B4-T2_Seguridad en Sistemas de Información Flashcards
El objetivo de la Seguridad en Sistemas de Información es proteger los ACTIVOS de tu organización.
¿Cuáles son dichos activos a proteger?
Según el ENS hay 2 tipos de activos:
a) Información
b) Servicios
Cuyos atributos principales a proteger es la “Triada CIA”:
-CONFIDENCIALIDAD de la Información => SECRETO (cifrar/encriptar la información, x ejemplo: SSL/TLS).
-INTEGRIDAD de la Información => persigue localizar alteraciones de la información no autorizadas, x ejemplo: “residuo” creado por SHA-256 para reconstruirlo).
-DISPONIBILIDAD del Servicio (Availability).
IMPORTANTE MEMORIZAR QUE LA DISPONIBILIDAD VA ASOCIADA A TIPOS ACTIVOS DE SERVICIOS.
Según el ENS los activos a proteger de una organización son INFORMACIÓN y SERVICIOS, cuyos atributos principales a proteger son la Triada CIA (Confidencialidad, Integridad, Availability).
Define la INTEGRIDAD:
-INTEGRIDAD de la Información => persigue localizar alteraciones de la información no autorizadas, x ejemplo: “residuo” creado por SHA-256 para reconstruirlo).
FOTO: al coincidir el HASH con el DOCUMENTO que nos manda el ATACANTE, SI habría INTEGRIDAD.
Aunque, no correspondan con los originales enviados por el EMISOR.
Lo cual quiere decir que la integridad simplemente se da si los documentos recibidos (residuo y documento) coinciden.
No si coincide con el del emisor, sino que si simplemente coincide el residuo (hash) con el documento recibidos.
Otra cosa seria la AUTENTICIDAD, que se garantizaría cuando estuviéramos seguros de la persona que envía el documento.
Cosa que un código HASH (residuo) no garantiza.
Según el ENS los activos a proteger de una organización son INFORMACIÓN y SERVICIOS, cuyos atributos principales a proteger son la Triada CIA (Confidencialidad, Integridad, Availability).
¿Qué maneras hay de garantizar la AUTENTICIDAD?
Opción a) Enviar una función MAC (documento+clave) sobre el documento original que enviamos => tiene el problema de que para poder deshacer el camino en el RECEPTOR, necesitamos la misma clave que hemos usado en el EMISOR, es decir, es un modelo de clave compartida o PSK (Pre-Shared Key).
Opción b) Enviar una FIRMA (documento+clave) sobre el documento original que enviamos. Esta ya no sería una clave compartida, sino que sería la Clave PRIVADA, para que todos podamos comprobar que la firma es correcta con la Clave PÚBLICA (asimetría).
En resumen, el método con la función MAC usa una misma clave para TODOS (PSK) y con la firma es una clave PÚBLICA que todos pueden usar.
¿En qué se diferencian una Función HASH de una Función MAC (Código de Autenticación de Mensaje)?
Para generar una función HASH sólo se necesita el documento. El atacante cogería el documento, lo modifica y genera la función HASH, pudiendo confundir al RECEPTOR.
En cambio, una función MAC, aunque en algunos casos también use una función HASH, NECESITA de una CLAVE, es decir, el documento va mezclado con una clave y eso sólo lo puede hacer el que posea la clave (Clave PriE)
En resumen, nadie que coja el documento podrá generar otro código MAC (Código de Autenticación de Mensaje) sobre el mismo, pues esta cifrado con la Clave PriE. En cambio, un código HASH puede ser generado sobre el documento por un atacante.
¿Por qué sirve el código MAC (Código de Autenticación de Mensaje) para AUTENTICAR la información?
Porque necesita una CLAVE y MENSAJE, y estas 2 cosas no las puede tener el atacante, como mucho el mensaje (documento), ya que la clave es privada y sólo la tienen el EMISOR (PriE) y RECEPTOR (PubliE).
NOTA: cuando el MAC (clave+mensaje) se realiza con una función HASH, hablaríamos de un código HMAC.
¿Cuál es el objetivo de los sistemas de seguridad?
Proteger los activos.
METODOLOGIAS de SGSI Sistemas de Gestion de Segurida de Información:
- ISO 27001/27002 Se basan en la mejora continua PDCA. Ciclo de Deming.
- ENS. De obligado cumplimiento en la AAPP.
- ISM3.
- COBIT
- COMMON CRITERIA.
- SOGP
- TLLJO
- ITIL
Estándares de análisis y gestión de riesgos:
- Magerit. (Herramienta Pilar o Micropilar)
- Octave.
- Cramm
- Mehari
- SP800-30
- UNE 7104
- EBIOS
Conceptos de sistema de gestión de riesgos
- Activo. Algo a proteger.
- Amenaza. Evento que puede darse aprovechando una vulnerabilidad.
- Vulnerabilidad. Probabilidad de ocurrencia de una amenaza.
- Impacto. Daño producido por una amenaza.
- Riesgo. Es una función de la probabilidad por el impacto.
¿Qué es la triada CIA?
- Confidencialidad. Secreto del activo.
- Integridad. Prevención de modificaciones.
- Disponibilidad del servicio.
¿Qué atributos hay que proteger a parte de CIA?
- Autenticidad. No repudio del origen de la información.
- Trazabilidad.
¿Qué son las Salvaguardas en sistemas de seguridad d información?
Mecanismos para reducir los riesgos.
¿Qué es la segurida física de los si?
- Control de accesos.
- Sistemas contra incendios NFPA75
- Sistemas de energía eléctrica.
- SIAS
- Sistemas de vigilancia CCTV.
¿Qué son los sistemas de seguridad lógica de los SI?
- Antivirus.
- Antispam
- Firewalls
- Sistemas de autenticación.
- Políticas de seguridad
- IDS/IPS
- Criptografia (VPN, SSL, …)
¿Qué sistemas de autenticación hay en si?
- Radius/Kerberos basados en tickets.
- OAuth. Varios tipos de flujos muy distintos. Autenticación por terceros.
- JWT JSON WEB TOKEN.
- OpenId.
- SAML.
- Biometricos.
- Sistemas OTP. One time password.
- MFA/2FA. Multifactor authentication. Consiste en combinar ambos o varios métodos.
¿Qué sistemas de seguridad hay?
- Algo que yo se. Pin, password
- Algo que yo tengo. USB, certificado.
- Algo que yo soy. Medidas biométricas.
¿Qué roles hay en la seguridad?
- Hacker. Busca el conocimiento.
- Cracker. Busca actividad ilícita.
- Lamer. Alardea pero usa software de otros.
- Sript kiddie. Aficionado que usa software de otros.
- Phreaker. Especialicado en estafas telefónicas.
- Newbie. Novato.
- CopyHacker. Falsificar y crackear hardware.
¿Herramietnas de seguridad?
- Nmap. Escaner de puertos, auditorias de seguridad.
- Nessus detectar vulnerabilidades
- OpenVas detectar vulnerabilidades
- Metasploit tests de penetración.
- Snort. NIDS. Network Intrusion Detection & Prevention System) Aunque hoy en día, también se usa como IPS.
- Tcdump. captura de paquetes
- Ethereal/wireshark sniffer
- Linux Kali. Distribución de Linux con paquetería de seguridad.
- John the ripper/Hydra/Ncrack/Medusa Password cracker por fuerza bruta o direccionado
- Cain y Abel. Recuperación password para MS WINDOWS.
- Shodan. motor de búsqueda de routers, servidores, webcams, etc
- Nikto. Vulnerabilidades de red.
Tipos de software malicioso:
- Virus.
- Gusanos. Se duplica en la ram o en la red.
- Troyanos. Administración remota.
- Rootkits. Permanece oculto con permisos de root.
- Backdoor. Acceso sin autenticación.
LOS DE A CONTINUACIÓN BUSCAN ALGÚN TIPO DE BENEFICIO ECONÓMICO:
- Spyware. Recopila datos para enviarlos a terceros
- Ransonware. Cifran archivos para pedir rescate. (significa: secuestros de datos).,
- Keylogger o Stealers Robar información sensible con. Monitorizar pulsaciones del teclado.
- Adware Muestran publicidad.
- Dialer. Toman el control del modem.
- Rogue. Hace creer que el pc está infectado.
- Hoaxes. Mensajes con falsas advertencias.
Tipos de ataques.
- SQL INJECTION. Permitir ejecución de sql no autorizado por falta de validación en las entradas de una app web. Se prueba con SQLmap.
- Evesdropping. Escucha en secreto conversaciones privadas.
- XSS. Cross site Scripting. Si se ha activado el cors puede evitarse, aunque con CSP sería más eficaz (Política de seguridad de contenido). Permite en una tercera persona inyectar código malicioso en javascript.
- Hijacking. Robo de una sesión iniciada, sea el protocolo que sea (tcp, ssl, etc.)
- Phishing. Suplantación de identidad, robo de identidad para suplantación.
- Pharming. En servidores dns hay una vulnerabilidad y redirigen a una ip falsa.
- Spoofing. Suplantación. IP-SPOOFING (Cambia la ip), Mac-spoofing (anonimiza y suplanta identidad) y DNS (el apunte es a un servidor falso o malicioso).
- DOS. Denegación de servicio. Con técnicas de inundación o flooding con icmp, udp, sincronismo la pila del protocolo del servidor de destino desborda y el software se cuelga.
- DDOS. Distribuido. Un DOS con botnets (redes de bots).
Herramientas del CCN:
- ADA. Plataforma de análisis avanzado de malware
- AMPARO Implantación de seguridad y conformidad del ENS
- ANA Automatización y normalización de auditorías
- ATENEA. Web con desafíos de seguridad para jugar y aprender.
- CARLA Protección y trazabilidad del dato
- CARMEN IDS. Es un aparato para defensa de ataques avanzados APT. Analiza tráfico de red. Es hardware.
- CCNDroid Seguridad para Android. Borrado seguro, cifrado,
- CLARA Auditoría de Cumplimiento ENS/STIC según la guía 811 en Sistemas Windows.
- CLAUDIA Herramienta para la detección de amenazas complejas en el puesto de usuario. microCLAUDIA Centro de vacunación
- ELENA Simulador de Técnicas de Cibervigilancia
- EMMA Visibilidad y control sobre la red
- GLORIA Gestor de logs para responder ante incidentes y amenazas. Es un SIEM (Security Information and Event Management). Detección y prevención de amenazas. Se integra con Carmen, Reyes y Lucia
Elementos de un cpd
- Servidores, Switches en armarios RACKS
a. Anchura normalizada 19 pulgadas
b. Altura normalizada U 1,75 pulgadas - Alternancia de pasillos frios y calientes. Circulación de aire+Suelo técnico perforado. TIA 942 Circulación del aire.
- Climatización. Temperatura y humedad constantes 21ºC con 50% humedad.
- Iluminación. No luz natural (NO es recomendable para los equipos).
- Detección y control de incendios NFPA75
- Sistema de entrega eléctrica. SAI + grupos electrógenos.
- Sistemas de cableado estructurado.
- Techos falsos/Suelos falsos o técnicos TIA568
- Contro de accesos y videogilancia.
- Ubicación física. Plantas intermedias, sin interferencias, sin canales de agua cerca.
- CPD de respaldo.
a. Sala blanca. Igual que el cpd principal.
b. Sala de backup. Similar x lo que ofrece es menos servicio.
Cual es la norma de seguridad que deben cumplir los centros de datos?
TIA 942 (TIER 1 HASTA TIER IV) Vigila 4 subsistemas.
1. Telecomunicaciones.
2. Arquitectura.
3. Sistema eléctrico
4. Sistema mecánico.
EPO Emergency Power Off. Alguien active la interrupción de energía de emergencia.
Descripción de los niveles de seguridad de los CPD:
- TIER I
- Sistema Básico.
- Disponibilidad 99.671%
- Tiempo de inactividad anual 28.8 horas
- Paradas de mantenimiento 2/año de 12 h.
- Acometidas de energía única.
- No componentes redundantes.
- TIER II
- Componentes redundantes.
- Disponibilidad 99.741%
- Tiempo de inactividad anual 22 horas.
- Paradas de mantenimiento 3/2años de 12 h.
- Acometidas de energía única.
- Redundancia N+1
- Tier III
- Mantenimiento concurrente
- Disponibilidad 99.982%
- Tiempo de inactividad anual 1.6 h
- Paradas de mantenimiento. Ninguna.
- Acometidas de energía:
i. 1 Distribución activa
ii. 1 Distribución pasiva. - Redundancia N+1
- TIER IV
- Tolerante a errores.
- Disponibilidad 99.995%
- Tiempo de inactividad anual 0.4 h
- Paradas de mantenimiento. Ninguna.
- Distribución de energía. 2 Acometidas de energía Activas.
- Redundancia 2 x (N+1)
Herramientas de gestión de incidencias.
Sofware que sirven para que los usuarios reporten las incidencias. Son herramientas de soporte al SLA (nivel de servicio)
1. GLPI
2. Request Tracker.
3. Mantis Bug Tracker.
4. Bugzilla
5. Red Mine
6. Jira
7. Trac
8. Remedy
9. OTRS
10. OSTicket
11. SpaceWorks Help Desk