Cap 1
September 10, 2022 | Author: Anonymous | Category: N/A
Short Description
Download Cap 1...
Description
Spanish ▼ Translated to: Spanish
Show original
Options ▼
CAPÍTULO
Visión general 1.1 Equipo de segurida d Conceptos
Una definición de la seguridad informática Ejemplos Los retos de la seguridad informática Un modelo para la seguridad de la computadora 1.2 Amenazas, Ataques, y Activos
Amenazas y ataques Amenazas y Activos 1.3 Seguridad Funcional Requ Requisitos isitos 1.4 Fun Fundamentales damentales de seguridad seguridad Diseño Diseño Principios 1.5 Ataque Superficies y ataque árbol es
las áreas de ataque Los árboles de ataque 1.6 Equipo de seguridad Estrategia
Politica de seguridad Implementación de seguridad Aseguramiento y Evaluación 1.7 normas 1.8 Clave Términos, Revisión pregunt preguntas, as, y problemas
23
Spanish ▼ Translated to: Spanish
Show original
Options ▼
24 CAPÍTULO 1 / visióN gENERAl L de ingresos O bjetivos Después de estudiar este capítulo, usted debería ser capaz de: ◆ Describir los requisitos de seguridad fundamentales de la confidencialidad, integridad y disponibilidad. ◆ Dis Discuta cuta
los tipos d e amenazas a la seguridad y los ataques que d eben ser tratados tratados con y dar ejemplos de los tipos de amenazas y ataques que se aplican a diferentes categorías de activos informáticos y de red.
◆ Resumir
los requisitos funcionales para la seguridad informática.
◆ Explicar
los principios fundamentales fundamentales de diseño de seguridad.
◆ discutir
el uso de superficies de ataque y árboles de ataque.
◆ Entender
los aspectos principales de una estrategia de seguridad integral.
En este capítulo se proporciona una visión general de equipo secur security. ity.W We comienza con una discusión de lo que queremos decir con la seguridad informática. En esencia, la seguridad informática se ocupa de los activos relacionados con la informática que están sujetas a una variedad de amenazas y para el cual varios Se toman medidas para proteger esos activos. En consecuencia, la siguiente sección de este capítulo se ofrece una breve descripción de las categorías de activos relacionados con la informática que se usuarios y administradores de sistemas desean preservar y proteger, y un vistazo a los diversos amenazas y ataques que se pueden hacer en esos assets.Then, examinamos las medidas que se pueden tomar para hacer frente a estas amenazas y ataques. Esto lo hacemos a partir de tres diferentes puntos de vista, en las Secciones 1.3 a través de 1.5. A continuación, exponemos en términos generales una estrategia de seguridad informática. El enfoque de este capítulo, y de hecho este libro, es fundamental en tres pregu nta ntas: s:
1. ¿Qué recursos tenemos que proteger? 2. ¿Cómo están amenazados esos activos? 3. ¿Qué podemos hacer para contrarrestar esas amenazas?
1.1 ORDENADOR DE SEGURIDAD CONCEPTOS Una definición de ordenador de Seguridad El NIST Interna / Interagencial Informe NISTIR 7298 ( Glosario de Key Información Información Seguridad Términos , mayo de 2013) define el término equipo de seguridad de la siguiente manera: manera:
Equipo de seguridad: Las medidas y controles que garantizan la confidencialidad, la integridad, y la disponibilidad de los activos del sistema de información incluyendo hardware, software, firmeWare, y la información se procesan, almacenan, y comunicados.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.1 / ORDENADOR seguridad CONCEPTOS
25
Esta definición presenta tres objetivos principales que se encuentran en el corazón de la computadora seguridad: • Confidencialidad: Este término se refiere a dos conceptos relacionados: 1
- Datos confiden confidenciali ciali dad: asegura que la información privada o confidencial es no pu estos a disposición o se da a conocer a personas no autorizadas. autorizadas. - Privacidad: Asegura que los individuos controlar o influir sobre la información relacionado relac ionado con ellos puede ser recogida recogida y almace almacenada nada y por quién y para quien esa información puede ser revelada. • Integridad: Este término se refiere a dos conceptos relacionados: - Datos de la integridad: asegura que la información y los programas sólo se cambian de una manera especificada y autorizado. - Sistema de Integridad: asegura que un sistema realiza su función prevista en de una manera irreprochable, libre de deliberada o inadvertida no autorizado manipulación del siste sistema. ma. • Disponibilidad: As Asegura egura que los sistemas funcionan funcionan con prontitud y el servicio no se le niega a los usuarios autorizados. Estos tres conceptos forman lo que se refiere a menudo como la CIA tríada . El tres conceptos encarnan los objetivos fundamentale fundamentaless de seguridad para los dato s y la infor información mación y los servicios de computación. Por ejemplo, el estándar NIST FIPS 199 ( Normas ( Normas de Seg urid ad Categorización de Federal de Inform Información ación y de Información Información S istem istemas as , febrero de 2004) enumera confidentiality,, integridad y disponibilidad como los tres objetivos de seguridad de la in for fidentiality formación mación y los sistemas de información. FIPS 199 proporciona una caracterización útil de estos tres objetivos en términos de requisitos y la definición de una pérdida de seguridad en cada categoría: • Confidencialidad: La preservación de las restricciones autorizadas al acceso de la información y divulgación, que incluye medios para la protección de la intimidad personal y infor- patentada mation.A la pérdida de la confidencialidad es la divulgación no autorizada de información. información. • Integridad: Protección contra la modificación o destrucción de información inadecuada, incluida la g arantía de no repudio d e la información información y la pérdida de authenticity.A integdad es la modifica modificación ción o destr destrucción ucción de infor información mación no autorizada. • Disponibilidad: Garantizar el acceso oportuno y confiable y uso de información. Una pérdida pérdida de disponibilidad es la interr interrupción upción d el acceso o uso d e información información o una sistema de informacion. Aunque el uso de la tríada de la CIA para definir los objetivos de seguridad está bien establecado, ca do, algunos en el el campo de d e la seguridad creen que se necesitan conceptos adicionales par p ar a presentar una imagen completa (véase la Figura 1.1) .Dos de los más comúnmente mencionados son los siguientes: • Autenticidad: La propiedad de ser genuina y ser capaz de ser verificada y de confianza; la confianza en la valid ez de una trans transmisión, misión, un mensaje, mensaje, o un mensa mensaje je 1
el representado RFC 4949 ( Interne ( Internet t Seguridad Glosario , agosto de 2007) la información como “hechos e ideas, lo específica que puede ser (codificada) como diversas formas de datos “, y define los datos como“información en un reprefísica resentación, por lo general una secuencia de símbolos que tienen significado; especialmente una representación de la información que pueden ser procesados o producidos por una computadora.”literatura de seguridad normalmente no tiene mucho de una distinción; ni tampoco este libro.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
26 CAPÍTULO 1 / visióN gENERAl d d a l i d n c i a a d e e n i f d n C o R e s p o n s a b i l i d a d
I n t e g r i d a d
Datos y servicios
d a d i c i t n e t u A
Disponib ili ilida dad d
Figura 1.1 Esencial de la red y Equipo de seguridad Requisitos originator.This medios de verificación que los usuarios son quienes dicen que son y que cada entrada de llegar al sistem sistemaa provenía de una fuente de confianza. • Responsabilidad: El objetivo de seguridad que genera la necesidad de acciones de una entidad a ser rastrea rastreado do ún ica para que entity.This entity.This apoya el no repudio, disuasión, aislamiento aislamiento de fallos fallos,, la detección y prevención d e intrusiones, y después de la acción la recuperación y la acción legal. Porque verdaderamente sistemas seguros no son todavía una achievobjetivo poder, que debe ser capaz de trazar una violación de seguridad a una parte responsable. Los sistemas deben mantener registros de sus actividades para permitir el análisis forenses posteriores para rastrear la s brechas b rechas de segu seguridad ridad o para ayu dar en las disp uta utass de d e t ransacci ón. Tenga en cuenta que FIPS FIPS 199 incluy e autenticidad bajo integridad.
Ejemplos Ahora proporcionamos algunos ejemplos de aplicaciones que ilustran los requisitos justo 2
enumerado. Para estos ejemplos, se utilizan tres niveles de impacto en las organizaciones o individuos d eben haber una vi olación de la seguridad (es decir decir,, una pérdida de confidencialidad, integridad, o disponibilidad) niveles .Estas se definen en FIPS 199: • Baj Baja: a: La pérdida pérdida podría esperar que tenga un efecto adverso limitado en la organizacionales o peraci on ones, es, act ivo s de d e l a o rgani rganizaci zación, ón, o ind ivi du duals.A als.A efect o adv erso l imit imitada ada significa que, por ejemplo, la ejemplo, la pérdida pérdida de confidencialidad, integridad o disponibilidad puede pu ede ser que: q ue: (i) provoc pro voc ar un a d egrad egradació ació n de capa capacid cidad ad de la misió misión n a u na ext extensi ensión ón y du duración ración que la organización es capaz de realizar sus funciones principales, pero el effecvidad de las funciones se reduce notablemente; (Ii) provocar daños menores activos de la organización; (Iii) provocar un perjuicio económico menor; o (iv) como resultado de menor importancia daños a las personas.
2
LaEstos seguridad ejemplos y la están Oficina tomados de Privacidad de un documento de la Universidad de política de Purdue. de seguridad publicado por la Tecnología de la Información
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.1 / ORDENADOR seguridad CONCEPTOS
27
• Moderado: La pérdida podría esperar que tenga un efecto adverso en operaciones de la organización, activos de la organización, o particulares. Un serio efecto adverso significa que, por ejemplo, la pérdida podría: (i) causar una significativa degradación de la capacidad de la misión a una extensión y duración que la organización es capaz de realizar sus funciones principales, pero la eficacia de la funciones se reduce significativamente; (Ii) dar lugar a un daño significativo a la organización bienes; bie nes; (Iii) provo pro vocar car p érdid as ec onó micas sign ificat iva ivas; s; o (iv) p rovo rovocar car d año s sig nifi nificati cativo voss a individuos que no implique la pérdida de vidas o lesiones graves que amenazan la vida. • Alto: cabe esperar que las pérdidas para tener un efecto adverso grave o catastrófica en las operaciones de la organización, activos de la organización, o individuals.A grave o efecto adverso catastrófico significa que, por ejemplo, la pérdida podría: (i) causar una una grave degradación o pérdida de la capacidad de la misión a una extensión y duración que la organización no es capaz de realizar una o más de su fun- primaria ciones; (Ii) producir un gran daño a los activos de la organización; (Iii) producir un gran perdi das finan cieras; o (iv) como c omo result resultado ado un dañ daño o grave o catast rófica a i nd ndivi ivi duo s in vo volvlving pérdida de vidas o lesiones graves que amenazan la vida. C ONFIDENCIALIDAD infor información mación de grado del estudiante es un activo cuya confidencialidad confidencialidad es considera que es de gran importancia por los estudiantes. En los Estados Unidos, la liberación de dicha información está regulada por la Ley de Privacidad y Derechos Educativos de la Familia (FERPA). la información de grado sólo debe estar a disposición de los estudiantes, sus padres y los empleados que requieran la información para hacer su trabajo. informa- inscripción de los estudiant ción puede tener un rating.While confidencialidad moderada todavía cubierto por FERPA, este la información es vista por más personas sobre una base diaria, es menos probable que sea dirigido de información grado, y los resultados en menos daño si revelados. La información del directorio, tales como listas de estudiantes o profesores o listas departamentales, se le puede asignar una baja confidenc calificación calific ación confi o incluso ningu na información información rating.This es típicamente libre disposición de la públi pú bli ca y pub lic licada ada en la pág ina web de la escue escuela. la. i ntegridad Varios aspectos de integ ridad se se ilustran mediant mediant e el ejemplo de un hospital información sobre alergias del paciente almacenada en un médico database.The debe ser capaz de conf que la in for formación mación es correcta correcta y está actualizada. Ahora, Ahora, supongamos que un empleado (por ejemplo, u ¿Quién está autorizado para ver y actualizar esta información falsifica deliberadamente los datos para causa causarr daño da ño a l a b ase de dat datos os hosp ital .El n ecesit a ser se r restau rado a u na base de con fianza rápidamente, y debe ser posible rastrear el error de nuevo a la persona responsable. información de alergia del paciente es un ejemplo de un activo con un alto requisito de integridad. La información inexacta podría resultar en daños graves o la muerte de un paciente, y exponer el hospital hospital a u na responsabilidad enorme. Un ejemplo de un activo que puede ser asignado un nivel moderado de integridad requisito es un sitio web que ofrece un foro a los usuarios registrados a discutir algunos espeCIFIC tema. Ya sea un usuario registrado o un hacker podría falsificar algunas entradas o dañar el sitio web. Si existe el foro sólo para el disfrute de los usuarios, trae en poco o ningún los ingresos por publicidad, y no se utiliza para algo importante como la investigación, a continu ación el daño potencial no es webmaster severe.The puede experimentar algunos datos, financiera, y la pérdida de tiempo. Un ejemplo de un requisito de integridad baja es una encuesta en línea en el anonimato. Muchos
sitios web, tales como organizaciones de noticias, ofrecen estas encuestas a sus usuarios con muy poco
Translated to: Spanish
Show original
Options ▼
Spanish ▼
28 CAPÍTULO 1 / visióN gENERAl salvaguardias. Sin embargo, la naturaleza imprecisión y poco científico de este tipo de encuestas es así entendido. un DISPONIBILIDAD El
más crítico de un componente o servicio es, mayor será la nivel de disponibilidad requer requerido. ido. Considere un sistema que proporciona servicios de autenticación para los sistemas crític os, las l as apli a pli caci cacione one s y la int errupci errupción ón de los result resultado ado s devi d evices.An ces.An d e servici serv icios os en el la incapacidad de los clientes para acceder a los recursos informáticos y el personal para acceder a los recursos que necesitan para realizar tareas críticas. La pérdida del servicio se traduce en una gran pérdi das econ ómic ómicas as en prod product uctivi ivi dad de los emple ado adoss perdid p erdid o y la pérdi da de cli client entes es p ote otenci nciales. ales. Un ejemplo de u n activo que no rm rmalmente almente sería sería clasificado clasificado como teniendo un moderado disponibilidad requisito es un sitio web público p ara una universidad; el sitio web ofrece ofrece información infor mación para los estudiantes y los donantes actuales y p otenciales. tal sitio no es una componente crítico del sistema de información información de la un ivers iversidad, idad, pero su voluntad no disponib ilidad causar un poco de v er ergüenza. güenza. Una aplicación de búsqueda d e directorio directorio telefónico en línea sería clasificado clasificado como de baja disponibilidad requir requirement. ement.Although Although la pérdida temporal temporal de la aplicación puede ser una molestia, hay otras maneras de acceder a la información, tales como una copia impresa directorio o el operador.
Los Desafíos de la computadora de Seguridad La seguridad informática es a la vez fascinante y complejo. Algunas de las razones son las siguientes:
1. La seguridad informática no es tan sencillo como podría parecer que la novice.The requisitos parecen ser sencillo; de hecho, la mayor parte de la principal requisito mentos para los servicios de seguridad se pueden dar etiquetas de una sola palabra explica por sí mismo: confidencialidad, autenticación, no repudio, y la integridad. Pero el mecanismos utilizados para cumplir con esos requisitos pueden ser bastante complejos, y la comprensión ellos pueden implicar un razonamiento razonamiento b astante sutil.
2. En particular, el desarrollo de un mecanismo de seguridad o algoritmo, uno debe siempre conSider los posibles ataques a los elementos de seguridad. En muchos casos, los ataques exitosos están diseñados por mirar el problema de una manera completamente diferente, por lo tanto, explotar una debil idad inesperada en el mecanis mecanismo. mo.
3. Debido a Point 2, los procedimientos utilizados para proporcionar servicios particulares son a menudo counterintuitive.Typically, un mecanismo de seguridad es complejo, y no es obvio a partir de la declaración declaración de un determinado requisito de que tales medidas son elaborados necesario. ne cesario. Sólo cuando se consideran los diversos aspectos de la amenaza do elaborar mecanismos de seguridad tienen sentido.
4. Tener varios mecanismos 4. mecanismos de seguridad diseñados, es necesario decidir dónde utilice them.This es cierto tanto en términos de la colocación física (por ejemplo, en qué puntos en una red son ciertos mecanismos de seguridad necesarios) y en un sentido lógico [por ejemplo, en qué capa o capas de una arquitectura tales como / IP (Transmission Control TCP Protocolo / Protocolo de Internet) debe colocarse mecanismos].
5. Los mecanismos de seguridad suelen incluir más de un algoritmo particular o proto col colo. o. También Tambi én requi eren qu quee l os parti particip cipant antes es estén e stén en pose posesión sión de un secreto información (por ejemplo, una clave de cifrado), lo que plantea cuestiones acerca de la creación, la distribución y la protección de ese secreto information.There también pueden ser una fiabilidad Ance en protocolos de comunicaciones cuyo comportamiento puede complicar la tarea de
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.1 / ORDENADOR seguridad CONCEPTOS
29
desarrollar el mecanismo de seguridad. Por ejemplo, si el buen funcionamiento del mecanismo de seguridad requiere establecer límites de tiempo en el tiempo de tránsito de un mensaje del emisor al receptor, a continuación, cualquier protocolo o red que introduce variables, retrasos impredecibles pueden hacer que tal vez limita sentido. 6. La seguridad seguridad informática informática es esencialmente esencialmente una b atalla de ingenio entre un autor que in tenta para enco ntrar los agu jeros, y el dise diseñad ñador or o admi administ nistrador rador que int ent entaa cerrar c errar them.The th em.The gran ventaja de que el atacante tiene es que él o ella sólo necesita encontrar una sola debilidad ness, mientras que el diseñador debe encontrar y eliminar todas las debilidades para lograr perfecta seguridad. 7. Hay una tendencia natural por parte de los usuarios y los administradores del sistema para percibir poc os ben beneficio eficio s de d e l a i nve rsión en segu seguridad ridad hast hastaa q ue se p rodu roduzca zca un fallo en la segu ridad . 8. La seguridad requiere un seguimiento regular, aunque constante, y esto es difícil en la actualidad de a corto plazo, medio ambiente sobrecargado. 9. La seguridad es todavía demasiado a menudo una idea de último momento para ser incorporado a un sistema de el diseño se completa, en lugar de ser una parte integral del proceso de diseño. 10. Muchos usuarios y los administr administradores adores de seguridad incluso ver una gran seguridad como un impedimento ción para un funcionamiento eficiente y fácil de usar un sistema de información o el uso de información.
Las dificultades que acabamos de enumerar se encontrarán en numerosas formas como nos examinar las diversas amenazas a la seguridad y los mecanismos a través de este libro.
Un modelo de ordenador de Seguridad 3
Ahora introducimos alguna terminología qu e será útil en todo el libro. Tabla Ahora 1.1 define las condiciones y en la Figura 1.2, basado en [CCPS12a], muestra la relación entre algunos de estos términos. Comenzam Comenzamos os con el concepto de un sistema de recursos o activos , que usuarios y propietarios desean protect.The activos de un sistema informático puede ser categorizado como sigue: • Hardware: Incluyendo los sistemas informáticos y otros de procesamiento de datos, almacenamiento de datos, y dispositivos de comunicaciones de datos. • Software: Incluyendo el sistem sistemaa op era erativo, tivo, utilidades del sistema y las aplicaciones. • Datos: Inclusión de archivos y bases de datos, así como los datos relacionados con la seguridad, tales como archivos de contraseñas. • Comunicación instalaciones y redes: Red de área local y amplia communicación mun icación enlaces, pue enlaces, pue nte ntes, s, routers, y así sucesivamente. En el contexto de la seguridad, nuestra nuestra preocupación se centra en las vulnerabilidades del sistema recursos. [NRC02] enumera las siguientes categorías generales de vulnerabilidades de un com put ado ra sist ema o red de acti activo vos: s: • El sistema puede ser dañado , por lo que hace las cosas mal o da respuestas incorrectas. Por ejemplo, valores de datos almacenados pueden ser diferentes de lo que deberían ser debido que se han modificado incorrectamente.
3
Véase el Capítulo 0 para una explicación de RFC.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
30 CAPÍTULO 1 / visióN gENERAl Tabla 1.1 Equipo de seguridad Terminología Adversario (amenaza agente) Individuo, grupo, organización o gobierno que lleva a cabo o tiene la intención de llevar a cabo actividades perjudiciales.
Ataque Cualquier tipo de actividad maliciosa que intenta cobrar, interrumpir, negar, degradar o destruir el sistema de información recursos o la información misma.
Contramedida Un dispositivo o técnicas que tiene como objetivo el deterioro de la eficacia operativa de indeseable o actividad de confrontación, o la prevención de espionaje, sabotaje, robo, tratamiento o acceso no autorizado o la utilización de información o sistemas de información sensibles.
Riesgo Una medida del grado en que una entidad se ve amenazada por una circunstancia o evento potencial, y por lo general una función de 1) los impactos adversos que surgirían si se produce la circunstancia o evento; y 2) la probabilidad de ocurrencia.
seguridad política Un conjunto de criterios para la prestación de servicios de seguridad. Se define y limita las actividades de un proceso- datos ing instalación con el fin de mantener una condición de seguridad para sistemas y datos.
Sistema de Recursos (Activos) Una de las principales aplicaciones, sistema general de apoyo, programa de alto impacto, planta física, sistema de misión crítica, personal, equipo, o un grupo relacionado lógicamente de los sistemas.
Amenaza
Cualquier circunstancia o evento con el potencial de afectar negativamente a las operaciones de la organización (incluyendo la misión, funciones, imagen o reputación), activos de la organización, los individuos, otras organizaciones, o de la nación a través de un inforción del sistema a través de un acceso no autorizado, destrucción, divulgación, modificación de la información, y / o denegación de servicio.
Vulnerabilidad La debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos, o la aplicación que podría ser explotada o dispara disparada da por una fuente de amenaza. amenaza. Fuente :
Stallings, William, Seguridad Informática:. Principios y Práctica, 4e, © 2019. Reimpreso y electrónicamente
reproducido con permiso de Pearson Education, Inc., Nueva York, NY.
• El sistema puede llegar a ser agujereado . Por ejemplo, alguien que no debería tener el acceso a todos o algunos de l os datos disponibles a través de las redes obtiene dicho acceso. • El sistema puede llegar a ser disponible o muy slow.That es decir, utilizando el sistema o la red se convierte en imposible o poco práctico. propietarios propieta rios Desear que minimizar
agentes de amenaza
Valor
Deseos de abusar y/o puede dañar dañar
Imponer
contramedidas
Bienes
Dar elevarse a
A reducir
Riesgo
A
A Ese incrementar
Figura 1.2 Seguridad Conceptos y Relaciones
amenazas
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.2 / amenazas, ataques, Y ACTIVOS
31
Estos tres tres tipos generales de vulnerabilidad corresponden corresponden a los con ceptos de integridad, confidencialidad y disponibilidad, enumerados anteriormente anteriormente en esta sección. Correspondiente a los diferentes tipos de vulnerabilidades a un recurso del sistema son amenazas que son capaces de explotar las vulnerabilidades. Una amenaza representa una daño potencial a la seguridad de un ass asset.A et.An n ataque es una amenaza que se lleva a cabo (amenaza acción) y, y, si tiene éxito, conduce a una viol ación indeseable de seguridad o amenaz amenazaa consecuencia. El agente de llevar a cabo el ataque se conoce como un atacante o amenaza agente .w .wee puede d istinguir dos tipos de ataques: • Activo ataque: Un intento de alterar los recursos del sistema o afectar su funcionamiento. • Pasivo ataque: un intento de aprender o hacer uso de la información del sistema que no afecta a los recursos del sistema. También podemos clasificar los ataques basados en el origen del ataque: • Dentro de ataque: Iniciado por una entidad dentro del perímetro de seguridad (una “información privilegiada”). La información privilegiada está autorizado a acceder a los recursos del sistema, pero no los utiliza en una forma aprobado por los que haya concedido la autorización. • Fuera de ataque: Iniciado desde fuera del perímetro, por un no autorizado o ileusuario gitimate del sistema (un “extraño”). En Internet, fuera de potencial atacantes van desde bromistas aficionados a los criminales organizados, internacional terroristas y gobiernos hostiles. Por último, una contramedida es cualquier medio adoptadas para hacer frente a un ataque a la seguridad. Idealmente, una contramedida se puede diseñar para evitar que un tipo particular de ataque de succeeding.When succeeding. When la prevención no es posible, o no, en algún caso, el objetivo es detectar el ataque y luego recuperarse de los efectos de la contramedida puede attack.A sí introducen nuevas vulnerabilidades. En cualquier caso, las vulnerabilidades residuales pueden permanecer después de la imposición de contramedidas. Tales vulnerabilidades pueden ser explotadas por agentes de amenaza que repr representan esentan un n ivel residual de riesgo de los activos. Propietarios buscarán minimizar ese riesgo dado otras limitaciones.
1.2 Amena Amenazas, zas, ataques ataques,, Y ACTIV ACTIVOS OS Pasamos ahora a un análisis más detallado de las amenazas, ataques y activos. En primer lugar, nos fijamos en los tipos de amenaza amenazass de seguridad que deben ser tratados, tratados, y luego dan algunos ejemplos de los tipos de amenazas que se aplican a las diferentes categorías de activos.
Amenazas Amenaz as y ataques ataques Tabla 1.2, basado en el RFC 4949, describe cuatro tipos de consecuencias de amenazas y listas los tipos de ataques que resultan en cada consecuencia. Autorizado la divulgación es una amenaza a la confidencialidad. Los siguientes tipos de ataques pueden provocar esta consecuencia amenaza: amenaza: • Exposición: Esto puede ser deliberada, como como cuando una in for formación mación privilegiada libera intencionadamente sensitive información, como números de tarjetas de crédito, a un extraño. También puede ser el resultado de una, hardware, software o error humano, lo que se traduce en una entidad adquirir conocimientos no autorizada de data.There sensibles han sido numerosas
Translated to: Spanish
Show original
Options ▼
Spanish ▼
32 CAPÍTULO 1 / visióN gENERAl Tabla 1.2 Amenaza consecuencias, y los tipos de amenazas acciones que causan Cada Consecuencia amenaza Consecuenci Con secuenciaa autorizado autoriz ado Divulgación Una cir circun cunstan stancia cia o eve evento nto med median iante te el cua cuall una entidad obtiene el acceso a los datos para que no se haya autorizado la entidad.
Amenaza Acción (Ataque) Exposición: Los datos sensibles se lanzan directamente a una no autorizada entidad enti dad..
Intercepción: Una entidad no autorizada accede directamente sensibles datos que viajan entre las fuentes y los destinos autorizados.
Inferencia: Una acción de amenaza que una entidad no autorizada indirectamente, tiene acceso a datos sensibles (pero no necesariamente el los datos contenidos en la comunicación) por el razonamiento de características o subproductos de comunicaciones.
Intrusión: Una autorizado entidad obtiene acceso a los datos sensibles por eludir las protecciones protecciones de segur seguridad idad de un sistema.
Engaño
Mascarada: Una entidad no autorizada obtiene acceso a un sistema o
Una cir circun cunstan stancia cia o eve evento nto que puede resultar resultar en una entidad autorizada autorizada recepción de datos falsos y creer a decir verdad.
Ruptura
Una cir Una irccun unsta stanc ncia ia o eve vent nto o qu quee interrumpe o impide la correcta funcionamiento de los servicios del sistema y funciones.
realiz re alizaa un ac acto to malic malicioso ioso hac hacién iéndose dose pa pasar sar por una enti entidad dad au autoriz torizada ada..
Falsificación: Falso datos de engañar a una entidad autorizada. Repudio: Una entidad engaña a otra al negar falsamente la responsabilidad de un acto.
Incapacitación : Previene o sistema interrumpe la operación por desh de shaabi bilit litaar un com ompo pone nent ntee de dell sis siste tema ma..
Corrupción: altera forma no deseable el funcionamiento del sistema por adversamente la modificación de las funciones del sistema o datos.
Obstrucción: Una acción de amenaza que interrumpe la entrega de sistema servicios por obstaculizar el funcionamiento del sistema.
Usurp ación Una cir circun cunstan stancia cia o eve evento nto que re resulte sulte en el control de los servicios del sistema o funciones de una entidad no autorizada. Fuente :
Apropiación indeb id a: Una entidad no autorizada asume lógico o el con control trol físic físico o de un re recur curso so de dell siste sistema. ma.
El mal uso: Provoca un componente del sistema para realizar una función o servicio que va en detrimento de la seguridad del sistema.
Basado en el RFC 4949
instancias de este, como las u niversidades accidentalmente accidentalmente pu blicar estudiante confidencial información en la Web. • Intercepción: Inter Interceptación ceptación es un ataque común en el contexto de comunicaciones. En una red de área local compartida (LAN), como una LAN inalámbrica o una emisión emis ión Ethernet, cualquier dispositivo conectado a la red local puede recibir una copia de paquet paq uetes es d estin ado adoss a otro disp osit ivo . En Interne Internet, t, u n hack er de termina do pue puede de acceder al tráfico de correo electrónico y otros datos transfers.All de estas situaciones creacrea comió la posibilidad de que el acceso no autorizado a los datos. • Inferencia: Un ejemplo de inferencia se conoce como análisis de tráfico, en el que una adversario es capaz de obtener información de la observación del patrón de tráfico en una red, tal como la cantidad de tráfico entre particulares pares de los alojamientos de el ejemplo network.Another es la inferencia de información detallada de una la base de datos po r un usuario que tiene acceso limitado; esto se logra mediante repetida repetida consultas cuyos resultados combinados permitir la inferencia. • Intrusión: Un ejemplo de intrusión es un adv ers ersario ario obtenga acceso no auto riza rizado do a los datos sensibles mediante la superación de las protecciones de control de acceso del sistema.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.2 / amenazas, ataques, Y ACTIVOS
33
El engaño es una amenaza para la integridad del sistema, ya sea o integrity.The siguientes datos tipos de ataques pueden provocar esta esta consecuencia amenaza:
• mascarada: Un ejemplo de la mascarada mascarada es un in tento no autorizado por una de usuario para obtener acceso a un sistema haciéndose pasar por un usuario autorizado; esto podría HAP plu ma si el usua usuario rio no aut autoriza orizado do ha apren aprendid did o ID de ini cio de sesión y la con contraseñ traseñaa d e o tro usua rio. Otro ejemplo es la lógica malicioso, como un caballo de Troya, que parece realizar una función útil o deseable, pero en realidad el acceso desautorizado a los recursos del sistema, o trucos de un usuario para que ejecute otra lógica malicioso. • Falsificación: Esto se refiere a la alteración o sustitución de datos válidos o la introducción de datos falsos falsos en un arc archivo hivo o base de datos. Por ejemplo, ejemplo, un estudiante puede alterar sus calificaciones calificaciones en una b ase de datos de la escuela. • El repud repudio: io: En este caso, un usuario o bien niega el envío de datos, o un usuario niega recibir o poseer los datos. La interrup interrupción ción es una amenaza para la disponibilidad o el sistema integrity.The siguientes tipos de ataques pueden provocar esta consecuencia amenaza: amenaza:
• La incapacitación: Este es un ataque a la disponibilidad del sistema. Esto podría ocurrir como resultado de la destrucción física o daño de hardware del sistema. Más típicamente, software malicioso, tales como caballos de Troya, virus o gusanos, podría operar en de manera tal que desactivar un sistema o algunos de sus servicios. • Corrupción: Este es un ataque a la integridad del sistema. El software malicioso en este contexto podría operar de tal manera que la función de recursos o servicios del sistema de una maner maneraa no intencionada. O un usuario podría tener acceso acceso no autorizado a un sistem sistemaa de y modificar algunas de sus funciones. Un ejemplo de esto último es una colocación de usuario lógica de puerta trasera en el sistema para proporcionar acceso posterior a un sistema y su recursos recur sos que no sea por el procedimiento habitual. • Obstrucción: Una forma de obstaculizar el funcionamiento del sistema es interferir con la comucaciones deshabilitando vías de comunicación o la alteración de control de comunicaciones information.Another manera es sobrecargar el sistema colocando el exceso de carga en el tráfico de comunicación o los recursos de procesamiento. Usurpación es una amenaza para la integridad del sistema. Los siguientes tipos de ataques pued dar lugar a esta consecuencia amenaza:
• La apropiación apropiación indeb indebida: ida: Este robo puede incluir de ejemplo service.An se distribuye una ataque de denegación de servicio, cuando se instala software malicioso en un número de servidores para p ara ser utilizados como utilizados como plataformas plataformas para lanzar el tráfico a un host de destino. En este caso ca so,, los maliciosos software hace uso no autorizado de recursos de procesador y sistema operativo. • El mal uso: El uso incorrecto puede ocurrir por medio de la lógica, ya sea malicioso o un hacker que se ha obtenido acceso no autorizado a un sistema. En cualquier caso, las funciones de seguridad Se puede desactivar o frustrado.
Amenazas y Activos Los activos de un sistema informático se pueden clasificar como hardware, software, datos y líneas de comunicación y redes. En este apartado, se describen brevemente estos cuatro
Translated to: Spanish
Show original
Options ▼
Spanish ▼
34 CAPÍTULO 1 / visióN gENERAl categorías y los relacionan con los conceptos de in tegridad, confidencialidad categorías confidencialidad y disponibilidad introducido en la sección 1.1 (véase la figura 1.3 y la Tabla 1.3). H ardware Una gran amenaza amenaza para el hardware hardware del sistema informático es la amenaza a la dispon idad. El hardware es el más vulnerable a los ataques y los menos susceptibles a automatizada controls.Threa controls. Threats ts incluyen daño accidental y deliberado p ara equipos, así como theft.The proliferación de ordenadores personales y estaciones de trabajo y la generalizada uso de redes de área local a aumentar el potencial de pérdidas en este area.Theft de unidades USB puede conducir a la pérdida de la confidencialidad. Las medidas físicas de seguridad y administrativas son necesaria para hacer frente a estas amenazas. S oftware El softwar softwaree inclu ye el sistema operativo , utili dades y aplicaci ones programos. Una amenaza clave de software es un ataque a la disponibilidad. Software, especialmente software de aplicación, es a menudo fácil de eliminar. El software también puede ser alterado o dañado para hace r inúti in úti l. g esti estión ón de la con figu figuración ración software cuid c uid ado adosa, sa, que q ue inc incluy luy e hacer copias de seguridad de la versión más reciente del software, puede mantener una alta dispocapacidad. Un problema más difícil de tratar es la modificación de software que resulta en un programa que aún funciona, pero que se comporta de manera diferente que antes, lo cual es una amenaza a la integridad / autenticidad. Los virus informáticos y ataques relacionados entran en esta categoría. Un último problema es la protección contra la piratería de software. A pesar de cierta
Si stema in fo rmáti co
Los
Sistema in fo rmático
4 Sensible archivos deben ser seguros datos (fi l de seguridad)
Datos
3 Los datos deben ser transmite de forma segura a través de redes (Seguridad de la red)
1 El acceso a los datos debe ser controlada (proteccion)
Proc Pr ocees os os qu quee repr prees ent entaan a us usua uarri os os
Gu ard ia
Proc Pr ocees os os que repres ent entaan a us ua uari os os
Guardi a
2 El acceso a la computadora instalación debe ser controlado (autenticacion de usuario) Los usuarios que realizan solicitudes
Figura 1.3 Ámbito de aplic aplicación ación de ordenador de d e Seguridad : Esta figura representa las preocupaciones de seguridad que no sea la seguridad física, incluyendo el control de el acceso a los sistemas informáticos, la protección de los datos transmitidos a través de sistemas de comunicación, y salvaguardia de los datos almacenados.
Nota
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.2 / amenazas, ataques, Y ACTIVOS
35
Tabla 1.3 Ordenador y Red Activos, con ejemplos de Amenazas D isp on ibilid ad Hardware
Equi po po es robado o discapa disc apacita citados, dos, neg negand ando o así Servicio.
Software
líneas y redes
I n tegrid ad
un sin cifrar unidad USB es rob unidad robado ado..
Los pr progr ogram amas as se bor borra ran, n,
Unaa co Un copia pia no au autor toriz izad adaa de
Un pr progr ogram amaa de tr trab abaj ajo o es mod modii-
negar neg ar el ac acce ceso so a los usua usuarios rios..
el sof softwa tware re está hec hecho. ho.
cado, ya sea pa cado, para ra hac hacer er que fa falle lle durante la ejecución o para causar que haga alguna tarea no deseado.
Una lec lectur turaa no auto autoriz rizad adaa
Los ar archi chivos vos exis existen tentes tes se modif modifica ican no
el ac acce ceso so a los usua usuarios rios..
de los dat datos os es per perfor formed med.An .An análisis de datos estadísticos revela datos subyacentes.
nuevos nue vos ar arch chivos ivos se fa fabric brican. an.
Los men mensaje sajess son des destruid truidos os o
Los men mensaje sajess son re read.T ad.The he
Los men mensaje sajess se modif modifica ican, n,
deleted.Communic delete d.Communicatio ation n líneas o redes son indisponible.
patrón de trá patrón tráfic fico o de men mensaje sajess es observado.
retardad retar dada, a, re reord ordena enado, do, o duplic duplicac ación ión cadas. son mensajes falsos fabricado.
Datos Los ar archiv chivos os se bor borra ran, n, neg negan ando do
Comunicación
con fiden cialidad
contramedidas están disponibles, por lo general el problema de la copia no autorizada contramedidas del software no ha sido resuelto. Har Hardware dware y software software de seguridad suelen suelen ser las preocupaci ones de la computación cen profesio nal nales es t er o preoc preocup upacio acio nes ind ivi dua les de los usua usuarios rios de comp computa utado doras ras personal pe rsonal es. Una much mucho o más problema prob lema muy ext extend end ido es l a seg urid uridad ad de dat datos, os, q ue con siste en archiv os y otras formas de dat datos os controlado por los individuos, grupos y organizaciones empresariales. Los problemas problemas de seguridad con respecto a los datos son amplio, incluyendo la disponibilidad, secreto secr eto e integridad. En el caso de la disponibilidad, la preocupación se centra en la destrucción destrucción de archivos de datos, que pueden ocurr ocurrir ir ya sea accidental o malintencionada. La preocupación obvia con el secreto secreto es la lectura no autorizada de archivos de datos o bases de dat datos, os, y esta área ha sido ob objeto jeto de inv estig ació n y tal vez más esfuerzo esfu erzo que cualquier otra área del equipo security.A menos evidente amenaza para el secreto consiste en la d
ata
análisis de los datos y se manifiesta en la utilización de los llamados bases de datos estadísticos, que prop orcio nar informaci ón sumaria o agreg proporcio agregada. ada. Presumibl ement e, la exi existen stencia cia de agreg agregado adoss la información información no pone en peligro la privacidad de lo s individuos in volucrados. Sin Sin embargo, como como el uso de bases de datos estadísticos crece, crece, hay un po tencial creciente creciente para la divul gación de esencia esen cia information.In personal, características de los individuos constituyentes pueden estar identificados ide ntificados a través de un análisis cuidadoso. Por ejemplo, si una tabla registra la suma de los ingresos de los encuestado encuestadoss A, B, C, y D, y otros registros de la suma de las ingresos de A, B, C, D, y E, la diferencia entre los dos agregados serían el El ingreso de un problema E.This se ve agravada por el creciente deseo de combinar los datos conjuntos. En muchos casos, a juego varios conjuntos de datos para la consistencia en los diferentes diferentes niveles de la agregación requiere el acceso acceso a las unidades individuales. Por lo tanto, las unidades individu ales, que son objeto de preocupación por la privacidad, están disponibles en varias etapas en el procesamiento procesamiento de conjuntos de datos. Por último, la integridad de datos es una preocupación importante en la mayoría de las instalaciones. Las modificaciones a archivos arc hivos de datos pueden tener consecuencias que van d esde leves a desastroso. desastroso.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
36 CAPÍTULO 1 / visióN gENERAl C OMUNICACIÓN l INES y n as redes
ataques a la seguridad de la red se pueden clasificar como pasi vos ata que quess y activos ataques .A ataque pasivo intentos de aprender o hacer uso de información del sistema, pero no afecta el sistema resources.An ataque activo los intentos de alterar los recursos del sistema o afectar su funcionamiento. Pasivos ataques a taques están en la naturaleza de las escuchas en, o el seguimiento de, trans missions.The objetivo del atacante es obtener información que está siendo transmited. Hay Hay dos ti pos de ataques pasivos son la liberac liberación ión del contenido d e mensajes y el tráfico tráfico análisis. La liberación de los mensajes contenidos es fácilmente understood.A conversación telefónica, un mensaje de correo electrónico, y un archivo transferido pueden contener sensibles o confidenciales cial information.W information.Wee quisiera impedir que un oponente aprendizaje de los contenid os de estas transmisiones. Un segundo tipo de ataque pasivo, el tráfico de análisis , es más sutil. Supóngase que se Tenía una manera de enmascarar el contenido de los mensajes u otra información de tráfico por lo opues- tas nentes, aunque capturaron el mensaje, no pudo extraer la información de la técnica común message.The para los contenidos de enmascaramiento es el cifrado. Si tuvieramos protecció prot ecció n de cifrado en su lug ar, un rival aún po podría dría ser capaz ca paz de obse observar rvar el pat patrón rón de éstos oponent e messages. messages.The The podría determinar la ubicación y la identidad de comcarse anfitriones y pudo observar la frecuencia y la longitud de los mensajes que se exchanged.This información podría ser útil para adivinar la naturaleza de la comunicatión que estaba teniendo lugar. ataques pasivos son muy difíciles de detectar porque no implican ningú n alteración de la data.Typically, el tráfico de mensajes se envían y se reciben en un apatemente de manera normal y ni el remitente ni el receptor es consciente de que un tercero ha leído los mensajes u observado el patrón de tráfico. Sin embargo, es factible preventilar el éxito de estos ataques, generalmente por medio de encryption.Thus, el énfasis en el tratamiento de los ataques pasivos está en la prevención en lugar de la detección. Activos ataques implican alguna modificación del flujo de datos o la crea creación ción de una corriente falso, y se puede subdividir en cuatro categorías: repetición, mascarada, modificación de mensajes, y negación de servicio. Replay implica la captura pasiva de una unidad de datos y su posterior retransmisiónUna de producir un efecto no autorizado. mascarada tiene lugar cuando u na entidad pretende ser una entidad difer diferente. ente. Un ataque mascarada incluye por lo general una de las otras formas de ataque activo. por ejemplo, las secuencias secuencias de autenticación pueden ser capturados y reproducirse reproducirse después de un válido secuencia secue ncia de autenticación ha tenido lugar, lo que permite que una entidad autorizada con unos un os privilegios para obtener privilegios adicionales haciéndose pasar pasar por una entidad que tiene lo s privilegios. pri vilegios. Modificación de mensajes simplem simplemente ente significa que un a parte de u na legítima mensaje se altera, o que los mensajes se retrasan o se reordenan, para producir una unauefecto AUTORIZADO. Por ejemplo, un mensaje que indica, “Permitir John Smith que se lee conficuentas de archivos confidenciales”se modifica para decir:“Permitir Fred Brown para leer confidencial cuentas de archivos “. La negación de servicio previ ene o inh ibe la no normal rmal u til izaci ón o gest gestión ión de facilidades fac ilidades de comunicación. Este Este ataque puede tener un objetivo específ específico; ico; por ejemplo, una La entidad puede suprimir todos los mensajes dirigidos a un destino particular (por ejemplo, la seguridad
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1,3 / la seguridad funcional y REQUISITOS
37
servicio de auditoría) forma .Otro de negación de servicio es la interrupción de toda una red, ya sea mediante la desactivación de la red o por la sobrecarga que con los mensajes con el fin de degradar actuación. ataques activos presentes las características opuestas de attacks.Whereas pasivos ataques pasivos son difíciles de detectar, se adopten medidas para impedir su éxito. Por otro lado, es muy difícil prevenir ataques activos absolutamente, porque para ell ello o reque requeriría riría l a p rotecc ión física de tod os los servici os de comu comunic nicació ació n y camin os en todo momento. En cambio, el objetivo es detectar ellos y para recuperarse de cualquier interrupción o retrasos causados por ellos. Debido a que la detección tiene un efecto disuasorio, también puede contribuir a la prevención.
1.3
SEGURIDAD SEGURID AD FUNCION FUNCIONAL AL REQUISIT REQUISITOS OS
Hay un número de maneras de clasificar y caracterizar las contramedidas que pueden usarse para reducir la vulnerabilidad y hacer frente a las amenazas a los activos del sistema. En esta sección, consideramos que las contramedidas en términos de requisitos funcionales, y nosotros seguir la clasificación definida en FIPS 200 ( mínim mínimo o de seguridad Requisitos para para Federa l d e Informac In formación ión y d e Informac In formación ión Sist emas ) .Esta norma enumera 17 seguridadáreas áre as relacionadas relacionadas con lo que respecta a la protección de la con fidencialidad, integridad integridad y disponibilidad de sistemas de información y la información procesada, almacenada, y se transmiten por aquellos áreas systems.The se definen en la Tabla 1.4. Los requisitos enumerados en FIPS 200 abarcan una amplia gama de contramedidas a las vulnerabilidades de seguridad y amenazas. A grandes rasgos, podemos dividir éstas contramedidas en dos categorías: las que requieren la seguridad informática técnica medidas (cubiertos en las partes uno y dos), ya sea hardware o software, o ambos; y los que son fundamentalmente los problemas de gestión (cubiertos en la tercera parte). Cada una de las áreas funcionales puede implicar tanto la seguridad medi- técnico informático Sures y medidas de gestión. Las áreas funcionales que requieren principalmente equipo medidas técnicas de seguridad seguridad incluyen control de acceso, identificación identificación y authenticación, la protección del sistema y la comunicación, y el sistem sistemaa y l a integridad de la infor información. mación. Las áreas áreas funcionales que principalmente involucran los controles de gestión y procedim procedimientos ientos incluyen sensibilización sensibilizac ión y for formación; mación; auditoría y rendición de cuentas; certificación, certificación, acreditación acreditación y evaluaciones de seguridad; planificación de contingencias; mantenimiento; físico y ambienTal protección; protección; planificación; Personal de Seguridad; Evaluación de riesgos; y los sistemas y servicios adquisición. adqui sición. Las áreas funcionales que se superponen las medidas técnicas de seguridad informática y contr oles oles de gestión incluyen in cluyen la gestión la gestión de configuración, respuesta a incidentes, y la protección de los medios de comunicación. Tenga en cuenta que la mayoría de las áreas de requisitos funcionales en FIPS 200 son o princ ipa ipalment lment e cuest c uestion ion es d e g esti estión ón o por lo meno menoss ti enen un com- g estió n sign ificat iva Ponent, en contraposición a puramente de software o hardware solutions.This puede ser nuevo para algunos lectores, y no se refleja en muchos de los libros en el ordenador y información de seguridad. Pero como uno experto en seguridad informática observó: “Si usted piensa tecnogía puede resolver sus problemas de seguridad, entonces usted no entiende los problemas y no entiende la tecnología”[SCHN00] .Este libro refleja la necesidad
Translated to: Spanish
Show original
Options ▼
Spanish ▼
38 CAPÍTULO 1 / visióN gENERAl Tabla 1.4 de seguridad Requisitos El acceso de control: Limite el acceso al sistema de información a los usuarios autorizados, procesos que actúan en nombre del autorizado usuarios o dispositivos (incluyendo otros sistemas de información) y a los tipos de transacciones y funciones que los usuarios autorizados se les permite ejercer.
La sensibilización y capacitación: (i) Asegurarse de que los administradores y usuarios de sistemas de información de la organización se hacen consciente de los riesgos de seguridad asociados con sus actividades y de las leyes, reglamentos y políticas aplicables relacionados con la seguridad de los sistemas de información de la organización; y (ii) asegurar que el personal esté adecuadamente capacitado para llevar a cabo sus funciones y responsabilidades relacionadas con la seguridad de la información asignada.
Auditoría y rendición de cuentas: (i) Crear, proteger y conservar los registros de auditoría del sistema de información a la medida necesaria para permitir el seguimiento, el análisis, la investigación y la notificación de material ilegal, no autorizado, o información inapropiada actividad del sistema; y (ii) asegurar que las acciones de información individual los usuarios del sistema se pueden remontar de forma única a los usuarios para que puedan ser responsables de su comportamiento.
Certific Cer tificación, ación, acr acreditación, editación, y de seguridad Evaluaciones: (i) Evaluar periódicamente los controles de seguridad sistemas de información de organización para determinar si los controles son eficaces en su aplicación; (Ii) desarrollar e implementar planes de acción diseñado para corregir las deficiencias y reducir o eliminar vulnerabilidades en sistemas de información de organización; (Iii) autorizar el funcionamiento de los sistemas de información y de organización las conexiones del sistema de información asociados; y (iv) supervisar los controles de seguridad del sistema de información sobre una de manera continua para garantizar la eficacia permanente de los controles. Configuración de Gestión de: (i) Establecer y mantener configuraciones de referencia e inventarios de sistemas de información de la organización (incluyendo hardware, software, firmware y documentación) a través de los respectivos ciclos de vida de desarrollo del sistema; y (ii) establecer y reforzar la seguridad los valores de configuración para los productos de tecnología de la información empleadas en información de la organización Los sistemas.
Contingencia Plan ificac ificación: ión: establecer, mantener y poner en práctica planes de respuesta a emergencias, copia de seguridad operaciones de recuperación después de un desastre, y para los sistemas de información de la organización para asegurar la disponibilidad de los recursos de información críticos y continuidad de las operaciones en situaciones de emergencia.
La identificac identificación ión y autentic au tenticación: ación: identificar a los usuarios del sistema de información, procesos que actúan en nombre de los usuarios, o dispositivos, y autenticar (o verificar) las identidades de los usuarios, procesos o dispositivos, como requisito previo para permitiendo permitie ndo el ac acce ceso so a los sistemas de informa información ción de la organización. organización.
Incidente Respuesta: (i) Establecer una capacidad de manejo de incidente operacional de información de la organización sistemas que incluye la preparación adecuada, la detección, el análisis, la contención, recuperación, y la facilidad de respuesta ocupaciones; y (ii) la pista, documentos, e incidentes de informe se apropien de los funcionarios de la organización y / o autoridades.
Mantenimiento: (i) realizar un mantenimiento periódico y oportuna sobre los sistemas de información de la organización; y (Ii) proporcionar un control eficaz de las herramientas, técnicas, mecanismos y personal utilizado para llevar a cabo Sistema de información de mantenimiento.
Medios de protección: (i) proteger los medios de comunicación del sistema de información, tanto en papel como digital; (ii) limitar el acceso a la información en los medios medios de comunicación comunicación del sistema de información información a los usuarios autorizados; y (iii) desinfectar o destruir destruir los medios medio s de comunicación comunicación antes de que el el siste depósito o lanzamiento para su reutilización.
Física y Ambiental de protección: de protección: (i) Limitar el acceso físico a los sistemas de información, equipos y los respectivos entornos operativos a las personas autorizadas; (Ii) proteger la planta física y apoyo infraestructura para sistemas de información; (Iii) proporcionar apoyo utilidades para los sistemas de información; (Iv) proteger sistemas de información contra los peligros ambientales; y (v) proporcionar controles medioambientales adecuadas en instalaciones que contienen los sistemas de información.
Planificación: Desarrollar, documentar, actualizar periódicamente, e implementar planes de seguridad para la organización inforción de sistemas que describen los controles de seguridad en el lugar o los previstos para los sistemas de información y las reglas del comportamiento de las personas que acceden a los sistemas de información. (Continuado)
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.4 / FUNDAMENTAL FUND AMENTAL seguridad Diseño princi p rincipios pios
39
Personal de seguridad: (i) Asegurar que las personas que ocupan puestos de responsabilidad dentro de las organizaciones (Incluyendo proveedores de servicios de terceros) son dignos de confianza y cumplir con los criterios de seguridad establecidos para los posiciones; (Ii) asegurar asegurar que los sistemas de informa información ción y de información información de organizac organización ión están protegidos durante y despué despuéss de acciones de personal tales como terminaciones y transferencias; y (iii) emplear sanciones formales para el personal no haber cumplir con las políticas y procedimientos de seguridad de la organización.
Riesgo Evaluación: Evaluar periódicamente el riesgo de las operaciones de la organización (incluyendo la misión, funciones, imagen o reputación), activos de la organización, y los individuos, que resultan de la operación de la organización sistemas de información y el procesamiento asociado, almacenamiento o transmisión de información de la organización.
Sistemas y Servicios de adquisición: (i) Asignar recursos suficientes para proteger adecuadamente la organización sistemas de información; (Ii) los procesos del ciclo de vida de desarrollo del sistema empleo que incorporan seguridad de la información consideraciones; (Iii) las restricciones de uso de software de empleo e instalación; y (iv) garantizar que terceros proveedor prove edores es emplean medidas de segur seguridad idad adecuadas adecuadas para proteger proteger la informa información, ción, aplica aplicacione cioness y / o servic servicios ios subcontr subcontratad atados os de la organización.
Sistema y Comunicaciones de protección: (i) monitorear, controlar y proteger las comunicaciones organizacionales (Es decir, la información transmitida o recibida por los sistemas de información de organización) en los límites externos y los límites internos clave de los sistemas de información; y (ii) utilizar los diseños arquitectónicos, desa- software rrollo técnicas y sistemas de principios de ingeniería que promueven la seguridad de la información efectiva dentro de sistemas de información de la organización.
Sistema y la inform información ación Integr In tegridad: idad: (i) Identificar, reportar y de la información y corregir fallos del sistema de información
de una manera oportuna; (Ii) proporcionar protección contra código malicioso en lugares apropiados dentro de la organización sistemas de información; y (iii) supervisar las alertas de seguridad de sistemas de información y avisos y adoptar medidas apropiadas acciones en respuesta. Fuente :
Basado en FIPS 200
combinar los enfoques técnicos y de gestión para lograr equipo eficaz seguridad. FIPS 200 proporciona un resumen útil de las principales áreas de preocupación, tanto técnica y de gestión, con respecto a security.This informáticos libro intenta cubrir todas estas áreas.
1.4 FUNDAM FUNDAMENT ENTAL AL DE SEGURI SEGURIDAD DAD DE DISEÑ DISEÑO O PRINCIPIOS PRINCIPIOS A pesar de años de investigación y desarrollo, no ha sido posible desarrollar segudad de diseño e i mplem mplementación entación de técnicas que excluyen sistem sistemáticamente áticamente los fallos de seguridad y evitar todo t odo no autorizado actions.In actions.In la ausencia de tales técnicas a toda prueba, es útil disponer de u n conjunto de principios de diseño ampliam ampliamente ente acordadas que puedan gu iar el desarrollo desarrollo de mecanismos mecanismos de protección. pro tección. Los Los Centros Nacionales de Excelencia Académica en Información de calidad / Defensa Cibernética, que está patrocinado conjuntamente por el Nacional de EE.UU. Agencia de Seguridad y el Departamento de Seguridad Nacional de Estados Unidos, la siguiente lista como principios fundamentales de diseño de seguridad [NCAE13]: • Economía del mecanismo • valores predeterminados a prueba de fallos • mediación completa • El diseño abierto
Translated to: Spanish
Show original
Options ▼
Spanish ▼
40 CAPÍTULO 1 / visióN gENERAl • La separación de privilegio • privi leg legio io míni mínimo mo • mecanismo Mínimo común • aceptabilidad Psicológica • Aislamiento • La encapsulación • La modularidad • estratificación • asombro menos Los ocho primeros principios mencionados se propuso por primera vez en [SALT75] y tienen consuperado la prueba del tiempo. En esta sección, discutimos brevemente cada principio. Economía del mecanismo entenderá el diseño d e las medidas de segur seguridad idad incorporadas en tanto de hardware como de software deben ser lo más simple y pequeño como possible.The motivación ción de este principio es que los pequeños de diseño relativamente simple, es más fácil de probar y verificar thoroughly.With un diseño complejo, hay muchas más oportunidades para una adversario para descubrir debilidades para explotar sutiles que pueden ser difíciles de detectar por delante de tiempo.El más complejo es el mecanismo es, lo más probable es poseer explotable defectos. mecanismos simples tienden a tener menos defectos explotables y requieren menos mantenimiento. Además, debido a los problemas de gestión de configuración son simcado, la actualización o sustitución de un meca mecanismo nismo sencillo se convierte en un p roces roceso o de menor intensidad. En la práctica, esto es tal vez el más difícil de principio a honor.There es una constante demanda de nuevas características de hardware y software, lo que complica la seguridad diseño task.The mejor que puede hacerse es mantener este principio en mente durante el sistema de diseño para tratar de eliminar la complejidad innecesaria. A prueba de fallos por defecto significa que las decisiones de acceso deben basarse en el permiso en vez de exclusión. Es decir, la situación por defecto es la falta de acceso y la protección esquema identifica las condiciones bajo las cuales el acceso es el enfoque permitted.This exposiciones un mejor modo de fallo que el enfoque alternativo, donde el valor predeterminado predeterminado es permit access.A diseño o la implementación error en un mecanismo que da explícita el permiso tiende a fallar al negarse el permiso, una situación segura que puede ser rápidamente detectado. Por otra parte, un diseño o implementación error en un mecanismo que excluye explícitamente el acceso tiende a fallar, permitiendo el acceso, un fallo que puede ir de largo desaperci bid bid a en e n el uso no normal. rmal. Por ejemp lo, la mayo mayoría ría d e l os sistema sistemass de d e acceso a cceso a archiv a rchiv os traba trabajan jan en este prin princi ci y servicios servicios de prácticamente todos protegidas en los sistemas cliente / servidor funcionan de esta manera. Completa la mediación mediación si significa gnifica que cada acceso debe cotejarse con el acceso mecanismo de control. Los sistemas no deben confiar en las decisiones de acceso recuperados de una memoria caché. En un sistema diseñado para funcionar de forma continua, este principio requiere que, si las decisiones de acceso se recuerdan para su uso futuro, se dará una consideración cuidadosa a cómo cambios en la autoridad se propagan en dichas memorias locales. sistemas de acceso a archivos parecen parece n prop orcio nar u n ejemp lo de un sistema qu quee cumpl c umpl e con c on este prin princip cipio. io. Sin embargo embargo,, porr lo gen eral, u na vez que un usua po usuario rio ha abi erto un archi archivo, vo, no se h ace nin gun a compro c omprobaci baci ón para ver el cambi cambio o Para aplicar plenamente la mediación completa, cada vez que un usuario lee un campo o registro en un archivo o un elemento de datos en una base de datos, el sistema debe ejercer control.This de acceso se utiliza muy poco enfoque de uso in tensivo de recursos. recursos.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1.4 / FUNDAMENTAL seguridad Diseño principios
41
Abrir el diseño significa que el diseño de un mecanismo mecanismo de seguridad debe estar abierto abierto en vez de lo secreto. Por ejemplo, aunque las claves de cifrado deben ser secretos, cifrado
algoritmos deben estar abiertos a los algoritmos scrutiny.The públicas puede entonces ser revisado por much muchos os exp ertos, y los usua usuarios rios pue pueden den , po r tan to, tien en una alta con fianza en the them.This m.This es l a la filosofía detrás del Instituto Nacional de Estándares y Tecnología (NIST) programo gram o de estandar estandarización ización de cifrado y algoritmos de hash, y ha llevado a la extendida adopción de algoritmos aprobados por el NIST. La separación de privilegio se define en [SALT75] como una práctica en la que múltiples Se requieren atributos de privilegio para lograr el acceso a una buena resource.A restringida ejemplo de esto es la autenticación de usuario de múltiples factores, que requiere el uso de multitécnicas de tiple, como una contraseña y una tarjeta inteligente, para autorizar un término user.The También se aplica ahora a cualquier técnica en la que un programa se divide en partes que se limitan a los privilegios específicos que requieren con el fin de realizar una específica tarea. Esto se utiliza para mitigar el daño potencial de un ataque a la seguridad informática. Un ejemplo de esta última interpretación interpretación del principio es la eliminación de alto privilegio operaciones a otro proceso y ejecutan ese proceso con los privilegios más altos necesaria para desempeñar sus tareas. Del día a día de las interfaces se ejecutan en un giado menor proceso proce so privi le-. Menos privilegio significa que cada proceso y cada usuario del sistema debe operar utilizando la menor conjunto de p rivilegios necesarios necesarios para para llevar a cabo el buen ejemplo de la task.A El uso de este principio es el control de acceso basado en roles, como se describe en el Capítulo 4. La pol íti ca de segu ridad del sistema pue puede de ide identi nti ficar y defin ir los l os dist int os roles de usua usuarios rios o proce procesos. sos. Cada función se asigna únicamente los permisos necesarios para realizar sus funciones. Cada especifica un permiso de acceso permitido a un recurso en particular (por ejemplo, leer y acceso de escritura a un archivo o directorio especificado, y conecte el acceso a un host determinado y Puerto). A menos que explícitamente se otorga permiso, el usuario o proceso no deberían poder para acced er al recurso prot protegi egido do.. De man era más gen general, eral, c ual ualqui qui er sist ema d e cont c ont rol de acceso deb debee permiti r qu e cada c ada usu usuario ario sólo los priv privile ilegio gio s que q ue están aut orizad as p ara ese user.There es tambi én una aspecto temporal al principio de privilegio mínimo. Por ejemplo, los programas del sistema o los administradores administradores que tienen p rivilegios especiales especiales deben tener sólo cuando esos privilegios necesario; cuando están haciendo las actividades ordinarias de los privilegios deben ser retirados. Dejando en su lugar simplemente abre la puerta a los accidentes. Menos común mecanismo significa que el diseño debe minimizar las funciones compartida por diferentes usuarios, proporcionando principio security.This mutua ayuda a reducir la número númer o de vías de comunicación no deseados y reduce la cantidad de hardw hardware are y el software software en el que todos los usuarios dependen, por lo que es más fácil para verificar si hay lass implicaciones de seguridad no deseados. la Psicológica aceptabil aceptabilidad idad implica los mecanismos mecanismos de segur seguridad idad n o debe dificultar innecesariamente el trabajo de los usuarios, y al mismo tiempo satisfacer las necesidades de aquellos que autorice el acceso. Si los mecanismos de seguridad obstaculizan la capacidad de uso o acce bil ida idad d de los recursos, l os usua usuarios rios pu pueden eden op optar tar p or ap agar los mecha mechanisms.Where nisms.Where po posibl sible, e, mecanismos de seguridad deben ser transparentes para los usuarios del sistema o como máximo introducir una obstrucción mínima. Además de no ser intrusivos o gravosa, procedimi proce dimient entos os de segu seguridad ridad deb deben en reflejar el mode modelo lo ment mental al del usua rio de la prote cció n. Si el protección procedimientos no tienen sentido para el usuario usuario o si el usuario, deben traducir su su o su imagen de la protección en un protocolo sustancialmente sustancialmente diferente, el usuario usuario es p robable a cometer errores.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
42 CAPÍTULO 1 / visióN gENERAl El aislamiento es un principio que se aplica en tres contextos. Sistemas en primer lugar, de acceso público deben ser aislados de recursos críticos (datos, procesos, etc.) para prevenir la información que se expone Seguro o manipulación. En los casos en que la sensibilidad o criticidad de la infor Seguro información mación es altas, las organizaciones pueden querer limitar el número de sistemas en los que los datos son almacenado y aislarlos, ya sea física o lógicamente. El aislamiento físico puede incluir asegurando que no existe ninguna conexión física entre el acceso público de una organización recursos de información y implement- information.When críticos de una organización ing soluciones d e aislamiento lógico, capas de ser servicios vicios y mecanis mecanismos mos de seguridad deben establecer entre los sistemas públicos y sistemas seguros de que es responsable de proteger prote ger los recursos críti críticos. cos. En segu segund ndo o lug ar, los proce procesos sos y los archiv os de los usu usuarios arios ind ivi dua duales les deb en ser aislados unos de otros, excepto cuando sea explícitamente desired.All oper- moderna sistemas Ating dar facilidades para tal aislamiento, por lo que los usuarios individuales tienen por separado, aislado espacio de proceso, espacio de memoria y espacio de archivos, con protecciones para la prevención access.And autorizado por último, los mecanismos de seguridad deben ser aislados en el sentido de impedir el acceso a esos mecanismos. Por ejemplo, el control de acceso lógico puede proporcio prop orcio nar un medio de aisla aislamien miento to de software cripto c ripto gráfico de otras partes del hué sped sistema y para la protección de software criptográfico de manipulaciones, y las teclas de reemplazo o de la divulgación. La encapsulación pu puede ede ser vista v ista como un unaa forma espec específica ífica de aisla aislamient mient o basad o en ob objeto jeto funcionalidad orientada. La La protección se realiza mediante mediante la encapsulación d e una colección de procedimientos y objetos de datos en un dominio de su propio modo que la estructura interna de una objeto de datos es accesible sólo a los procedimientos del subsistema subsistema y el protegido procedimi proce dimient entos os pu pueden eden ser ll amado s sólo só lo en los pu punto nto s de d e entrad e ntrad a d e d omin io desig nad o. La modularidad en el contexto de la seguridad se refiere tanto al desarrollo de segufunciones ridad como módulos separados, separados, protegido, y a la utilización de un arquitec- modular modular ture para el diseño de mecanismo y el respeto implementation.With al uso de separada módulos de seguridad, el objetivo del diseño es ofrecer ofrecer funciones funciones de seguridad común y servicios, tales como funciones criptográficas, como módulos comunes. Por ejemplo, numerosos protocolos y aplicaciones hacen uso de funciones criptográficas. Más bien que la implementación de tales funciones en cada p rotocolo o aplicación, un más seguro seguro el diseño se proporciona mediante el desarrollo desarrollo de un módulo criptogr criptográfico áfico común que puede ser invocado p or numerosos numerosos protocolos y diseño e impleme implementación ntación application s. s.The The esfuerzo, entonces puede centrarse en el diseño y ejecución segura de una sola cripto módulo gráfico, incluyendo mecanismos para proteger el módulo de tampering.With respecto a la utilización de una arquitectura modular, cada mecanismo de seguridad debe ser capaz de soportar soportar la migración a las nuevas tecnologías o la actualización de las nuevas características sin que requiere req uiere un diseño completo de seguridad redesign.The sistema debe ser modular, de manera que partes individuales del diseño d iseño de seguridad se pueden actualizar sin el requisito de modificar todo el sistema. Layering se refiere al uso de múltiples, la superposición de los enfoques de protección hacer frente a las personas, la tecnología y los aspectos operativos de los sistemas de información. Mediante el uso de múltiples, la superposición de los enfoques de protección, el fracaso o la elusión de cualquier enfoque de protección individual no dejará el sistema se unprotected.We ver a lo largo de este libro que un enfoque de capas se utiliza a menudo para proporcionar múltiples múltiples barreras en tre u n adv adversario ersario y la informaci ón prot protegi egida da o técn ica service services.This s.This se refiere a menudo como defensa en profundidad .
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1,5 / ATAQUE ATAQUE SUPERFICIES SU PERFICIES Y AT ATAQUE AQUE ÁRBOLES ÁR BOLES43
Menos asombro significa un programa o interfaz de usuario siempre debe responder de la manera que es menos probable que se sorprenderá al usuario. Por ejemplo, el mecanismo para la autorización debe ser lo suficientemente suficientemente transparente transparente para un usuario que el usuario tiene una buena intuiTIVE comprensión de cómo los objetivos de seguridad se asignan a los mecanismos de seguridad proporcionado.
1.5 ATAQUE SUPERFICIES SUPERFICIES Y AT ATAQUE ÁRBOLES ÁRBOLES Sección 1.2 p ropor Sección roporciona ciona una visión general del espectro de amenazas a la seguridad seguridad y los ataques enfrentan los sistemas informáticos y de red. Sección 8.1 será entrar en más detalles acerca de la naturaleza de los ataques y los tipos de adversarios que presentan amenazas a la seguridad. En esto sección, detalles sobre sobre dos conceptos que son útiles en la evaluación y clasif clasificación icación amenazas: las áreas de ataque y árboles de ataque.
ataque superficies Una superficie superficie de ataque con siste en las vulnerabilidades alcanzables y explo tables en un sistem sistemaa de [BELL16, MANA11, HOWA03]. Ejemplos de superficies de ataque son los siguientes: • Los puertos abiertos hacia el exterior en la Web y otros servidores, y el código que escucha en el esos puertos • Los servicios disponibles en el interior de un cortafuegos • El código que procesa los datos de entrada, correo electrónico, XML, documentos de oficina, y formatos de intercambio de datos personalizados específicos de la industria • Interfaces, formas de SQL, y la web • Un empleado con acceso a información sensible vulnerable a un inge- sociales ataque niería las áreas de ataque se pueden clasificar de la siguiente manera: • Red de ataque de la superficie: Esta categoría se refiere a las vulnerabilidades a través de una empresa red, red de área amplia, o en Internet. Se incluyen en esta categoría son NET vulnerabilidades protocolo de trabajo, tales como como los u tilizados para un ataque de denegación de ser servicio, vicio, interrupción de los enlaces de comunicación, y varias formas de los ataques de intrusos. • Software de ataque de la superficie: Esto se refiere a vulnerabilidades en aplicaciones, servicios públicos, o código del sistema operativo. Un enfoque particular en esta categoría es el servidor Web software. • Hu Humano mano ataque a taque superficial: superficial: Esta categoría se refiere a las vulnerabilidades creadas por per sonasonanel o extraños, tales como la ingeniería social, los errores humanos, y los iniciados de confianza. Un análisis de la superficie de ataque es una técnica útil para evaluar la escala y gravedad de las amenazas a un análisis sistemático system.A de puntos de marcas de vulnerabilidad desarrolladores y analistas de seguridad consciente de dónde se requieren mecanismos de seguridad. Una vez que se define una superficie de ataque, los diseñadores pueden ser capaces de encontrar maneras de hacer el la superficie más pequeña, lo que hace la tarea del adversario más difficult.The ataque surcara también proporciona orientación sobre el establecimiento de prioridades para las pruebas, el fortalecimiento de la segu medidas, o modificar el servicio o aplicación.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
44 CAPÍTULO 1 / visióN gENERAl Como se ilustra en la Figura 1.4, el uso de estratificación, o defensa en profundidad, y el ataque reducción de la superficie se complementan entre sí en la mitigación de riesgos de seguridad.
ataque árboles Un árbol de ataque es una ramificación, estructura de datos jerárquica que representa un conjunto de técnicas posibles para la explotación de vulnerabilidades de seguridad [MAUW05, MOOR01, SCHN99]. El incidente de seguridad que es el objetivo del ataque es representado como el nodo raíz del árbol, y las formas en que un atacante podría alcanzar ese objetivo son incremental e iterativa representados como ramas y sub-nodos del árbol. Cada subnodo define un subobjetivo, y cada subobjetivo puede tener su propio conjunto de otros sub-objetivos, y así sucesivamente los nodos finales sobre los caminos hacia el exterior desde la raíz, es decir, los nodos hoja, representan diferentes formas de iniciar un ataque. Cada nodo que no sea una hoja es o bien un Y-nodo o un O-nodo. Para lograr el objetivo representado por un Y-nodo, deben lograrse las sub-objetivos representados por todos los subnodos de ese nodo; y para una OR-nodo, debe conseguirse al menos uno de los sub-objetivos. Ramas Ramas pueden ser etiquetados con valores que representan dificultad, coste, u otro ataque atributos, de modo que alternativo ataques se pueden comparar. La motivación para el uso de árboles de ataque es explotar eficazmente el inforción disponible en los patrones de ataque. Organizaciones como CERT publicar ase- seguridad sories que han permitido el desarrollo de un cuerpo de conocimientos acerca tanto generales estrategias de ataque y los patrones de ataque específicos. Los analistas de seguridad pueden utilizar el árbol de ataque para doc documen umentar tar los ataq ues de segu seguridad ridad en un unaa forma estruct urada que revela vu vulne lnerabil rabiliti ities.The es.The clav e árbol de ataque puede orientar tanto tanto el diseño de sistemas y aplicaciones, y la selección selección y fuerza de contramedidas.
n ó i c a c i f i t a r t s e
l a i c i f r e p u S
o d n u f o r P
M ed i o
Alto
Riesgo de seguridad seguridad Riesgo de seguridad seguridad
B aj o M ed i o Riesgo de seguridad seguridad Riesgo de seguridad seguridad
Pequ eñ a
Gran d e
superficie de ataque
Figura 1.4 Defensa en profundidad y Attack Surface
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1,5 / ATAQUE ATAQUE SUPERFICIES SU PERFICIES Y AT ATAQUE AQUE ÁRBOLES ÁR BOLES45 Figura 1.5, basado en una figura en [DIMI07], es un ejemplo de un análisis de árbol de ataque para una aut autent enticac icación ión de ban ca por Interne Internett raíz apl aplicac icación ión .No del de l árbol es el ob objeti jeti vo del atacante, que es comprometer cajas sombreadas account.The de un usuario en el árbol son los nodos de hoja, que representan eventos que comprenden las cajas blancas attacks.The son categorías que constan de uno o más específicos eventos de ataque (nodos hoja). Nota que en este árbol, árbol, todos los no dos distintos de n odos hoja son OR-nodes.T OR-nodes.The he análisis utilizados para gen erar este árbol con side siderado rado los tres compo c ompo nen tes qu quee i nte ntervien rvien en en la aut autent enticac icación ión : • Usu Usuario ario del terminal y el usu usuario ario (U (UT T / T): Estos ataques tienen como objetivo el equipo d e usuario, incluyendo las fichas que pueden estar implicados, tales como tarjetas inteligentes u otra contraseña generadores, así como las acciones del usuario. • Comunicaciones de canal (CC): Este tipo de ataque se centra en la comunicación campo de golf. • Internet banca servidor (SII): Este tipo de ataques son en línea de ataque contra los servidores servidores que alojan la aplicación de banca por Internet. Internet. Cinco estrategias generales generales de ataque pueden ser identificados, identificados, cada uno de lo s cuales explota uno o más de las tres components.The cinco estrategias son las siguientes: Banco Cuenta Compromiso
compromiso credencial de usuario
UT / U1bis vigilancia usuario UT / U1b Robo de token y notas manuscritas Software malicioso instalación
vulnerabilidad exploit
UT / U3a analizadores de tarjeta inteligente UT / U3b lector de tarjetas inteligentes manipulador
UT / U3C ataques de fuerza bruta
UT / U2a código oculto UT / U2B Worms
UT / u2c correos electrónicos con código malicioso
con las calculadoras PIN
CC2 Sning la comunicación entre usuarios con el atacante
UT / U4a La ingeniería social UT / U4B página Web Web ofuscación
La inyección de comandos credencial de usuario adivinando
CC3 Hombre activo en el atacar por el centro
IBS1 ataques de fuerza bruta
IBS2 política de Segurida Seguridad d
pharming ming CC1 phar
IBS3 manipulación sitio Web
violación El uso de conocidos autenticado sesión atacante
redirección de la comunicación hacia sitio fraudulento
Autenticación de usuario normal CC4 pre pre-definida definida sesión con especificidad ID de sesión ed ID (secuestro de sesión)
Figura 1.5 Un Ataque Árbol de Internet Banking de autenticación
Translated to: Spanish
Show original
Options ▼
Spanish ▼
46 CAPÍTULO 1 / visióN gENERAl • Usu Usuario ario credencial de compromiso: Esta estrategia puede ser utilizado contra muchos elementos del ataque surface.There son ataques de procedimiento, como el seguimiento de un usuario de acción para observar un PIN u otra credencial, o el robo de del usuario ficha o escrita a mano adversario notes.An también puede comprometer la información del identificador de usar una variedad de h err erramientas amientas de ataque simbólicos, como la piratería o el uso de la tarjeta inteligente un bruto método de fuerza de adivinar el posible estrategia es la de insertar PIN.Another Malísoftware cious comprometer inicio de sesión del usuario y password.An adversario mayo también intentar obtener información de credenciales a través del canal de comunicación (Sniffing). Por último, un adversario puede utilizar diversos medios para participar en comunicaTion con el usuario de destino, como se muestra en la Figura 1.5. • Inyección de comandos: co mandos: En este tipo de ataque, el atacante es capaz de interceptar la comunicación entre la UT y los esquemas IBS.Various se puede utilizar para ser capaz de hacerse pasar por el usuario válido y así tener acceso al sistema bancario. • Usu Usuario ario credenciales de adivinanzas: Se informa en [HILT06] que la fuerza bruta ataques contra algunos esquema esquemass de autenticación de banca, pueden realiz realizars arsee mediante Enviaring nombres de usuario y contraseñas aleatorias. El mecanismo de ataque se basa en zombi distribuido ordenadores personales, haciendo programas automatizados para username- cálculo o basada en contraseña. • Seguridad de la política de violación: Por ejemplo, en violación de la política de seguridad del banco en combinación con mecanis mecanismos mos de control de acces acceso o y regis registro tro débiles, un empleado puede pu ede prov provocar ocar un inc incide idente nte de segu ridad int erna y exp on oner er a la cue cuenta nta de un clie nte nte.. • Uso de la conocida aut a utenticado enticado sesión: Este tipo de ataque convence o fuer fuerza za a la el usuario conecte con el SII con un identificador de sesión preestablecido. Una vez que el usuario se autentica al servidor, el atacante puede utilizar el identificador de sesión conocida para enviar paquetes a el SII, SII, la suplantación de la identidad del usuario. Figura 1.5 proporciona una visión exhaustiva de los diferentes tipos de ataques sobre una Interaplicación de autenticación red bancaria. bancaria. El uso de este árbol como punto de partida, la seguridad seguridad los analistas pueden evaluar el riesgo de cada ataque y, usando los principios de diseño descritos en la sección anterior, el diseño de una instalación de seguridad integral. [DIMO07] proporciona buena bu ena cue cuenta nta de los result resultado ado s de d e este e ste esfuerzo de diseñ o.
1.6 ORDEN ORDENADOR ADOR DE SEGURI SEGURIDAD DAD ESTRA ESTRATEGIA TEGIA Concluimos este capítulo con u n breve vistazo a la estr estrategia ategia global para proporcionar proporcionar com put ado ra de d e seg urid uridad. ad. [LAMP04] su gie giere re que q ue un unaa estrateg e strateg ia de segu seguridad ridad int egral impl implica ica tres aspectos: • Especificación / Política: ¿Cuál es el esquema de seguridad se supone que h aga? • Implement Implementación ación / mecanismos: meca nismos: ¿Cómo se hace? • Corrección / garantía: gara ntía: ¿Realme ¿Realmente nte funciona?
seguridad política El primer paso en el diseño de los servicios y mecanismos de seguridad es desarrollar una seguridad pol íti ca. Las La s personas p ersonas inv olu cradas con la segu seguridad ridad info informática rmática usan el términ término o de seguridad política de variabilidad ous ways.At al menos, una política de seguridad es una descripción informal del sistema deseado
Translated to: Spanish
Show original
Options ▼
Spanish ▼
47 1,6 / ORDENADOR DE SEGURIDAD ESTRATEGIA comportamiento [NRC91]. Tales políticas informales pueden hacer referencia a los requisitos de seguridad, integridad y disponibil idad. Más útil, una política de seguridad es una declaración formal formal de normas y prácticas que especifican o regulan cómo un sistema u organización ofrece servicios de seguridad para proteger los recursos del sistema sensibles y críticos (RFC 4949). tal la política de seguridad formal se presta a ser aplicada por los controles técnicos del sistema así como su gestión y controles operacionales. En el desarrollo desarrollo de una política de seguridad, un administrador administrador de seguridad debe tener en cuenta la los siguientes factores: • El valor de los activos protegida • Las vulnerabilidades del sistema • Las amenazas amenazas potenciales y la probabilidad d e ataques Además, el gerente debe considerar las siguientes ventajas y desventajas: • Facilidad de uso frente a la seguridad: Pr Prácticam ácticamente ente tod as las medidas de segur seguridad idad implican alguna penalización en el área de la facilidad de uso. Los siguientes son algunos ejemplos: Control de acceso mecanismos requieren que los usuarios de recordar contraseñas y tal vez realizar otra las acciones de control de acceso. Cortafuegos y otras medidas de seguridad de red puede reducir la capacidad de transmisión transmisión disponible o el tiempo de res respuesta puesta lento. Detección de virus softwar sof twaree reduce la po tencia de proces procesamiento amiento disponible e introduce la posibilidad d e fallos del sistema sistema o mal funcionamiento debido a la interacción inadecuada entre el segudad de software y el sistema operativo. • El costo de la seguridad frente al coste del fallo y recuperación: Además de la facilidad de uso y los costos de funcionamie funcionamiento, nto, hay costos monetarios directos directos en la aplicación y el mantenimiento de la seguridad measures.All de estos costos debe sopesarse frente el costo de la falla de seguridad y recuperación si ciertas medidas de seguridad son lacking.The coste de fallo en la seguridad y la recuper recuperación ación debe tener en cuenta no sólo el valor de los activos protegida y lo s daños resultantes de una violación de seguridad, sino también el riesgo, que es la probabilidad de que un particuamenaza lar explotará una vulnerabilidad particular, con una especial perjudicial resultado. pol íti ítica ca de segu seguridad ridad es p or lo l o tan tanto to un unaa d ecisi ón de neg oci ocios, os, p osib lemen lemente te influ enci ado por leg legal al requisitos.
seguridad Implementación implementación de seguridad consiste en cuatro cursos de acción complementarios: • Prevenció Prevención: n: Un esquema de seguridad ideal es aquel en el que ningún ataque tiene éxito. Aunque esto no es práctico en todos los casos, existe una amplia gama de amenazas en el que la prevención es un objetivo razonable. Por ejemplo, considere la transmisión de los datos cifrados. Si se utiliza un algoritmo de cifrado seguro, y si las medidas están en su lugar para evitar el acceso no autorizado a las claves de cifrado, a continuación, los atentados contra la se evitará la confidencialidad de los datos transmitidos. • Detección: En varios casos, la protección absoluta no es factible, pero es prácti co para det detectar ectar ataq ues a l a seg urid uridad. ad. Por ej emplo , hay ha y det detecci ección ón de int rusos sistemas diseñados para detectar la presencia de personas no autorizadas registrados en un sistem sistema. a. Otro Otro ejemplo es la detección de u n ataque d e denegación d e servicio,
Translated to: Spanish
Show original
Options ▼
Spanish ▼
48 CAPÍTULO 1 / visióN gENERAl en el que las comunicaciones o recursos de procesamiento se consumen por lo que son disponible p ara los usuarios legítimos. • Respuesta: Si los mecanismos mecanismos de seguridad detectan un ataque en curso, tales como como una negación de ataque del servicio, el sistema puede ser capaz de responder de una manera tal como para detener la ataque y evitar daños mayores. • Recuperación: Un ejemplo de recuperación es el uso de sistemas de copia de seguridad, por lo que si los datos integridad se ve comprometida, una copia previa, correcta de los datos puede ser recargada.
Aseguramiento y Evaluación Los que son “consumidores” de servicios y mecanismos de seguridad informática (por ejemplo, sisgerentes tem, proveedores, clientes y usuarios finales) desean una creencia de que la seguridad medidas en el lugar de trabajo como intended.That es, los consumidores quieren sentir la seguridad de que el infraestructura de seguridad de sus sistemas cumplen con los requisitos de seguridad y hacer cumplir seguridad policies.These policies.These consideraciones consideraciones nos llevan a los con ceptos de aseguramiento aseguramiento y evaluación. Aseguramiento es un atributo de un sistema de información que ofrezca motivos para tener confianza en que el sistema funciona de tal manera que la política de seguridad del sistema es forzada. Esto abarca tanto el diseño del sistema y la implementación del sistema. Así, ofertas de seguros con las preguntas “, ¿El diseño del sistema de seguridad cumple con su requisito mentos?”y‘¿La implementación del sistema de seguridad cumple con sus especificaciones?’ Aseguramiento se expresa como un grado de confianza, no en términos de una prueba formal de que un diseño o impleme implementación ntación es correcta. correcta. El estado del arte en los diseños y probando implementaciones implem entaciones es tal qu e no es posible proporcionar una prueba absoluta. Mucho trabajo se ha hecho en el desarrollo de modelos formales que definen los requisitos y las caracteize diseños e implementaciones, junto con técnicas lógicas y matemáticas para abo rdar est as cuesti c uesti one ones. s. Pero la garan tía sigu e si end endo o una cuest ión de grado . La evaluación eval uación es el proceso de examinar un producto o sistema informático con respecto a ciertos criterios. La evaluación implica la prueba y también puede implicar analítica formal o matemática impulso central techniques.The de trabajo en esta área es el desarrollo de criterios de evaluación que se pueden aplicar a cualquier sistema de seguridad (que abarca la seguridad servicios y mecanismos) y que son compatibles en términos generales para hacer comparaciones de productos.
1.77 NO 1. NORM RMAS AS Muchas de las técnicas de seguridad y aplicaciones descritas en este libro han sido especificada como estándares. Además, se han desarrollado normas para cubrir hombre prácti cas agement y la y la arquitectura general de los mecanismos y servicios de seguri seguridad. dad. A lo largo de este libro, se describen las normas más importantes en uso o que se se están desarrollando para diversos aspectos de las organizaciones informáticas security.Various han estado involucrados en el desarrollo o la promoción de estos normas.El más importante (en el contexto actual) de estas organizaciones son las siguientes: • Nacional Inst Institut itutoo de Estándares y Tecn Tecnolog ología: ía: NIS NIST T es e s una u na agen cia federal de los EE.UU. que se ocupa de la ciencia d e medición, los estándares estándares y la tecnolo gía relacionada con los Estados Unidos gobierno de usar y al fomento de la innovación del sector privado de Estados Unidos. A pesar de su ámbito nacional, normas de elaboración del NIST de Información Federal (FIPS) y Publicaciones especiales especiales (SP) (SP) tienen un impacto en tod o el mundo.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1,8 / CLAVE TÉRMINOS, revisar las preguntas, Y PROBLEM PROBLEMAS AS 49 • Internet Sociedad: ISOC es una sociedad de miembros profesionales con todo el mundo perten enci a o rgani rganizacio zacio nal e i ndi vid ual ual.. Propo rcion a l ide iderazgo razgo en el tratami ent ento o cuestiones que se enfrenta el futuro de Internet, y es el hogar organización para los grup grupos os respon sable s de d e l as n ormas d e i nfraestruc nfraestructura tura de Interne Internet, t, i ncl ncluye uyend ndo o el Grupo de Trabajo de Ingeniería de Internet (IETF) y la Junta de Arquitectura de Internet (IAB) .Estas organizaciones desarrollan estándares de Internet y especificación relacionada ciones, todos los cuales son publicados como solicitudes de comentarios (RFC). • UIT-T: La Unión Internacional de Telecomunicaciones (UIT) es una de las Naciones Unidas agencia en la que los gob iernos y coordinar el sector privado privado glo bal de las telecomunicaciones redes y servicios. El Sector de Normalización de las Telecomunicaciones de la UIT (UIT-T) es uno de los tres sectores de la UIT. La misión de la UIT-T es la productividad ción de normas que abarcan todos los campos de las telecomunicaciones. normas del UIT-T se conocen como recomendaciones. recomendaciones. • ISO: La Organización Internacional de Normalización (ISO) es una en todo el mundo federación de organismos nacionales de normalización de más de 140 países. ISO es una organización organizac ión n o gu bernam bernamental ental que prom promueve ueve el desar desarrollo rollo de la estandar estandarización ización ción y las actividades relacionadas con el fin d e facilitar el intercambio intercambio internacional de bienes y servicios, y para desarrollar la cooperación en las esferas de Intel la actividad intelec-, científica, tecnológica y económica. los resultados del trabajo de la ISO en acuerdos acuer dos internacionales que se publican como normas internacionales. internacionales. Una discusión más detallada de estas organizaciones está contenida en el Apéndice C. Se proporciona una lista de los documentos ISO y NIST hace referencia en este libro en el final del libro.
1.8 PRINCIP PRINCIPALES ALES TÉRMINOS Y REVISIÓN PREGUNTAS, PREGUNTAS, Y PROBLEMAS clave Términos con onttro roll de acceso ataque activo adversario activo garantía gara ntía ataque s uperficie de ataque árbol de ataque autenticación autent ntiicidad disponibilidad la mediación completa confidencialidad corrupción contramedida
con onfi fide denc nciialida dad d de los da dattos intercepciones int nteegridad de los datos intrusi sión ón negación de se serrvicio aisl slaamiento estratificación ruptura econ onom omíía de dell mecani nism smo o meno noss aso som mbr bro o encaps ulación mecanis mo menos común privilegios mínimos encriptación evaluación mascarada expos ición malvers ación uso valore ress predeterminados a prue ueba ba de mal fallos fals ificación modularidad incapacitación no repudio obstrucción inferencia ataque en el int nteerior dise di seño ño abierto integridad arquitectura de seguridad OSI (Continuado)
Translated to: Spanish
Show original
Options ▼
Spanish ▼
50 CAPÍTULO 1 / visióN gENERAl ataques externos ataque pasivo evitar intimidad aceptabilidad ps psiicológ ógiica repetición repudio
riesgo ataque a la s eguridad mecanis mo de seguridad politica de seguridad serrvicio de se se seg guridad s eparación de privilegio la integridad del s is tema
los recursos del s is tema agente de amenaza Análisis de tráfico divulgación no autorizada usu surrpación vulnerabilidades
revisión Preguntas 1.1 Lo que se entiende entiende por la tríada de la CIA ?. 1.2 ¿Cuál es la diferencia diferencia entre la la integridad de los datos y la integridad del sistema? sistema? 1.3 Enumerar y definir brevemente los tipos de consecuencias de amenazas amenazas y los tipos de acciones acciones de amenaza 1.4 1.5 1.6
los cuales causan estas consecuencias. Lista y brevemente definen los principios fundamentales de diseño de seguridad. ¿Qué es una política de seguridad? ¿Cuáles son las acciones involucradas en la aplicac aplicación ión de un segudad política? Diferenciar entre una superficie de ataque ataque a la red y una superficie de ataque ataque de software.
Problemas 1.1 Cons Considere idere un sistema de información del estudiante (SIS) en el que los estudiantes proporcionan una universidad
1.2 1.3
número de estudiante (USN) y una tarjeta de acceso a la cuenta. Dar ejemplos de confidentialdad, integridad y disponibilidad requisitos asociados con el sistema y, en cada caso, debe indicar el grado de la importancia del requisito. Repetir el problema 1.1 para un sistema s istema de encaminam encaminamiento iento de red que las rutas de los paquetes de datos a través de una red basada en la dirección IP proporcionada por el remitente. Cons Considere idere un sistema de edición electrónica electrónica utiliza utilizada da para producir documentos para varios organizaciones. a. Dé un ejemplo de un tipo de d e publicación para las que la confidencialidad confidencialidad de la almacenada almacenada datos es el requisito más importante. Dé unrequisito. ejemplo de un tipo de publicación en la que la integridad de datos es la más imporsegundo. tante do. Dé un ejemplo en el que la disponibilidad del sistema es el requisito más importante.
1.4 Para cada uno de los siguientes activos, activos, asignar asign ar un nivel bajo, moderado moderado o alto impacto impacto para el pérdida de confidencial confidencialidad, idad, disponibilidad disponibilidad e integridad, integridad, respectivame respectivamente. nte. Justificar Justificar sus respuesta respuestas. s. a. Una organización que gestiona la información pública en su servidor Web. Web. segundo. Una organización de gestión de aplicación de la ley de investigación extremadamente sensible información. do. Una organización financiera gestión de la información administrativa de rutina (no privacidadinformación relacionada). re. Un sistema de información utilizado para grandes adquisiciones en una organización contratante contiene a la vez sensible, antes de la solicitud de información de contrato de fase y la rutina information.Assess administrativa el impacto para los dos conjuntos de datos por separado y el sistema de información en su conjunto. mi. Una planta de energía contiene un SCADA (control de supervisión y adquisición de datos) sistem controlar la distribución de la energía eléctrica para una instalación militar de gran tamaño. El sistema SCADA contiene tanto datos en tiempo real del sensor y adminis- rutina tiva information.Assess el impacto de los dos conjuntos de datos por separado y la inforSistema de Información de su conjunto.
Translated to: Spanish
Show original
Options ▼
Spanish ▼
1,8 / CLAVE TÉRMINOS, revisar las preguntas, Y PROBLEM PROBLEMAS AS 51 1.5 Cons Considere idere el siguiente código general para permitir el el acceso acceso a un recurso: DWORD dwRet = IsAccessAllowed(...); if (dwRet == ERROR_ACCESS_DENIED) { // Security check failed. // Inform user that access is denied. } else { // Security check OK. }
a. Explicar el el fallo fallo de seguridad en este programa. segundo. Vuelva a escribir el código para evitar la falla. 1.6 1.7
Sugerencia : Considere el principio de diseño de incumplimientos de seguridad. Desarr Desarrollar ollar un árbol de ataque ataque para acceder acceder al al contenido de una caja caja de seguridad física. fís ica. Cons Considere idere una empresa cuyas operaciones se encuentran encuentran en dos edificios en el mismo mismo propiedad: propieda d: un edifi edificio cio es la sede, s ede, el otro edificio edificio contiene contiene la red y com putadora propiedad propiedad servic s ervices.The es.The está protegido protegido físicamente físicamente por una cerca alrededor alrededor del perímetro. perímetro. La única entrada a la propiedad es a través de unas redes locales vigilados delanteros gate.The se dividen dividen entre LAN y los servicios de red red la sede de la LAN. Internet los usuarios se conectan conectan al servidor Web Web a través través de un cortafuegos. cortafuegos. usuarios de acceso acceso telefónico telefónico obtienen obtienen a cular servidor de LAN los servicios de red. Desarrollar un árbol de ataque en el que la raíz repr nodo esents revelación de secretos de propiedad. Me y el árbol attacks.The técnica puede contener tanto AND y OR nodos. Elaborar un árbol que tiene al menos 15 nodos hoja. Leer todos los artículos clásicos citados citados en el documento de lecturas lecturas recomendadas en http: // williamstallings.com/ComputerSecurity/ Componer un documento 500-1000 palabra (o 8-12 presentación presenta ción de diapositivas) diapositivas) que resume los conceptos clave que emergen emergen de estos docume documentos, ntos, haciendo hincapié en los conceptos que son comunes a la mayoría o todos los papeles. N C L U D E ,n lai g en en ie io íaser cf r ísica,lf
1.8
View more...
Comments
