador de la empresa
$0
$829 millones
$829 millones
11 Aplicación de la Disciplina de administración de riesgos de seguridad
Clasificación de servidores
Valor físico
Valor adicional
Valor del activo (VA)
Controlador de dominio secundario único
$18.000
$50.000
$68.000
Cuentas del Administrador de dominio Norteamérica $0
$829 millones
$829 millones
Cuentas del usuario de dominio Norteamérica
$0
$1.000
$1.000
Servicios DNS raíz
$18.000
$30.000
$48.000
Servicios DNS secundario
$18.000
$30.000
$48.000
Servidor WINS
$18.000
$0
$18.000
Servidor DHCP
$18.000
$0
$18.000
Servidor de archivo e impresión
$40.000
$480.000
$520.000
Servidor IIS de investigación
$46.000
$550.000
$596.000
Servidor IIS de departamento
$32.000
$50.000
$82.000
Servidor IIS de Recursos Humanos
$32.000
$300.000
$332.000
Comprensión de las prioridades y los valores de activos
Los activos de una compañía pueden clasificarse de diversas maneras. En esta sección se detallan los criterios
utilizados para tomar estas decisiones en el caso de los activos de Contoso. La información siguiente describe
las decisiones tomadas en este ámbito en particular. El suyo puede ser muy diferente y se obtendrán diferentes
resultados en función de las necesidades y los requerimientos comerciales. Estos valores son muy subjetivos y
sólo ofrecen una descripción general del proceso realizado en el entorno Contoso.
Controladores de dominio raíz
Los controladores de dominio raíz son piezas importantes de la infraestructura; sin embargo, contienen pequeños
datos difíciles de recrear. Contoso cuenta con diversos controladores de dominio en su dominio raíz, que ofrecen
redundancia en los servicios que prestan. Representan un mínimo beneficio financiero directo a la compañía,
pero gozan de un enorme poder. Por ello, se les asignó una prioridad de activo de 8.
Los controladores de dominio raíz contienen poca información de valor financiero fuera de la compañía, pero
un error en ellos limitaría la información de los usuarios. Por esta razón, se evaluó la información comercial que
contienen en aproximadamente $10.000. Conjuntamente con los costes de hardware, el VA total de los
controladores de dominio se estima en $28.000.
Estas cifras se corresponden con un único controlador de dominio y no con la prioridad de los servicios generales
de dominio. Las cuentas de dominio y del administrador de la empresa se evaluaron como recursos propios para
calcular los riesgos asociados.
Contoso podría haber realizado una evaluación adicional de la prioridad y del valor de los servicios generales
de dominio para dar cuenta de cualquier riesgo que pudiera eliminar la funcionalidad del dominio. Esto se
consideró no pertinente al alcance de este proyecto.
12 Aplicación de la Disciplina de administración de riesgos de seguridad
Cuentas del Administrador de la empresa
Las cuentas del grupo Administrador de la empresa son las más importantes dentro de la organización. Un
administrador de la empresa puede controlar cualquier computadora del bosque. Estas cuentas deben usarse sólo
cuando es necesario y deben contar con las máximas medidas de seguridad dentro de la organización.
Debido al enorme poder de este grupo, se calificó la prioridad de estos activos con 10. Perder el control de estas
cuentas podría originar un caos para la organización.
El valor de las cuentas de este grupo es enorme. Equivale a toda la información almacenada o asegurada en el
bosque Windows 2000. Por ello, el valor de las cuentas del Administrador de la empresa se estimó equivalente
a las ganancias de la organización durante el último año — $829 millones. El grupo debe gozar de una protección
tal como si el funcionamiento integral de los negocios de la empresa dependiera de su seguridad.
Controladores de dominio secundario
Los controladores de dominio secundario contienen información clave sobre los usuarios de la organización,
incluidas sus contraseñas. Si se perdiera o pusiera en peligro esta información podría generarse un importante
impacto en la compañía. Contoso ha dispuesto controladores de dominio múltiples en todas sus sedes, con lo
cual reduce el impacto de un error independiente. Gracias a ello, sería más fácil recuperar la pérdida de un
controlador de dominio independiente. La combinación de estos factores ayudó a Contoso a calificar a los
controladores de dominio secundario con una prioridad de activo de 8.
La información de los controladores de dominio secundario se valuó en $50.000. Esta estimación se basa en la
suma que una organización externa pagaría por obtener los números telefónicos y las direcciones de correo
electrónico de los usuarios. Conjuntamente con el valor del hardware, el VA de los controladores de dominio
secundario se estimó en $68.000.
Tal como en el caso de los controladores de dominio raíz, estas cifras no toman en cuenta errores en la cuenta
de dominio o la pérdida de todos los servicios de dominio. En cambio, la estimación se concentra solamente en
la información y las funciones ofrecidas por un controlador de dominio independiente.
Cuentas del Administrador de dominio Norteamérica
Contoso posee un dominio secundario denominado "Norteamérica". Este dominio contiene la mayoría de los
activos de la compañía, incluidos servidores, información y cuentas. Si bien son menos que las cuentas del grupo
Administrador de la empresa, las cuentas del grupo del Administrador de dominio Norteamérica goza de un
enorme poder.
Debido a que los administradores de dominio tienen total control sobre todos los recursos del dominio, la prioridad
de las cuentas de administradores del dominio Norteamérica se calificó con 10. Si bien el error de una de estas
cuentas es levemente más grave que el error de una cuenta del grupo Administrador de la empresa, ambas pondrían
en peligro a todos los equipos de la organización.
Tal como se mencionó anteriormente, el valor de las cuentas del grupo Administrador de dominio es enorme.
Por esta razón, el valor de las cuentas del grupo Administradores del dominio Norteamérica también es equivalente
a las ganancias de la empresa durante el último año.
Cuentas del Administrador de dominio Norteamérica
Las cuentas de Administradores de dominio no son las únicas cuentas de interés dentro de una organización. Si
bien las de usuario no representan el mismo poder inmediato que una cuenta de Administrador de dominio, son
otro punto de apoyo que un atacante podría utilizar para tomar el control de la organización. La estabilidad e
integridad de las cuentas de usuario es una de las principales preocupaciones de Active Directory. Por ello, se
calificó la prioridad de las cuentas de usuario con 5.
El valor físico de una cuenta de usuario independiente es mínimo. Se requeriría de cierto trabajo administrativo
para recuperar la cuenta y se perdería cierta funcionalidad. Sin embargo, éste es uno de los activos de más difícil
13 Aplicación de la Disciplina de administración de riesgos de seguridad
valoración. El coste necesario para recrear la cuenta y compensar la productividad perdida ayuda a estimar el
VA de una cuenta de usuario en aproximadamente $1.000.
Servicios DNS raíz
Los servidores DNS raíz ofrecen gran funcionalidad pero pueden recrearse muy fácilmente. Los datos contenidos
en estos servidores no proporcionarían gran información a terceros y el impacto general de su pérdida sería
mínimo. Sin embargo, si alguien infectara los servidores DNS, los usuarios serían redirigidos a otras ubicaciones
y perderían el acceso a los recursos que necesitan. Por ello, se les asignó una prioridad de activo de 4.
Un servidor DNS puro no contiene información comercial. Sin embargo, se podría ocasionar una pérdida de
funcionalidad y productividad si estos servicios fueran alterados de modo alguno. En función del tiempo estimado
que llevaría recuperar la funcionalidad y corregir cualquier inconveniente, conjuntamente con una estimación
de las pérdidas de productividad, el valor adicional de los servicios DNS se estimó en aproximadamente $30.000.
En combinación con el valor del hardware, el VA de los servidores DNS se estimó en $48.000.
Tenga en cuenta que los servidores DNS de Contoso funcionan como parte de los controladores de dominio,
pero se decidió tratarlos por separado.
Servidores DNS secundarios
Los servidores DNS secundarios contienen información de todos los servidores, las estaciones de trabajo de
clientes y ciertos servicios de red del dominio secundario que podrían ser de interés para terceros. Los servidores
no afectan directamente a las ganancias de la compañía pese a que tienen un elevado valor por su capacidad de
conservar el buen funcionamiento de la red Contoso. Debido a que la información almacenada en estos servidores
puede recrearse fácilmente en servidores DNS, se les asignó una prioridad de activo de 5.
Al igual que con los servidores raíz, un servidor DNS puro no contiene información comercial. Sin embargo,
podría ocasionarse una pérdida de funcionalidad y productividad si estos servicios fueran alterados en modo
alguno. En función del tiempo estimado que llevaría recuperar la funcionalidad y corregir cualquier inconveniente,
conjuntamente con una estimación de las pérdidas de productividad, el valor adicional de los servicios DNS del
dominio Norteamérica se estimó en aproximadamente $30.000. En combinación con el valor del hardware, el
VA de los servidores DNS se estimó en $48.000.
Nuevamente, tenga en cuenta que los servidores DNS de Contoso funcionan como parte de los controladores de
dominio, pero se decidió tratarlos por separado.
Servidores WINS
Los servidores WINS contienen información similar a la almacenada en los servidores DNS. Sin embargo, el
uso de los servidores WINS está limitado principalmente a las estaciones de clientes más antiguas del entorno
Contoso que aún poseen Windows 98 y Windows NT Workstation 4.0. También en este caso y debido a que la
información del servidor puede recrearse fácilmente, se les asignó una prioridad de activo de 3.
Un servidor WINS no contiene información comercial. La única información contenida en servidores WINS es
la información de nombre del servicio básico de entrada y salida de red (NetBIOS) para los hosts del entorno.
Toda pérdida de productividad significaría la pérdida de todos los servicios WINS del entorno, pero gracias a la
redundancia, el riesgo se mitiga. El VA total de un servidor WINS se estima en $18.000.
Tenga en cuenta que no incluye el valor de los servicios WINS de toda la organización, sólo el valor de un
servidor WINS independiente.
Servidores DHCP
Los servidores DHCP contienen poca información de valor para otra organización. Estos servidores pueden
recrearse fácilmente y no representan ganancias directas para la compañía. Por ello, se les asignó una prioridad
de activo de 1.
14 Aplicación de la Disciplina de administración de riesgos de seguridad
El servidor DHCP sólo contiene información de los equipos y sus direcciones IP, así como cierta información
del ámbito DHCP. Estos servidores no contienen información alguna de valor comercial aunque sí proporcionan
funcionalidad comercial. Contoso ha implementado servidores DHCP múltiples en su entorno y ha utilizado la
regla 80/20 al crear sus ámbitos DHCP para permitir la pérdida de un servidor DHCP. Gracias a esto se reduce
en gran medida el impacto de la pérdida de un servidor independiente. Siendo éste el caso, el VA de un servidor
DHCP independiente se estimó en $18.000.
Tenga en cuenta que no incluye el valor de los servicios DHCP de toda la organización, sólo el de un servidor
DHCP independiente.
Servidores de archivo e impresión
Los servidores de archivo e impresión contienen gran parte de la propiedad intelectual de la compañía. La pérdida
de estos equipos significaría una gran suma de dinero tanto para la compañía como para la competencia. Sería
costosísimo recrear la información almacenada en estos servidores. Debido a estos factores, se les asignó una
prioridad de activo de 8.
El valor promedio de la información almacenada en cada uno de los servidores de archivo e impresión se estimó
en $200.000 por servidor. Esta suma se basa en el valor que dicha información le rinde actualmente a la
organización, así como en el coste de generación de la información.
Servidores IIS de investigación
Los servidores IIS de investigación de Contoso publican la mayoría de los datos de investigación de mercado
para los usuarios internos de la compañía. Estos servidores contienen la información que representa la principal
ventaja comparativa de la compañía. Por estas razones, los servidores IIS de investigación son clave y se les
asignó una prioridad de activo de 10.
Cada servidor IIS de investigación contiene información valuada en $450.000. Esto también se basa en el valor
que dicha información le representa actualmente a la organización, como así también en el coste de generación
de la información. Además, el valor que una organización externa pagaría por esta información se estimó en
aproximadamente $80.000. En combinación con el coste del hardware, esto genera un VA de $596.000 para cada
servidor IIS reservado para información de investigación de mercado.
Servidores IIS de departamento
Los servidores IIS de departamento también contienen información de valor sobre proyectos presentes y futuros
de Contoso, pero no almacenan gran cantidad de información con valor comercial neto. Estos servidores se
utilizan principalmente como medios de comunicación. Por estas razones, se les asignó una prioridad de activo
de 6.
El valor promedio de la información almacenada en los servidores IIS de departamento se estimó en $50.000
por servidor. Tal como se mencionó anteriormente, se basa en el valor que la información le representa actualmente
a la organización, como así también en el coste de generación de la información. En combinación con los costes
de hardware, el VA de los servidores IIS de departamento es $82.000.
Servidores IIS de recursos humanos
Los servidores IIS de recursos humanos son los servidores cliente para otro sistema de servidores de RR.HH.
Estos servidores pueden recrearse fácilmente y no almacenan gran cantidad de información comercial clave. Sin
embargo, el desarrollo de estos servidores es costoso por lo que se les asignó una prioridad de activo de 7.
El valor de la información comercial almacenada en los servidores IIS se ha determinado en $100.000. Esta
información incluye extensos datos personales e información interna de la compañía con dicho valor estimado
para una organización externa. Además, se estimó un valor de $200.000 para hacer frente a cualquier acción
judicial o publicidad negativa potenciales por la divulgación de esta información. En combinación con el valor
del hardware del servidor IIS, el VA de estos activos se estimó en $332.000.
15 Aplicación de la Disciplina de administración de riesgos de seguridad
Identificación de amenazas
Luego de identificar y evaluar los activos a tener en cuenta en el proyecto de seguridad de Contoso, se debe
determinar las amenazas a debatir para protegerlos. Las amenazas se presentan de diversas maneras y cada una
conlleva diferentes riesgos para los activos de la compañía. Existe una cantidad ilimitada de amenazas para los
activos dentro de una organización. Se analizan en detalle dichas amenazas en el módulo "Definición del panorama
de seguridad de Windows 2000." En resumen, las amenazas pueden dividirse en tres categorías principales:
naturales, mecánicas y humanas.
Amenazas identificadas en el entorno Contoso
Como parte de su proyecto de seguridad de Windows 2000, Contoso decidió considerar sólo ataques maliciosos
potenciales. Los procedimientos operativos y las directivas de capacitación de la compañía ayudan a reducir las
amenazas por mal uso accidental del entorno del sistema. El diseño físico de la red de Contoso y sus requerimientos
de sistema también ayudan a reducir las amenazas mecánicas. Además, Contoso ha desarrollado planes de
contingencia bien definidos en caso de un desastre natural.
Al reducir la cantidad de amenazas que se debatirán en el proyecto de seguridad se facilita la comprensión total
de la superficie de ataque y los límites del proyecto necesarios para establecer las directivas y los procedimientos
de seguridad. Sin embargo, establecer estos límites también puede significar que se necesiten proyectos adicionales
para hacer frente a todas las amenazas al entorno de la organización.
Análisis de riesgos de seguridad — determinación de probabilidades de amenazas
Determinar las probabilidades de amenazas específicas es muy importante para el proceso general de análisis de
riesgos de seguridad. Al crear una valoración de riesgos de seguridad para su organización, estas cifras ayudan
a determinar la gravedad de cada riesgo.
Contoso definió la probabilidad de amenaza (PAm) como la probabilidad de que se materialice una amenaza.
Desarrolló una escala para todas las amenazas de alto nivel y las calificó de 0 a 1,0. De acuerdo con esta escala,
una amenaza calificada 0,1 tiene pocas probabilidades de materializarse, mientras que otra calificada 1,0 es de
segura materialización, tal lo detallado en la siguiente tabla.
Tabla 4: Probabilidades de amenazas de Contoso
Amenaza
Probabilidad
Incendio
0,05
Inundación
0,025
Vientos fuertes
0,025
Terremoto
0,001
Corte del suministro eléctrico
0,0002
Error de hardware
0,1
Error de red
0,3
Usuarios desinformados
0,2
Código malicioso (virus)
0,6
Espías industriales
0,1
16 Aplicación de la Disciplina de administración de riesgos de seguridad
Amenaza
Probabilidad
Atacantes internos
0,6
Atacantes externos
0,4
Las probabilidades correspondientes a atacantes internos y externos se basan en una combinación de los resultados
del "Computer Crime and Security Survey" ("Relevamiento sobre delitos y seguridad informática") y las
experiencias previas de Contoso durante el último año.
Éste es sólo un subconjunto de amenazas que pudieron identificarse, pero ilustra cómo puede confeccionarse
una lista en función de la experiencia pasada, las condiciones del entorno, la geografía y la industria de la
organización.
Evaluación de la seguridad
Tal como ocurre en la mayoría de los proyectos de sistemas de información, el mejor modo de programar un
proyecto de seguridad es inspeccionar el panorama existente. Se deben revisar las directivas y los procedimientos
e investigar el uso de la tecnología en los niveles físico, perimetral, de red, de host, de aplicación y de datos.
Existen diversas metas en lo que hace a la evaluación de la seguridad, por lo que se dispone de diversas categorías
de acciones a realizar para alcanzarlas. Se incluyen:
•
Evaluación operativa.
•
Pruebas de penetración.
•
Evaluación de vulnerabilidad.
•
Auditoría de detección de intrusos.
Ciertos socios de Microsoft ofrecen estos servicios. Para conocer los socios certificados de Microsoft, consulte:
http://directory.microsoft.com/resourcedirectory/Solutions.aspx. Aquí se describen las tres categorías de evaluación
de seguridad en mayor detalle.
Evaluación operativa
La seguridad se inicia con una directiva bien definida. El primer paso para garantizar la seguridad de una
organización debe ser una revisión completa de las directivas documentadas de la organización. Una evaluación
operativa suele generar una investigación detallada de las directivas y los procedimientos de la compañía. Ciertas
evaluaciones operativas pueden extenderse hacia el uso de tecnología de alto nivel.
El objetivo de una evaluación operativa es ayudar a identificar el estado actual de la seguridad de la organización
y garantizar la disponibilidad de la administración operativa. Además, debe identificar tanto las recomendaciones
generales como las específicas que mejoren la disponibilidad de la seguridad y reduzcan el coste total de propiedad
(CTP) de la organización.
Pruebas de penetración
Las pruebas de penetración pueden ayudar a identificar las vías de acceso que un individuo no autorizado puede
utilizar para ingresar a la organización. Pueden incluirse:
•
Exploración de recursos externos para identificar blancos potenciales.
17 Aplicación de la Disciplina de administración de riesgos de seguridad
•
"War dialing" (técnica de "marcado") para identificar accesos telefónicos no seguros. Un "war dialer"
("marcador de guerra") es una herramienta utilizada por los intrusos para obtener acceso no autorizado a un
número telefónico de módem.
•
"War pinging" ("técnica de detonación") para identificar cualquier host disponible exteriormente. Estas
máquinas pueden utilizarse para pruebas adicionales.
•
"War driving" ("manejo de guerra"), un concepto relativamente nuevo que representa el proceso de localización
de cualquier punto de acceso inalámbrico de una organización.
•
Ingeniería social para localizar personas que pudieran ser engañadas y revelen sus contraseñas o algún tipo
de información de seguridad que pueda proporcionar información confidencial accidentalmente.
•
Ingreso al edificio para determinar la sencillez de acceso físico a las instalaciones.
Estas pruebas son útiles para incrementar la atención que una organización le presta a las directivas de seguridad.
Una de las consideraciones más importantes al realizar una prueba de penetración es solicitar los servicios de
una organización externa de conocida reputación. Toda prueba de penetración debe contar con autorización
escrita antes de su inicio. En el caso de muchas compañías, acciones no autorizadas como ésta pueden dar pie a
la extinción del contrato.
Evaluación de vulnerabilidad
Una evaluación de vulnerabilidad profundiza la prueba de penetración. En vez de identificar algunas de las
posibles rutas de acceso, una evaluación de vulnerabilidad define todos los posibles puntos de entrada a la
organización. Dentro de la organización, el equipo responsable del proyecto de seguridad sigue adelante con la
evaluación de vulnerabilidad al identificar otras debilidades de activos internos. Este procedimiento suele realizarse
por recursos internos con privilegios administrativos en todos los equipos.
Una vulnerabilidad es una debilidad de un sistema de información o sus componentes (por ejemplo, procedimientos
de seguridad del sistema, diseño de hardware y controles internos) que puede ser utilizada para generar un
inconveniente relacionado con la información. En general, las vulnerabilidades se generan a raíz de la configuración
actual de un activo. Al modificar la configuración de un activo, se debe repetir la evaluación de seguridad para
validar el sistema actualizado y garantizar que sigue siendo seguro.
Las vulnerabilidades pueden originarse por debilidades en cualquier punto del modelo de defensa en profundidad.
Este modelo ofrece una estrategia para proteger los recursos de amenazas externas e internas. El término defensa
en profundidad (también llamado seguridad en profundidad o seguridad multicapa) tiene su origen en un término
militar usado para describir el sistema de capas de contramedidas de seguridad destinado a generar un entorno
de seguridad cohesivo sin puntos de error. Este modelo incluye hacer frente a problemas con personas, procesos
o tecnología y puede identificarse utilizando la estrategia de evaluación.
El análisis de vulnerabilidad puede realizarse con herramientas o mediante procesos manuales. Puede utilizarse
una exploración automática para identificar cada computadora o componente de la red. Una vez identificados
los blancos potenciales, el análisis ejecuta una serie de pruebas para determinar las posibles vulnerabilidades del
activo.
Los análisis manuales pueden utilizar la información provista por una herramienta de evaluación para obtener
información más detallada sobre el blanco. Profundizando aún más, el proceso manual puede identificar áreas
de debilidad no percibidas en el proceso automático.
Auditoría de detección de intrusos
Una auditoría de detección de intrusos suele combinar los resultados de varias de las demás pruebas y confirmar
que las herramientas de detección de intrusos de una organización funcionan tal cual lo esperado. La agencia
18 Aplicación de la Disciplina de administración de riesgos de seguridad
que realiza la auditoría de detección de intrusos utilizará la información de la evaluación operativa para comprender
las directivas y los procedimientos vigentes dentro de la organización. Los resultados de la prueba de penetración
permiten tener un pantallazo de las diferentes áreas expuestas de la organización. La evaluación de vulnerabilidad
permite comprender los problemas existentes en la organización.
La empresa contratada para realizar dicha auditoría puede utilizar todo su conocimiento y poner en práctica un
intento de intrusión desde fuera de la organización. Lo que más la diferencia de la evaluación de vulnerabilidad
es que este procedimiento suele realizarlo una agencia externa sin derechos administrativos. Si este proceso se
lleva a cabo con éxito, la compañía blanco debe reevaluar la implementación de su sistema de detección de
intrusos. Si la penetración tiene éxito, quienes realizaron la prueba repetirán el proceso dentro de la organización
para determinar qué información adicional pueden obtener sin que se enteren los administradores o el sistema
de detección de intrusos.
La auditoría de detección de intrusos es la prueba más completa y sólo organizaciones de conocida reputación
pueden llevarla a cabo. Tal procedimiento requiere la autorización de los ejecutivos del más alto nivel y se debe
evaluar exhaustivamente el impacto total antes de su inicio.
Herramientas de evaluación de la vulnerabilidad
Es posible que ciertas compañías deseen adquirir una herramienta de evaluación de la vulnerabilidad, antes que
confiar a un tercero la realización de los análisis. Ambos enfoques presentan ventajas y desventajas. Es muy útil
que un tercero revise la infraestructura de la compañía. Sin embargo, el coste puede ser un factor limitante.
Si una organización desea utilizar una herramienta de evaluación de vulnerabilidad por sus propios medios, debe
considerar las siguientes cuestiones para asegurarse de que la herramienta incluya la mayor cantidad posible de
las prestaciones descritas a continuación.
Listas de base de datos de vulnerabilidad
La herramienta de evaluación de la vulnerabilidad debe ser capaz de utilizar múltiples recursos de listas de
vulnerabilidad. Por ejemplo, se pueden incluir los Microsoft Security Bulletins (Boletines de seguridad de
Microsoft), la base de datos Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones habituales)
o BugTraq.
Capacidad de actualización
La herramienta debe actualizar automáticamente los resultados de la prueba. La lista de vulnerabilidades analizada
por una herramienta y las pruebas que ejecuta son tan útiles como la última actualización que proveen. Realizar
el análisis utilizando una herramienta que requiera actualizaciones manuales incrementa las posibilidades de que
el administrador pueda estar omitiendo algunas posibilidades.
Capacidad de personalización
La herramienta debe poseer cierta capacidad de personalización. Cada entorno es diferente. Hay vulnerabilidades
con las que ciertas organizaciones están dispuestas a convivir debido a la configuración de sus entornos. Es
posible que tales organizaciones no deseen recibir alertas cada vez que se identifique una cuestión ya conocida.
Además, es posible que deseen investigar otros elementos específicos no habituales en otros entornos.
Seguridad de red
La herramienta de análisis de vulnerabilidad debe verificar la seguridad de la red. Como parte de estas pruebas,
debe buscar puertos abiertos que puedan identificar servicios no asegurados correctamente.
Seguridad del host
La herramienta debe verificar la seguridad del sistema operativo del host. Esto incluye buscar servicios innecesarios
que puedan estar activos y analizar grupos y cuentas del equipo y utilidades innecesarias del servidor. Debe
garantizar que las listas correctas de control de acceso (LCAs) se apliquen en los registros de eventos, que se
19 Aplicación de la Disciplina de administración de riesgos de seguridad
hayan restringido adecuadamente los permisos de registro y que se hayan otorgado sólo las asignaciones necesarias
de derechos de usuario.
Seguridad de la aplicación
La seguridad de la aplicación también debe incluirse en la prueba. Esto incluye configuraciones de sistema
operativo de línea de base, análisis del controlador y la configuración de dominio y análisis del servidor Web.
Específicamente, si se utiliza IIS en la organización, la herramienta debe supervisar la configuración de metabase
IIS que contiene la información de configuración del servidor IIS, además de verificar que se ha movido el
directorio a otro volumen y que se hayan ejecutado tanto el IIS Lockdown Tool como las direcciones URL.
Seguridad de la información
El escáner de vulnerabilidad debe verificar la seguridad de la información. Los elementos a considerar incluyen:
seguridad en archivos principales de sistema operativo, niveles de Service Packs, revisiones instaladas y permisos
de archivos compartidos. Las revisiones son paquetes acumulativos compuestos por uno o más archivos destinados
a solucionar un defecto de un producto. Atienden situaciones específicas del cliente y no pueden ser distribuidas
fuera de la organización del cliente sin autorización legal por escrito de Microsoft.
Las revisiones de seguridad son levemente diferentes ya que deben aplicarse inmediatamente a todo servidor
que reúna los criterios especificados. No requieren autorización legal y pueden distribuirse según sea necesario.
Priorización
Finalmente, la herramienta debe ayudar a definir las cuestiones de alta prioridad identificadas. Por ejemplo, el
Microsoft Security Response Center (Centro de Respuestas de Seguridad de Microsoft) identifica las revisiones
basadas en las vulnerabilidades identificadas y luego les asigna una calificación. El centro es una unidad comercial
de Microsoft responsable de la investigación y solución de toda vulnerabilidad de seguridad que involucre
productos de Microsoft.
Las calificaciones incluyen: crítica, importante, moderada y baja. Si bien son muy generales, pueden ayudar a
establecer prioridades en cuanto a las revisiones a aplicar inmediatamente a la vez que determinar cómo deben
encararse con diferentes grupos de equipos.
Requisitos del proceso de Análisis de riesgos de seguridad
Como parte del proceso de Análisis de riesgos de seguridad, debe evaluarse cada vulnerabilidad utilizando
diversos criterios. Estos requisitos ayudan a determinar el riesgo general al que cada amenaza expone a la
organización. Esto puede hacerse creando una valoración concisa de riesgos para cada atacante, cada exploit
(programa para sacar provecho de los errores), cada vulnerabilidad y cada combinación de activos. Si bien esto
puede significar mucho trabajo, ayuda a definir por completo las cuestiones que hay que abordar como parte del
proyecto general de seguridad para su organización.
Valoración de riesgos
Al realizar una valoración de riesgos de seguridad debe encararse cada posibilidad por separado y describirse la
consecuencia específica de cada riesgo. De haber consecuencias múltiples, la valoración de riesgos puede resultar
muy extensa y debe definirse más en profundidad.
Toda valoración de riesgos debe contar con una condición que conduzca a una consecuencia. Según lo establecido
en el módulo "Definición del panorama de seguridad de Windows 2000", la valoración de riesgos de seguridad
que desarrolle debe basarse en la siguiente forma:
SI un agente amenazante utiliza una herramienta, técnica o método para explotar una vulnerabilidad,
ENTONCES la pérdida de confidencialidad, integridad o disponibilidad de un activo puede generar
un impacto.
20 Aplicación de la Disciplina de administración de riesgos de seguridad
Determinación de factores de gravedad
El factor de gravedad (FC) es una medida del daño que un exploit en particular puede ocasionar en un activo al
utilizar las vulnerabilidades en cuestión. Una vulnerabilidad en particular puede presentar varios exploits diferentes
que pueden utilizarse para atacar el activo. Cada exploit puede tener diferentes efectos sobre el equipo blanco.
Por ello, debe investigarse para evaluar los exploits potenciales de cada vulnerabilidad.
El factor de gravedad debe medirse en una escala de 1 a 10, donde 1 indica un mínimo impacto del exploit y 10
indica que podría generarse un daño irrevocable de importancia.
Determinación de esfuerzos para explotar vulnerabilidades identificadas
El esfuerzo (E) es la cantidad de trabajo, conocimiento o experiencia que un atacante debe utilizar para un exploit
en particular. El nivel de esfuerzo para utilizar el exploit específico debe medirse por la simplicidad del ataque.
Existe una amplia gama de atacantes maliciosos. Pueden variar desde "script kiddies" ("jóvenes intrusos") con
poco conocimiento de cómo o por qué funcionan los ataques (pero saben qué herramientas pueden ayudarlo a
obtener información) hasta verdaderos "crackers" con profundos conocimientos técnicos de seguridad. Un cracker
es una persona que burla las medidas de seguridad de un sistema informático para obtener acceso no autorizado.
El esfuerzo de un exploit específico debe medirse con la misma escala del factor de gravedad: de 1 a 10, donde
1 indica una habilidad mínima requerida para utilizar un exploit en particular y 10 indica que se requieren las
habilidades de un programador experto en seguridad.
Determinación de factores de vulnerabilidad
El factor de vulnerabilidad (FV) es la medida de susceptibilidad a una forma de ataque en particular.
El factor de vulnerabilidad de un activo también debe medirse según una escala de 1 a 10, donde 1 indica que el
activo no es particularmente susceptible a la vulnerabilidad y 10 indica que se encuentra extremadamente expuesto
a la cuestión en particular.
Máximas vulnerabilidades identificadas en el entorno Contoso
Contoso utilizó una herramienta de análisis de vulnerabilidad en su red para identificar algunas de las cuestiones
de mayor importancia dentro de su configuración. La herramienta devolvió una amplia lista de elementos
priorizados como vulnerabilidades de alto, mediano o bajo riesgo. Contoso ha decidido tratar de encarar las
vulnerabilidades de alto y mediano riesgo inmediatamente durante esta fase del proyecto de seguridad.
Muchas de las vulnerabilidades pueden agruparse en categorías más amplias. Estos agrupamientos se debaten
conjuntamente con las vulnerabilidades específicas identificadas. Además, cada vulnerabilidad se califica por el
esfuerzo, como así también por los factores de gravedad y vulnerabilidad.
Desbordamientos de búfer
El escáner de vulnerabilidad utilizado en el entorno Contoso determinó que ciertos servidores eran susceptibles
a desbordamientos de búfer relacionados con IIS. Un desbordamiento de búfer es un tipo de exploit que utilizan
los atacantes para obtener acceso a un sistema. Específicamente, la herramienta identificó el desbordamiento de
búfer no revisado ida/idq que es explotado por el gusano Code Red. Un gusano es un programa independiente
y auto-replicante que suele consumir memoria, lo que hace que el equipo deje de funcionar.
Valoración de riesgos
Si los atacantes utilizan Code Red para explotar las vulnerabilidades ida/idq, ENTONCES una pérdida de
integridad y disponibilidad de los servidores IIS de investigación puede ocasionar un incremento en el tráfico
de la red.
Debido a que las valoraciones de riesgos deben ser creadas para cada activo vulnerable, deben construirse
valoraciones de riesgos similares para los servidores IIS del departamento y de recursos humanos.
21 Aplicación de la Disciplina de administración de riesgos de seguridad
Factor de gravedad
El gusano Code Red se descubrió el 17 de julio de 2001. Se autopropagó a través de Internet a una velocidad
asombrosa, e infectó a casi 360.000 servidores en 14 horas. En su camino, mutiló servidores Web y ocasionó
una gran cantidad de tráfico adicional, y así inundó muchas redes corporativas.
Debido a su impacto potencial en el entorno corporativo, el equipo de seguridad de Contoso le asignó a Code
red un factor de gravedad de 9 para todos los servidores IIS de la organización.
Esfuerzo
Code Red fue muy difícil de crear. El desbordamiento ida/idq era una vulnerabilidad particularmente compleja
y muy difícil de explotar al comienzo. Sin embargo, por su naturaleza, Code Red se esparció en gran medida. El
gusano Code Red se autopropaga, por lo que casi no se requieren habilidades para utilizar este exploit. Por ello,
el esfuerzo requerido para utilizarlo se califica con 1.
Factor de vulnerabilidad
Contoso aún sufre infecciones de Code Red en sus dos ubicaciones de servidores de dominio. Es habitual que
los servidores de la compañía se infecten durante el proceso de construcción, incluso antes de que puedan instalarse
todas las revisiones. Por ello, encarar los desbordamientos de búfer IIS es una de las mayores preocupaciones
de Contoso.
Como Code Red continúa infectando servidores dentro de la organización, el proceso actual de construcción de
servidores es sumamente vulnerable al gusano. Pero el personal del equipo de seguridad está instalando las
revisiones necesarias para esta cuestión en particular. Se le asignó al factor de vulnerabilidad de los servidores
Web de Contoso una calificación de 8.
NetBIOS - Enumeración
El escáner determinó que todas las cajas eran vulnerables a la enumeración Net BIOS. NetBIOS utiliza un recurso
compartido predeterminado para comunicaciones IPC. De forma predeterminada, toda persona puede conectarse
a este recurso compartido (no se requiere nombre de usuario ni contraseña). Si bien la simple conexión no otorga
derechos para visualizar archivos o controlar procesos, sí se tiene acceso a gran cantidad de información del
sistema.
Al crear una conexión nula (una conexión sin nombre de usuario o contraseña) al recurso compartido IPC$ de
un equipo, los atacantes potenciales pueden usar utilidades de fácil acceso para visualizar, por ejemplo:
•
Nombres de cuenta.
•
Grupos.
•
Recursos compartidos.
•
Campos de comentarios de cuenta.
•
Último inicio de sesión de cuenta.
•
Última modificación de la contraseña.
Éstos son sólo algunos de los elementos de fácil visualización, pero representan el tipo de información que puede
obtenerse sin un nombre de usuario o contraseña.
Valoración de riesgos
22 Aplicación de la Disciplina de administración de riesgos de seguridad
SI un atacante utiliza una herramienta de enumeración NetBIOS para explotar sesiones nulas, ENTONCES toda
pérdida de confidencialidad del controlador de dominio de Norteamérica puede permitir que un usuario no
autorizado obtuviera acceso a la información de la cuenta.
También debe crearse una valoración similar para el controlador de dominio raíz.
Factor de gravedad
La enumeración NetBIOS y su utilización de sesiones nulas puede ocasionar una seria infracción de seguridad.
Si no puede evitar que un usuario no autorizado visualice todos los nombres de cuenta, comentarios de cuentas,
grupos y recursos compartidos, la organización se enfrenta a un enorme riesgo: los atacantes podrían tener acceso
a una cantidad de nombres de cuenta, lo que representa la mitad de la combinación nombre/contraseña.
Debido al potencial impacto de los nombres de usuario en peligro, Contoso calificó el FG de la enumeración
NetBIOS con 6 para todos los controladores de dominio de la compañía. Contoso no crea cuentas de usuario
específicas en servidores miembro, aunque podría crearse una valoración de riesgos aparte, ya que los servidores
miembro no contienen recursos compartidos enumerables. Contoso no lo consideró una amenaza de importancia
pero habría calificado al FG de los servidores miembros con 3.
Esfuerzo
Se requiere relativamente poco esfuerzo para enumerar la información NetBIOS de un host específico. Se dispone
de una cantidad de herramientas en Internet que automatizan esta funcionalidad luego de establecida una sesión
nula en un equipo destino.
Contoso calificó el esfuerzo necesario para explotar esta vulnerabilidad con 2.
Factor de vulnerabilidad
Actualmente, el entorno Contoso no implementa ninguna medida preventiva para evitar la enumeración NetBIOS
en ninguno de sus servidores miembro o controladores de dominio. Por ello, se calificó al FV de todos los
servidores con 10.
Enumeración SNMP
La herramienta de análisis descubrió que el Protocolo simple de administración de redes [Simple Network
Management Protocol (SNMP] estaba activado en los equipos y que utilizaba la cadena "pública" predeterminada.
Contoso utiliza servicios SNMP en servidores Windows 2000 para informar de eventos. La compañía siempre
ha usado la cadena pública por lo que estaba interesada en descubrir que, además de su capacidad para supervisar
el hardware genérico, SNMP puede utilizarse para devolver información de otros aspectos del equipo, incluidos:
•
Nombres de cuenta.
•
Nombres de recursos compartidos.
•
Rutas y comentarios de recursos compartidos.
•
Servicios activos.
•
Puertos abiertos.
Valoración de riesgos
SI un atacante utiliza la herramienta de enumeración SNMP para explotar cadenas públicas comunitarias,
ENTONCES toda pérdida de confidencialidad del controlador de dominio Norteamérica podría permitir que un
usuario no autorizado obtuviera acceso a la información de cuenta.
También debe crearse una valoración similar para el controlador de dominio raíz.
23 Aplicación de la Disciplina de administración de riesgos de seguridad
Factor de gravedad
La enumeración SNMP puede proporcionar gran cantidad de información y resultar potencialmente peligrosa,
especialmente si se le otorga el derecho de escritura sobre el servidor destino a la cadena comunitaria especificada.
Debido a su configuración, Contoso asignó una calificación de FG de 6 a todos los servidores.
En caso de que Contoso tuviera alguna cadena comunitaria SNMP de escritura, debe crearse una valoración de
riesgos aparte.
Esfuerzo
La enumeración SNMP es de fácil explotación mediante diversas herramientas gratuitas o shareware disponibles
en Internet. Contoso calificó el esfuerzo necesario para utilizarlas con 2.
Factor de vulnerabilidad
Contoso cuenta con SNMP activado en la mayoría de sus servidores para cumplir con la supervisión, y la compañía
posee el nombre de cadena comunitaria predeterminada de pública. Por ello, la organización es relativamente
vulnerable. Contoso le asignó a la enumeración SNMP un FG de 10.
Enumeración DNS
La evaluación de vulnerabilidad determinó que los servidores DNS no restringían las transferencias de zona. Si
esta característica de DNS no está asegurada, un atacante puede obtener información de un servidor DNS de la
organización fácilmente.
Contoso utiliza Active Directory integrado con DNS en Windows 2000. DNS almacena gran cantidad de
información sobre un dominio, incluidos los nombres de servidores y las direcciones de protocolo de Internet
(IP), los servicios activos de la red y los servidores a cargo de servicios específicos como catálogos globales y
DC.
Valoración de riesgos
SI un atacante utiliza nslookup para explotar transferencias de zona sin cerrojo, ENTONCES toda pérdida de
confidencialidad del DNS Norteamérica podría ocasionar la identificación del equipo y el servicio.
También debe crearse una valoración similar para los servidores DNS raíz.
Factor de gravedad
La enumeración DNS puede proporcionar gran cantidad de información de hosts y servicios del entorno, pero
no contiene información de usuarios específicos o información clave de la compañía. Por ello, Contoso asignó
a los controladores de dominio un factor de gravedad de 2.
Esfuerzo
La enumeración DNS puede realizarse con herramientas incluidas en la mayoría de los sistemas operativos.
Contoso calificó el esfuerzo necesario para utilizarlas con 1.
Factor de vulnerabilidad
Debido a que Contoso no ha asegurado las transferencias de zona DNS de su entorno, se calificó al FV de la
enumeración DNS con 7.
Contraseñas no seguras
La herramienta de evaluación elegida por Contoso posee una funcionalidad adicional que le permite realizar
ataques de diccionario básicos contra las cuentas de usuario, para identificar contraseñas no seguras. Además,
examina los valores hash de las contraseñas de la base de datos Administrador de cuentas de seguridad [Security
Accounts Manager (SAM)] para determinar si existe alguna contraseña en blanco o duplicada. En caso de que
24 Aplicación de la Disciplina de administración de riesgos de seguridad
identificara una gran cantidad de contraseñas duplicadas, un atacante puede determinar que son contraseñas
predeterminadas, utilizadas cuando se establece una nueva cuenta en la organización.
La información de la SAM está cifrada pero aun sin intentar descubrir las contraseñas, es fácil identificar aquéllas
en blanco o duplicadas en función de los valores hash. Debido a que Contoso no posee una directiva de bloqueo
de cuenta definida, puede realizarse una cantidad ilimitada de ataques para averiguar contraseñas. La herramienta
de análisis descubrió una cantidad de contraseñas que consistían meramente en palabras comunes presentes en
cualquier diccionario; pudo averiguarlas en cuestión de minutos.
Valoración de riesgos
SI una persona ejecuta un ataque de fuerza bruta contra una contraseña para explotar la falta de directivas de
contraseña, ENTONCES toda pérdida de integridad y confidencialidad de las cuentas de Administrador de la
empresa puede permitirle al atacante obtener acceso no autorizado a la organización.
Deben generarse valoraciones de riesgo similares para el grupo Administrador de dominio, como así también
para las cuentas de usuario generales.
Factor de gravedad
Una contraseña no segura es la perdición de todo administrador de sistema. Permite que un atacante obtenga
rápido acceso a la combinación cuenta/contraseña de un usuario. Por ello, Contoso le asignó un FG de 10.
Esfuerzo
Las contraseñas no seguras pueden adivinarse fácilmente con herramientas de ataque de diccionario disponibles
en Internet. Contoso calificó el esfuerzo necesario para utilizarlas con 2.
Factor de vulnerabilidad
Debido a que Contoso no tiene vigente una directiva de contraseña y no audita ningún error de inicio de sesión,
calificó el FV de las contraseñas no seguras con 10.
Tráfico no cifrado de bloques de mensaje del servidor
El escáner de vulnerabilidad detectó que los servidores de Contoso utilizaban la configuración predeterminada
para las comunicaciones de Bloques de mensajes del servidor (SMB).
De forma predeterminada, el desafío/respuesta del Administrador Windows NT LAN (NTLM) nunca hace circular
la autenticación LanManager (LM) o el valor hash NTML por la red. Sin embargo, existen herramientas que
pueden supervisar el tráfico de este intercambio y utilizar el método de la fuerza bruta para derivar el valor hash
LM original.
Luego de haber obtenido los valores hash, pueden usarse diversas utilidades para convertirlos en contraseña de
texto puro.
Valoración de riesgos
SI un atacante utiliza un rastreador SMB para explotar el tráfico SMB cifrado, ENTONCES toda pérdida de
integridad y confidencialidad de las cuentas de Administrador de la empresa puede permitirle al atacante obtener
acceso no autorizado a la organización.
Deberán generarse valoraciones de riesgo similares para el grupo Administrador de dominio, como así también
para las cuentas de usuario generales.
Factor de gravedad
Al infringir contraseñas, un atacante puede obtener acceso no autorizado a archivos y servicios que no puedan
obtenerse de una sesión nula. Por ello, Contoso le asignó un FG de 10.
25 Aplicación de la Disciplina de administración de riesgos de seguridad
Esfuerzo
Puede adquirirse una herramienta disponible al público en general para esta funcionalidad. Sin embargo, la
herramienta debe ser capaz de espiar todo el tráfico. Encontrarse en una red con conmutadores reduce enormemente
esta posibilidad. Debido a que Contoso se encuentra en proceso de actualización de su infraestructura de red,
calificó el esfuerzo necesario para utilizar esta herramienta con 5.
Factor de vulnerabilidad
Debido a que Contoso no cuenta con una directiva de contraseña vigente, existe una cantidad de contraseñas
cortas que pueden obtenerse rápidamente mediante las técnicas de captura SMB. Debido a esta situación, el
equipo de seguridad asignó un FV de 10 a esta cuestión.
Auditoría ineficiente
La configuración de auditoría de muchos de los servidores analizados no estaba activada en un nivel suficiente
para identificar potenciales ataques. Por ejemplo, Auditar inicio de sesión de cuenta no estaba activada, lo que
podría haber ayudado a identificar ataques de fuerza bruta perpetrados en contra de las contraseñas.
Valoración de riesgos
SI un atacante utiliza una herramienta que pueda desactivar la auditoría para explotar una auditoria ineficiente,
ENTONCES toda pérdida de integridad del controlador de dominio Norteamérica puede permitir que el atacante
obtenga acceso no autorizado al sistema remoto.
Deben generarse valoraciones de riesgo similares para los controladores de dominio Norteamérica, todos los
servidores IIS, DHCP, WINS y de archivo e impresión.
Factor de gravedad
Un atacante puede sacar provecho de una configuración de auditoría deficiente mediante una utilidad de recursos
como auditpol. Auditpol puede permitir que el atacante desactive la auditoría por completo. Contoso le asignó
una calificación de 3 al FG de este exploit, ya que no existe peligro alguno para la información, pero la situación
puede dificultar las investigaciones de ataques inesperados.
Esfuerzo
El atacante que desee utilizar auditpol debe hacerse de la herramienta en el sistema y obtener acceso administrativo.
La herramienta es de fácil operación pero como se requiere acceso administrativo, se calificó el esfuerzo necesario
para utilizar este exploit con 4.
Factor de vulnerabilidad
Debido a que Contoso no posee una directiva de auditoría vigente y no se encuentra en proceso de auditoría de
ningún evento de seguridad, el equipo del proyecto de seguridad le asignó un FV de 9.
Ataques DoS no verificados
Un ataque de Denegación del servicio (DoS) es aquél que no permite que los usuarios accedan a los recursos.
Existen diversas variaciones de ataques DoS pero algunas de las más habituales afectan a las pilas de IIS o del
Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP) de equipos individuales.
La herramienta de análisis identificó diversas modificaciones que podrían asegurar a los equipos contra ataques
DoS basados en TCP/IP.
Valoración de riesgos
SI una persona realiza un ataque DoS para explotar vulnerabilidades DoS de TCP/IP, ENTONCES toda pérdida
de disponibilidad del controlador de dominio raíz puede ocasionar una pérdida de productividad.
26 Aplicación de la Disciplina de administración de riesgos de seguridad
Deben generarse valoraciones de riesgo similares para los controladores de dominio Norteamérica, todos los
servidores IIS, DHCP, WINS y de archivo e impresión.
Factor de gravedad
Un ataque DoS de TCP/IP haría que el sistema se volviera totalmente inservible. Por ello, Contoso le asignó un
FG de 8.
Esfuerzo
Existe una variedad de utilidades gráficas de fácil uso que el atacante puede usar para obtener esta funcionalidad.
Por ello, se calificó al esfuerzo necesario para explotar esta vulnerabilidad específica con 1.
Factor de vulnerabilidad
Debido a que Contoso no implementa ninguna medida preventiva para ataques DoS de TCP/IP en la actualidad,
calificó la vulnerabilidad de este exploit con 9.
Ataque transversal de directorio IIS
El análisis de los servidores IIS identificó una cuestión de ataque transversal de directorio. Explotar esta
vulnerabilidad le permitiría al atacante no sólo visualizar información tal como diseños de directorio o los
contenidos de archivos del equipo destino, sino que también le permitiría en muchos casos escribir archivos y
ejecutar comandos en los servidores.
Valoración de riesgos
SI un atacante hace uso del doble decodificador para explotar cuestiones de hacer URL ortodoxas, ENTONCES
toda pérdida de integridad y confidencialidad de los servidores IIS de investigación le puede permitir al atacante
visualizar el sistema de archivos y ejecutar comandos en el servidor.
También deben generarse valoraciones de riesgo similares para los servidores IIS de departamento y de recursos
humanos.
Factor de gravedad
Los ataques transversales de directorio IIS pueden resultar muy peligrosos, ya que permiten que un usuario
remoto ejecute ciertos comandos de sistema desde un servidor Web. IIS versión 5.0 limita el contexto de estos
comandos para que se ejecuten como la cuenta IUSR. Sin embargo, un ataque de este tipo representa un gran
riesgo por lo que Contoso le asignó un FG de 7.
Esfuerzo
El esfuerzo necesario para explotar los ataques transversales de directorio IIS es mínimo. Los ataques transversales
de directorio IIS pueden realizarse utilizando diversas herramientas, de las cuales la más simple es un explorador
Web. Por ello, se le asignó una calificación de 2.
Factor de vulnerabilidad
Debido a que Contoso posee cierta cantidad de servidores sin las últimas revisiones, que no han sido construidos
según las mejores prácticas IIS, la compañía asignó a este exploit en servidores IIS un FV de 9.
Análisis y priorización de riesgos de seguridad
Análisis
Luego de realizadas diversas evaluaciones se reunió suficiente información para comenzar el análisis de los
riesgos de seguridad, y clasificarlos por orden de prioridades en función de su impacto y exposición en el entorno
27 Aplicación de la Disciplina de administración de riesgos de seguridad
Contoso. Antes de generar las valoraciones de riesgos, puede resultar útil organizar la información en una tabla.
En la siguiente tabla se ilustra parte del análisis de los riesgos de Contoso.
Tabla 5: Resumen de evaluación de riesgos de Contoso
Amenaza
PAm
Explotar
FC
E
Vulnerabilidad FV
Activo
PA
Código
malicioso
0,6
Code Red
9
1
Vulnerabilidades 8
ida/idq
Servidores IIS 10
de investigación
Código
malicioso
0,6
Code Red
9
1
Vulnerabilidades 8
ida/idq
Servidores IIS
de
departamento
6
Código
malicioso
0,6
Code Red
9
1
Vulnerabilidades 8
ida/idq
Servidores IIS
de recursos
humanos
7
Atacante
0,6
Una
6
herramienta de
enumeración
NetBIOS
2
Sesiones nulas 10
Controlador de
dominio raíz
8
Atacante
0,6
Una
6
herramienta de
enumeración
NetBIOS
2
Sesiones nulas 10
Controlador de
dominio
Norteamérica
8
Atacante
0,6
Una
6
herramienta de
enumeración
SNMP
2
Cadenas
públicas
comunitarias
10
Controlador de
dominio raíz
8
Atacante
0,6
Una
6
herramienta de
enumeración
SNMP
2
Cadenas
públicas
comunitarias
10
Controlador de
dominio
Norteamérica
8
Atacante
0,6
Nslookup
2
1
Transferencias
de zona sin
cerrojo
7
DNS raíz
4
Atacante
0,6
Nslookup
2
1
Transferencias
de zona sin
cerrojo
7
DNS
Norteamérica
5
Atacante
0,6
Un ataque de
fuerza bruta
contra
contraseñas
10
2
Falta de
directivas de
contraseña
10
Cuentas de
Administrador
de la empresa
10
Atacante
0,6
Un ataque de
fuerza bruta
contra
contraseñas
10
2
Falta de
directivas de
contraseña
10
Cuentas de
Administrador
de dominio
Norteamérica
10
28 Aplicación de la Disciplina de administración de riesgos de seguridad
Amenaza
PAm
Explotar
FC
E
Vulnerabilidad FV
Activo
PA
Atacante
0,6
Un ataque de
fuerza bruta
contra
contraseñas
10
2
Falta de
directivas de
contraseña
Cuentas de
usuario
Norteamérica
5
Atacante
0,6
Un rastreador
SMB
10
5
Tráfico SMB no 10
cifrado
Cuentas de
Administrador
de la empresa
10
Atacante
0,6
Un rastreador
SMB
10
5
Tráfico SMB no 10
cifrado
Cuentas de
Administrador
de dominio
Norteamérica
10
Atacante
0,6
Un rastreador
SMB
10
5
Tráfico SMB no 10
cifrado
Cuentas de
usuario
Norteamérica
5
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Controlador de
dominio raíz
8
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Controlador de
dominio
Norteamérica
8
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Servidores IIS 10
de investigación
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Servidores IIS
de
departamento
6
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Servidores IIS
de recursos
humanos
7
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Servidores de
archivo e
impresión
8
10
29 Aplicación de la Disciplina de administración de riesgos de seguridad
Amenaza
PAm
Explotar
FC
E
Vulnerabilidad FV
Activo
PA
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Servidor WINS
3
Atacante
0,6
Una
herramienta
capaz de
desactivar la
auditoría
3
4
Auditoría
ineficiente
9
Servidor DHCP 1
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Controlador de
dominio raíz
8
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Controlador de
dominio
Norteamérica
8
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Servidores IIS 10
de investigación
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Servidores IIS
de
departamento
6
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Servidores IIS
de recursos
humanos
7
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Servidores de
archivo e
impresión
8
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Servidor WINS
3
Atacante
0,6
Ataque DoS
8
1
Vulnerabilidades 9
DoS de TCP/IP
Servidor DHCP 1
Atacante
0,6
Un ataque de
doble
decodificador
7
2
Cuestiones de
lograr URL
ortodoxas
9
Servidores IIS 10
de investigación
Atacante
0,6
Un ataque de
doble
decodificador
7
2
Cuestiones de
lograr URL
ortodoxas
9
Servidores IIS
de
departamento
6
Atacante
0,6
Un ataque de
doble
decodificador
7
2
Cuestiones de
lograr URL
ortodoxas
9
Servidores IIS
de recursos
humanos
7
30 Aplicación de la Disciplina de administración de riesgos de seguridad
Nivel de frecuencia de amenazas
El nivel de frecuencia de amenazas (NA) es la medida de la frecuencia de ataques esperada, el potencial dañino
y el esfuerzo necesario para realizar el ataque. Dicho valor puede calcularse multiplicando la probabilidad de
amenaza (PAm) por el factor de riesgo (FR). El FR es el factor de gravedad (FG) del ataque dividido por el
esfuerzo (E) necesario para realizar el ataque.
Factor de impacto
El factor de impacto (FI) también describe la pérdida potencial. Esta cifra puede calcularse multiplicando el
factor de vulnerabilidad (FV) por la prioridad de activo (PA).
Factor de exposición
Finalmente, el factor de exposición (FE) al riesgo puede calcularse multiplicando el NA por el FI. Puede
compararse el factor de exposición de todos los riesgos para determinar los riesgos que se deben abordar primero
en la organización.
Análisis de riesgos Contoso
Riesgos máximos identificados
La siguiente tabla presenta un resumen de los riesgos máximos identificados por el proceso de Análisis de riesgos
de seguridad. El factor de exposición se calculó mediante la siguiente fórmula:
FE = ((FA — FI) / 1000)
FE = (((PAm — FR) — FI) / 1000)
FE = (((PAm — (C / E)) — FI) / 1000)
Que en su forma más simple se expresa:
FE = (((PAm — (C / E)) — (FV — PA)) / 1000)
Tabla 6: Riesgos máximos identificados en el entorno Contoso
Vulnerabilidad
Activo
Un ataque de fuerza bruta perpetrado en Cuentas del Administrador de la empresa
contra de las contraseñas
FE
0,6
Un ataque de fuerza bruta perpetrado en Cuentas del Administrador de dominio Norteamérica 0,6
contra de las contraseñas
Ataque DoS
Servidores IIS de investigación
0,432
Code Red
Servidores IIS de investigación
0,432
Ataque DoS
Controlador de dominio raíz
0,3456
Ataque DoS
Controlador de dominio Norteamérica
0,3456
Ataque DoS
Servidores de archivo e impresión
0,3456
Code Red
Servidores IIS de recursos humanos
0,3024
31 Aplicación de la Disciplina de administración de riesgos de seguridad
Vulnerabilidad
Activo
FE
Ataque DoS
Servidores IIS de recursos humanos
0,3024
Un ataque de fuerza bruta perpetrado en Cuentas del usuario Norteamérica
contra de las contraseñas
0,3
Code Red
Servidores IIS de departamento
0,2592
Ataque DoS
Servidores IIS de departamento
0,2592
Un ataque de doble decodificador
Servidores IIS de investigación
0,189
Una herramienta de enumeración NetBIOS Controlador de dominio raíz
0,144
Una herramienta de enumeración NetBIOS Controlador de dominio Norteamérica
0,144
Herramientas de análisis cuantitativo adicionales
A menudo, identificar y establecer prioridades en cuanto a los riesgos máximos en una organización es sólo el
comienzo del proceso de análisis de riesgos. El siguiente paso es determinar la solución o las medidas mitigantes
necesarias para encarar cada riesgo identificado en la organización. Si bien pueden resultar relativamente fáciles
de determinar, las medidas mitigantes necesarias pueden ser de muy difícil implementación.
Puede requerirse información adicional para justificar el coste de la protección del sistema. Los siguientes
procedimientos pueden ayudar a determinar el coste que significase implementar ciertas medidas mitigantes
como parte del proyecto de seguridad de la organización.
Expectativas de pérdida simple
La expectativa de pérdida simple (EPS) es un modo de evaluar un sistema en particular. La EPS representa sólo
un elemento del riesgo: el impacto esperado, monetario o de otro tipo, de una amenaza. La EPS puede calcularse
multiplicando el factor de exposición de una amenaza determinada por el valor financiero del activo (VA).
Por ejemplo, la EPS para el impacto de la infección de Code Red en los servidores IIS de investigación puede
calcularse tomando el Factor de exposición de 0,432 determinado anteriormente y multiplicándolo por el VA
del servidor IIS de investigación de $596.000.
EPS = 0,432 X $596.000 = $257.472.
Tasa de materialización anualizada
La tasa de materialización anualizada (TMA) es la probabilidad de que se concrete una amenaza durante un año.
Por ejemplo, una amenaza que se concretó una vez en 10 años presenta una TMA de 1/10 o 0,1; una amenaza
que se concretó 50 veces en un año determinado presenta una TMA de 50,0. La posible amplitud de valores de
frecuencia varía desde 0,0 (no se espera que se concrete la amenaza) hasta algún número entero que depende
totalmente del tipo y la cantidad de fuentes de amenaza. En una organización de importancia ciertos riesgos
podrían concretarse miles de veces, lo que implicaría una TMA muy alta.
En el entorno Contoso, Code Red ha infectado servidores persistentemente por lo que 25 de sus 50 servidores
lo han sufrido durante el último año, lo cual genera una TMA de 1/2 o 0,5.
Expectativa de pérdida anual
La expectativa de pérdida anual (EPA) se calcula multiplicando la expectativa de pérdida simple (EPS) por la
tasa de materialización anualizada (TMA).
32 Aplicación de la Disciplina de administración de riesgos de seguridad
Computar la expectativa de pérdida en términos anuales puede ser beneficioso para identificar eficientemente el
riesgo y programar ciclos presupuestarios. Por ejemplo, la EPA para Code Red mencionada anteriormente con
una TMA de 0,5 veces por año que afecta uno de los servidores IIS de Contoso con una EPS de $257.472 es
$128.736. Al incluir la frecuencia esperada de amenaza (TMA) en la ecuación, se obtiene el impacto financiero
del riesgo.
Valor de las protecciones
Si puede establecerse el coste estimado de las protecciones y estimarse el coste anual recurrente para mantener
la medida preventiva, puede determinarse el valor general de la implementación de cada protección. Este proceso
es la base de análisis significativos coste-beneficio de las medidas de reducción de riesgos.
El valor de una protección puede calcularse tomando la EPA y sustrayendo el coste inicial de la medida preventiva
y el coste anual recurrente de dicha medida. En función del ejemplo de análisis de riesgos de la ecuación anterior,
si se estima un coste de $20.000 para implementar una medida preventiva para encarar una amenaza identificada
y el coste anual necesario para mantener esta medida es $1.000, el valor de la protección sería de $128.736 ($20.000 + $1000) o $107.736.
Resumen
Este módulo aplica la Disciplina de administración de riesgos de seguridad (SRMD) a un entorno de cliente
habitual. Toda la información provista para este ejemplo práctico se basa en datos reales; sin embargo, esta
información sólo representa un fragmento de la información general requerida para que una organización realice
una exhaustiva evaluación de riesgos de seguridad. De haber incluido toda la tabla de análisis de riesgos o cada
valoración de riesgos de seguridad se habría dificultado la comprensión de la información provista en este módulo.
Por ello, se resaltan los ejemplos relevantes para una rápida referencia y fácil comprensión.
La SRMD es sólo una de cientos de maneras de categorizar y calificar riesgos dentro de una organización. Esta
información puede utilizarse para complementar directivas y procesos existentes o para ayudar a una organización
a establecer tales estándares por vez primera.
Las instrucciones generales que se indican en este módulo se aplicaron para desarrollar una lista de riesgos que
se abordarían a través de una serie de medidas mitigantes específicas. Una vez generada la lista, el próximo paso
sería identificar los procesos necesarios para asegurar las vulnerabilidades de la lista.
Información adicional
El análisis de riesgos de seguridad se basa en el proceso de análisis de riesgos de Microsoft Solutions Framework
(MSF). Para obtener más información sobre MSF, consulte:
http://www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx.
Temas relacionados
La siguiente obra constituye una referencia de consulta obligada para conocer más sobre las vulnerabilidades
específicas dentro de Windows 2000:
Hacking Exposed Windows 2000: Network Security Secrets & Solutions por Joel Scambray y Stuart
McClure (McGraw-Hill Professional Publishing, ISBN: 0072192623)