Lic. Yetzina Dávila Lic. Yetzina Dávila
Evaluador de Seguridad Tecnológica Evaluador de Seguridad Tecnológica
División de Investigaciones y Seguridad de Datos / División de Investigaciones y Seguridad de Datos / Departamento de Seguridad de Datos
1. Introducción
2. Conocimiento General de la Plataforma 3. Debilidades
4. Valor de Criticidad del Activo 5. Ponderación de Vulnerabilidad 6. Fortalezas
7. Amenazas
8. Matriz de Riesgo
1.- INTRODUCCIÓN:
Siguiendo instrucciones de la Gerencia del Dpto. de Seguridad de Datos. Lic. Liliana Serrano, se elabora el presente informe técnico, el cual está orientado a exponer la situación actual de la Plataforma Cliente / Servidor, específicamente del Directorio Activo, tomando en cuenta para ello sus fortalezas, vulnerabilidades, amenazas y riesgos.
2.- CONOCIMIENTO GENERAL DE LA PLATAFORMA:
El Directorio Activo es un servicio de red que almacena información acerca de los recursos existentes en la red y controla el acceso de los usuarios y las aplicaciones a dichos recursos. De esta forma, se convierte en un medio de organizar, administrar y controlar
centralizadamente el acceso a los recursos de la red.
Un directorio activo se puede definir como una estructura jerárquica y esta estructura se suele dividir en tres categorías principales, los recursos que pueden incluir hardware, como impresoras, servicios para los usuarios finales, tales como servidores de correo Web y los objetos que son las principales funciones del dominio y de la red.
En general, Active Directory (AD) es el término utilizado por Microsoft para referirse a su implementación de servicio de directorio en una red distribuida de computadores. Su estructura jerárquica permite mantener una serie de objetos relacionados con componentes de una red, como usuarios, grupos de usuarios, permisos y asignación de recursos, y políticas de acceso, en este caso a los recursos del Banco Industrial de Venezuela.
El Directorio Activo posee los siguientes componentes:
• Dominio: Objeto raíz que actualmente se está administrando. • Usuarios: Representan un usuarios de la red.
• Computadores: Representa los equipos integrados al dominio. • Impresoras: Representa las impresoras disponibles en el dominio.
• Grupos: Objeto contenedor que representa una agrupación de usuarios.
. 3.- VULNERABILIDADES:
CUALITATIVAS
• Falta de un Estándar en la creación de los usuario, específicamente en los
diferentes campos que son utilizados para almacenar la información de los referidos usuarios y en algunos casos la omisión de los mismos. Esto dificulta la capacidad que debe tener el Directorio Activo para proporcionar información de los usuarios. Ejemplo de esto, se aprecia en las siguientes pantallas:
• Falta de una depuración del Directorio Activo y actualización de la data, ya que
existen usuarios que se encuentran activos siendo personal egresado y otros cuya información se encuentra totalmente desactualizada tales como: Área de Adscripción, Departamento, Teléfono, Fecha de desactivación, etc. Adicionalmente, existen usuarios con la nomenclatura de contratados, siendo personal fijo de la institución, los cuales no han sido estandarizados.
• Existe segmentación de los grupos para otorgar acceso a Internet, sin tener
ningún valor agregado, sólo funcionan para la clasificación de los usuarios con este acceso.
• La creación de forma errada de los usuarios corrompe la Base de Datos del Directorio Activo.
• El acceso a los recursos compartidos está mal organizado, ya que existen usuarios
que pueden ingresar a diferentes carpetas cuando debería ser a una o varias en específico. Esto indica que existen accesos indebidos en relación a estos recursos.
• Falta de normativa para la creación de los grupos en el Directorio Activo.
CUANTITATIVAS
• Falta de una estructuración del contenedor USER creado para los usuarios de la
organización de dichos usuarios, para su fácil recuperación, acceso y posterior consulta.
• Por falta de espacio de almacenamiento en los servidores, no se encuentra activo
el Log de Auditoria de Seguridad, donde deberían estar registradas todas las operaciones realizadas por los usuarios en el directorio activo, que permita en caso de sospecha de falla en la seguridad, que este archivo pueda ser consultado para conocer los daños causados y/o identificar a los responsables de las
operaciones irregulares.
4.- VALOR DE CRITICIDAD DEL ACTIVO Factor
de Criticidad
Disponibilidad (D) Confidencialidad (C) Integridad (I) Ponderación Criticidad ∑ (D,C,I) / 3 Crítico 6/3= 2 Alto Medio 2 2 2 Bajo
De acuerdo al resultado obtenido en la Ponderación de Criticidad del Activo se puede observar, que el Directorio Activo tiene Asignación de Criticidad MEDIO.
5.- PONDERACIÓN DE VULNERABILIDAD Vulnerabilidad Critica (4) Alta (3) Media (2) Baja (1) Ponderación de Vulnerabilidad Falla en la definición del Acceso de
usuarios
X
∑ (Valores de Criticidad) / Nro Vulnerabilidades
Falta de Log De Seguridad X Falta de Estándar en la Creación X
(2+4+4+3+2+2+4+4) / 8 = 3,125 ≈ 3
Falta de Estructuración del Contenedor USER
X Falta de depuración de los
Contenedores X
Falta de Actualización de la Data X Accesos a los Recursos
Compartidos mal organizado
X Falta de Normativa para la
Creación de Grupos X
6.- FORTALEZAS:
• El Directorio Activo proporciona una primera etapa de validación para el acceso
a las diferentes aplicaciones del Banco Industrial de Venezuela.
• Se puede restringir el acceso a los empleados a los recursos informáticos del
BIV, así como también, controlar, regular y parametrizar los mismos.
• Existe una estructuración de los objetos del directorio (Árbol Jerárquico),
permitiendo al administrador del dominio una gestión más lógica de usuarios, grupos, equipos, etc., pero también le permite a cualquier usuario una búsqueda
de los objetos más sencilla cuando explora el directorio buscando recursos (por ejemplo, se podría localizar fácilmente las impresoras compartidas de la Torre Las Delicias).
7.- AMENAZAS:
• Al no deshabilitar de forma oportuna a los usuarios se corre el riesgo de que un
usuario pueda atentar en contra de los activos informáticos del BIV, en vista de que este recurso proporciona acceso a la red del BIV.
• Al no tener bien estructurado los accesos a los recursos compartidos, existe la
posibilidad de que algún usuario tenga permisología a ciertas carpetas de forma no autorizada, incumpliendo así con las políticas y normas en materia de perfiles de acceso y dando lugar a que esta situación pueda ser aprovechada por
otorgar otros accesos de manera indebida. 8.- MATRIZ DE RIESGO Amenazas/ Vulnerabilidades Falta de Logs de Auditoria Falta de estructuración en los Recursos Compartidos
Acceso Indebido a los Recursos del BIV
No es Posible establecer Responsabilidades y tomar acciones legales Destrucción, daños o de modificaciones que alteren el correcto funcionamiento de algún sistema o que a través de su uso indebido, se produzcan un resultado que permita obtener un provecho injusto en perjuicio ajeno.
9.- CONCLUSIONES Y RECOMENDACIONES:
Se debe realizar un plan de trabajo que permita subsanar las debilidades encontradas en el Directorio Activo. Para ello se recomienda tomar en cuenta las siguientes sugerencias: • Realizar una depuración de los usuarios que existen en el directorio activo, de manera de bloquear a aquellos usuarios que pudiesen encontrarse activos siendo personal desincorporado.
• Activar los Logs de Auditoria, que permitirá en caso de mala administración
establecer responsabilidades.
• Establecer un estándar para el ingreso de la información de los usuarios, estableciendo claramente los registros que deben existir en cada uno de los campos.
• Estructurar el contenedor user, de acuerdo a la organización de la empresa (por Área, División, Departamento), esto ayuda a una mejor administración de la seguridad y fácil recuperación y acceso a los objetos.
• Depurar los accesos otorgados al grupo WWW, ya que existen usuarios que
poseen accesos a Internet cuando su perfil no lo requiere.
• Revisar la organización de los recursos compartidos, de manera de otorgar sólo los accesos requeridos.
