Auditoría de Seguridad: Metodología, Herramientas y Mejores Prácticas

Ingeniería del software, , , , , , ,

Metodología de Auditoría de Seguridad

Fases de la Auditoría

  • Definición del Alcance: Es la primera fase del análisis.
  • Análisis de Requisitos: Se deben definir las responsabilidades y funciones de cada auditor.
  • Recopilación de Información: Se utilizan diversas herramientas y técnicas.
  • Análisis de Vulnerabilidades: Se identifican las debilidades del sistema.
  • Pruebas de Penetración (Ethical Hacking): Se simulan ataques para evaluar la seguridad.
  • Análisis de Riesgos: Se evalúa la probabilidad y el impacto de las amenazas.
  • Elaboración de Informes: Se documentan los hallazgos, riesgos y recomendaciones.
  • Presentación de Resultados: Se comunican los resultados a las partes interesadas.

Tipos de Auditoría

  • Caja Negra: Se realiza sin conocimientos previos sobre el objetivo. Simula un ataque externo.
  • Caja Blanca: Se realiza con privilegios e información completa del sistema.
  • Caja Gris: Se realiza con conocimientos parciales del sistema.

Marcos de Referencia

Es posible aplicar varios marcos de referencia integrados, como:

  • CCN-CERT
  • INÉS
  • NIST 800-30 (Metodología para la gestión de riesgos)

Conceptos Clave en Auditoría de Seguridad

  • Hallazgo: Resultado de una auditoría que identifica una no conformidad o una oportunidad de mejora. Debe ser preciso, objetivo y convincente.
  • Riesgo: Se calcula como Riesgo = Probabilidad x Impacto.
  • Amenaza: Evento que puede explotar una vulnerabilidad. Pueden ser naturales, intencionadas o no intencionadas.
  • Vulnerabilidad: Debilidad en un sistema que puede ser explotada por una amenaza.
  • Impacto: Consecuencia de la materialización de una amenaza.
  • Pruebas de Cumplimiento: Verifican si los procedimientos funcionan adecuadamente.
  • Pruebas Clásicas: Por ejemplo, realizar consultas a una base de datos.
  • Salvaguardas: Medidas para mitigar o evitar riesgos. Pueden ser preventivas (ante la vulnerabilidad) o curativas (sobre el impacto).
  • Riesgos Residuales: Riesgos que permanecen después de implementar las salvaguardas.

Principios de Seguridad (CIA)

  • Confidencialidad: La información solo debe ser accesible para personas autorizadas.
  • Integridad: La información debe ser precisa y completa, y no debe ser modificada sin autorización.
  • Disponibilidad: La información debe estar disponible para los usuarios autorizados cuando la necesiten.

Ataques y Principios de Seguridad

  • Intercepción: Afecta la confidencialidad.
  • Modificación: Afecta la integridad.
  • Interrupción: Afecta la disponibilidad.
  • Fabricación: Afecta la autenticidad.

Herramientas de Auditoría de Seguridad

Análisis de Red

  • Wireshark: Analizador de protocolos de red.
  • Nmap: Escáner de puertos y servicios. Opciones relevantes:
    • -F: Realiza un escaneo de los puertos más utilizados.
  • Netstat: Muestra las conexiones de red activas (estados ESTABLISHED o TIME_WAIT).
  • Nbtscan: Escáner de NetBIOS (para obtener información como IP, nombre NetBIOS, servidor, usuario, etc.).
  • Traceroute: Permite averiguar la cantidad de saltos de red hasta un destino.
  • Ping: Envía paquetes ICMP de solicitud y respuesta para verificar la conectividad.
  • NetworkMiner: Herramienta de análisis forense de red. (Nota: Permite leer archivos de captura de paquetes de otros programas como Wireshark).
  • Tcpdump: Capturador de paquetes en línea de comandos.
  • Dsniff: Conjunto de herramientas para auditoría y pruebas de penetración de red.
  • Cain y Abel: Herramienta de recuperación de contraseñas y análisis de red.

Análisis de Vulnerabilidades Web

  • OWASP ZAP: Proxy de intercepción y escáner de seguridad web.
  • Nikto: Escáner de vulnerabilidades en servidores web.

Análisis de Sistemas y Servicios

  • Top/Htop (Linux): Permiten conocer los recursos del sistema.
  • SSH: Permite realizar una conexión segura a una máquina remota.
  • Powershell: Herramienta nativa de Windows para administración y automatización. Su uso en auditorías se debe a que puede evadir sistemas de seguridad con mayor facilidad al ser nativa.
  • nslookup: Herramienta para la depuración de errores de los servicios DNS.

Análisis de Contraseñas

  • John the Ripper: Herramienta para evaluar la robustez de las contraseñas.

Análisis Forense

El análisis forense se enfoca en la prevención, detección y recuperación de incidentes de seguridad.

Ingeniería Social

La ingeniería social es la práctica de obtener información confidencial a través de la manipulación de personas.

Ataques a Redes Inalámbricas

  • Aircrack-ng: Conjunto de herramientas para auditoría de redes Wi-Fi (Nota: Incluye herramientas como aircrack, airdump, airplay, y airmon).

Firewalls y Proxies

Tipos de Firewall

  • Screening Router: Analiza la cabecera de los paquetes, comprueba las reglas y las ejecuta.
  • Firewall de Aplicación (WAF): Filtra el tráfico a nivel de aplicación (capa 7 del modelo OSI).
  • Firewall Personal: Reside en un equipo de la red y controla el acceso a la red del mismo.

Reglas de Firewall

Las reglas de firewall pueden ser:

  • Bloquear: Deniega el tráfico.
  • Permitir: Permite el tráfico.
  • Ignorar: Descarta el tráfico sin enviar respuesta.

Políticas de Firewall

  • Política Restrictiva: Se deniega todo el tráfico excepto el explícitamente permitido.
  • Política Permisiva: Se permite todo el tráfico excepto el explícitamente denegado.

Proxy de Aplicación

Utiliza una estructura cliente-servidor. El servidor proxy actúa como último punto de comunicación y evalúa las peticiones que le llegan del proxy cliente hacia el servidor real de la comunicación. Facilita la autenticación y la auditoría del tráfico sospechoso. La pasarela de aplicación permite enmascarar la dirección de las máquinas de la red interna. Las comunicaciones se limitan a aquellos servicios para los que existe un proxy.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.