Fundamentos Básicos de Seguridad de la Información

Triada de Seguridad


Para poder trabajar en seguridad, debemos entender cuales son las metas que tiene la seguridad como base. Tenemos la triada de seguridad que se compone por: Disponibilidad, Integridad, y confidencialidad, (Availability, Integrity, confidentiality AIC, en ingles)



Disponibilidad: 


Este punto asegura que se pueda acceder a tiempo a los recursos a los usuarios autorizados. Existen varios dispositivos dentro del sistema que deben de estar disponibles para el acceso de la información, como por ejemplo, router, DNS, Firewall, IDS, DHCP, Servidores, software, etc. Existen varios riesgos que atentan contra la disponibilidad, como por ejemplo, inundaciones, incendios, terremotos, cualquier tipo de desastre natural, o alguna debilidad del acceso a los componente del sistema que pueda llegarse a tocar de manera accidental o de manera intencional.

Dentro de la disponibilidad existen los siguientes tips para cumplirlas:

  • RAID
  • Cluster, de servidores
  • Balanceo de Carga
  • Redundacia en linas electricas
  • Alta Disponibilidad de red
  • Discos Espejados
  • Sistemas en distintos Datacenter ( Que esten en distintas cuidades)
  • Failover de enlaces
Dentro de los ataques que tenemos contra la disponibilidad tenemos:
  • SYN FLOOD
  • ICMP FLOOD
  • UDP FLOOD
  • DOS ( Denial Of Service)
  • DDOS (Distributed Denial Of Service)


Integridad: 


La integridad hace relación a que la información debe ser la misma desde el origen hasta el cliente que consume esa información, por lo tanto, no puede ser alterada en ningún instante de la transacción Cliente- Servidor. La integridad puede ser amenazada por atacantes, como por errores humanos accidental como intencional, por ejemplo una modificación de la información puede hacer llegar en perdidas de activos dentro del negocio.-

Las modificaciones accidentales puede ser información errónea ingresada en una base de datos, o puede ser usos de backsdoor o SQL Inyection haciendo modifición no autorizada y mal intencionada de las bases de datos.

La integridad finalmente, es garantizar que los sistemas previenen modificaciones de usuarios no autenticados.-

Dentro de la Integridad existen los siguientes tips para cumplirla:


  • Hashing.
  • Control de Acceso
  • Gestion de Privilegios
  • RFC y Gestion de Cambios
  • Gestion de Configuraciones
  • Firmas Digitales
  • Funciones de CRC 
Dentro de los ataques que estan contra la Integridad tenemos:

  • Robo de Session
  • SQL Inyection
  • Inyección de Código 
  • Elevación de privilegios


Confidencialidad

La confidencialidad trata de que la información no sea revelada a usuarios no autorizados. Los atacantes pueden frustrar la confidencialidad, haciendo Shoulder Surfing, robo de contraseñas, romper sistemas de encriptación e ingeniería Social. Shoulder Surfing, trata de mirar sobre el hombro de alguien, para ver cuales son las teclas que presiona al ingresar una contraseña o mirar algun papel o archivo que contenga la contraseña de ingreso a un sistema. Cabe destacar que muchas personas dejan la contraseña escrita en algun papel pegado al monitor o escrito en un cuaderno a vista de todo el mundo.

Dentro de la confidencialidad, la información que se envia en un ambiente cliente-servidor, debe estar encriptada ya que la información puede ser robada y mal utilizada como por ejemplo: ver la información de una cuenta bancaria.

La ingeniería social puede lograr obtener información induciendo a una persona a realizar acciones para poder obtener la información que se necesita.




Algunos tips para la confidencialidad es la siguiente:


  • Encriptar la data enviada y la respuesta (TLS 2.0,)
  • Encriptar Discos y bases de datos
  • Encriptar la data en transito ( SSL, IPSEC, pptp , en pocas palabras VPN) 


Algunos ataques contra la confidencialidad puede ser:


  • Shouder Surfing
  • Phising
  • Robo de Contreñas,
  • Men In The Middle


Definiciones de Seguridad 


Muchas veces las deficiones de seguridad se intercambian teniendo diferentes significados. Dentro de ellas escucharemos muchas veces sobre, Vulnerabilidad, Amenazas, exposición, Riesgos, Controles.-

Vulnerabilidad:


Todo sistema hecho por humanos... osea todo, tiene vulnerabilidades, ya sean detectadas o no, pero siempre estan presentes. Día a día existen descubrimientos de vulnerabilidades de sistemas que van siendo catalogados e indexados en bases de datos con la nomenclatura CVE-AÑO-NUMERO.

En definicion la vulnerabilidad es una debilidad en un sistema que se puede explotar para poder ganar un ingreso a un sistema de manera no autorizada o información o poder escalar privilegios, y esta puede ocurrir por servidores sin actualizar, aplicaciones sin parchar, puertos de firewall abiertos para cualquier origen, access point sin restricción de acceso dentro de la red, o acceso forzado a sistemas con password fragiles, muchas veces conocidas por diccionario.

La vulnerabilidad es una debilidad o una ausencia de contramedidas.-

Amenazas


Es el daño que se tiene a una vulnerabilidad expuesta y que alguien, o algo pueda explotarla contra una compañía o individuo. La entidad que explote una vulnerabilidad se le conoce como threat agent, o agente de amenazas.

Riesgo


Es la probabilidad de que un atacante explote una vulnerabilidad y que esta impacte al negocio. Si un firewall tiene algunos puertos abiertos, el atacante puede aprovechar alguna vulnerabilidad en esos puertos y la probabilidad de ataque es mas alta. Tambien puede ser el riesgo de que un usuario pueda destruir información de manera accidental. El proveer de un IPS puede ayudar a avisarnos que existe un ataque  y que este lo pueda controlar.-


Exposicion

Una vulnerabilidad expone a una compañia a posibles daños, ya sea a nivel de plataforma, de negocio y de credibilidad. Por ejemplo una mala política de contraseña, puede hacer que un atacante capture una contraseña debil e ingrese al sistema exponiendo información confidencial.

Control

Este punto va de la mano con la mitigación, y la mejora continua de los sistemas de seguridad, La mitigación puede ser a nivel de software y con esto disminuyen las probabilidades que el agente de amenasas incurra en la explotación de una vulnerabilidad