Archivo de octubre, 2010

SLAs, lo que son y en lo que pueden convertirse

0
hace 2 años
por Miguel Ángel Hernández Ruiz en ,
votar

Un acuerdo de nivel de servicio es definido en la Biblioteca de Infraestructura de Tecnologías de la Información (ITIL) como sigue:

Acuerdo entre un proveedor de servicios de tecnologías de la información y un cliente. El SLA describe el servicio de IT, documenta los niveles de servicio objetivo, y especifica las responsabilidades del proveedor de servicios IT y del cliente. Un único SLA puede dar cobertura a diversos servicios IT o múltiples clientes.

Los acuerdos de nivel de servicio pueden especificar, entre otros, los siguiente puntos:

  • Contrato
  • Correcciones
  • Descripción del servicio
  • Horas de prestación del servicio
  • Disponibilidad
  • Fiabilidad
  • Soporte al Cliente
  • Desempeño del Servicio
  • Funcionalidad
  • Procedimiento de gestión del cambio
  • Continuidad del servicio TI
  • Seguridad
  • Requisitos de pago
  • Revisiones del servicio
  • Glosario
  • Hoja de Correcciones

Estos acuerdos que ayudan a delimitar la condiciones de un servicio y exponer de forma no ambigua bajo qué condiciones se prestará pueden convertirse en lo siguiente (siento que tengáis que ir a youtube pero creo que os merecerá la pena):

Eso es, un acuerdo verbal, un pacto entre amigos. ¿Y esto por qué sucede?, los desencadenantes de esta situación pueden ser varios, entre los que podríamos colocar las siguientes:

  • Dejadez por no considerar importante la medición del cumplimiento de los SLAs: Esto deja de ocurrir cuando uno de los proveedores de la organización nos deja sin servicio y los SLAs pasan a primer plano inmediatamente.
  • Indisposición para medir el cumplimiento de los SLAs: Si no puedo medir el cumplimiento difícilmente voy a estar en posición de reclamar algo, salvo cosas muy obvias y que el propio proveedor tenga a bien registrar.
  • Las gallinas que entran por las que salen: no hay preocupación por los SLAs porque al proveedor se le debe tanta pasta que la organización ni se plantea reclamarle nada. Este es muy propio en tiempos de crisis y puede provocar que la organización caiga cautiva de un proveedor de servicios con la posibilidad de tener nefastas consecuencias ante un incidente.

Los acuerdos de nivel de servicio son una parte fundamental de toda organización. Si éstos no se firman o existen pero no se tienen en cuenta, no se debe esperar que el proveedor de servicios llame a la organización cliente para decirle que lo ha incumplido, lo que se debe hacer es medir el cumplimiento y por supuesto reclamar desde la organización cliente lo que es suyo, minusvalorar este hecho puede resultar ciertamente peligroso en algunos casos y cuanto menos molesto en el resto.

Salu2!

Actualización en secciones del blog

0
hace 2 años
por Miguel Ángel Hernández Ruiz en
votar

Hola a tod@s,

He actualizado algunas secciones del blog:

  • En la sección “Cursos”, os he puesto un nuevo curso de la academia Latino Hack gratuito sobre Hacking Ético.
  • En la sección “Material” he creado una nueva entrada llamada Audiovisual y Otros recursos donde os he dejado las referencias que vimos en el último post sobre el estado de amenaza en Internet y una más a securitytube que es el youtube de la seguridad donde podréis encontrar innumerables vídeos sobre temas tan interesantes como metasploit

Espero que os sirvan y los disfrutéis.

Un saludo y buena semana a tod@s.

El estado de amenaza en Internet

0
hace 2 años
por Miguel Ángel Hernández Ruiz en
votar

Cuando se hace necesaria la gestión de la seguridad de una organización con un volumen importante de usuarios, una de las tareas rutinarias es la gestión de los niveles de malware dentro de la organización. Diversas métricas no pueden dar una idea de cómo está evolucionando nuestro “ecosistema malware”, un firewall con filtrado de contenidos (incluyendo accesos a webs catalogadas como maliciosas) o un antivirus corporativo nos proporcionan tendencias en la evolución de dicho software malicioso.

Cuando encontramos una o varias medidas que se salen de los patrones normales de comportamiento, hay que determinar la causa y una de las acciones preliminares es ver cual es la tendencia global del malware o el nivel de amenaza que este tipo supone en una determinada zona geográfica.

Nivel de Amenaza en F-Secure

Esto también puede ser útil para afianzar los buenos resultados de gestión a este respecto controlando periódicamente este estado de amenaza generalizado que nos permitirá justificar una buena gestión en base a este parámetro dejando inservibles comentarios como: “el descenso en el malware localizado puede ser fruto de un descenso general de la amenaza en Internet”.

Como contrastar nunca está de más, aquí os dejo unas referencias que os pueden resultar de utilidad:

Saludos.

defecto por seguridad

2
hace 2 años
por Miguel Ángel Hernández Ruiz en
votar

Quizá os suene esta pantallita:

Conexión no Verificada

Pues bien, esta pantalla aparece en muchos de los sitios que miles de personas navegan a diario, sobre todo en España.

Las infraestructuras de PKI a través de un ciclo de gestión de certificados digitales permiten entre otras cosas garantizar que la URL a la que se está accediendo es aquella para la que se emitió un certificado que la declara como auténtica. Este certificado debe haber sido emitido por una Autoridad de Certificación reconocida y además debe poder comprobarse en el momento del acceso que el certificado emitido aún se encuentra en vigor y no ha caducado o ha sido revocado.

Pues bien, este concepto que ayuda a los internautas a prevenirse de ataques de suplantación y que visualmente advierte del acceso a una URL con un certificado no válido se empezó a convertir en un defecto por buscar seguridad desde que los navegadores web dejaron de incluir a la FNMT como prestador de servicios de certificación de confianza por defecto (en el almacen de certificados de windows para IE y en el de Firefox para él mismo).

Esto lo que puede provocar es que el usuario se acostumbre a ver la pantallita, haga click en entiendo los riesgos y continue su navegación como si tal cosa, sin haberse parado a pensar en qué implicaciones tiene esto. Una de las premisas de la seguridad es que si no es fácil, se prescinde de ella. Pedirle a un usuario que vaya y se descargue un certificado y lo instale en su almacén de certificados o en el de Firefox o en los dos si es que usa ambos, puede provocar en muchos casos una conducta inadecuada fruto de un defecto por seguridad con el consiguiente riesgo para el usuario y para la organización.

No voy a profundizar más en la problemática (porque hay donde, véase la política de cobro de la FNMT en relación a la consulta de certificados revocados) porque no es el objetivo de este post. Simplemente he querido (espero que también conseguido) hacer notar que la seguridad es responsabilidad de todos los elementos implicados en la cadena y que determinados factores pueden provocar que uno de esos elementos lleve la inseguridad del resto y esto, cuando se trata de cientos de miles de usuarios es mucho decir.

Problemas derivados de esta misma causa raíz y que se trasladan al ámbito de la administración electrónica se pueden ver a través de este post, muy de mi agrado, en Microlopez, os invito a su lectura porque no tiene desperdicio.

Un saludo.

Cosas que ver para el fin de semana

1
hace 2 años
por Miguel Ángel Hernández Ruiz en
votar

Para este fin de semana, os dejo aquí dos recomendaciones que os pueden sacar de un rato de aburrimiento :) y ya de paso enlazamos con el último tema que hemos tratado en el blog. Si dispones de la televisión de ONO, puedes verlos a partir del videoclub en su sección gratuita de documentales:

- Code Breakers (“Códigos indescifrables”): historia sobre algunos de los códigos más difíciles de descifrar hasta día de hoy y cómo estos se construyeron.

- Web warriors (“Gerreros Cibernéticos”): la historia de Blaster y cómo las infraestructuras críticas se han ido convirtiendo en objetivo del ciberterrorismo.

Seguridad en Infraestructuras críticas

1
hace 2 años
por Miguel Ángel Hernández Ruiz en ,
votar

el 14 de agosto de 2003, una gran cantidad de infraestructuras críticas dejaron de funcionar en Estados Unidos y parte de Canadá. La carencia de suministros básicos de agua, electricidad, teléfono, etc… afectaron a 50 millones de personas, algunas de las cuales quedaron varadas en aeropuertos o encerradas en el metro o en ascensores. La versión oficial fueron unos árboles que se habían caído sobre unas líneas de electricidad pero se barajó una teoría diferente: Blaster, como causa o como suma a la causa. Tres días antes, el 11 de agosto de 2003, el gusano Blaster fue lanzado a Internet y su propagación fue increible como ya había ocurrido anteriormente con otro malware. Blaster infectó cientos de miles de ordenadores causando daños valorados en billones de dólares con una expansión similar a la que ya produjo el gusano “Code red”.

Expansión del gusano "Code red"

Según Mikko Hypönen, de F-Secure lo que reportaban los operadores era que las pantallas se quedaban congeladas, que es uno de los efectos de blaster.

Expertos de todo el mundo han estudiado durante años las repercusiones de la conexión a Internet de las Infraestructuras críticas pero recientemente el panorama de las amenazas contra este tipo de infraestructuras ha pasado de ser generalista a convertirse en dirigido. Stuxnet se presentó en Junio de este mismo año pudiendo transmitirse por cualquier cosa que pueda montarse como una unidad en un sistema operativo Windows, pen drives, teléfonos, cualquier cosa. Una vez en el PC, se esconde mediante un rootkit y busca dispersarse por la red a base de romper password débiles de redes compartidas, pero lo que hizo saltar todas las alarmas fue el objetivo para el que fue diseñado stuxnet. Este gusano esta diseñado para, una vez dentro del PC, si este está conectado a un autómata programable Siemens Simatic modificar ciertos parámetros, en caso de no encontrarlo no tendrá ningún efecto, salvo la obvia propagación si le es posible. Dado que un autómata programable puede haber sido programado para diferentes funciones, es posible que aún disponiendo de uno tipo Siemens Simatic, stuxnet no llegara a provocar ningún daño. El cambio en los parámetros es muy específico lo que hace pensar en que los diseñadores buscaban un entorno muy concreto. El tipo de entorno que está buscando se desconoce, así como si ya lo ha localizado o no, pero la amenaza sigue ahí, como espada de damocles, pendiendo sobre aquellas infraestructuras críticas que puedan verse afectadas.

Siemens Simatic

Todo esto además de otros muchos detalles sobre struxnet ponen de relevancia la necesidad de un plan de protección de las infraestructuras críticas, una coordinación y un seguimiento periódico de la diligencia en al gestión de la seguridad de dichas infraestructuras críticas.

Diferentes paises han tratado de dar respuesta a esta amenaza. El presidente Clinton estableció en 1996 la Comisión del Presidente sobre la Protección de la Infraestructura Crítica (PCCIP), con objeto de estudiar las infraestructuras críticas que constituyen los sistemas de apoyo vitales de Estados Unidos, determinar vulnerabilidades y proponer una estrategia para protegerlas. A esta han seguido muchas más iniciativas siempre con la base de una perspectiva holística de la seguridad. A su vez, el 20 de octubre de 2004, la Comisión Europea adoptó una Comunicación sobre protección de las infraestructuras críticas en la lucha contra el terrorismo, que contiene propuestas para mejorar la prevención, preparación y respuesta de Europa frente a atentados terroristas. Con posterioridad, en diciembre de 2004, el Consejo aprobó el PEPIC (Programa europeo de protección de infraestructuras críticas). La entrada en vigor de la Directiva 2008/114 del Consejo de la Unión Europea, de 8 de diciembre de 2008, sobre la identificación y designación de Infraestructuras Críticas Europeas y la evaluación de la necesidad de mejorar su protección, transmitió a los países miembro la responsabilidad de velar por la seguridad de sus infraestructuras críticas. Con objeto de dar cumplimiento a esta directiva se encuentra en redacción el proyecto de real decreto de protección de infraestructuras críticas (que espero poder analizar cuando entre en vigor).

Experiencias pasadas con la LOPD y el ENS (habría que darle más tiempo pero soy bastante pesimista al respecto) nos hacen ver que si no existe un mínimo de requisitos exigibles a las administraciones públicas o al sector privado, que sea auditado, para el que exista un régimen sancionador y lo más importante, que se dispongan los mecanismos de control con los recursos humanos adecuados y suficientes (tanto en número como en capacitación), un BOE sigue siendo papel mojado. El porcentaje de cumplimiento de la LOPD se situa entorno al 20% en PYMES y hablamos de una ley cuya entrada en vigor se produjo en 1999, 11 años atrás, las comparaciones son odiosas, pero también lo es repetir errores.

A quien corresponda; para lo que no hay condena y no se persigue no se cumple. Si nos estamos planteando un plan de protección de infraestructuras críticas, que se definan cuáles son las consecuencias de su incumplimiento, de una actuación no diligente, cuál debe ser la formación mínima de quienes ostenten los diferentes cargos y que se constituyan organismos encargados de supervisar el cumplimiento de todos los deberes y responsabilidades trasladados a los responsables de la seguridad en cada infraestructura crítica. Y lo más importante, que no sólo se definan, que se asignen los recursos humanos necesarios y si señores, que se haga, porque esto puede no ser una fuga de datos personales, puede ser una fuga mucho más peligrosa.

Saludos.

Actualizaciones en el blog

0
hace 2 años
por Miguel Ángel Hernández Ruiz en
votar

Hola a tod@s,

Esta tarde ha tocado trabajo sucio (mantenimiento), actualización de wordpress, actualización de plugins e instalación de otros nuevos que os permitirán entre otras cosas la traducción de los post a Inglés y Alemán. Tras sopesar la posibilidad de instalar Global translation, el aumento en el tráfico no me compensa los inconvenientes de administración y almacenamiento de forma que lo desestimé y podréis traducir bajo demanda cada post mediante un botón como el siguiente:

[Traductor] _

que aparece en la parte superior de cada post y página estática.

Además os he actualizado la sección de cursos donde podréis encontrar un curso que os ayudará a preparar ITIL Foundation ofrecido por Osiatis y algunos cursos más ofrecidos por Inteco entre los que destaca uno de LOPD de 15 horas bastante completo como introducción.

Saludos!

CVSS + ISO 27001 disponible en PDF

0
hace 2 años
por Miguel Ángel Hernández Ruiz en ,
votar

Hola de nuevo,

En la sección “A Fondo” disponéis de un artículo de 21 páginas en formato PDF con todo el contenido de la serie de post CVSS + ISO 27001. Con este documento doy por inaugurada la sección, esperemos que sean muchos más y sobre todo, que sean de vuetro interés.

Enlace directo al Artículo: CVSS + ISO 27001

Salu2!

CVSS + ISO 27001 (VI)

2
hace 2 años
por Miguel Ángel Hernández Ruiz en ,
votar

Identificando las Consecuencias

Tal como comentamos anteriormente, en la fase de Identificación de Riesgos es necesario identificar activos, amenazas, vulnerabilidades e impactos. En este punto vamos a asumir que ya disponemos de los activos de la organización, de las amenazas sobre los activos (ISO 27005 expone un catálogo relativamente amplio de amenazas en su Anexo C) y de las vulnerabilidades de los mismos. ISO 27005 nos invita a que definamos escenarios de incidentes donde se contempla la posibilidad de que una amenaza se aproveche satisfactoriamente de una vulnerabilidad presente en un activo. Estos escenarios son presentados a la persona encarga de evaluarlos (aquella que tenga un conocimiento más amplio de las posibles repercusiones) quien nos dará un valor por Confidencialidad, Integridad y Disponibilidad en cada escenario y atendiendo a los criterios anteriormente fijados.

Ya tenemos nuestros valores de Impacto para Confidencialidad, Integridad y Disponibilidad para cada activo pero… ¿y las dependencias?. Y si tengo un activo de Información que es manejado por una aplicación, puedo tener valores diferentes para cada uno y eso puede resultar incongruente. A este respecto se construye un Arbol de activos de la organización similar al que se refleja en la Ilustración 16.

Ilustración 16: Modelado y Herencia de Impactos

Como se puede observar, cada activo hereda el valor máximo entre:

  • Su propio valor
  • El mayor valor de los activos que dependen de él

de esta forma se pretende reflejar su importancia no sólo como activo de carácter tecnológico o dependencia física sino por cómo contribuye al proceso al que sirve. Y si alguien piensa que por qué no sólo se heredan los valores de los activos de la información, a mi se me ocurren al menos dos motivos, pensadlo bien.

LLevándolo todo a la práctica

Las métricas de Requisito de Confidencialidad, Requisito de Integridad y Requisito de Disponibilidad, pueden tomar los valores Alto, Medio y Bajo al igual que en el ejemplo que hemos mostrado en la ilustración 16. Si los niveles son equiparables el mapeo entre ambos dominios, el de CVSS y el de análisis de impacto, serían directos. Esto implica que, cuando en un escaneo de vulnerabilidades se localice una vulnerabilidad para el software “SOFTWARE 2″, dispondremos de los valores CID para sustituirlos en el vector de entorno por sus valores correspondientes, calculando el valor final de riesgo de la vulnerabilidad para nuestra organización. En caso de que los valores en el dominio del impacto que se fijara en los criterios fuesen diferentes a los existentes en CVSS deberíamos crear una correspondencia entre los dos dominios.

Pues bien, ¿pero todo esto hay que hacerlo a mano?,  afortunadamente no, existen calculadoras de vulnerabilidades que te permiten fijar los valores para las diferentes métricas obteniendo un valor final particularizado para la organización. Una de estas calculadoras la puedes encontrar aquí.

Aún así, cuando se ha de gestionar una organización en la que los escaneos en busca de vulnerabilidades son frecuentes y las vulnerabilidades en el software relativamente abundantes, es inviable pensar en pasar el tiempo introduciendo valores en una calculadora.

Ahora voy a lanzar una idea al todo de Internet. Lo ideal sería que el propio software de escaneo de vulnerabilidades fuese capaz de integrarse con el de análisis de riesgos hasta el punto de que, con el valor CVSS base y el Temporal en el instante del escaneo, se pudiera calcular automáticamente el valor para el entorno y devolver priorizadas las vulnerabilidades para la organización.

Desconozco si este software existe o si alguien antes ha tenido la misma idea. Por si acaso, si alguien lo implementa en alguna ocasión que sea bajo software libre al completo (todo el producto), y si no es así y la idea la ha leido de aquí, agradezco que cuente conmigo antes de hacerlo :) .

Salu2 y si… POR FIN

FIN

CVSS + ISO 27001 (V)

0
hace 2 años
por Miguel Ángel Hernández Ruiz en ,
votar

¿Cómo encaja CVSS dentro de la gestión del riesgo?

Como ya se ha comentado anteriormente, CVSS incluye dentro de sus Ecuaciones una destinada a recoger determinados aspectos que son dependientes de la organización en la que se presenta la vulnerabilidad. Estos aspectos se encuentran recogidos dentro del conjunto de métricas de entorno por las métricas denominadas:

  • Requisito de Confidencialidad
  • Requisito de Integridad
  • Requisito de Disponibilidad

La cuestión que se plantea ante los requisitos de las métricas de entorno es; ¿de donde saco estos valores?. Y la respuesta es; del análisis de riesgos de la organización. En ISO 27001, el punto 4.2.1.d recoge las actividades a realizar para la Identificación de Riesgos que se compone de:

  1. Identificar los activos que están dentro del ámbito de aplicación del SGSI y a los propietarios de estos activos.
  2. Identificar las amenazas a que están expuestos esos activos
  3. Identificar las vulnerabilidades bajo las que podrían actuar dichas amenazas
  4. Identificar los impactos que sobre los activos puede tener una pérdida de confidencialidad, integridad y disponibilidad en los mismos.

Y anteriormente, en los apartados b y c nos habla sobre el establecimiento de los criterios de estimación del riesgo y el enfoque de evaluación de riesgos de la organización.

Nos vamos a adentrar un poco más allá de la 27001 yendo hasta la norma ISO/IEC 27005/2008 para ver las recomendaciones al respecto de cómo se pueden llevar a cabo algunas de las actividades que acabamos de comentar, las más relevantes para entender de dónde vienen los valores de Confidencialidad, Integridad y Disponibilidad que se van a fijar en las métricas de CVSS.

Pinceladas sobre ISO 27005

Vamos a dar una pincelada sobre ISO 27005. A modo de resumen, ISO 27005 expone, entre otras, las siguientes fases para un buen proceso de gestión del riesgo.

Ilustración 15: Gestión del Riesgo en ISO 27005

Cada una de estas fases tiene los siguientes objetivos a groso modo:

  • Establecimiento del contexto: Lo primero que tenemos que tener claro es dónde queremos llegar y qué estamos dispuestos a tolerar. Debemos por tanto Establecer el objetivo y fijar los criterios.
  • Evaluación de Riesgos: El proceso de Evaluar el Riesgo consta de dos partes bien diferenciadas. En la primera de ellas se Analiza el Riesgo al que se está sujeto. Mientras que en la segunda se deben priorizar esos riesgos para saber a qué debo prestar más atención y destinar el mayor número de recursos.
  • Identificación de Riesgos: Identificar las amenazas, las vulnerabilidades, y las posibles consecuencias
  • Estimación del Riesgo: Basándonos en las posibles consecuencias y su probabilidad de ocurrencia, debemos estimar cuál es el nivel de riesgo al que estaríamos sometidos
  • Valoración del Riesgo: Decidir en base a los criterios establecidos en el establecimiento del contexto, qué riesgos son más importantes.
  • Tratamiento del Riesgo: Mitigar / Evitar / Transferir / Aceptar
  • Aceptación del Riesgo: ¿Son aceptables los riesgos residuales propuestos?

Fijando los Criterios de Impacto

Antes de asignar un valor de impacto se deben tomar decisiones entorno al cómo se van a fijar dichos valores. Estos criterios implican decidir sobre el número de niveles de impacto que se van a representar (por ejemplo 3 de forma cualitativa; alto, medio, bajo) o 4 de forma cuantitativa (valores de 1 a 4).

Otra de las decisiones que se ha de tomar es en base a qué ámbitos se va a valorar, esto es, qué es aquello que puede ser dañado. La Imagen, la Operativa de la organización, Las relaciones con terceros, Los niveles de clasificación de la información, etc.

En base a estas dos decisiones se puede crear una tabla en la que en las intersecciones de filas por columnas se expongan de forma clara, no ambigua y no solapada qué factores ubicarán la valoración en uno u otro nivel por cada ámbito.

Por ejemplo:

Si se decide que la escala de valores posibles  para el impacto será de Alto, Medio y Bajo y uno de los ámbitos es el operativo, los valores en la intersección podrían quedar descritos como sigue:

Ámbito Operativo:

  • nivel alto: se produce una parada total del servicio
  • nivel Medio: se aprecia una ralentización de las operaciones que no hace posible el desarrollo normal del servicio
  • nivel bajo: se produce una ralentización de las operaciones aunque no afecta al desempeño normal del servicio

Si realizamos esta labor por todos los ámbitos, la matriz resultante definiría los criterios de impacto pero… ¿donde está aquí la Confidencialidad, la Integridad y la Disponibilidad?

Otra vez… Continuará… Mañana mismo

Ir arriba