Marco Antonio Perelli Henríquez, profile picture
Subido porMarco Antonio Perelli Henríquez
PPTX, PDF210 vistas

Resumen ejecutivo eh

El documento describe diferentes metodologías de Ethical Hacking como OSSTMM, ISSAF y EC-Council. Explica que el objetivo del Ethical Hacking es evaluar la seguridad de sistemas de información explotando vulnerabilidades mediante pruebas de intrusión. También define las diferencias entre auditorías de caja negra, caja blanca y caja gris, y señala que luego de identificar vulnerabilidades y amenazas se evalúa el riesgo clasificándolo según el análisis.

Incrustar presentación

Descargar para leer sin conexión
Resumen de contenidos
¿Qué buscamos con un EH? • Ethical Hacking o hackeo ético, que no es más que es explotar las vulnerabilidades existentes, valiéndose de un test de intrusión, a fin de evaluar la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etc.
Metodologías de EH Metodología que propone un proceso de evaluación de una serie de áreas que refleja de manera fiel los niveles de seguridad presentes en la infraestructura que va a ser auditada, a estos niveles de seguridad se le denominan comúnmente “Dimensiones de Seguridad”.  Seguridad de la Información  Seguridad de los Procesos  Seguridad en las tecnologías de Internet  Seguridad en las comunicaciones  Seguridad inalámbrica  Seguridad Física OSSTMM (Open-Source Security Testing Methodology Manual).
Metodologías de EH Marco metodológico de trabajo desarrollado por la OISSG que permite clasificar la información de la evaluación de seguridad en diversos dominios usando diferentes criterios de prueba. Algunas de las características más representativas de ISSAF Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones de seguridad. Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes. Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles.
Metodologías de EH  Pruebas de firma digital de aplicaciones Web.  Comprobaciones del sistema de autenticación.  Pruebas de Cross Site Scripting.  Inyección XML  Inyección SOAP  HTTP Smuggling  Sql Injection  LDAP Injection  Polución de Parámetros  Cookie Hijacking  Cross Site Request Forgery Metodología de pruebas enfocada en la seguridad de aplicaciones
Metodologías de EH Metodología de pruebas de seguridad desarrollada por el International Council of Electronic Commerce Consultants (EC- Council)  Obtención de Información.  Obtención de acceso.  Enumeración.  Escala de privilegios.  Reporte.
EH: caja negra, caja blanca y caja gris, diferencias. Auditoría de «Caja blanca»: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado. Es útil porque no se invierte tiempo en el «fingerprint» (descubrimiento) de la infraestructura, sistemas utilizados, etc.
EH: caja negra, caja blanca y caja gris, diferencias. Auditoría de «Caja negra»: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los sistemas utilizados, la tecnología del sitio web, etc. Es útil para simular un ataque de un intruso real y darnos una idea de las consecuencias que esto puede tener, puede llevar mas tiempo.
EH: caja negra, caja blanca y caja gris, diferencias. Auditoría de «Caja gris»: es la auditoría que mezcla características de las dos anteriores, posiblemnete sea la mejor porque simulemos un ataque y a la vez consigamos un mejor código de nuestras aplicaciones, se pude dar a conocer parte de la información al auditor y pedirle que a partir de ella intente «escalar» al resto del sistema además se puede intentar este test comenzando desde varios puntos, red interna, red externa, a través del wifi, a través del puesto de un empleado, a traves de la extranet, etc.
Evaluación de Riesgos Una vez identificadas las vulnerabilidades y las amenazas, se determinan los riesgos inherentes y se procede a realizar el análisis de cada riesgo. A fin de evaluar el riesgo, se lo clasifica de acuerdo a los resultados obtenidos según el análisis de riesgo.
Ejemplo de alcances del test EH
Ejemplo de alcances del test EH

Más contenido relacionado

PDF
Mss solution guide
porArista Networks
 
PDF
Shparkley: Scaling Shapley with Apache Spark
porDatabricks
 
PDF
Ccnp presentation day 4 sd-access vs traditional network architecture
porSagarR24
 
ODP
Ravada VDI Eslibre
porfrankiejol
 
PDF
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
porAlejandro Corletti Estrada
 
PDF
Isec presentacion agesic_2009_martin_vila_julio_balderrama
porCarlos Montañez
 
PDF
hackinbo.pdf
porHacking Bolivia
 
PPTX
Unidad2 seguridad informatica 3ero inf
porivannesberto
 
Mss solution guide
porArista Networks
 
Shparkley: Scaling Shapley with Apache Spark
porDatabricks
 
Ccnp presentation day 4 sd-access vs traditional network architecture
porSagarR24
 
Ravada VDI Eslibre
porfrankiejol
 
Auditoría, Evaluación, Test de de seguridad (OSSTMM?)
porAlejandro Corletti Estrada
 
Isec presentacion agesic_2009_martin_vila_julio_balderrama
porCarlos Montañez
 
hackinbo.pdf
porHacking Bolivia
 
Unidad2 seguridad informatica 3ero inf
porivannesberto
 

Similar a Resumen ejecutivo eh

PPTX
Hacking Ético Web
porEduardo Arriols Nuñez
 
PDF
Pruebas de Intrusión utilizando Open Source
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
PPSX
Clase 3 metodologías de control interno, seguridad y auditoría
poredithua
 
PDF
Hacking ético
porBase10media
 
PDF
Webinar Gratuito "Hacking Ético"
porAlonso Eduardo Caballero Quezada
 
PDF
Castaneda suarezandresfernando2017
porIdat
 
PPTX
Unidad II_HAcking Etico II.pptx
porEduardoGuerreroCueva1
 
PDF
Unidad II 2.1. como diseñar un proyecto pdf
pormarco392745
 
PPTX
Presentación Escaneo-de-vulnerabilidades
porMelvisPalacios1
 
PDF
Ceh
porDenys Flores
 
PPTX
Ethical_Hacking_Intro.pptx
porFreddVargas1
 
PPT
Metodologia para detectar vulnerabilidades de los activos
porAlexander Velasque Rimac
 
ODP
Tests de intrusión. Análisis de seguridad en GNU/Linux
porseguridadelinux
 
PPTX
Unidad2 tipos de hacking 3ero inf
porivannesberto
 
PPTX
Interesante 23 pags 229594550-01-penetration-test
porxavazquez
 
PPTX
Isc2 security congress latam 2015 presentation v5p
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
PPTX
Auditoria de sistemas
porfefer87
 
PPTX
Auditoria de sistemas
porfefer87
 
PPTX
Auditoria de sistemas presentacion
porfefer87
 
PDF
1.1 introducción
pormarlexchaya
 
Hacking Ético Web
porEduardo Arriols Nuñez
 
Pruebas de Intrusión utilizando Open Source
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Clase 3 metodologías de control interno, seguridad y auditoría
poredithua
 
Hacking ético
porBase10media
 
Webinar Gratuito "Hacking Ético"
porAlonso Eduardo Caballero Quezada
 
Castaneda suarezandresfernando2017
porIdat
 
Unidad II_HAcking Etico II.pptx
porEduardoGuerreroCueva1
 
Unidad II 2.1. como diseñar un proyecto pdf
pormarco392745
 
Presentación Escaneo-de-vulnerabilidades
porMelvisPalacios1
 
Ceh
porDenys Flores
 
Ethical_Hacking_Intro.pptx
porFreddVargas1
 
Metodologia para detectar vulnerabilidades de los activos
porAlexander Velasque Rimac
 
Tests de intrusión. Análisis de seguridad en GNU/Linux
porseguridadelinux
 
Unidad2 tipos de hacking 3ero inf
porivannesberto
 
Interesante 23 pags 229594550-01-penetration-test
porxavazquez
 
Isc2 security congress latam 2015 presentation v5p
porIng. Juan Pablo Quiñe Paz, CISSP-ISSMP
 
Auditoria de sistemas
porfefer87
 
Auditoria de sistemas
porfefer87
 
Auditoria de sistemas presentacion
porfefer87
 
1.1 introducción
pormarlexchaya
 

Resumen ejecutivo eh

  • 1.
  • 2.
    ¿Qué buscamos conun EH? • Ethical Hacking o hackeo ético, que no es más que es explotar las vulnerabilidades existentes, valiéndose de un test de intrusión, a fin de evaluar la seguridad física y lógica de los sistemas de información, redes de computadoras, aplicaciones web, bases de datos, servidores, etc.
  • 3.
    Metodologías de EH Metodologíaque propone un proceso de evaluación de una serie de áreas que refleja de manera fiel los niveles de seguridad presentes en la infraestructura que va a ser auditada, a estos niveles de seguridad se le denominan comúnmente “Dimensiones de Seguridad”.  Seguridad de la Información  Seguridad de los Procesos  Seguridad en las tecnologías de Internet  Seguridad en las comunicaciones  Seguridad inalámbrica  Seguridad Física OSSTMM (Open-Source Security Testing Methodology Manual).
  • 4.
    Metodologías de EH Marco metodológicode trabajo desarrollado por la OISSG que permite clasificar la información de la evaluación de seguridad en diversos dominios usando diferentes criterios de prueba. Algunas de las características más representativas de ISSAF Brinda medidas que permiten reflejar las condiciones de escenarios reales para las evaluaciones de seguridad. Esta metodología se encuentra principalmente enfocada en cubrir los procesos de seguridad y la evaluación de los mismos para así obtener un panorama completo de las vulnerabilidades existentes. Permite el desarrollo de matriz de riesgo para verificar la efectividad en la implementación de controles.
  • 5.
    Metodologías de EH  Pruebasde firma digital de aplicaciones Web.  Comprobaciones del sistema de autenticación.  Pruebas de Cross Site Scripting.  Inyección XML  Inyección SOAP  HTTP Smuggling  Sql Injection  LDAP Injection  Polución de Parámetros  Cookie Hijacking  Cross Site Request Forgery Metodología de pruebas enfocada en la seguridad de aplicaciones
  • 6.
    Metodologías de EH Metodología depruebas de seguridad desarrollada por el International Council of Electronic Commerce Consultants (EC- Council)  Obtención de Información.  Obtención de acceso.  Enumeración.  Escala de privilegios.  Reporte.
  • 7.
    EH: caja negra, caja blancay caja gris, diferencias. Auditoría de «Caja blanca»: son las auditorías que se realizan con acceso a la información interna de la empresa, por ejemplo: detalles de la red como: segmentos de red, mapa de red, firewall, impresora en red, sistemas operativos utilizados, tipo de autenticación, usuarios, tecnología del sitio web, etc. Se puede utilizar para simular un ataque a la infraestructura de una persona que pertenece a la organización, por ejemplo un trabajador cabreado. Es útil porque no se invierte tiempo en el «fingerprint» (descubrimiento) de la infraestructura, sistemas utilizados, etc.
  • 8.
    EH: caja negra, caja blancay caja gris, diferencias. Auditoría de «Caja negra»: es la auditoría que se realiza sin dar ningún tipo de información al auditor y es el quien debe descubrir el segmento de red, los sistemas utilizados, la tecnología del sitio web, etc. Es útil para simular un ataque de un intruso real y darnos una idea de las consecuencias que esto puede tener, puede llevar mas tiempo.
  • 9.
    EH: caja negra, caja blancay caja gris, diferencias. Auditoría de «Caja gris»: es la auditoría que mezcla características de las dos anteriores, posiblemnete sea la mejor porque simulemos un ataque y a la vez consigamos un mejor código de nuestras aplicaciones, se pude dar a conocer parte de la información al auditor y pedirle que a partir de ella intente «escalar» al resto del sistema además se puede intentar este test comenzando desde varios puntos, red interna, red externa, a través del wifi, a través del puesto de un empleado, a traves de la extranet, etc.
  • 10.
    Evaluación de Riesgos Unavez identificadas las vulnerabilidades y las amenazas, se determinan los riesgos inherentes y se procede a realizar el análisis de cada riesgo. A fin de evaluar el riesgo, se lo clasifica de acuerdo a los resultados obtenidos según el análisis de riesgo.
  • 11.
  • 12.