Proteger una red es un balance entre ciencia y arte. No es posible reemplazar la experiencia de consultores profesionales para aprender como asegurar todos los puntos posibles de una red.
Objetivo
Soluciones Seguras tiene la experiencia, el personal, y la reputación para hacer un análisis exhaustivo de su red, las vulnerabilidades presentes, y las formas de disminuir estas vulnerabilidades. En ningún momento se trata de modificar información, y cualquier información obtenida se borra al terminar las pruebas. Las pruebas se hacen tanto como usuarios restringidos y como usuarios privilegiados, desde perspectivas internas y externas a la red.
Dada la naturaleza cambiante de las redes informáticas, se recomienda hacer un estudio de vulnerabilidad trimestralmente.
Examinación
El estudio de vulnerabilidad examinará y tratará de explotar áreas principales de la infraestructura desde la perspectiva de un atacante localizado en Internet y de uno localizado en redes internas, tanto sin permisos, con permisos, y con permisos restringidos. La meta de la prueba es tratar de encontrar información sensitiva y/o confidencial, o de tener la capacidad de modificar dicha información. El estudio de vulnerabilidad documentará un mecanismo posible de intrusión que puede ser usado para infiltrar sistemas del parque tecnológico.
El trabajo realizará los siguientes estudios, entre otros:
- Amenazas a la confidencialidad, interceptación pasiva.
Mediante varios sniffers en diferentes posiciones de la red. - Amenazas a la integridad, corrupción o destrucción.Mediante intentos de interceptar documentos en camino y/o en su destino.
- Amenazas a la autenticación, suplantación de usuarios.
Repudio de la información emitida o recibida.
Mediante evaluación de firmas digitales, encriptación, passwords, y otros. - Inserción de información en tránsito.
- Oportunidad de acceso al dominio y equipos de comunicación, sistemas.
- Análisis y gestión de riesgos, medición y cálculo de seguridad.
Análisis
Una vez que el estudio de vulnerabilidad se diseña, los consultores de seguridad notificarán antes de hacer las pruebas, se documentarán todas las actividades, y se comunicará activamente cualquier error o eventos del sistema a la persona responsable.
Esto normalmente se hace con una variedad de herramientas comerciales, del dominio público, y propietarias. Estas herramientas, junto con scripts, se usan para asegurar que sets completos de pruebas de penetración se estén usando. Ejemplos de las pruebas manuales y automáticas incluyen:
Conectividad y determinación de rutas de los datos
- Escaneos ping
- Escaneos de puertos
- Escaneos de Servicios en puertos abiertos
- Vulnerabilidades de sistemas operativos
- Auditoria de vulnerabilidades para los siguientes sistemas y servicios:
- NetBIOS
- HTTP, CGI y WinCGI
- FTP, DNS, POP, SMTP and LDAP
- Servicios de Registro de Windows
- Usuarios y contraseñas
- Routers y firewalls
- Configuración de las cuentas de usuarios y sus privilegios
- Análisis de ejecutables en servidores web
- Seguridad de passwords y sus políticas
- Revisión de archivos autoejecutables de inicio
- Revisión de niveles de service packs de sistemas operativos en las máquinas
- Revisión de falta de parches del sistema operativo o aplicaciones
- Detección de shares innecesarias
- Inventario de la red
Penetración
Basado en lo encontrado en la fase de análisis, los consultores intentarán penetrar los sistemas especificados. Esta fase involucra el uso de herramientas de hackeo, scripts en C, PERL y otros lenguajes, herramientas como browsers, análisis de cookies, y otros. No podemos documentar todos los métodos usados pero le explicaremos los métodos usados para entrar a su red. Esto incluye lo siguiente:
- Intento manual de obtener cuentas
- Buffer overflows
- Examinación del código fuente de
- Hijacking de sesiones
Resultados
Al final de todas las pruebas, presentaremos un juego de reportes. Estos documentos darán un esquema de las pruebas realizadas, lo que se encontró en las pruebas, y recomendaciones para solucionar vulnerabilidades encontradas. El texto estará escrito en lenguaje claro, mientras que el material técnico y recomendaciones específicas estarán en los apéndices.
Entre los documentos entregables, están:
- Riesgos detectados en todos los niveles. Calculo de riesgo bajo, mediano y alto.
- Impacto de las vulnerabilidades y riesgos
- Acciones inmediatas y a mediano plazo para solventar debilidades
- Funciones preventivas y de salvaguarda
- Guía para comprender y seleccionar las técnicas más adecuadas para los procedimientos de análisis y gestión de riesgos de seguridad.