Criterio de seguridad Lima, 24 de febrero de 2011
Audiencia Representante(s) de: ●
●
Áreas o procesos organizacionales relacionados con seguridad o auditoría interna. Desarrolladores Desarrollad ores de aplicacione aplicaciones. s.
Objetivos ●
●
Divulgar el Criterio de Seguridad de forma que los asistentes a esta presentación comprendan la importancia del mismo. Proponer un par de indicadores que hablan sobre el estado de la prueba/verificación de seguridad de la información
Contexto ●
●
●
●
¿Quiénes han efectuado verificaciones/pruebas de seguridad? ¿Qué tipos de pruebas/verificaciones de seguridad han realizado? Han pensado …¿qué es lo que verdaderamente desean verificar/probar en seguridad? ¿Cómo controlar que la verificación/prueba de seguridad quedó completa?
Todas las respuestas deben pasar necesariamente por ...
EL CRITERIO DE SEGURIDAD
Introducción ●
●
●
El criterio de seguridad presenta los diferentes requisitos no funcionales que se deben tener en cuenta para la evaluación de aplicaciones e infraestructura. Estos aspectos también pueden ser utilizados como guías para una implementación segura. Cada uno de los criterios podrá ser verificado con una o varias técnicas.
Procedencia El Criterio de Seguridad se basa en múltiples estándares internacionales, entre los que se cuentan: ●
Common Criteria. ISO/IEC 15408:2008 - Evaluation criteria for IT security
ISO/IEC 15408-1:2005 – ISO/IEC 15408-2:2008 – ISO/IEC 15408-3:2008 ISO/IEC 17025:2005 Reportes de vulnerabilidades en CWE - Common –
●
●
Weakness Enumeration ●
●
●
OWASP Code Review Guide OWASP OWASP Testin Testing g Guide American Institute of Certified Public Accountants -
Criterio de Seguridad ●
●
●
Está compuesto por 19 categorías, que definen los aspectos a evaluar durante las pruebas/verificaciones. Cada categoría contiene uno o más requisitos, para un total de 94 al día de hoy. Los requisitos se evalúan sobre el TOE (Target Of Evaluation) durante una o más verificaciones/pruebas, en función al tipo de pruebas y al ambiente.
Criterio de Seguridad
Criterio Criterio de de Seguridad Seguridad
Objetivo Objetivo De De Evaluación Evaluación TOE TOE
RIGUROSIDAD RIGUROSIDAD
COBERTURA COBERTURA
Categorías del Criterio de Seguridad ●
Requisitos
●
Tiempo
●
Sesión
●
Datos
●
Criptografía
●
Dependencias
●
Credenciales
●
Administración
●
Validación
●
Redes
●
Codificación
●
Servicios
●
Autenticación
●
Sistema
●
Autorización
●
Caché
●
Archivos
●
Otros
●
Bitácoras
Categoría: REQUISITOS Sobre los requisitos de seguridad que se deben definir para un sistema: REQ.01. REQ.01.Debe Debeestar estardefinido definidoelel criterio criterio de de seguridad seguridad con con los los requisitos específicos para requisitos específicos para elel sistema. sistema. REQ.02. REQ.02.Deben Debenestar estardefinidos definidoslos los roles que tendrán acceso roles que tendrán acceso alal sistema. sistema. REQ.03. REQ.03.Deben Debenestar estardefinidos definidoslos los privilegios de acceso para cada rol privilegios de acceso para cada rol en enelelsistema. sistema.
Detalle de un requisito
REQ.01. Debe estar definido el criterio de seguridad con los requisitos específicos para el sistema.
Documento de requisitos de seguridad específicos del sistema.
Antes de la construcción/ad quisición no se especifican los requisitos de seguridad
Alta
Categoría: SESIÓN Sobre la relación que se establece entre un usuario y un sistema, o entre 2 sistemas: SES.01. SES.01. La La sesión sesión debe debe tener tener un un tiempo máximo de vida no superior tiempo máximo de vida no superior aa55minutos. minutos. SES.02. SES.02.ElElmecanismo mecanismoprimario primariode de transferencia de información entre transferencia de información entre páginas páginasdebe debeser serlalasesión. sesión. SES.03. SES.03.Un Unusuario usuariosólo sólodebe debepoder poder establecer 1 sesión simultánea establecer 1 sesión simultáneaen en elelsistema. sistema.
SES.04. SES.04.ElElestado estadode desesión sesiónque quese se encuentra en el cliente, debe estar encuentra en el cliente, debe estar cifrado cifrado yy con con protección protección de de integridad. integridad.
Detalle de un requisito
SES.03. Un usuario solo debe poder establecer 1 sesión simultánea en el sistema.
Código fuente del sistema y de la configuración del sistema, o Acceso al sistema en funcionamiento.
Varias personas pueden acceder al sistema con las credenciales del mismo usuario
Alta
Categoría: CRIPTOGRAFÍA Sobre el uso de mecanismos de cifrado y firmado que garantizan confidencialidad, integridad y autenticidad: CRI.01. CRI.01.Debe Debeusarse usarsemecanismos mecanismos criptográficos pre-existentes. criptográficos pre-existentes.
CRI.04. Debe utilizarse certificados CRI.04. Debe utilizarse certificados firmados por entidades certificadoras firmados por entidades certificadoras validas internas cuando estos sean para validas internas cuando estos sean para aplicaciones internas. aplicaciones internas.
CRI.02. CRI.02.Debe Debeutilizarse utilizarsecertificados certificados con periodo de vencimiento con periodo de vencimiento no no mayor a 1 año. mayor a 1 año.
CRI.05. Debe utilizarse certificados CRI.05. Debe utilizarse certificados firmados por entidades certificadoras firmados por entidades certificadoras validas externas cuando estos sean para validas externas cuando estos sean para aplicaciones externas. aplicaciones externas.
CRI.03. CRI.03.Debe Debeutilizarse utilizarsecertificados certificados vigentes según sus fechas vigentes según sus fechas de de emisión y vencimiento. emisión y vencimiento.
CRI.06. Debe utilizarse certificados con CRI.06. Debe utilizarse certificados con una identificación coherente con la una identificación coherente con la entidad (servicio, servidor, etc) a la cual se entidad (servicio, servidor, etc) a la cual se encuentra asociado. encuentra asociado.
Categoría: CRIPTOGRAFÍA Sobre el uso de mecanismos de cifrado y firmado que garantizan confidencialidad, integridad y autenticidad: CRI.07. CRI.07. Debe Debe utilizarse utilizarse como como mecanismo de cifrado asimétrico mecanismo de cifrado asimétrico un untamaño tamañode declave clavemínimo mínimode de 1024 bits. 1024 bits.
CRI.10. CRI.10. Debe Debe utilizarse utilizarse con con lala criptografía criptografíaasimétrica asimétricapares paresde de claves separados para cifrado claves separados para cifradoyy firmado. firmado.
CRI.08. CRI.08. Debe Debe utilizarse utilizarse como como mecanismo de cifrado simétrico mecanismo de cifrado simétricoun un tamaño de clave mínimo de 256 tamaño de clave mínimo de 256 bits. bits.
CRI.11. CRI.11. Debe Debe utilizarse utilizarse firmas firmas digitales para garantizar digitales para garantizar lala autenticidad autenticidadde decódigo códigomóvil móviloode de alta criticidad. alta criticidad.
CRI.09. CRI.09. Debe Debe utilizarse utilizarse como como mecanismo de funciones resumen mecanismo de funciones resumen un untamaño tamañomínimo mínimode de256 256bits. bits.
Detalle de un requisito
CRI.04. Debe utilizarse certificados firmados por entidades certificadoras validas internas cuando estos sean para aplicaciones internas.
Acceso al sistema en funcionamiento.
Certificados digitales de aplicaciones internas no emitidos por una entidad certificadora interna
Alta
Categoría: CREDENCIALES Sobre la información utilizada (usuario, clave, OTP) para autenticar a un usuario o un sistema: CRE.01. CRE.01. Las Las contraseñas contraseñas deben deben almacenarse a través de resúmenes almacenarse a través de resúmenes criptográficos. criptográficos.
CRE.04. CRE.04.Las Lascontraseñas contraseñasdeben deben tener una validez máxima de tener una validez máxima de30 30 días. días.
CRE.02. CRE.02.Las Lascontraseñas contraseñasdeben deben almacenarse en una fuente almacenarse en una fuentede de datos única. datos única.
CRE.05. CRE.05. Las Las contraseñas contraseñas deben deben tener una validez mínima de 1 tener una validez mínima de 1día. día.
CRE.03. CRE.03.Las Lascontraseñas contraseñasdeben deben cambiarse siempre por cambiarse siempre por otra otra diferente a las 30 anteriores. diferente a las 30 anteriores.
CRE.06. CRE.06.Las Lascontraseñas contraseñas(tipo (tipofrase frase -preferido-) deben tener al menos -preferido-) deben tener al menos 33palabras palabrasde delongitud. longitud.[8] [8]
Categoría: CREDENCIALES Sobre la información utilizada (usuario, clave, OTP) para autenticar a un usuario o un sistema: CRE.07. CRE.07. Las Las contraseñas contraseñas (tipo (tipo palabra) deben tener al menos palabra) deben tener al menos88 caracteres caracteresde delongitud. longitud.
CRE.10. CRE.10. Las Las contraseñas contraseñas (tipo (tipo palabra) deben tener al menos palabra) deben tener al menos11 dígito dígitonumérico. numérico.
CRE.08. CRE.08. Las Las contraseñas contraseñas (tipo (tipo palabra) deben tener al menos palabra) deben tener al menos11 letra letraminúscula. minúscula.
CRE.11. CRE.11. Las Las contraseñas contraseñas (tipo (tipo palabra) deben tener al menos palabra) deben tener al menos11 carácter carácterespecial. especial.
CRE.09. CRE.09. Las Las contraseñas contraseñas (tipo (tipo palabra) deben tener al menos palabra) deben tener al menos11 letra letramayúscula. mayúscula.
CRE.12. CRE.12.Las Lascredenciales credencialesde deusuario usuario deben ser transportadas por deben ser transportadas por un un canal seguro. canal seguro.
Categoría: CREDENCIALES Sobre la información utilizada (usuario, clave, OTP) para autenticar a un usuario o un sistema: CRE.13. CRE.13. Las Las credenciales credenciales de de sistema deben ser de una longitud sistema deben ser de una longitud superior superioraa20 20yyalta altacomplejidad. complejidad. CRE.14. CRE.14. Las Las credenciales credenciales por por defecto de sistemas predefecto de sistemas preconstruidos deben ser eliminadas. construidos deben ser eliminadas. CRE.15. CRE.15. Dos Dos contraseñas contraseñas iguales iguales deben almacenarse con diferentes deben almacenarse con diferentes resúmenes resúmenescriptográficos criptográficos(salt). (salt).
CRE.16. CRE.16. ElEl salt salt utilizado utilizado para para implementar el requisito CRE.15. implementar el requisito CRE.15. debe debeser seraleatorio aleatorioyyde demínimo mínimo48 48 bits. bits.
Detalle de un requisito
CRE.01. Las contraseñas deben almacenarse a través de resúmenes criptográficos.
Código fuente del sistema y de la configuración del sistema.
Contraseñas almacenadas de forma plana y por ende conocidas por el administrador
Alta
Categoría: Categorí a: VALIDACIÓN Sobre las validaciones que deben realizarse sobre los datos que provienen del exterior: exterior: VAL.01. VAL.01.Debe Debevalidarse validarselalaentrada entrada de información antes de ser de información antes de serusada. usada.
VAL.04. VAL.04. Debe Debe validarse validarse que que elel correo correoelectrónico electrónicoes esúnico únicoaapesar pesar del componente entre el + y la del componente entre el + y la@. @.
VAL.02. VAL.02.Debe Debevalidarse validarselalaentrada entrada de información en el servidor de información en el servidoryyno no solo en el cliente. solo en el cliente.
VAL.05. VAL.05. Debe Debe validarse validarse que que elel correo correo electrónico electrónico declarado declarado pertenece a la persona en cuestión. pertenece a la persona en cuestión.
VAL.03. VAL.03. Debe Debe validarse validarse que que elel sujeto sujetoque querealiza realizalas lasacciones accionesde de registro y autenticación es un registro y autenticación es un humano. humano.
VAL.06. VAL.06. Debe Debe validarse validarse que que elel contenido contenido de de los los archivos archivos relacionados este libre de relacionados este libre decódigo código malicioso. malicioso.
Categoría: Categorí a: VALIDACIÓN Sobre las validaciones que deben realizarse sobre los datos que provienen del exterior: exterior: VAL.07. VAL.07.Debe Debevalidarse validarseque queelel formato formato de de los los archivos archivos relacionados corresponde relacionados correspondeaasu su extensión. extensión. VAL.08. VAL.08. Debe Debe validarse validarse que que elel sujeto sujeto que que lee lee un un correo correo electrónico de un sitio publico electrónico de un sitio publicoes es un humano. un humano.
Detalle de un requisito
VAL.03. Acciones de VAL.03. registro y autenticación solo deben ser realizadas por un humanos (captcha).
Código fuente del sistema y de la configuración del sistema, o Acceso al sistema en funcionamiento.
Los procesos de registro y autenticación pueden realizarse mediante un robot generando basura
Alta
Categoría: CODIFICACI CODIFICACIÓN ÓN Sobre como debe estar construido el código có digo fuente de un sistema: COD.01. COD.01. ElEl código código sólo sólo debe debe realizar las funciones para realizar las funciones para las las cuales fue diseñado y no acciones cuales fue diseñado y no acciones colaterales. colaterales.
COD.04. COD.04.ElElcódigo códigosolo solodebe debeusar usar funciones seguras y actualizadas funciones seguras y actualizadas del dellenguaje. lenguaje.
COD.02. COD.02.ElElcódigo códigodebe debeestar estarlibre libre de información personal de información personal (ej: (ej: contraseñas personales). contraseñas personales).
COD.05. COD.05.ElElcódigo códigofuente fuenteno nodebe debe ser accesible en ambientes ser accesible en ambientes de de producción (ej: compilación, producción (ej: compilación, ofuscación). ofuscación).
COD.03. COD.03.ElElcódigo códigodebe debecompilarse compilarse oointerpretarse de forma estricta. interpretarse de forma estricta.
COD.06. COD.06.ElElcódigo códigodebe debeestar estar codificado según el lenguaje codificado según el lenguaje correspondiente correspondiente(ej: (ej:HTML, HTML,JS, JS, "escaping"). "escaping").
Categoría: CODIFICACI CODIFICACIÓN ÓN Sobre como debe estar construido el código có digo fuente de un sistema: COD.07. COD.07. ElEl código código debe debe definir definir opciones por defecto seguras opciones por defecto seguras(ej: (ej: default en switchs). default en switchs).
Detalle de un requisito
COD.02. El código debe estar libre de información personal (ej: contraseñas personales).
Código fuente del sistema.
El código fuente tiene “quemadas” las contraseñas de conexiones a otros sistemas
Alta
Categoría: AUTENTICACI AUTENTICACIÓN ÓN Sobre como debe realizarse el proceso mediante el cual un usuario o sistema se identifica ante ante otro: AUT.01. El proceso de autenticación/login AUT.01. El proceso de autenticación/login debe tener un retraso constante no menor debe tener un retraso constante no menor a 5 segundos cuando las credenciales sean a 5 segundos cuando las credenciales sean erróneas. erróneas.
AUT.04. El proceso de autenticación debe AUT.04. El proceso de autenticación debe indicar que el sistema solo esta disponible indicar que el sistema solo esta disponible para personal autorizado. (ISO para personal autorizado. (ISO 27002:2005,, 15.1.5). 27002:2005 27002:2005, 15.1.5).
AUT.02. El proceso de autenticación no AUT.02. El proceso de autenticación no debe emitir mensajes de error que debe emitir mensajes de error que permitan distinguir si es un error de permitan distinguir si es un error de usuario o de contraseña. usuario o de contraseña.
AUT.05. El proceso de autenticación AUT.05. El proceso de autenticación debe comparar los resúmenes de las debe comparar los resúmenes de las claves ingresadas y almacenadas y no claves ingresadas y almacenadas y no las claves en sí. las claves en sí.
AUT.03. ElEl proceso de AUT.03. proceso de autenticación no debe bloquear las autenticación no debe bloquear las cuentas cuentasdespués despuésde deun unnumero numerode de intentos fallidos. intentos fallidos.
AUT.06. El proceso de autenticación AUT.06. El proceso de autenticación unificado (SSO: Single Sign On) debe unificado (SSO: Single Sign On) debe implementarse mediante protocolos implementarse mediante protocolos estándar (ej: SAML). estándar (ej: SAML).
Categoría: AUTENTICAC AUTENTICACIÓN IÓN Sobre como debe realizarse el proceso mediante el cual un usuario o sistema se identifica ante otro: AUT.07. ElEl proceso de AUT.07. proceso de autenticación debe requerir autenticación debe requerir mínimamente nombre de usuario mínimamente nombre de usuarioyy clave. clave.
AUT.10. ElEl proceso de AUT.10. proceso de autenticación critica debe requerir autenticación critica debe requerir adicionalmente adicionalmente identificación identificación de de equipos. equipos.
AUT.08. ElEl proceso de AUT.08. proceso de autenticación critica debe requerir autenticación critica debe requerir adicionalmente adicionalmenteclaves clavesde deun unsolo solo uso. uso.
AUT.11. ElEl proceso de AUT.11. proceso de autenticación critica debe requerir autenticación critica debe requerir adicionalmente certificados adicionalmente certificados digitales de cliente. digitales de cliente.
AUT.09. ElEl proceso de AUT.09. proceso de autenticación critica debe requerir autenticación critica debe requerir adicionalmente verificación adicionalmente verificación biométrica. biométrica.
Detalle de un requisito
AUT.01. El proceso de autenticación/login debe tener un retraso constante no menor a 5 segundos cuando las credenciales sean erróneas.
Código fuente del sistema y de la configuración del sistema, o Acceso al sistema en funcionamiento.
Si las credenciales son erroneas el sistema responde inmediantament e facilitando un ataque
Alta
Categoría: AUTORIZACIÓN Sobre las reglas que deben existir para otorgar acceso a un sujeto a un objeto especifico: AUZ.01. AUZ.01. Los Los privilegios privilegios para para objetos nuevos deben establecerse objetos nuevos deben establecerse según según elel principio principio de de mínimo mínimo privilegio (umask). privilegio (umask). AUZ.02. AUZ.02. Los Los privilegios privilegios para para un un sujeto no pueden ser aumentados sujeto no pueden ser aumentados por porelelmismo mismosujeto. sujeto. AUZ.03. AUZ.03. Los Los privilegios privilegios para para objetos con contenido sensible objetos con contenido sensible deben debentener teneracceso accesorestringido. restringido.
Detalle de un requisito
AUZ.02. Los privilegios para un sujeto no pueden ser aumentados por el mismo sujeto.
Código fuente del sistema y de la configuración del sistema, o Acceso al sistema en funcionamiento.
Un sujeto puede aumentar los privilegios que le han sido asignados
Baja
Categoría: ARCHIVOS Sobre las reglas que deben aplicarse sobre el uso de archivos en un sistema: ARC.01. ARC.01. Los Los archivos archivos temporales temporales no deben desplegarse al no deben desplegarse alambiente ambiente de producción. de producción. ARC.02. ARC.02.Los Losarchivos archivosgenerados generadosen en directorios públicos deben tener directorios públicos deben tener nombre nombrealeatorio. aleatorio. ARC.03. ARC.03. Los Los archivos archivos deben deben ser ser referenciados mediante sus rutas referenciados mediante sus rutas absolutas. absolutas.
Detalle de un requisito
ARC.03. Los archivos deben ser referenciados mediante sus rutas absolutas.
Código fuente del sistema y de la configuración del sistema
Inyección de código mediante manipulación del PATH
Baja
Categoría: BITÁCORAS Sobre los eventos, excepciones excepciones y el registro que debe dejarse sobre los mismos en un sistema: BIT.01. BIT.01.Los Loseventos eventosexcepcionales excepcionales deben ser registrados deben ser registradosen enbitácoras. bitácoras.
BIT.04. Los eventos deben contener el BIT.04. Los eventos deben contener el momento de ocurrencia (fecha, hora, momento de ocurrencia (fecha, hora, segundos, mili-segundos y zona segundos, mili-segundos y zona horaria). horaria).
BIT.02. BIT.02.Los Loseventos eventosexcepcionales excepcionales deben clasificarse por deben clasificarse porseveridad. s everidad. severidad.
BIT.05. Las bitácoras deben BIT.05. Las bitácoras deben almacenarse mediante un mecanismo o almacenarse mediante un mecanismo o sistema inalterable (externo, appendsistema inalterable (externo, appendonly). only).
BIT.03. BIT.03.Los Loseventos eventoscon conseveridad severidad de depuración no deben de depuración no deben estar estar habilitados en producción. habilitados en producción.
BIT.06. BIT.06. Las Las bitácoras bitácoras deben deben retenerse como mínimo 1 retenerse como mínimo 1año. año.
Categoría: BITÁCORAS Sobre los eventos, excepciones excepciones y el registro que debe dejarse sobre los mismos en un sistema: BIT.07. BIT.07. La La gestión gestión de de bitácoras bitácoras (rotación, transporte, etc) debe (rotación, transporte, etc) debeser ser responsabilidad del sistema responsabilidad del sistema operativo. operativo.
Detalle de un requisito
BIT.01. Los eventos excepcionales deben ser registrados en bitácoras.
Código fuente del sistema y de la configuración del sistema
Situaciones excepcionales no son tratadadas adecuadamente o registradas
Alta
Categoría: TIEMPO Sobre la sincronización de relojes que mantienen un tiempo coherente en los sistemas:
TIE.01. TIE.01.ElEltiempo tiempodel delsistema sistemadebe debe estar sincronizado con el tiempo estar sincronizado con el tiempo oficial oficialdel delpaís. país. TIE.02. TIE.02.ElEltiempo tiempodel delsistema sistemadebe debe estar sincronizado con el tiempo estar sincronizado con el tiempode de los demás sistemas de la los demás sistemas de la organización. organización.
Detalle de un requisito
TIE.01. El tiempo del sistema debe estar sincronizado con el tiempo oficial del país.
Acceso al servidor donde se aloja el sistema, o Acceso al sistema en funcionamiento
La hora del sistema no corresponde a la hora oficial del país
Media
Categoría: DATOS Sobre los datos y respaldos que deben realizarse sobre la información de la organización: DAT.01. DAT.01.Los Losdatos datosde derespaldos respaldos deben almacenarse cifrados. deben almacenarse cifrados.
DAT.02. DAT.02. Los Los datos datos de de respaldos respaldos deben almacenarse fuera deben almacenarse fueradel delsitio sitio origen. origen. DAT.03. DAT.03. Los Los datos datos de de respaldos respaldos deben realizarse a una frecuencia deben realizarse a una frecuencia no nomayor mayorde de77días días(RPO). (RPO).
DAT.04. DAT.04.Los Losdatos datosde deambientes ambientes diferentes a producción diferentes a produccióndeben deben encontrarse enmascarados. encontrarse enmascarados.
Detalle de un requisito
DAT.01. Los DAT.01. Lo s respaldos res paldos deben almacenarse cifrados.
Acceso a los respaldos del sistema
Los respaldos al ser interceptados pueden ser leídos por cualquier persona
Alta
Categoría: DEPENDENCIAS Sobre los componentes del sistema que se requieren para funcionar: DEP.01. DEP.01.Deben Debenusarse usarseversiones versiones estables de las dependencias estables de las dependenciasdel del sistema. sistema. DEP.02. DEP.02. Deben Deben usarse usarse versiones versiones actualizadas de las dependencias actualizadas de las dependencias del delsistema. sistema.
Detalle de un requisito
DEP.02. Deben usarse versiones actualizadas de las dependencias del sistema.
Binarios o versiones de las bibliotecas usadas por el sistema, o Acceso al servidor donde se aloja el sistema.
Las dependencias del sistema son versiones desactualizadas por ende con problemas.
Alta
Categoría: ADMINISTRACI ADMINISTRACIÓN ÓN Sobre la gestión administrativa del sistema:
ADM.01. Los mecanismos de gestión de ADM.01. Los mecanismos de gestión de un sistema solo deben ser accesibles un sistema solo deben ser accesibles desde segmentos de gestión o desde segmentos de gestión o administrativos. administrativos.
Detalle de un requisito
ADM.01. Los mecanismos de gestión de un sistema solo deben ser accesibles desde segmentos de gestión o administrativos.
Acceso a la red donde se conectan los usuarios.
Las interfaces de gestión pueden accederse desde segmentos de usuarios.
Alta
Categoría: REDES Sobre la red que soporta el sistema en evaluación: RED.01. Los segmentos de usuarios y RED.01. Los segmentos de usuarios y servidores con aplicaciones o contenid contenido o servidores con aplicaciones o contenido deben permitir acceso solo a los deben permitir acceso solo a los puertos necesarios. puertos necesarios. RED.02. Los servidores con aplicaciones RED.02. Los servidores con aplicaciones o contenido solo deben tener acceso a o contenido solo deben tener acceso a los puertos que les permitan cumplir su los puertos que les permitan cumplir su propósito. propósito. RED.03. El acceso físico a la red para los RED.03. El acceso físico a la red para los usuarios debe asignarse con base en las usuarios debe asignarse con base en las credenciales del usuario en la organización credenciales del usuario en la organización (ej: 802.1x). (ej: 802.1x).
RED.04. RED.04.Un Unpuerto puertodebe debetener tenerun un limite máximo de conexiones por IP limite máximo de conexiones por IP origen. origen.
Detalle de un requisito
RED.01. Los segmentos de usuarios y servidores con aplicaciones o contenido deben permitir acceso solo a los puertos necesarios.
Acceso a la red donde se conectan los usuarios.
Los servidores aceptan conexiones no relacionadas con su propósito
Alta
Categoría: SERVICIOS Sobre los servicios o características habilitadas en el sistema en evaluación: SER.01. SER.01. Las Las funciones funciones de de un un servicio que son potencialmente servicio que son potencialmente inseguras deben estar inseguras deben estar deshabilitadas. deshabilitadas. SER.02. SER.02.Las Lasfunciones funcionesde deun un servicio que son innecesarias servicio que son innecesarias deben debenestar estardeshabilitadas. deshabilitadas.
Detalle de un requisito
SER.01. Las funciones de un servicio que son potencialmente inseguras deben estar deshabilitadas.
Acceso a la red donde se conectan los usuarios.
Funciones de un servicio inseguras se mantienen habilitadas
Alta
Categoría: SISTEMA Sobre las características necesarias en los sistemas operativos operativos que soportan el sistema en evaluación: SIS.01. La gestión administrativa del sistema SIS.01. La gestión administrativa del sistema debe realizarse a través de intermediarios debe realizarse a través de intermediarios privilegiados (sudo) que permitan la privilegiados (sudo) que permitan la contabilidad a cada individuo. contabilidad a cada individuo.
SIS.02. SIS.02.La Laintegridad integridadde delos losarchivos archivos del sistema debe ser verificada del sistema debe ser verificada periódicamente periódicamente yy su su estado estado reportado. reportado. SIS.03. El uso de compiladores en sistemas de SIS.03. El uso de compiladores en sistemas de producción debe estar restringido solo para producción debe estar restringido solo para las aplicaciones que así lo requieran (ej: las aplicaciones que así lo requieran (ej: servidores de aplicaciones Java). servidores de aplicaciones Java).
Detalle de un requisito
SIS.01. La gestión administrativa del sistema debe realizarse a través de intermediarios privilegiados (sudo) que permitan la contabilidad a cada individuo.
Código fuente del sistema y de la configuración del sistema, o Acceso al servidor donde se aloja el sistema.
No se puede conocer que persona especifica realiza las labores administrativas
Alta
Categoría: CACHÉ Sobre la información almacenada temporalmente temporalme nte para mejorar el rendimient rendimiento o o la usabilidad: CAC.01. CAC.01.La Lainformación informaciónsensible sensible debe ser excluida del debe ser excluida del almacenamiento en caché [2]. almacenamiento en caché [2].
Detalle de un requisito
CAC.01. La información sensible debe ser excluida del almacenamiento en cache [2].
Código fuente del sistema y de la configuración del sistema, o Acceso al sistema en funcionamiento.
Información sensible es almacenada en cache sin que esta situación sea permitida.
Alta
Categoría: OTROS Sobre otros aspectos de seguridad que deben considerarse: OTR.01. OTR.01.Los Losnúmeros númerosaleatorios aleatorios generados deben seguir generados deben seguir una una distribución uniforme. distribución uniforme. OTR.02. La información de producto OTR.02. La información de producto solo debe ser accesible para los solo debe ser accesible para los administradores del sistema [7]. administradores del sistema [7].
Detalle de un requisito
OTR.02. La información de producto solo debe ser accesible para los administradores del sistema [7].
Código fuente del sistema y de la configuración del sistema, o Acceso al sistema en funcionamiento.
El sistema revela mas información de la necesaria para un usuario
Alta
Rigurosidad ●
La rigurosidad es el valor porcentual de la relación entre los requisitos verificados y los requisitos aplicables a la prueba Rigurosidad =
●
RequisitosVerificados Requisitos Aplicables
Cabe anotar que este valor irá aumentando en función de las pruebas ejecutadas sobre el TOE, pues se considerara más requisitos.
Metodología Análisis
Dise Di seño ño
Participación
Desa De sarr rrol ollo lo Pr Prue ueba bas s De Desp spli lieg egue ue Op Oper erac ació ión n
Solución
Acompañamiento
Diseño de Seguridad 1. Entender problemática 2. Identificar regulación y requisitos 3. Identificar activos de información 4. Identificar riesgos sobre ellos 5. Proponer controles de seguridad a. Vista de Seguridad de la AE b. BD de Controles / Lineas Base 6. Decidir sobre el riesgo r iesgo residual. 7. Entregar el diseño de seguridad.
Pruebas de Seguridad
Auditoría de Cumplimiento
8. de infraestructura.13. Verificar controles 9. de aplicación. 14. Monitorear los riesgos. 10. de ingeniería social 11. de rendimiento. 12. Análisis de código
Conclusiones ●
●
●
●
●
El criterio de seguridad es una adecuada “herramienta” para escoger una prueba/verificación de seguridad. El criterio de seguridad es un punto de apoyo para evaluar el estado de seguridad de determinado artefacto. La prueba/verificación está determinada por lo que se quiere validar y no por la técnica aplicada por un “hacker” Es posible modificar el criterio de seguridad y adaptarlo a las exigencias de manera fácil y sin traumatismos. Sirve tanto de herramienta de medición, como de fundamentación para implementar políticas de seguridad.
Contáctenos ●
●
●
●
●
●
●
●
Web Twitter Youtube Face Fa cebo book ok Correo Teléfono Celular Ubicación
: : : : : : : :
http://www.fluidsignal.com/ http://twitter.com/fluidsignal http://www.youtube.com/fluidsignal http://www.facebook.com/fluidsignal
[email protected] +57 (1) 2697800, +57 (4) 4442637 +57 3108408002, +57 3136601911 calle 7D 43A-99 Oficina 509 - Medellín
Muchas gracias!
[email protected]
Cláusula Legal Copyright 2010 Fluidsignal Group Todos los derechos reservados Este documento contiene información de propiedad de Fluidsignal Group. El cliente puede usar dicha información sólo con el propósito de documentación sin poder divulgar su contenido a terceras partes ya que contiene ideas, conceptos, precios y estructuras de propiedad de Fluidsignal Group S.A. La clasificación "propietaria" significa que ésta información es sólo para uso de las personas a quienes esta dirigida. En caso de requerirse copias totales o parciales se debe contar con la autorización expresa y escrita de Fluidsignal Group S.A. Las normas que fundamentan la clasificación de la información son los artículos 72 y siguientes de la decisión del acuerdo de Cartagena, 344 de 1.993, el artículo 238 del código penal y los artículos 16 y siguientes de la ley 256 de 1.996.
