Information Assurance Management-NSA Model

1
Information Assurance Management-NSA Model

• GSI732 Introducción a Seguridad
• Carmen R. Cintrón Ferrer, 2004, Derechos
  Reservados

2
Fases del Proceso

• Avalúo (Assessment)
• Evaluación (Evaluation)
• Penetración (Red Team)
• Informe de Hallazgos
• Recomendaciones

3
Modelo NSA-IAM

• Fase de avalúo
• Análisis colaborativo de alto nivel (top level)
• Avalúo de recursos de información
• Análisis de funciones críticas
• Recopilación y examen de
• Políticas de seguridad
• Procedimientos
• Arquitectura de seguridad
• Flujo de información
• Ponderación de visión de seguridad organizaciónal

4
Modelo NSA-IAM

• Fase de Evaluación
• Pruebas de seguridad de sistemas
• Firewalls
• Routers
• Intrusion detection systems
• Network scanning
• Guards
• Identificación de vulnerabilidades
• Determinación de medidas de mitigación
• Técnicas
• Administrativas/gerenciales
• Operacionales

5
Modelo NSA-IAM

• Fase de Penetración
• Pruebas externas de penetración
• Ingeniería social
• Simulación de adversarios
• Simulación de ataques
• Hacking the systems

6
Information Assurance Management Model

• Áreas a considerar
• Expectativas de la organización
• Protección de la infraestructura
• Requerimientos de los aseguradores
• Requirimientos legales o reglamentarios
• Protección de los activos de información
• Restricciones o limitaciones
• Tiempo
• Económicas
• Recursos humanos
• Cultura organizacional

7
Information Assurance Management Model

• Áreas a considerar (continuación)
• Premisas a definir o acordar
• Delimitación del proceso de avalúo
• Disponibilidad del personal
• Necesidad de transporte ()
• Disponibilidad de documentación
• Respaldo técnico y gerencial de la organización
• Acuerdos vagos o pobremente definidos
• Descripción del proyecto
• Estimados de tiempo y costos
• Contratación

8
Information Assurance Management Model

• Personal requerido
• Líder o gerente del proyecto
• Personal técnico
• Operaciones
• Sistemas
• Sistemas Operativos
• Redes
• Seguridad
• Técnicos de documentación de procesos

9
Information Assurance Management Model

• Determinar información crítica
• Tabla de entidades y atributos
• Información regulada
• Tabla de datos críticos atributos esenciales
• Tabla de impactos
• Registrar tracto de documentos
• Registro de uso y disposición
• Registro de modificación

10
Organization Information Criticality Matrix
Information types
Entidad Atributos
Cliente Dirección Teléfonos Seguro Social Balance
Red(es) Configuración de la red Configuración de servidores Cuentas de usuarios Conexion(es)
Recursos Humanos Información general Seguro Social Evaluaciones de personal Historial de salarios
11
Organization Information Criticality Matrix
Regulatory Information types
Tipo de información Regulación aplicable
Expedientes académicos FERPA
Expedientes finacieros GLBA
Datos médicos HIPAA
Descripción de cursos
Listas de matrícula
12
Organization Information Criticality Matrix
High-Water mark
Tipo de información Confidencialidad Integridad Disponibilidad
Expedientes académicos ALTA ALTA ALTA
Expedientes financieros MEDIA ALTA ALTA
Datos Médicos ALTA MEDIA BAJA
Descripción cursos BAJA MEDIA ALTA
Listas de matrícula MEDIA MEDIA ALTA
ALTA ALTA ALTA
13
Organization Information Criticality Matrix
Impact definitions
Pérdida información ALTO MEDIO BAJO
Expedientes académicos Imposibilidad certificar grados y récords Responsabilidad legal y económica Pérdida credibilidad Inconveniente personal y estudiantes
Expedientes finacieros Pérdida confianza Pérdidas económicas Dificultad de ofrecer servicios
Datos médicos Responsabilidad legal y económica Pérdida credibilidad Dificultad de ofrecer servicios
Descripción de cursos
Listas de matrícula
14
Organization Information Criticality Matrix
Document Use Tracking
Documento Custodio Solicitado Fecha Entregado Fecha Recibido Fecha Destruído





15
Organization Information Criticality Matrix
Document VersionTracking
Documento Versión Autorizado Fecha Vigencia Reseña de cambios





16
Information Assurance Management Model

• Medidas de mitigación
• Administrativas
• Documentación de procesos seguridad
• Resposabilidades y roles de seguridad
• Planeación para contingencias
• Administración de configuraciones
• Operacionales
• Rotulación
• Controles del entorno y medios
• Personal de seguridad
• Entorno físico
• Programas de concienciación y educación sobre
  seguridad

17
Information Assurance Management Model

• Medidas de mitigación
• Técnicas
• Controles y procesos de identificación y
  autenticación
• Manejo de cuentas
• Control de sesiones
• Protección contra código malicioso
• Auditoría de sistemas
• Mantenimiento de sistemas
• Robustecimiento de sistemas
• Controles de conexividad (red)
• Seguridad de las comunicaciones

18
Information Assurance Management Model

• Informe modelo de hallazgos
• Hallazgos técnicos
• Hallazgos operacionales
• Hallazgos gerenciales
• Informe modelo recomendaciones/acción
• Hallazgos técnicos
• Hallazgos operacionales
• Hallazgos gerenciales
• Modelo análisis de hallazgos y recomendaciones

19
Managing the Findings Technical Findings
Vulnerabilidad Hallazgo Fuente del Riesgo Nivel Impacto Consecuencias
Msadcs.dll 1 Acceso no autorizado Alto Permite a un hacker trabajar a nivel del servidor con privilegios de administrador.
Newdsn.exe 2 Acceso no autorizado Alto Si NTFS no es seguro un atacante puede crear archivos en cualquier parte.
aexp2.htr 3 Acceso no autorizado Alto Mediante ataques de fuerza bruta se pueden descubrir listas de usuarios y claves
20
Managing the Findings Operational Findings
Vulnerabilidad Hallazgo Fuente del Riesgo Nivel Impacto Consecuencias
Remote terminal services permite ir sobre controles de seguridad 1 Acceso no autorizado Medio Permite servicios de consola remota sin autenticar o auditar usuarios.
Controles de integridad y validación de datos no se implantan consistentemente 2 Sabotaje Ataques terrorista Medio Falta de controles de integridad y validación de datos puede resultar en pérdida datos o pérdida de integridad de datos
Audit trail no permite hacer investigaciones de incidentes 3 Sabotaje Ataques terrorista Medio No hay bitácoras de Web server, otras bitácoras en depósito central.
21
Managing the Findings Management Findings
Vulnerabilidad Hallazgo Fuente del Riesgo Nivel Impacto Consecuencias
Falta separación de funciones 1 Modificación intencional de datos Alto Administrador de sistemas puede hacer procesos sin registrar tracto debido a falta de recursos.
Incidentes y alertas de seguridad sin documentar 2 Error administrativo Bajo Como no hay procesos documentados la respuesta a incidentes puede resultar en errores de juicio.
Falta proceso de trámite rápida terminación de empleado 3 Empleado disgustado Bajo Permite que ex-empleado acceda los sistemas.
22
Managing the Findings Technical Findings
Recommendations
Vulnerabilidad Hallazgo Recomendación Fecha Revisión Acción Responsable
Msadcs.dll 1 Instalar parchos recientes
Newdsn.exe 2 Eliminar el archivo si no es necesario, o restringir el acceso
aexp2.htr 3 Eliminar el archivo si no es necesario, o restringir el acceso
23
Managing the Findings Operational Findings
Recommendations
Vulnerabilidad Hallazgo Recomendación Fecha Revisión Acción Responsable
Remote terminal services permite ir sobre controles de seguridad 1 Migrar a MS Terminar services o imponer requsitos de passwords y auditoría
Controles de integridad y validación de datos no se implantan consistentemente 2 Implantar Tripwire o cualquier otro proceso de control de integridad y validación
Audit trail no permite hacer investigaciones de incidentes 3 Implantar proceso de almacenamiento y custodia de bitácoras
24
Managing the Findings Management Findings
Vulnerabilidad Hallazgo Recomendación Fecha Revisión Acción Responsable
Falta separación de funciones 1 Contratar personal adicional encargado de funciones de seguridad
Incidentes y alertas de seguridad sin documentar 2 Adoptar, diseminar y adiestrar sobre procedimientos de respuesta a incidentes
Falta proceso de trámite rápida terminación de empleado 3 Actualizar y cumplir con proceso de terminación de empleado
25
Managing the Findings Findings Analysis and
Recommendations

• Hallazgo DRP no se ha actualizado
• Categoría documentación de seguridad y
  planificación de contingencias
• Severidad Alta
• Discusión DRP provee el marco operacional
  requerido para restaurar las operaciones en caso
  de una emergencia. El documento actual no
  incluye áreas críticas de la red, ni de servicios
  de conexión.
• Recomendaciones
• Desarrollar un plan integral que incluya todas
  las sedes y sistemas.
• Desarrollar un plan basado en sistemas que
  respalda IT y probar el plan anualmente.
• Actualizar el plan existente para integrar todos
  los sistemas críticos.

26
ISO Network Management Model

• Fault Management
• Análisis de vulnerabilidades
• Pruebas de penetración
• Herramientas
• Configuration Change Management
• Administrar configuración de componentes de
  seguridad
• Manejo de cambios técnicos en
• Estrategias
• Operaciones
• Componentes de seguridad
• Manejo de cambios no técnicos

27
ISO Network Management Modelrecommended tools

• Ethereal (www.ehtereal.com) Network Protocol
  analyzer
• Nessus (www.nessus.org) Remote security scanner
• NMAP (www.nmap.org) Network vulnerability
  tester
• Snort (www.snort.org) Network Intrussion
  Detection System
• Sam Spade (www.samspade.org) Linux/Unix toolbox

Ping Dig Web-Browser Usenet cancel check Blacklist lookup
Nslookup Traceroute Keep-alive Web site download Abuse.net query
Whois Finger DNS zone transfer Web site search Time
Ip block Whois SMTP VRFY SMTP relay check E-mail header analysis
28
ISO Network Management Model

• Accounting and Auditing Management
• Contabilidad de costos (charge back)
• Creación, revisión, almacén y disposición de
  Bitácoras
• Performance Management
• Estándares (baselines) y Métricas de tráfico
• Estándares (baselines) y Métricas de servicios
• Estándares (baselines) y Métricas sobre
  consumo de ancho de banda
• Security Program Management (BS7799/ISO17799)
• Planificar
• Hacer
• Verificar
• Actuar

29
ISO Network Management Model Security Program
Management (BS7799/ISO17799)

• Planificar
• Análisis de riesgos
• Análisis de vulnerabilidades
• Determinación de impacto
• Hacer
• Adoptar e implantar controles internos para
  administrar riesgos
• Verificar
• Verificación periódica de cumplimiento
• Validación de efectividad
• Actuar
• Desarrollar planes de respuesta a incidentes
• Adoptar procedimiento para restauración o
  recuperación

30
ISO Network Management Model

• Proceso de mantenimiento
• Examen y pruebas externas
• Examen y pruebas internas
• Acopio de riesgos, amenazas y ataques
• Avalúo de impactos
• Actualizar base datos de riesgos, amenazas y
  ataques
• Reaccionar a incidentes
• Tomar medidas de mitigación o eliminación
• Actualizar base de datos de vulnerabilidades
• Documentar y actualizar procedimientos

31
ISO Network Management Model

• Recopilación de datos (IDS- análisis
  diferencial)
• Reglas del Firewall
• Reglas del Router (Border /edge)
• Presencia en Internet
• Listas de direcciones IP internas
• Servicios críticos en servidores internos
• Listas de direcciones IP externas
• Servicios críticos en servidores externos

32
ISO Network Management Model

• Avalúo de riesgos de seguridad operacional
• Conexividad de la red
• Modems
• Conexión con socios de negocios
• Aplicaciones
• Privacidad
• Vulnerabilidad
• Cambios en la organización (acquisition/divestitu
  re)

33
ISO Network Management Model

• Avalúo de vulnerabilidades
• Internet
• Intranet
• Plataforma de sistemas
• errores de configuración en sistemas operativos
• Documentación de cambios
• Red inalámbrica
• Documentación de hallazgos
• Corrección
• Aceptación de riesgos
• Eliminación de amenazas
• Corrección de vulnerabilidades

34
ISO Network Management Model

• Actualización y ejecución
• Revisión de políticas y procedimientos
• Revisión de componentes primarios
• Simulacros y pruebas