Alejandro Hernández, profile picture
Subido porAlejandro Hernández
PPT, PDF604 vistas

De Hacker a C-Level

El documento compara las perspectivas de un hacker y un ejecutivo de alto nivel (C-Level) en temas de seguridad de la información. Explora las diferencias en sus enfoques hacia riesgos, herramientas, lugares de trabajo y lecturas preferidas. También discute temas como vulnerabilidades, pruebas de penetración, amenazas emergentes, administración de riesgos, gobierno corporativo y certificaciones relevantes para cada rol.

Incrustar presentación

Descargado 15 veces
TÓPICOS SELECTOS De Hacker a C-Level México, D.F. 24 de Febrero de 2010 Master in Business Administration Alejandro Hernández [email_address] http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs
AGENDA Hacker mindset Vulnerabilidades / Investigación Pentesting / Evaluación de vulnerabilidades / Espionaje Industrial CVSS Amenazas Certificaciones C-Level mindset CIA Triad Administración de Riesgos Gobierno de TI Estrategia de “Defensa en Profundidad” Regulaciones, estándares y mejores prácticas Certificaciones Comparación de enfoques (Hacker | C-Level)
Punto de partida – Hacker
Punto de partida – C-Level - CEO (Chief Executive Officer) - CISO (Chief Information Security officer) - CSO (Chief Security Officer)
HACKER MINDSET
Vulnerabilidades Stack/Brain/Heap overflows blah blah SQL Injections, blah blah, XSS, blah!... CVSS Investigación R + D ¿En México? De repente todos hacen “ research ” en (in)seguridad pero lo que no saben… Es que enviar “A”x1000000 a una aplicación, o poner <script>alert(‘h4ck3r’);</script> en cualquier formulario Web, NO ES HACER INVESTIGACIÓN !!! Vulnerabilidades / Investigación
Penetration Testing Tiger Teaming Black/Gray/White Box Explotación táctica Evaluación de Vulnerabilidades Espionaje Corporativo Industrial Político
CVSS (Common Vulnerability Scoring System) Fuente: A Complete Guide to the CVSS v2.0
Malware Ciber-crimen Spam Ciber-terrorismo Botnets Script-kiddies Phishing Servicios de Inteligencia? Narcotráfico? Y la lista sigue.. Sigue y .. Sigue !!! Amenazas
Algunos ejemplos: CEH (Certified Ethical Hacker) OPST (OSSTMM Professional Security Tester) GPEN (GIAC Certified Penetration Tester) LPT (Licensed Penetration Tester) CPTS (Certified Penetration Testing Specialist) CEPT (Certified Expert Penetration Tester) Certificaciones
C-LEVEL MINDSET
CIA Triad
Administración de Riesgos Riesgos The CISA Review Manual provides the following definition of risk management : &quot;Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives , and deciding what countermeasures , if any, to take in reducing risk to an acceptable level , based on the value of the information resource to the organization.&quot; Operacionales Reputacionales Internos/Externos Naturales Etc. Amenazas Probabilidad Impacto Contramedidas (Controles)
Gobierno de TI The primary goals for Information Technology governance are to assure that the investments in IT generate business value , and mitigate the risks that are associated with IT. This can be done by implementing an organizational structure with well-defined roles for the responsibility of information, business processes, applications, infrastructure, etc. Gobierno Corporativo Cumplimiento P.e. Sarbanes Oxley
Defensa en Profundidad Origen militar En vez de una sola línea de defensa, varias líneas consecutivas Principio / Estrategia
Regulaciones, estándares y mejores prácticas ISO 27001 / 27002 PCI – DSS Sarbanes Oxley CobiT ITIL NIST-800 CNBV (CUB)
Certificaciones Algunos ejemplos: CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) Lead Auditor ISO 27001 CGEIT (Certified in the Governance of Enterprise IT) CISSP (Certified Information Systems Security Professional) CBCP (Certified Business Continuity Professional)
Finalmente… Una (divertida) COMPARACIÓN DE ENFOQUES (Hacker | C-level)
Riesgo ¿Mi sniffer será detectado en modo promiscuo por la flag PROMISC en mi NIC ? ¿Y si no completo la ejecución remota de código, y %EIP queda apuntando a una dirección de memoria inválida y el proceso me manda SIGSEGV ? ¿ Y si el BOFH (Baster Operator From Hell = Sysadmin ) está conectado en el momento que ingreso y ve mi $export HISTFILE=/dev/null ? ¿ Y si troyanizo el servidor Web Apache con mod_rootme y al reiniciar el módulo no es compatible con la versión y es imposible iniciar el demonio httpd nuevamente? ¿Y si al hacer back-connect el Firewall detiene mi conexión y a la ves el NIDS reporta la intrusión? Hacker C-Level
Disponibilidad Hacker C-Level
Herramientas de trabajo Hacker C-Level
Lugar de trabajo Hacker C-Level
Lecturas Hacker C-Level
Eventos / Reuniones Hacker C-Level C-levels, en la sala de juntas del piso 25, discutiendo la estrategia de seguridad de la información a seguir en el próximo periodo, la cual debe estar alienada a los objetivos de la Compañía. Mexicanos saliendo de DefCon17, haciendo wardriving desde una limosina en Las Vegas, discutiendo si los algoritmos de encripción de la redes WiFi de Casinos/Hoteles son inseguros y si la antena tiene suficiente alcance para romper las contraseñas. hkm nitr0us sirdarckcat scp lightos
GRACIAS México, D.F. 24 de Febrero de 2010 Alejandro Hernández [email_address] http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs

Más contenido relacionado

PDF
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
porEduardo Arriols Nuñez
 
PDF
Red Team: Next Generation Penetration Testing
porEduardo Arriols Nuñez
 
PDF
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
porEduardo Arriols Nuñez
 
PDF
Webminar Gratuito "Barrido de la Red con hping"
porNPROS Perú
 
PDF
Technical Approach to Red Team Operations
porEduardo Arriols Nuñez
 
PDF
Forum 20210824 Suarez-Cavanna Ciberseguridad
porSantiago Cavanna
 
PDF
Curso Virtual de Hacking Ético
porAlonso Eduardo Caballero Quezada
 
PPTX
Hacking Ético Web
porEduardo Arriols Nuñez
 
Red Team: Un cambio necesario para la visión holística de la ciberseguridad
porEduardo Arriols Nuñez
 
Red Team: Next Generation Penetration Testing
porEduardo Arriols Nuñez
 
Hacking Físico: Vulnerando entornos, evadiendo sensores... ¿Misión Imposible?
porEduardo Arriols Nuñez
 
Webminar Gratuito "Barrido de la Red con hping"
porNPROS Perú
 
Technical Approach to Red Team Operations
porEduardo Arriols Nuñez
 
Forum 20210824 Suarez-Cavanna Ciberseguridad
porSantiago Cavanna
 
Curso Virtual de Hacking Ético
porAlonso Eduardo Caballero Quezada
 
Hacking Ético Web
porEduardo Arriols Nuñez
 

La actualidad más candente

PDF
Webinar Gratuito: Hacking Ético
porAlonso Eduardo Caballero Quezada
 
PDF
Servicios tactical consulting services
porcarlos roberto ariza mora
 
PPTX
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
porSantiago Cavanna
 
PDF
Detectar Amenazas Avanzadas
porIBM Digital Sales Colombia
 
PDF
Curso Virtual de Hacking Ético 2020
porAlonso Eduardo Caballero Quezada
 
PPTX
Seguridad clase-2
porLeandro Galindo
 
PPTX
Presentacion Ontología de Seguridad para la securización de sistemas
porguesta3f6ce
 
PPTX
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
porCristian Garcia G.
 
PDF
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
pordgoss
 
PPTX
Hacking etico
porDavid Thomas
 
PDF
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
porCristian Garcia G.
 
PDF
Certified Information Security Professional (CISP)
porvjgarciaq
 
PPSX
Bsides 2019 rafael_huaman_medina
porRafael Huamán Medina
 
PPT
ABC de la seguridad para PyMEs (2009)
porSantiago Cavanna
 
PPTX
Metodología de Defensa Basada en NIST CSF
porCristian Garcia G.
 
PDF
Analisis y diagnostico consultivo Eduardo Rivero
porCristian Garcia G.
 
PDF
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
porIván Portillo
 
PPTX
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
porCristian Garcia G.
 
PDF
Curso Virtual de Hacking Ético
porAlonso Eduardo Caballero Quezada
 
PDF
Curso Virtual Forense de Redes 2019
porAlonso Eduardo Caballero Quezada
 
Webinar Gratuito: Hacking Ético
porAlonso Eduardo Caballero Quezada
 
Servicios tactical consulting services
porcarlos roberto ariza mora
 
Ser pyme no es excusa, para no ocuparse de la ciberseguridad
porSantiago Cavanna
 
Detectar Amenazas Avanzadas
porIBM Digital Sales Colombia
 
Curso Virtual de Hacking Ético 2020
porAlonso Eduardo Caballero Quezada
 
Seguridad clase-2
porLeandro Galindo
 
Presentacion Ontología de Seguridad para la securización de sistemas
porguesta3f6ce
 
Ciber Exposición y Gestión Avanzada de Vulnerabilidades. ¿Considera su estrat...
porCristian Garcia G.
 
Gu a para_evitar_infecciones_de_ransomware_owasp__1568914432
pordgoss
 
Hacking etico
porDavid Thomas
 
SEGURIDAD PARA ESPACIOS DE TRABAJO MODERNO
porCristian Garcia G.
 
Certified Information Security Professional (CISP)
porvjgarciaq
 
Bsides 2019 rafael_huaman_medina
porRafael Huamán Medina
 
ABC de la seguridad para PyMEs (2009)
porSantiago Cavanna
 
Metodología de Defensa Basada en NIST CSF
porCristian Garcia G.
 
Analisis y diagnostico consultivo Eduardo Rivero
porCristian Garcia G.
 
[2020] C1b3rWall Academy - Ivan Portillo y Wiktor Nykiel
porIván Portillo
 
COCINA INTERACTIVA : UN ENCUENTRO DE EXPERIENCIAS
porCristian Garcia G.
 
Curso Virtual de Hacking Ético
porAlonso Eduardo Caballero Quezada
 
Curso Virtual Forense de Redes 2019
porAlonso Eduardo Caballero Quezada
 

Similar a De Hacker a C-Level

PPTX
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
porHéctor López
 
PDF
Optimiti Ciberseguridad
porPMI Capítulo México
 
PPTX
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
porPanda Security
 
PDF
Ciberseguridad: CAso Alma Technologies
porSantiago Toribio Ayuga
 
PPTX
PPT_Carlos Nieto_v03_06_2021.pptx
porFernandoGonzalez668747
 
PDF
Sistemas de Control y contención de amenazas CISCO
porgugarte
 
PDF
424454235-Hackers-WhiteBook-INDICE.pdf
porJeysonMendozaJimenez1
 
PDF
Pentest - El Arte de la Guerra
porLuis Cortes Zavala
 
PPTX
20150423 Jornada_Col Abogados
porAntonio Ramos
 
PPTX
CIBERSEGURIDAD- EXPERIENCIAS FORMATIVAS I.pptx
porAlonsoAliaga5
 
PPT
Gestion
porealvarez2010
 
PDF
Conferencia OMHE Backtrack 5
porHéctor López
 
PDF
Intro cybersecurity additional resources and activities
porGuido Romo
 
PPTX
PLAN DE CIBERINTELIGENCIA DE AMENZAS.pptx
porhenrryvc03
 
PDF
Presentación aensis
porJose Luis Garcia Rodriguez
 
PPTX
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
porromeroabelci00
 
PDF
Desafíos de la Ciberseguridad Industrial
porMariano M. del Río
 
PPT
Eq 4 seg- fiis- sans institute
porAlexander Velasque Rimac
 
PPTX
Pentesting
porEventos Creativos
 
PPT
Sistema Monitoreo fukl
porFundación Universitaria Konrad Lorenz
 
#5minutosdehacking Con Héctor López curso de seguridad informática en el tecn...
porHéctor López
 
Optimiti Ciberseguridad
porPMI Capítulo México
 
¿Qué es Threat Hunting y por qué lo necesitas? - Panda Security
porPanda Security
 
Ciberseguridad: CAso Alma Technologies
porSantiago Toribio Ayuga
 
PPT_Carlos Nieto_v03_06_2021.pptx
porFernandoGonzalez668747
 
Sistemas de Control y contención de amenazas CISCO
porgugarte
 
424454235-Hackers-WhiteBook-INDICE.pdf
porJeysonMendozaJimenez1
 
Pentest - El Arte de la Guerra
porLuis Cortes Zavala
 
20150423 Jornada_Col Abogados
porAntonio Ramos
 
CIBERSEGURIDAD- EXPERIENCIAS FORMATIVAS I.pptx
porAlonsoAliaga5
 
Gestion
porealvarez2010
 
Conferencia OMHE Backtrack 5
porHéctor López
 
Intro cybersecurity additional resources and activities
porGuido Romo
 
PLAN DE CIBERINTELIGENCIA DE AMENZAS.pptx
porhenrryvc03
 
Presentación aensis
porJose Luis Garcia Rodriguez
 
CIBERSEGURIDAD Y SEGURIDAD INFORMATICA .
porromeroabelci00
 
Desafíos de la Ciberseguridad Industrial
porMariano M. del Río
 
Eq 4 seg- fiis- sans institute
porAlexander Velasque Rimac
 
Pentesting
porEventos Creativos
 
Sistema Monitoreo fukl
porFundación Universitaria Konrad Lorenz
 

Más de Alejandro Hernández

PPTX
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
porAlejandro Hernández
 
PPTX
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
porAlejandro Hernández
 
PPTX
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
porAlejandro Hernández
 
PPTX
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
porAlejandro Hernández
 
PPTX
Malware en Linux - Barcamp SE - Cali, Colombia 2013
porAlejandro Hernández
 
PPTX
Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
porAlejandro Hernández
 
PDF
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
porAlejandro Hernández
 
PPT
ELF en la mira: Hacking y Defensa
porAlejandro Hernández
 
PPT
Live Hacking : del Bug al Exploit
porAlejandro Hernández
 
PPT
Fuzzeando Snort con opciones TCP/IP
porAlejandro Hernández
 
Are You Trading Stocks Securely? Exposing Security Flaws in Trading Technologies
porAlejandro Hernández
 
Brain Waves Surfing - (In)security in EEG (Electroencephalography) Technologies
porAlejandro Hernández
 
In the lands of corrupted elves - Breaking ELF software with Melkor fuzzer
porAlejandro Hernández
 
Tips y Experiencias de un Consultor en Seguridad Informática - Campus Party C...
porAlejandro Hernández
 
Malware en Linux - Barcamp SE - Cali, Colombia 2013
porAlejandro Hernández
 
Seguridad Física - Mira Mamá, como Jason Bourne - BugCON 2013
porAlejandro Hernández
 
DotDotPwn Fuzzer - Black Hat 2011 (Arsenal)
porAlejandro Hernández
 
ELF en la mira: Hacking y Defensa
porAlejandro Hernández
 
Live Hacking : del Bug al Exploit
porAlejandro Hernández
 
Fuzzeando Snort con opciones TCP/IP
porAlejandro Hernández
 

Último

DOCX
Métodos de Prueba de Conectividad
por71229063
 
PDF
Especificación Técnica _ Technical Specification - NSHOU 4x120mm².pdf
porAnhui Feichun Special Cable Co., Ltd.
 
PDF
TRIANGULOS DEL CUELLO. TODOS LOS TRIANGULOS DEL CUELLO
porluisangelmendozacaba
 
PPTX
Guía definitiva para mejorar tu rendimiento en Call of Duty Mobile 2026
porirvingoctaviogomezro1
 
PPTX
Reparacion_Celulares_Pro_para todo tecnico.pptx
pormauri730040
 
PPTX
gingivoperiodontales_microbiologc3ada.pptx
porClaudiaElizabethBarr1
 
Métodos de Prueba de Conectividad
por71229063
 
Especificación Técnica _ Technical Specification - NSHOU 4x120mm².pdf
porAnhui Feichun Special Cable Co., Ltd.
 
TRIANGULOS DEL CUELLO. TODOS LOS TRIANGULOS DEL CUELLO
porluisangelmendozacaba
 
Guía definitiva para mejorar tu rendimiento en Call of Duty Mobile 2026
porirvingoctaviogomezro1
 
Reparacion_Celulares_Pro_para todo tecnico.pptx
pormauri730040
 
gingivoperiodontales_microbiologc3ada.pptx
porClaudiaElizabethBarr1
 

De Hacker a C-Level

  • 1.
    TÓPICOS SELECTOS DeHacker a C-Level México, D.F. 24 de Febrero de 2010 Master in Business Administration Alejandro Hernández [email_address] http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs
  • 2.
    AGENDA Hacker mindset Vulnerabilidades / Investigación Pentesting / Evaluación de vulnerabilidades / Espionaje Industrial CVSS Amenazas Certificaciones C-Level mindset CIA Triad Administración de Riesgos Gobierno de TI Estrategia de “Defensa en Profundidad” Regulaciones, estándares y mejores prácticas Certificaciones Comparación de enfoques (Hacker | C-Level)
  • 3.
    Punto de partida– Hacker
  • 4.
    Punto de partida– C-Level - CEO (Chief Executive Officer) - CISO (Chief Information Security officer) - CSO (Chief Security Officer)
  • 5.
  • 6.
    Vulnerabilidades Stack/Brain/Heap overflowsblah blah SQL Injections, blah blah, XSS, blah!... CVSS Investigación R + D ¿En México? De repente todos hacen “ research ” en (in)seguridad pero lo que no saben… Es que enviar “A”x1000000 a una aplicación, o poner <script>alert(‘h4ck3r’);</script> en cualquier formulario Web, NO ES HACER INVESTIGACIÓN !!! Vulnerabilidades / Investigación
  • 7.
    Penetration Testing TigerTeaming Black/Gray/White Box Explotación táctica Evaluación de Vulnerabilidades Espionaje Corporativo Industrial Político
  • 8.
    CVSS (CommonVulnerability Scoring System) Fuente: A Complete Guide to the CVSS v2.0
  • 9.
    Malware Ciber-crimen SpamCiber-terrorismo Botnets Script-kiddies Phishing Servicios de Inteligencia? Narcotráfico? Y la lista sigue.. Sigue y .. Sigue !!! Amenazas
  • 10.
    Algunos ejemplos: CEH(Certified Ethical Hacker) OPST (OSSTMM Professional Security Tester) GPEN (GIAC Certified Penetration Tester) LPT (Licensed Penetration Tester) CPTS (Certified Penetration Testing Specialist) CEPT (Certified Expert Penetration Tester) Certificaciones
  • 11.
  • 12.
  • 13.
    Administración de RiesgosRiesgos The CISA Review Manual provides the following definition of risk management : &quot;Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives , and deciding what countermeasures , if any, to take in reducing risk to an acceptable level , based on the value of the information resource to the organization.&quot; Operacionales Reputacionales Internos/Externos Naturales Etc. Amenazas Probabilidad Impacto Contramedidas (Controles)
  • 14.
    Gobierno de TIThe primary goals for Information Technology governance are to assure that the investments in IT generate business value , and mitigate the risks that are associated with IT. This can be done by implementing an organizational structure with well-defined roles for the responsibility of information, business processes, applications, infrastructure, etc. Gobierno Corporativo Cumplimiento P.e. Sarbanes Oxley
  • 15.
    Defensa en ProfundidadOrigen militar En vez de una sola línea de defensa, varias líneas consecutivas Principio / Estrategia
  • 16.
    Regulaciones, estándares ymejores prácticas ISO 27001 / 27002 PCI – DSS Sarbanes Oxley CobiT ITIL NIST-800 CNBV (CUB)
  • 17.
    Certificaciones Algunos ejemplos:CISA (Certified Information Systems Auditor) CISM (Certified Information Security Manager) Lead Auditor ISO 27001 CGEIT (Certified in the Governance of Enterprise IT) CISSP (Certified Information Systems Security Professional) CBCP (Certified Business Continuity Professional)
  • 18.
    Finalmente… Una (divertida)COMPARACIÓN DE ENFOQUES (Hacker | C-level)
  • 19.
    Riesgo ¿Mi sniffer será detectado en modo promiscuo por la flag PROMISC en mi NIC ? ¿Y si no completo la ejecución remota de código, y %EIP queda apuntando a una dirección de memoria inválida y el proceso me manda SIGSEGV ? ¿ Y si el BOFH (Baster Operator From Hell = Sysadmin ) está conectado en el momento que ingreso y ve mi $export HISTFILE=/dev/null ? ¿ Y si troyanizo el servidor Web Apache con mod_rootme y al reiniciar el módulo no es compatible con la versión y es imposible iniciar el demonio httpd nuevamente? ¿Y si al hacer back-connect el Firewall detiene mi conexión y a la ves el NIDS reporta la intrusión? Hacker C-Level
  • 20.
  • 21.
  • 22.
    Lugar de trabajoHacker C-Level
  • 23.
  • 24.
    Eventos / ReunionesHacker C-Level C-levels, en la sala de juntas del piso 25, discutiendo la estrategia de seguridad de la información a seguir en el próximo periodo, la cual debe estar alienada a los objetivos de la Compañía. Mexicanos saliendo de DefCon17, haciendo wardriving desde una limosina en Las Vegas, discutiendo si los algoritmos de encripción de la redes WiFi de Casinos/Hoteles son inseguros y si la antena tiene suficiente alcance para romper las contraseñas. hkm nitr0us sirdarckcat scp lightos
  • 25.
    GRACIAS México, D.F.24 de Febrero de 2010 Alejandro Hernández [email_address] http://www.brainoverflow.org Asesor de Seguridad en TI CubilFelino Security Research Labs