analisis de vulnerabilidades metodologias hacking etico, pruebas de intrusion

5/17/2018 Analisis de Vulnerabilidades Metodologias Hacking Etico, Pruebas de Intrusion - slidepdf.com

http://slidepdf.com/reader/full/analisis-de-vulnerabilidades-metodologias-hacking-etico-pruebas-de-intrusion 1/4

ANALISIS DE VULNERABILIDADES, METODOLOGIAS, HACKING ETICO YPRUEBAS DE INTRUSION

A través de un análisis de vulnerabilidades, un analista en seguridad puedeexaminar la robustez y seguridad de cada uno de los sistemas y dispositivos anteataques y obtener la información necesaria para analizar cuáles son lascontramedidas que se pueden aplicar con el fin de minimizar el impacto de unataque.

El análisis de vulnerabilidades debe realizarse:

-Cuando ocurran cambios en el diseño de la red o los sistemas.-Cuando se realicen actualizaciones de los dispositivos.

-Periódicamente.

Existen otros tipos de análisis de vulnerabilidades:

1. Análisis de Vulnerabilidades Interno: se trata de pruebas de penetracióndesde la red interna que identifican los riesgos de las redes y sistemasinternos, demostrando lo que podría hacer un usuario que ha ganado acceso a lared, simulando ser un usuario interno malintencionado. Este tipo de pruebas sonmuy interesantes pues estudios realizados sobre la seguridad de la informacióndemuestran que alrededor del 80 al 90% de las violaciones de seguridad seoriginan desde usuarios internos.

2. Análisis de Vulnerabilidades Externo: se trata de pruebas de penetracióndesde internet que identifican los riesgos de la red perimetral (es una red local quese ubica entre la red interna de una organización y una red externa,generalmente Internet.)y analizan si estos pueden ser utilizados para acceder a sured, violando sus medidas de seguridad, y en tal caso examinar si se produce eldebido registro de lo que está sucediendo y si se accionan o no las alertasapropiadas, verificando la efectividad de los firewalls, de los sistemas de detecciónde intrusos (IDS), de los sistemas operativos y de los dispositivos decomunicaciones visibles desde Internet.

3. Análisis de Vulnerabilidades de aplicaciones web: identifica los riesgos delas Aplicaciones Web, verificando los esquemas de autenticación y probando lastecnologías utilizadas en la implementación de las mismas.



Los Análisis de Vulnerabilidades deben efectuarse periódicamente, pues a diariose descubren Nuevas Vulnerabilidades debido a su carácter evolutivo

METODOS

Tipos de análisis de vulnerabilidades

CAJA NEGRA:

Es una unidad la cual su estructura interna se desconoce, pero la función estádocumentada. Los diseñadores de hardware y de software utilizan este términopara hacer referencia a los circuitos o al código de programación que ejecutandeterminada función. La mecánica interna de la función no es algo que interese al

diseñador que utiliza una caja negra para obtener una función. Por ejemplo, unchip de memoria puede considerarse una caja negra. Muchas personas utilizanchips de memoria, e incluso los diseñan para los equipos informáticos, pero por logeneral sólo los diseñadores de chips de memoria necesitan comprender sufuncionamiento interno.

Existe un analista al cual solo se le da la información para acceder a la red o alsistemas esta puede ser una dirección IP, por lo tanto este analista debe obtener

toda la información posible.

CAJA BLANCA.

Es el Método de prueba del software que pone a prueba las estructuras internas oel funcionamiento de una aplicación en lugar de su funcionalidad (pruebas de cajanegra).En las pruebas de caja blanca el código fuente o un binario compilado se evalúadesde un punto de vista interno para buscar vulnerabilidades de seguridad yerrores de programación. Generalmente se utiliza en fases tempranas deldesarrollo, mientras el código y los módulos son creados.

El analista puede tener acceso a toda la red q va a analizar, tiene el privilegio deentrar a todos los equipos de la red como super usuario, lo cual permite que sea

mas completo.

HACKING ETICO



profesionales de la seguridad que aplican sus conocimientos de hacking con finesdefensivos (y legales).Desde el Punto de v ista de Un indiv iduo, un Hacker

Ét ico es un profesional que tiene las habilidades para evaluar la seguridad deun sistema informático de forma integral, llevando a la p ractica una serie depasos secuenciales y teniendo como un criterio trasversal una “Ética profesional” .Desde el Punto de vista Comercial, el Hacking Ético es un servicio deAuditoría de T.I, que ofrecen empresas especializadas, con el fin de evaluar laseguridad de un sistema informático de forma integra.

TEST DE PENETRACIÓN:

Durante el test de penetración el analista de seguridad simula ser un atacante.

Desde esta posición, se realizan varios intentos de ataques a la red, buscandodebilidades y vulnerabilidades:Estudio de la red externa.

-Análisis de servicios disponibles.

-Estudio de debilidades.

-Análisis de vulnerabilidades en dispositivos de red.

-Análisis de vulnerabilidades de implementaciones y configuraciones.

-Denegación de servicio.

El resultado del test de penetración mostrará una idea general del estado de laseguridad de los sistemas frente a los ataques. Si se encontraran una o másvulnerabilidades, no se realiza su explotación.

La diferencia entre las metodologías (punto de vista de los del grupo)

-El análisis de vulnerabilidades lo que hace es de forma general obtener cada unade las vulnerabilidades presentes en los activos con el fin de evitar que hayanamenazas.

-el hacking ético lo que hace es un profesional que tiene la capacidad de avaluarla red de forma integral, plantea normas y requisitos que se deben hacer paraevitar que intrusos malintencionados ingresen a la red a robar información.

-test de penetración permite que el analista actué como un atacante y desde estepunto lograr entrar a la red y así ver las vulnerabilidades de y debilidades de la redpara evitar amenazas.

analisis de vulnerabilidades metodologias hacking etico, pruebas de intrusion

Documents