Arquitectura de Un PenTestingInterno Para grandes Empresas

(1)

“Arquitectura de Un PenTesting Interno

Para grandes Empresas”

@dsteamseguridad dsteamseguridad.seguridad

JUAN DAVID BERRIO LOPEZ

[email protected]

(2)

Arquitectura de Un Pentesting Interno para grandes Empresas

Agenda

Presentación Objetivo

Qué es una auditoria del tipo PenTesting aplicada al negocio Impacto del Pentesting en el CORE de un Negocio

Pentesting Tradicional VS Pentesting Grandes Empresas Pentesting Tradicional VS Pentesting Grandes Empresas Metodología Centuriones

Ejemplo: Arquitectura de un Pentesting empresa Cliente ”como hacemos los PenTesting en DSTEAM”

Herramientas de apoyo Como nos capacitamos Conclusiones

(3)

Criterios Legales.

Las demostraciones, practicas, talleres y conceptos impartidos en esta Desconferencia, no buscan promocionar personas, promover el uso de programas para la Intrusión en sistemas informáticos, solo se hace con fines educativos, por lo que cualquier uso de los programas y contenidos de links aquí mencionados a los asistentes, no es responsabilidad de la Empresa DSTEAM

Seguridad, o de los organizadores del evento Barcamp_SE. Si desea probar los

-

Acuerdo

de

Confidencialidad-Seguridad, o de los organizadores del evento Barcamp_SE. Si desea probar los

métodos e información suministrada en esta charla en sistemas y redes ajenos y Públicos, hágalo bajo su responsabilidad.

Ley Colombiana 1273 de 2009 Artículo 269 A. Acceso abusivo a un sistema

informático. El que, sin autorización o por fuera de lo acordado, acceda en todo o en parte a un sistema informático protegido o no con una medida de seguridad, o se mantenga dentro del mismo en contra de la voluntad de quien tenga el legítimo derecho a excluirlo, incurrirá en pena de prisión de cuarenta y ocho (48) a noventa y seis (96) meses y en multa de 100 a 1000 salarios mínimos legales mensuales vigentes.

(4)

Arquitectura de Un Pentesting Interno para grande Empresas

Arquitecto de Seguridad y creador de la empresa de Seguridad de la información

DSTEAM, Ingeniero en Informática, Magíster en Seguridad Informática de la

Universidad Oberta de Cataluña -España, Posgrado en Redes y Nuevas

Tecnologías Universidad San Buenaventura, Posgrado en Seguridad de Redes – UOC España, Certificación CCNSP Cyberoam - India, CEH- EC-Council,

Professional Penetration Tester BASE64 University, Lead Auditor/Corporativo de I.T para Importante Grupo Empresarial en Medellín, Consultor e Investigador de

Seguridad independiente para importantes empresas del país. Ha participado en

varios diplomados y cursos internacionales en Seguridad de la Información ofensiva y defensiva, con importantes empresas como el SANS Institute, ofensiva y defensiva, con importantes empresas como el SANS Institute,

Tennable Security, Offensive Security, INFOSEC, entre otros. Docente desde

hace 8 años de cátedra en redes, y de cursos y diplomados en seguridad Perimetral, Defensa en profundidad y Hacking Ético. Ha participado en diversos eventos de seguridad de la información a nivel nacional como conferencista, tales como INFOSECURITY, Hackxcolombia, BARCAMPSE/Medellín, Barcamp Parque Explora, Jornadas de seguridad ASYS, Semana de la seguridad USB, entre otros. También ha escrito artículos de seguridad para importantes diarios del país como La República. Además es el creador y el apoyo oficial del proyecto de educación continua y gratuita en seguridad informática ofensiva y defensiva llamada DSLABS, y de la certificación en seguridad Certified Offensive and

(5)

Si alguna vez te has preguntado, o has sentido

curiosidad sobre la forma en que las empresas

dedicadas a seguridad de la información y Auditorias

de

seguridad

realizan

las

auditorias

del

tipo

Penetration Testing?

Si la respuesta es SI, esta Desconferencia te puede

ayudar mucho.

(6)

Objetivo

Esta “Desconferencia” tiene como principal objetivo el compartir

con los asistentes al evento Barcamp_SE, consejos TIPS y

recomendaciones respecto a experiencias vividas por el personal

de auditorias de seguridad técnica de la empresa DSTEAM, en lo

que respecta a la ejecución de Auditorias del Seguridad del tipo

Pentesting, aplicada a Empresas Grandes, con altos volúmenes de

ingre$o$ y con Macro – Infraestructuras Tecnológicas.

(7)

Auditoria del tipo Pentesting aplicada al Negocio

Todos los asistentes a este evento tenemos algo en común

“ Seguridad de la Información”

Seguridad Ofensiva (Hacking)

Seguridad Defensiva (Defensa en Profundidad)

Buenas Practicas y Gestión (SGSI, Estándares , entre otros) Buenas Practicas y Gestión (SGSI, Estándares , entre otros)

La auditoria del tipo Pentesting aplicada a una estructura empresarial o similar, se define como el proceso mediante el cual se identifican amenazas y riesgos tecnológicos, los cuales puedan causar algún tipo de perdida cualitativa o cuantitativa en una organización empresarial.

(8)

Impacto del Pentesting en el CORE de un Negocio u Organización

Como se delimita el impacto en una organización al no realizar seguimientos y verificaciones a la seguridad de la información, y que posteriormente sea victima de ataques informáticos?

Ejemplos…….

FUENTE:

(9)

Impacto del Pentesting en el CORE de un Negocio u Organización

Este tipo de situaciones deben de evaluarse, ya que su impacto puede considerarse según el tipo de negocio como cualitativo (Posicionamiento, nivel social), o cuantitativo (Robo de información, pérdidas económicas)

FUENTE:

(10)

Impacto del Pentesting en el CORE de un Negocio u Organización

Otros Ejemplos similares!!

FUENTE:

(11)

Impacto del Pentesting en el CORE de un Negocio u Organización

Que pasaría si es su organización la, que sale en estos textos y

sitios web???

Mentiroso Baja Reputación

O Simplemente no pasa nada, ya que todos los datos

importantes de una empresa XYZ no están en el Hosting, están

en la red Local

(12)

Pentesting Tradicional VS Pentesting Grandes Empresas

“El ser humano por naturaleza le teme a lo que no conoce, razón

por la cual muchas organizaciones contratan auditorias de

seguridad externas, de las cuales en su mayoría realizan su mayor

esfuerzo en los sitios web corporativos”

(13)

Pentesting Tradicional VS Pentesting Grandes Empresas

El Pentesting Tradicional, en la mayoría de ocasiones tiene un esfuerzo representativo en los sitios web corporativos.

(14)

Pentesting Tradicional VS Pentesting Grandes Empresas

En el Pentesting Tradicional, el evaluador de seguridad, por lo regular realizará sus labores de Recolección de Información, Scanning de Puertos, Enumeración, Análisis de Vulnerabilidades y Explotación bajo tecnologías como las siguientes:

Servidores Web: Apache y Microsoft IIS Servidores Web: Apache y Microsoft IIS

Sistemas Operativos Windows 2003-2008 Server, Linux CentOS, Ubuntu y Fedora

Tecnologías de Scripting como JavaScript, PHP y ASP

Infraestructuras de hosting o Virtual Server compartidas entre diversas empresas

Firewalls y UTM Perimetrales (En muchas ocasiones compartidos) General: Cpanel, worpress, joomla, moodle, entre otros.

(15)

Pentesting Tradicional VS Pentesting Grandes Empresas

En el Pentesting Tradicional, el evaluador de seguridad, por lo regular realizará no encontrará lo siguiente:

Balanceadores de Carga

Switches transaccionales (Para altos volúmenes de Información) Bus de datos

Bus de datos

Protocolos propietarios

Servidores de aplicación de alta disponibilidad IPS a nivel Hardware

(16)

Pentesting Tradicional VS Pentesting Grandes Empresas

El Pentesting que se realiza en LAS GRANDES EMPRESAS, por lo regular es una auditoria concretada directamente con la Gerencia de una empresa, y no con las direcciones ni coordinaciones de los departamentos de informática y/o Infraestructura. Este tipo de auditorias tiene las siguientes características:

auditorias tiene las siguientes características:

Debe de ejecutarse por un equipo multidisciplinario

Va totalmente ligado a un análisis de riesgo y perdidas cuantitativas de un negocio

Se debe hacer por criterios contractuales Debe de tener criterios de auditoria

Los evaluadores de seguridad técnicos se enfrentan a grandes infraestructuras tecnológicas.

(17)

Arquitectura de un Pentesting empresa Cliente DSTEAM

A modo de ejemplo y de trasferencia de conocimientos vamos a ver algunas de las características del tipo de auditorias que se hacen en DSTEAM en grandes organizaciones. Para este ejemplo vamos a tomar una empresas Colombianas del Sector de Juegos de Azar, Apuestas y prestación de múltiples servicios como recargas, rifas, boletas, ventas prestación de múltiples servicios como recargas, rifas, boletas, ventas de seguros, recaudos, entre otros.

!!!Anotación: Por

confidencialidad del Cliente de

DSTEAM, las empresas de las cuales se soporta la

información mostrada en este ejemplo se mantienen

anónimas.

(18)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1: “Preparación”

Conocer el CORE del negocio (Conocer que hace la empresa) Delimitar Alcances

Establecer Criterios de Auditoria (Normas, Buenas Practicas, Bases de datos usadas a nivel Internacional)

de datos usadas a nivel Internacional) Aspectos legales (Firmas de clausulas)

Definir cronograma de Auditoria

(19)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1:

Importante!!. Respecto a aspectos legales debemos de tener conocimiento o referencia frente a normas relacionadas con la seguridad de la información y delitos informáticos a nivel nacional o internacional, ya que muchas empresas tienen sus servidores en la internacional, ya que muchas empresas tienen sus servidores en la nube, y localizados en otros países.

En el siguiente URL se encuentra un resumen de leyes relacionadas con delitos informáticos para unos 40 países, incluyendo países de Suramérica:

(20)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1:

Algunos países que tienen implementadas leyes contra delitos informáticos son:

Estados Unidos _Canadá _Inglaterra _Alemania

Australia _Japon

(21)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1:

No aplica Don Salomón!!!!!!!!!!!!!!!!!!!!!!!, el que todo

lo sabe

(22)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1:

(23)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1:

Metodología Centuriones

Max Ray Especialista en las Operaciones Marinas. Jake Rockwell –

Especialista en las Misiones

Terrestres.

Ace McCloud –

Especialista en las

(24)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 1:

Metodología Centuriones

Arquitecto de Seguridad Ingeniero 1 Especialista en operaciones de Ingeniero 2 – Especialista en operaciones de Software y Aplicaciones Ingeniero 3 – Especialista en las operaciones de Micro

(25)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 2: “Ejecución de la Auditoria”

Al ejecutar una auditoria para una empresa del tamaño del tipo de empresas mencionados para este ejemplo, el equipo humano de auditorias de seguridad del tipo “PenTesting”, se enfrenta a:

infraestructuras tecnológicas de alta disponibilidad Protocolos de red propietarios

Bases de datos en Clúster

Balanceadores de carga y Switches Transaccionales Pruebas de seguridad del tipo Criptoanálisis

Test de Seguridad Físicos

Recolección de evidencias y hallazgos

(26)

Arquitectura de un Pentesting empresa Cliente DSTEAM

(27)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Durante la ejecución de las auditorias de ejemplo tomadas para esta Desconferencia, los auditorías de seguridad y/o Pen-Testers realizaron pruebas como estas:

Pruebas de intrusión para enlaces VPN con aliados estratégicos

Pruebas de intrusión físicas para tratar de obtener premios de apuestas

Análisis de protocolos de red propietarios

Pruebas de seguridad para servidores con buses transaccionales Pruebas de intrusión desde diferentes VLANS

A nivel general tambien se hacen pruebas tradicionaels, como Ataques a Passwords, redes inalambricas, aplicaciones web, entre otros.

(28)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Durante la ejecución de las auditorias de ejemplo tomadas para esta Desconferencia, los auditorías de seguridad y/o Pen-Testers debieron de evaluar, fundamentarse y conocer tecnologías tales como:

(29)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 3: “Reportes”

Esta es la fase mas importante, ya que depende de lo que se justifique en los reportes, una empresa lo vuelve o no a contratar. Los reportes que se entregan son: Reporte Ejecutivo y Reporte técnico.

Lo que normalmente en DSTEAM colocamos como datos en este tipo Lo que normalmente en DSTEAM colocamos como datos en este tipo de reportes son:

Introducción

Reporte ejecutivo, no mas de 6 paginas, amplio en graficas y muy diciente y concluso frente a las situaciones encontradas en la auditoria de seguridad (Pentesting)

Registro de riesgos, amenzas e impactos mas representativos Metodología usada

(30)

Arquitectura de Un Pentesting Interno para grandes Empresas Servidores B.D DMZ- 1 Internet Nube: Balanceadores de Carga, Switches Transaccionales, Etc Red LAN Ethical Hacker Ethical Hacker Ethical Hacker Ethical Hacker Aliados Estratégicos

(31)

Arquitectura de un Pentesting empresa Cliente DSTEAM

Fase Numero 3: “Reportes” Recomendaciones

Clasificación de las vulnerabilidades Conclusiones

Conclusiones Apéndices

(32)

Algunas Herramientas de Apoyo

Trasparente a que sean grandes organizaciones, de igual forma hay aplicaciones se seguridad a nivel ofensivo que automatizan labores. En DSTEAM usamos las siguientes:

(33)

Como nos capacitamos

Teniendo como un gran propósito empresarial la mejora continua, nuestro equipo de auditores de sistemas de seguridad recibe capacitaciones continuas con importantes empresas a nivel nacional e internacional, participando en cursos y diplomados tales como:

(34)

Como nos capacitamos

Teniendo como un gran propósito empresarial la mejora continua, nuestro equipo de auditores de sistemas de seguridad recibe capacitaciones continuas con importantes empresas a nivel internacional, participando en cursos y diplomados tales como:

Penetration Testing with Offensive Security Wireless Cracking the Perimeter Penetration Testing with

BackTrack

Offensive Security Wireless Attacks

(35)

Como nos capacitamos

Penetration Testing Profesional

Tenable Nessus vulnerability & Compliance Auditing

Coliseum Web Aplication Security

Learn ethical hacking, become a Pentester

(36)

(37)

Conclusiones

Primero “Guru”, Luego Pen-Tester

Es importante un equipo interdisciplinario buen preparado, y

articulado para procesos de Pentesting en grandes empresas.

Metasploit, Backtrack, y todos sus aliados, solo son parte del

proceso de auditoria.

Mas fácil un experto en un aplicativo como OAS aprende a manejar

Metasploit, Backtrack, entre otros, que un experto en Metasploit,

(38)

(39)