Revista TrendTIC Edición N°2

More documents

Recommendations

Info

SEGURIDAD Gabriel Bergel Director de Servicios Profesionales & Senior Security Consultant Dreamlab Technologies Chile. CISSP; CISM; CBCP; ISO 27001 LA; EC-Council C|CISO ¿Ethical Hacking? ¿Pentest? ¿Qué? ¿Para qué? Nos ha pasado en más de una oportunidad que en una reunión con un prospecto nos hayan hecho estas preguntas cuando explicábamos cual es un nuestra especialización, seguramente muchos tendrán las mismas dudas y es la razón por la cual dedicaremos algunas líneas para hablar sobre el Hacking Ético, Test de Penetración y las diferencias entre ellos. Si buscamos Ethical Hacking en Wikipedia nos lleva a un articulo donde parte hablando de los hackers de sombrero blanco, antes de continuar cabe aclarar que un “Hacker” es un experto, un investigador de seguridad, que busca debilidades en las plataformas con el fin de mejorar la tecnología o alertar a la comunidad, es un apasionado de la seguridad y la tecnología, NO es un Ciberdelincuente. Continuando, en la comunidad hacker se distinguen 3 tipos, de sombre ro negro (ciberdelincuentes), de sombrero gris (ambiguo) y sombrero blanco, para denominar a los hacker éticos, por lo tanto partimos de la base que un Ethical Hacking es una actividad de auditoria de seguridad ética y profesional. Mucha literatura, papers, estándares, empresas, profesionales llaman Ethical Hacking a un test de penetración o Penetration Test o solo Pentest, en este caso, se refiere principalmente a una auditoria técnica de seguridad de la información compuesta de etapas lógicas que tienen por objetivo principal identificar vulnerabilidades para luego confirmarlas, por ejemplo según OSSTMM1 que es la metodología mas ocupada para hacer Ethical Hacking las etapas son: 1. Descubrimiento. 2. Enumeración, Verificación. 3. Investigación de Vulnerabilidad y Verificación. 4. Pruebas de Integridad. 5. Evaluación de Riesgos. Nosotros en Dreamlab preferimos hacer una diferencia entre Pentest y Ethical Hacking, el primero es una auditoria técnica de seguridad donde una vez detectadas las vulnerabilidades o hallazgos, nos concentramos en confirmar (actividad muy importante para evitar falsos positivos2) las vulnerabilidades clasificadas como altas, es decir las que tienen un mayor impacto para la organización. En el caso del segundo, el Ethical Hacking lo hacemos siguiendo de manera integra la metodología OSSTMM 26 Julio - Agosto
SEGURIDAD “Si se usa una metodología como OSSTMM se asegura un ciclo completo que parte en el descubrimiento y termina en una evaluación de riesgos” y es una auditoria de seguridad técnica formal (OSSTMM) y exhaustiva (manual y automática) del ámbito definido, con verificación y explotación controlada de todos las vulnerabilidades encontradas y una evaluación de riesgos que tiene por finalidad entregar una métrica de seguridad llamada RAV3. Contestando las preguntas, ¿Qué? Ya sabemos lo que es un Ethical Hacking o Pentest, cada vez son mas exigidos por distintas normativas locales, internacionales o estándares, como PCI DSS 3.0, ¿Para Qué? Para conocer el nivel de protección que tiene la infraestructura tecnológica de la organización, para mejorar la robustez de la infraestructura frente a posibles ataques y malos usos, para identificar y mitigar las brechas con respecto a las buenas prácticas existentes en la industria, principalmente para adelantarse, prevenir y gestionar los riesgos o un ataque real. Una última interrogante que se podría presentar ¿es importante la metodología? Definitivamente si, ya que si se usa una metodología como OSSTMM, se asegura un ciclo completo que parte en el descubrimiento y termina en una evaluación de riesgos. Asegura exhaustividad del proceso, evitar falsos positivos, permite estandarizar el proceso, hacerlo mas profesional, formal, repetible y gestionar los riesgos a través de una métrica o indicador de seguridad. Para terminar, la metáfora del vino en caja dentro de una botella, para este tipo de auditorias, es mas común de lo que todos piensan que se ofrecen y venden servicios de escaneos de vulnerabilidades como ethical hacking. En el primer caso es solo la ejecución de una herramienta automatizada que identifica vulnerabilidades a nivel de sistema operativo o aplicación y entrega un reporte con la descripción de la vulnerabilidad y como mitigarla, pero con muchos falsos positivos, esto viene siendo como comprar un vino en caja dentro de una botella, es un producto de una calidad mucho menor, pero que parece de una calidad y precio mayor, cuidado! 1 OSSTMM (Open Source Security Testing Methodology Manual) mas información en: http:// www.isecom.org/research/osstmm.html 2 Falso positivo, en este ámbito al igual que en una investigación se refiere cuando se detecta una vulnerabilidad que en realidad no existe. 3 RAV (Risk Assesment Value) mas información en https://www.dreamlab.net/en/ files/2012/06/OSSTMM-RAV_FAQ.pdf Julio - Agosto 27
Page 1 and 2: Revista Tendencias Tecnológicas pa
Page 3 and 4: 04 14 10 16 ENTREVISTA Fernando Lop
Page 5 and 6: Con varios años en Google y con fu
Page 7 and 8: ENTREVISTA que esta montada sobre l
Page 9 and 10: Julio - Agosto 9
Page 11 and 12: ce en ella, independiente de que ca
Page 13 and 14: 5 preguntas que se debe hacer, ante
Page 15 and 16: ANÁLISIS generar problemas para la
Page 17 and 18: 17 Julio - Agosto
Page 19 and 20: VIRTUALIZACIÓN APP APP APP APP S.O
Page 21 and 22: 4 TIPS PARA SER UN CIO PROMOTOR DE
Page 23 and 24: Apps Made in Chile MEMORICE FUTBOL
Page 25: 35% de usuarios latinamericanos de
Page 29 and 30: capaces de compatibilizar el éxito
Page 31 and 32: FUTUROLOGÍA Samsung Gear VR Innova
Page 33 and 34: Smartwatches Destacaddos Pebble Tim
Page 35 and 36: Nombramientos Empresas TIC 1.- Ram
Page 37 and 38: 1 2 3 4 5 6 7 8 9 El pasado 23 de J
Page 39 and 40: que les permite a los usuarios ver
Page 41 and 42: Las nuevas tecnologías avanzan y c
Page 43 and 44: OUTIC Porque no todo es tecnología

Revista TrendTIC Edición N°2

Create successful ePaper yourself

Delete template?

Save as template?