jonka Elias Nahum Lainfiesta Castro 7 vuotta sitten
251
Primer Modulo
En el ámbito de la seguridad informática, los atacantes con privilegios de administrador tienen acceso a datos sensibles, especialmente a través de bases de datos de clientes. En lugar de simplemente neutralizar a los atacantes, algunas estrategias modernas incluyen técnicas de monitorización para registrar y analizar sus acciones, con el objetivo de aprender de ellos.
tiene un enfoque mas avanzado y consiste en la construcción de todo un segmento de red compuesto únicamente por equipos de decepción, preparados todos ellos para engañar a los intrusos (permitiendo su acceso sin
demasiada dificultad) los equipos de este segmento ofrecerán servicios de tal modo que puedan atraer la atención de toda una comunidad de intrusos con el objetivo de registrar todos sus movimientos mediante los equipos de la red de decepción.
conocidos como honeypots son equipos informáticos conectados que tratan de atraer el tráfico de uno o más atacantes. De esta forma, sus administradores podrán ver intentos de ataques que tratan de realizar una intrusión en el sistema y analizar cómo se comportan los elementos de seguridad implementados en la red.
en vez de neutralizar las acciones de los atacantes, utilizan técnicas de monitorización para registrar y analizar estas acciones, tratando de aprender de los atacantes.
son un conjunto de aplicaciones que nos permitirán realizar pruebas o tests de ataque para determinar si una red o un equipo tiene deficiencias de seguridad que puedan ser explotadas por un posible atacante o comunidad de atacantes.
El tiempo de almacenamiento de una información a medio plazo puede ser del orden de dos o tres días, con el objetivo de que pueda ser consultada por los analizadores del sistema en el caso de que el proceso de análisis así lo requiera
Tolerancia en fallos: el sistema de detección de intrusiones debe ser capaz de continuar ofreciendo sus servicios aunque sean atacados distintos elementos del sistema incluyendo la situación de que el propio sistema reciba ataque o intrusión.
Escalabilidad: a medida la red va creciendo (medida o velocidad) también aumentará el número de eventos que deberá tratar el sistema. El detector deber ser capaz de soportar este aumento sin producir pérdida de información.
Rendimiento: El rendimiento ofrecido por un sistema de detección de intrusos debe ser suficiente como para poder llegar a realizar una detección en tiempo real, de esta manera se evita que el atacante realice daños al sistema. Según expertos este tiempo debe ser menor/inferior a un minuto.
Eficiencia: el detector de minimizar la tasa de actividad maliciosa no detectada (conocida como falsos negativos). Cuanto menor sea la tasa de falsos negativos, mayor será la eficiencia del sistema. Este es un requisito complicado, ya que en ocasiones puede llegar a ser imposible obtener todo el conocimiento necesario sobre ataques pasados, actuales y futuros.
Precisión: el sistema de detección de intrusos no debe confundir acciones legítimas con acciones deshonestas a la hora de realizar su detección. Si se detecta una acción maliciosa, se hace una denegación de servicio al usuario
MIDAS (Multics Intrusion Detection and Alerting System) creado por la NCSC (National Computer Security Center). Este Sistema de detección fue implementado para monitorizar el Dockmaster de la NCSC en el que se ejecutaba uno de los sistemas operativos más seguros de la época (Multics, precursor de sistemas Unix actuales).
Discovery, capaz de detectar e impedir problemas de seguridad en bases de datos. La novedad del sistema radicaba en el monitoreo de aplicaciones en lugar de analizar el sistema operativo completo. Mediante métodos estadísticos desarrollados por COBOL, Discovery podía detectar posibles abusos.
Uno de los primeros fue Intrusion Detection Expert System (IDES) desarrollado entre 1984 y 1986 por Dorothy Denning y Peter Neumann. Financiado por la marina americana, proponía una correspondencia entre actividad anómala y abuso o uso indebido.
Los mecanismos para la detección de ataques e intrusiones tratan de encontrar y reportar la actividad maliciosa en la red, pudiendo llegar a reaccionar adecuadamente ante un ataque.
el atacante ya con privilegios de administrador tendrá acceso a los datos de los clientes mediante la base de datos de clientes.
toda actividad ejecutada por el atacante (una vez producida la intrusión) para pasar desapercibido en el sistema. Se contemplan actividades tales como: eliminación de entradas sospechosas en ficheros de registro, instalación y modificación de comandos de administración para ocultar la entrada en los sistemas de red, o la actualización de los servicios vulnerables que ha utilizado para la intrusión (para evitar que terceras partes se introduzcan de nuevo en el sistema).
describe la actividad que permitirá al atacante hacerse con privilegios de administrador abusando de algún de las deficiencias encontradas durante la etapa anterior.
el atacante intentará aprender todo lo que pude sobre la red que quiere atacar. En especial, intentar descubrir servicios vulnerables y errores de configuración.
Fase de Vigilancia
Fase de extracción de Información
Fase de ocultación de huellas
Fase de Explotación de Servicio
Mecanismos de prevención y protección
Sistema de Decepcion
Redes de decepción
Equipo de Decepcion
Escaners de Vulnerabiliad
Tipos
Escaners basados en red: aparecieron posteriormente y se han ido haciendo cada vez más populares. Obtienen la información necesaria a través de las conexiones de red que establecen con el objetivo que hay que analizar.
Escaners basados en máquina: fue el primero en utilizarse para la evaluación de vulnerabilidades. Se basa en la utilización de informacion de un sistema para la detección de vulnerabilidades como, errores con permisos de ficheros, cuentas de usuarios abiertas por defecto, entradas de usuarios duplicaos o sospechosas,etc.