Que esperar de un informe de Ethical Hacking, esta charla habla sobre que es lo que sucede con muchos trabajos de ethical hacking y como puede pasar que no se atienden a las expectativas de quien recibe el informe.
Lo que debes esperar de un informe de Ethical Hacking
1.
2. ¿Qué esperar de un informe
de Ethical Hacking?
Ing. Juan Pablo Quiñe Paz
CISSP, ISO 27001LA, OSCP, OSWP, CPTE, Lego® Serious Play® Facilitator
Security Solutions Manager - NeoSecure
@pITea_Security
3. Agenda
• ¿Qué es Ethical Hacking?
• Decisiones
• Problema
– El Informe
– A quien está dirigido
– Perspectiva y Expectativas
• Conclusiones y Recomendaciones
4. ¿Quién soy?
Ing. Juan Pablo Quiñe
15 años de Experiencia
Ingeniero de Soluciones
Consultor
Penetration Tester
ISO 27001
ITIL
Cobit
Auditor
SOX
IT Audit Support
Oficial de Seguridad
Peruvian Social Security
Nextel Perú
OutSourcing
IBM BS
Hewlett Packard
Advisor Important Business Groups
Ramas de Especialidad
Banca
Salud
Telecomunicaciones
Energía
Investigación Paradero - Espacio de Innovación
Adaptabilidad y Estrategia
CoFundador
Expositor Internacional
Bolivia
Colombia
Perú
HobbiesMagia
EducaciónISC2 CISSP Official Instructor
Voluntariado
OWASPLatam Tours 2011-2015
ISACALocal Chapter Speaker
ISSALocal Chapter Speaker
Certificaciones
ISC2 - CISSP
TÜV Rheinland - ISO27001 Lead Auditor
Offensive Security - OSCP, OSWP
Mile 2 - CPTE
Lego® Serious Play® - Facilitator
TrabajoSecurity Solutions Manager - NEOSECURE
Estratega en Seguridad de la
Información e Informática
5. ¿Qué es Ethical Hacking?
Entendamos Ethical Hacking como la
actividad realizada por una compañía o un
individuo autorizado para ayudar a
encontrar posibles brechas de seguridad.
Un Ethical Hacker intentará saltar los
mecanismos de protección con el objetivo
de encontrar alguna falla de seguridad y
reportarla para evitar que un intruso acceda
de manera no autorizada a sus sistemas.
7. Algunas decisiones tomamos para realizar
un Ethical Hacking
¿En qué momento
realizamos un EH?
¿Cuál es el alcance
de un EH?
¿Qué “Tipos de
Evaluación” hay?
¿Qué perfil debe
tener un EH?
¿Qué
Metodologías de
Evaluación hay?
8. ¿En que momento realizamos el EH?
•Reforzar o
Mejorar la
Seguridad
•Proceso cíclico
•Operación
•Cumplimiento
•Estrategia de
Seguridad
•Conocer la
Situación Actual
Prevención Detección
Corrección
Mejora
Continua
9. ¿Qué alcances de EH se definen?
Evaluación Externa
Evaluación Interna
Evaluación Wireless
Ingeniería Social
Evaluación de Aplicaciones Web
Evaluación de Aplicaciones Móviles
Otros…
11. ¿Cuál es el origen del Requerimiento?
OrigenRegulatorio
Auditoría
Aseguramiento
Proceso de
Seguridad
Gestión de
Riesgos
Conocimiento
de Estado
Actual
Fusión
Sospecha de
Fraude
Evaluación de
Nuevo CSO/CIO
Requerimiento
Negocio?
12. ¿Qué perfil tiene el ejecutor del EH?
• CEH
• ECSA
• LPT
EC-Council
• OSCP
• OSWP
• OSCE
Offensive
Security
• CPTE
• CPTC
Mile2
• GPEN
• GWAPT
• GXPN
Sans Institute /
GIAC
• eCPPT
• eMAPT
ElearnSecurity
• CPT
IACRB
14. Hasta aquí ¿Qué tenemos?
Informe
Ejecutivo
Informe
Técnico
Anexos
Objetivo
Alcance
Nivel de Visibilidad
Origen del Requerimiento
Ejecución Especializada
Utilización de Metodologías Reconocidas
16. En que consistió el análisis
• Objetivo: Plantear alternativas de solución
sostenibles
– Analizar los hechos
– Entender la Problemática
– Identificar la causa raiz
18. ¿Quién genera el requerimiento?
?
Gerente de IT o
CIO
Oficial de
Seguridad,
CISO, CSO,
CITSO
Administrador
de Red,
Servidores,
Base de Datos
19. ¿Quién accede al informe?
?
Gerente General, CEO,
CxO’s, Directores
Gerente de IT o CIO
Oficial de Seguridad,
CISO, CSO, CITSO
Administrador de Red,
Servidores, Base de
Datos
Equipo de Desarrollo
Auditoría
Interna/Externa
Asesor
Interno/Externo
Dueño de la
Información/Usuario
del Negocio
Responsable de
Riesgos/ Fraudes
20. ¿Qué buscan en el informe?
Rentabilidad
Soporte Tecnológico
C.I.A.
Disponibilidad
Operatividad
Cumplimiento
Leer entre Líneas
Éxito del Negocio
Riesgo/Fraude
•Información EstrategicaGerente General, CEO, CxO’s,
Directores
•Sustento de soporte de decisionesGerente de IT o CIO
•Información de (In)SeguridadOficial de Seguridad, CISO, CSO, CITSO
•Acciones de ejecuciónAdministrador de Red, Servidores, BD
•Entender la Falla para correcciónEquipo de Desarrollo
•Hallazgos para SeguimientoAuditoría Interna/Externo
•Identificar OportunidadesAsesor Interno/Externo
•Afectación a su negocioDueño de la Información/Usuario del
Negocio
•Existencia de Riesgos / FraudeResponsable de Riesgos/Fraude
21. ¿Qué buscan en el informe?
Rentabilidad
Soporte Tecnológico
C.I.A.
Disponibilidad
Operatividad
Cumplimiento
Leer entre Líneas
Éxito del Negocio
Riesgo/Fraude
•Información EstratégicaGerente General, CEO, CxO’s,
Directores
•Sustento de soporte de decisionesGerente de IT o CIO
•Información de (In)SeguridadOficial de Seguridad, CISO, CSO, CITSO
•Acciones de ejecuciónAdministrador de Red, Servidores, BD
•Entender la Falla para correcciónEquipo de Desarrollo
•Hallazgos para SeguimientoAuditoría Interna/Externo
•Identificar OportunidadesAsesor Interno/Externo
•Afectación a su negocioDueño de la Información/Usuario del
Negocio
•Existencia de Riesgos / FraudeResponsable de Riesgos/Fraude
22. ¿Qué busca el ejecutor?
Contraseñas de
Root
Domain Admin
Vulnerabilidades
Críticas
Demostrar
conocimiento
Demostrar
experiencia
Exponer las
brechas de
seguridad
24. ¿Cuál es la Estructura de un Informe?
Carátula
• Titulo, cliente, clasificación del Documento
Cláusula de Confidencialidad
• Importante para el tratamiento del documento
y la restricción de acceso
Detalles del Documento
• Sobre el servicio, el documento, equipo
ejecutor, tipo de servicio, fechas
Revisión Histórica
• Versionamiento sobre el documento
Índice
• Contenido del Documento
Antecedentes
• Como surge el requerimiento, y a que atiende
originalmente. Los sustentos
Objetivos del Proyecto
• Los objetivos a lograr con esta actividad
Alcance del Proyecto
• Lo que abarcará la evaluación
Breve Reseña
• Un resumen global del resultado, algo
referencial.
Situación Actual
• Un análisis preliminar que toma como base,
algunos de los hallazgos relevantes, y las
falencias resaltantes.
Clasificación del Riesgo
• Los criterios de clasificación sobre los
hallazgos, que implican en términos técnicos,
como en acciones necesarias de ejecución
Resumen de Resultados
• Las tablas con los resultados, y el análisis de los
consultores sobre los hallazgos obtenidos.
Conclusiones
• El resultado de leer entre líneas sobre los
hallazgos obtenidos y su frecuencia de
aparición
Recomendaciones
• Las recomendaciones que responden a las
conclusiones y los hallazgos (a nivel general).
28. ¿Cómo podemos lograrlo?
Gerente de
IT o CIO
Oficial de
Seguridad,
CISO, CSO,
CITSO
Admin
Redes, BD,
Servidores
Gerente
General,
CEO, CxO’s,
Directores
Equipo de
Desarrollo
Auditoría
Interna/Ext
erna
Asesor
Interno/Ext
erno
Dueño de la
Informació
n/Usuario
del Negocio
Responsabl
e de
Riesgos/
Fraudes
Ethical Hacking
30. Consideraciones del EH
Antes Durante Después
Sponsor
Ejecutor
• Involucrar a todos los actores
• Complementar el enfoque tradicional con los
requerimientos del negocio
• Establecer las expectativas con todos los actores
• Diseñar casos de “abuso”
• Tener claridad del objetivo del EH
• Tener clara la expectativa de la empresa
• Proponer en base a la experiencia algunas variables
alineradas al negocio
• Establecer formatos o estructura del informe final
31. Antes Durante Después
Sponsor
Ejecutor
• Asegurarse de entregar la información necesaria
para profundizar en los hallazgos
• Hacer el seguimiento de las acciones y los hitos
del proceso
• Entender al cliente antes de limitarse a buscar la
brecha
• Pensar siempre en el cumplimiento de los objetivos
• Elaborar conclusiones que generen valor y que
busquen solucionar causa raiz
Consideraciones del EH
32. Antes Durante Después
Sponsor
Ejecutor
• Validar si se lograron los objetivos definidos
• Hacer un trabajo de lecciones aprendidas
• Distribuir los resultados y designar plan de acción
alineado al negocio
• Realizar el cierre de las acciones
• Asesorar en la explicación/adecuación de las
recomendaciones
• Apoyar en la presentación a los actores
Consideraciones del EH
34. ¿Qué
esperar de
un informe
de Ethical
Hacking?
Ing. Juan Pablo Quiñe Paz
CISSP, ISO 27001LA, OSCP, OSWP, CPTE, Lego® Serious Play® Facilitator
Information Security Strategist
Juan.quine [at] gmail.com
@pITea_Security
Notas del editor
Otros tipos de Evaluación:
Outsourcing, otras filiales, análisis de código, pruebas de Seguridad Física, SCADA
WhiteBox
GrayBox – se informa de los escenarios, pero no del momento
Double GrayBox – se informa de los campos de acción y las fechas, pero no de los escenarios
Blind/BlackBox – Tradicional, sin mayor conocimiento del pentester sobre el target y si se avisa al equipo de seguriad
Double Blind/ BlackBox – No se avisa al equipo de seguridad sobre las actividades de EH
Rehearsal – Ensayo, donde el objetivo es aprender, o conocer como reaccionar ante un evento o incidente de seguridad
Que origina que una organización genere un presupuesto, priorice, contrate, a un externo que realice una prueba de Etical Hacking.
Information Assurance Certification Review Board (IACRB)
eLearnSecurity Certified Professional Penetration Tester. eCPPT
eMAPT designation stands for eLearnSecurity Mobile Application Penetration Tester
Por ahí incluir herramientas
Acá podría complementar con los requerimientos regulatorios.
Hay otros temas que no están siendo tratados en esta charla como:
- El informe que no llega a todos
- Información restringida por secciones
- Falta de un enfoque orientado al activo de información
- Por mencionar algunos
3.- Hablaremos aquí de expectativa. Aquí comentamos las diferentes personas que lo podrían recibir, y luego abrimos como cada uno de ellos va a tener funciones distintas, y por ende aplicaciones distintas por ende atenderá a distintos objetivos.
**Este punto nos abre una primer conclusión: El informe de Ethical Hacking atiende a diferentes objetivos según quien reciba el informe. (Por esta razón tal vez es dificil atender a las expectativas)
Que busca el Ethical Hacker y trata de obtener durante su trabajo.
----- Meeting Notes (9/9/15 17:25) -----
Decir o incluir, de acuerdo a su rol, cada actor va a buscar objetivos diferentes.
3.- Hablaremos aquí de expectativa. Aquí comentamos las diferentes personas que lo podrían recibir, y luego abrimos como cada uno de ellos va a tener funciones distintas, y por ende aplicaciones distintas por ende atenderá a distintos objetivos.
**Este punto nos abre una primer conclusión: El informe de Ethical Hacking atiende a diferentes objetivos según quien reciba el informe. (Por esta razón tal vez es dificil atender a las expectativas)
Incluir un gráfico de perspectiva
Que busca el Ethical Hacker y trata de obtener durante su trabajo.
----- Meeting Notes (9/9/15 17:25) -----
Decir o incluir, de acuerdo a su rol, cada actor va a buscar objetivos diferentes.
3.- Hablaremos aquí de expectativa. Aquí comentamos las diferentes personas que lo podrían recibir, y luego abrimos como cada uno de ellos va a tener funciones distintas, y por ende aplicaciones distintas por ende atenderá a distintos objetivos.
**Este punto nos abre una primer conclusión: El informe de Ethical Hacking atiende a diferentes objetivos según quien reciba el informe. (Por esta razón tal vez es dificil atender a las expectativas)
Incluir un gráfico de perspectiva
Que busca el Ethical Hacker y trata de obtener durante su trabajo.
----- Meeting Notes (9/9/15 17:25) -----
Decir o incluir, de acuerdo a su rol, cada actor va a buscar objetivos diferentes.
Cada quien va a ten
Donde se queda el informe, y a donde no llega el informe
Ethical Hacking (Iniciativa de Seguridad)
Estrategia de Seguridad
Estrategia del Negocio
Partimos de una iniciativa
Aquí toca hablar de como el ejecutor tiene que cambiar su metodología de trabajo para poder atender a los requerimientos de negocio, y hacer que el informe
Hablar de casos de uso/abuso
Hay otros temas que no están siendo tratados en esta charla como:
- El informe que no llega a todos
- Información restringida por secciones
- Falta de un enfoque orientado al activo de información
- Por mencionar algunos
El informe que va a armarse, que diferencia tiene con respecto a otros
El informe que va a armarse, que diferencia tiene con respecto a otros