Introducción a la seguridad Flag Solutions S.L. http://www.flagsolutions.net Planteamiento del tema 1. 2. 3. 4. 5. Definición La seguridad en cifras Aspectos de la seguridad Ámbito del máster Comentarios Definición Definiciones RAE: - Seguridad: cualidad de seguro. - Seguro: libre o exento de todo peligro, daño o riesgo. - No es un estado Seguridad - Es un proceso continuo - Es una disciplina Planteamiento del tema 1. 2. 3. 4. 5. Definición La seguridad en cifras Aspectos de la seguridad Ámbito del máster Comentarios La seguridad en cifras El informe de CSI-FBI2006: participantes CSI-FBI2006: participantes 2 CSI-FBI2006: participantes 3 CSI-FBI2006: encargados de responder… OJO CSI-FBI2006: inversión en seguridad CSI-FBI2006: inversión en el personal CSI-FBI2006: promedio inversión en personal CSI-FBI2006: contratación externa de personal de seguridad Un inciso… • El 32% de los que han respondido no tienen relación inicial con la seguridad. • La tasa de outsourcing es muy baja. • El 47% de las empresas invierten menos de un 2% en seguridad. • El 25% de las empresas tienen unos presupuestos inferiores a 10M$... Ergo… • Existe una desproporción entre los recursos dedicados a la seguridad y a la producción. Veamos por qué CSI-FBI2006: funciones externalizadas CSI-FBI2006: Accesos no autorizados a ordenadores ¿No revisan los logs? CSI-FBI 2006: Recuento de incidencias CSI-FBI 2006: Recuento “estadístico” Recuento 1 Recuento 2 No saben 2006 144 600 2005 129 760 2004 141 800 2003 114 800 2002 126 800 2001 99 960 2000 99 920 1999 102 880 Total 28 28 22 26 23 31 31 29 772 917 963 940 949 1090 1050 1011 CSI-FBI 2006: Recuento estadístico 2 CSI-FBI 2006: Pérdidas por amenaza interna CSI-FBI 2006: Evolución de tipos de ataques CSI-FBI 2006: Ataques recibidos en la Web CSI-FBI 2006: Pérdidas ocasionadas por tipo de incidente CSI-FBI 2006: Técnicas de seguridad aplicadas CSI-FBI 2006: Evaluación de la seguridad CSI-FBI 2006: Aspectos considerados de interés para la formación ¿Qué seguridad se estudia normalmente en la facultad? CSI FBI 2006: Acciones ante intrusiones Reflexiones sobre CSI-FBI 2006. • Los virus siguen siendo la mayor amenaza. • Las pérdidas han bajado porque “los encuestados no quieren responder”. • Las denuncias no son muchas por el “miedo a la noticia” y su impacto. • La gran mayoría considera importante la formación en seguridad. Planteamiento del tema 1. 2. 3. 4. 5. Definición La seguridad en cifras Aspectos de la seguridad Ámbito del máster Comentarios Seguridad: objetivos Elementos a proteger: Disponibilidad Confidencialidad Integridad Autenticidad Seguridad: amenazas Cuales son las amenazas? Interrupción Intercepción Modificación Fabricación Seguridad: amenazas Disponibilidad Interrupción Confidencialidad Intercepción Modificación Integridad Autenticidad Fabricación El origen de los riesgos • Sistemas operativos con protección deficiente??. • Redes implementadas de forma no segura??. • Servicios y software programado de forma insegura??. Telefónica I+D – 24/oct/2005 Caracterización de los atacantes • Hacker: burlar la seguridad de los sistemas. • Cracker: forzar las cerraduras (software). • Crasher: romper los sistemas. • Phreacker: aprovechar las comunicaciones. • Phisher: suplantación de personalidad para banca. Atacantes potenciales • Usuarios con acceso al sistema • Usuarios sin acceso al sistema • Buenas prácticas: uso de perfiles para administración. No usar administración a mano. Adecuación del curso a los estándares • Estándares y metodologías de aplicación a la materia: – ISO-IEC 27000: 2005 • Qué debe cumplir la organización para certificarse. – OSSTMM (Open Source Security Testing Management Metodology). • Cómo comprobar si la organización cumple esos requisitos. Justificación del temario de Certyred con estándares y metodologías Materia Seguridad física Planificación de ataques Seguridad en sistemas Seguridad de redes Seguridad Web Protección de aplicaciones ISO27000 OSSTMM A9 Sección F A11 Sección A A10,A5-A8 Sección C y D A11 Sección C y E OWASP No contemplado Metodología de las clases • Combinación teórica fundamental, y práctica. Contínuamente!! Las herramientas del hacker • • • • • • Editores de texto. Sniffers. Escaneadores de puertos. Analizadores de vulnerabilidades. Navegadores web. Proxys de aplicación. Las herramientas del hacker (II) • Profundo conocimiento de la tecnología. • Sentido común. • Uso de google. Los 7 pecados capitales de la seguridad Opps… lo siento, me equivoqué de diapositiva ;-) Los 7 pecados capitales de la seguridad informática y el trabajo (Sophos Security) • Descargar música o películas. • Abrir documentos adjuntos o hacer clic en enlaces de mensajes no solicitados. • Visitar paginas Web porno o de contenido ilícito. • Abrir programas de broma enviados por amigos o compañeros de trabajo. • Instalar programas no autorizados o complementos del navegador Web • Proporcionar informaciones personales a desconocidos por teléfono o email. • Reutilización de contraseñas. Los enemigos del sysadmin • • • • La pereza. Los despistes. La confianza. La ignorancia. La seguridad está de moda • Explosión del mercado tecnológico. • El boom (y el crack) de las .com … • Alta demanda de recursos humanos por parte de las empresas. • Baja oferta de recursos humanos por parte de los trabajadores cualificados. Las bases del juego • Todo software puede tener problemas. • Toda configuración puede tener problemas. • Diariamente se publican nuevas vulnerabilidades. • Protocolos muy confiados y flexibles. • Administradores torpes, poco cualificados o vagos. Objetivos de este curso • Conocer las principales técnicas de ataque. • Conocer la forma de defenderse de los mismos. • Desarrollar un “sexto sentido” en el ámbito de la seguridad. Correspondencia con la versión online Seguridad en redes y sistemas Auditoría Programación segura Aspectos legales Correspondencia con la versión online Seguridad en sistemas y redes Seguridad física Seguridad de sistemas Seguridad de redes Acceso físico Seguridad en el arranque Gestión de información Desastres naturales Malware Ataques típicos a redes Seguridad local Mecanismos de protección (Firewalls, IDS, Honeypots) Riesgos del entorno Protección de los datos Radiación Electromagnética Seguridad en los sistemas de archivos Análisis forense Medidas de prevención Redes inalámbricas Correspondencia con la versión online Seguridad en redes y sistemas Auditoría Programación segura Aspectos legales Correspondencia con la versión online Desarrollo de aplicaciones seguras Ingeniería inversa Protección del software Métodos comerciales de protección Debilidad en las protecciones Estudio de programas sospechosos Desarrollo y diseño seguro Desbordamientos de buffer Condiciones de carrera Cadenas de formato Validación de entradas Escribir aplicaciones seguras Seguridad de aplic. Web Perfilado de aplicaciones Principales ataques Detección de ataques Prevención de ataques Diseño y desarrollo seguro Correspondencia con la versión online Seguridad en redes y sistemas Auditoría Programación segura Aspectos legales Correspondencia con la versión online Auditoría de seguridad Auditoría informática Normativa ISO 17799 Metodologías de evaluación de sistemas Sistemas de gestión de seguridad de la información Auditorías de seguridad Las 10 áreas de control de la normativa OSSTMM Protección de datos y de la información Los 10 objetivos de control La implementación de la normativa Mil disculpas por “el tostón”