Gestión de amenazas y vulnerabilidades (TVM)

Hablaremos de internos y externos. información Amenazas y vulnerabilidades a los sistemas y formas de gestionarlas.

Ataques a la seguridad de la información desde adentro

Ahora, es un hecho bien establecido en la comunidad de seguridad que los internos (aquellos que tienen acceso a los sistemas de información de una organización) dentro de una organización son una de las mayores amenazas a la seguridad de la información (se estima que representan las tres cuartas partes de todos los incidentes de seguridad) (Dillon 1999, Whit Mann 2003).

Dada la gran cantidad de eventos de este tipo que no se detectaron (Hoffer y Straub 1989), es probable que estos números sean en realidad mucho más altos.

Por ello, los expertos han desarrollado una serie de medidas para evitar que se produzcan incidentes de seguridad. Estas medidas se dividen en dos grandes categorías:

1. Controles comerciales o de procedimiento: medidas que definen el acceso y otras políticas de seguridad, pautas de uso y programas de educación, capacitación y concientización sobre seguridad (SETA).
2. Medidas técnicas: incluidas medidas de autenticación, técnicas de seguimiento, herramientas y mecanismos de filtrado.

Tipos de ataques a la seguridad de la información desde el exterior

Los ataques a la seguridad de la información pueden ser de muchos tipos. Los ataques y las técnicas modernas son difíciles de detectar y prevenir porque requieren una supervisión constante del sistema.

Por lo tanto, la seguridad del perímetro es fundamental porque el objetivo de un sistema de seguridad es evitar que los atacantes obtenga acceso al sistema.

Las siguientes son las principales formas de ataque:

Hacker

Esta es una entrada no autorizada al sistema informático para mirar alrededor y ver qué se puede hacer en el sistema. Hay tres tipos principales de piratas informáticos.

1. Hackeo ético: La piratería ética y la etiqueta de piratería requieren que el pirata informático notifique al administrador del sistema de su entrada después de ingresar al sistema, informándole de las vulnerabilidades del sistema. Este tipo de piratería en realidad ayuda a las organizaciones a mejorar su equipo de seguridad.
2. Pirata informático: Estos son piratas informáticos maliciosos. Una vez que ingresan al sistema, destruyen activos valiosos. Su objetivo es causar el mayor daño posible al sistema.

Estos ataques son aterradores debido a su potencial para causar daños masivos a los activos de información de una organización.

• Phreaks: Estos individuos piratean el sistema telefónico de una organización para poder hacer llamadas a expensas de la organización. Sin embargo, es probable que cada incidente de piratería sea diferente del otro porque cada pirata informático en cada incidente intentará diferentes trucos para explotar diferentes vulnerabilidades del sistema.

Dado que la mayoría de los sistemas ahora están conectados a Internet, la mayoría de los incidentes de piratería son obtenidos por piratas informáticos basados ​​en la red. Ellos acceden al sistema de computadoras y luego causan daños al sistema.

La mayoría de los incidentes de piratería siguen un patrón o metodología típica:

1. Reconocimiento: los piratas informáticos intentan encontrar contramedidas para proteger los sistemas antes de lanzar un ataque a gran escala. Él prueba las aguas antes de saltar a la acción.

En esta etapa, generalmente trata de recopilar información sobre el sistema (y/o la red), sus vulnerabilidades, información clave almacenada en el sistema, información clave de los empleados, información pública sobre el sistema y la organización, información sobre los clientes de la organización.

Esto es reconocimiento pasivo. Después de esta etapa, el hacker continúa con el reconocimiento activo donde obtiene información de DNS, direcciones IP, realiza escaneos de ping, escaneos de red SNMP y otros ataques como banner scraping, etc.

2. Análisis de vulnerabilidades: después de la fase de reconocimiento, el hacker pasa a la fase de exploración en la que busca vulnerabilidades en la seguridad del perímetro del sistema. También escanea los enrutadores y firewalls de la organización en busca de vulnerabilidades.

Asegurar/obtener acceso: después de la fase de escaneo, ingresa a la fase de obtención de acceso donde explota cualquier brecha en el sistema de seguridad de la organización para obtener acceso a los sistemas de la organización.

Esto se puede hacer a través de un servidor de la organización o de una computadora en red, sistema operativo, una aplicación (un archivo apropiado implantado en un sistema o comprometido/modificado por un pirata informático para ejecutar sus comandos) o a través de cualquier dispositivo de red dentro de la red de una organización.

3. Mantener el acceso: después de obtener acceso a los sistemas de una organización, los piratas suelen querer mantener el acceso. Él maneja esto plantando aplicaciones personalizadas en los servidores ya comprometidos de la organización.

Esta táctica ayuda a los hackers a entrar y salir del sistema a voluntad. Por lo tanto, los piratas informáticos pueden obtener el control total de los sistemas de la organización.

Puede cargar aplicaciones, modificar aplicaciones, modificar datos sin que nadie lo sepa, robar datos y causar daños generalizados a los sistemas.

Durante esta fase, el hacker evalúa los activos de información de la organización y procede con su plan para sacar provecho de sus esfuerzos en función de sus intenciones. Es posible que desee mantener el acceso sin causar ningún daño, robar la información y venderla al exterior.

4. Cubrir rastros: una vez que un pirata informático ha habilitado el acceso a los sistemas de una organización, quiere eliminar cualquier rastro de su entrada y salida del sistema.

Lo gestiona eliminando adecuadamente la evidencia de su acceso de los archivos de auditoría y de registro. Por lo tanto, el administrador del sistema pasa desapercibido para el acceso del hacker.

Denegación de servicio (DoS)

Esta es otra forma de ataque a la seguridad en la que un atacante satura los servidores de una organización (u otros recursos de hardware) o las líneas de telecomunicaciones de un ISP.

Por lo general, un ataque DoS es uno a uno, lo que significa que el atacante lanza un ataque desde su máquina y ataca a una organización con el objetivo de abrumar sus recursos (hardware o telecomunicaciones), negando así los servicios del sistema a los usuarios legítimos.

Desde febrero de 2000, la tendencia de este tipo de ataques ha cambiado. Los atacantes ahora usan un modelo de ataque de muchos a uno para DoS. Esto se llama denegación de servicio distribuida (DDoS).

El atacante crea zombies (estos son máquinas infectadas en Internet que ejecutan código de aplicación controlado por el atacante). Bajo su dirección, los ataques DoS se lanzan simultáneamente desde un objetivo entre todos los bots (a veces hasta decenas de miles).

La única forma de controlar los ataques DDoS es controlar la cantidad de bots en la red. Es una de las formas de ataque más difíciles de defender para las organizaciones.

Código malicioso

Esta es otra forma de amenaza a la seguridad, es un fragmento de código que llega a un área vital del sistema y causa estragos en él. La forma más fácil de distribuir código malicioso es por correo electrónico. Por lo tanto, es mejor revisar el correo electrónico antes de abrirlo, ya que, existen muchos archivos adjuntos en correos electrónicos

Hay muchos tipos diferentes de código malicioso:

1. Virus: Este es el tipo más común de código malicioso. Hay muchos tipos de virus. Los virus de archivos son virus que infectan los archivos del sistema y se multiplican cuando los usuarios abren o acceden a los archivos, por lo que se propagan a todas las partes del sistema y dañan todos los archivos del sistema. Dichos virus de archivo son la forma más común de aplicación de virus. La mayoría de los virus de archivos son archivos ejecutables. Otros tipos de virus atacan el sistema operativo Master Boot Record, lo que lo vuelve inútil. Algunos virus son específicos de la aplicación, como los virus de macro que afectan a las aplicaciones de oficina.
2. Gusano: Una forma de código malicioso que afecta a las redes. Tienen la capacidad de replicarse a sí mismos en una red y pueden propagarse muy rápidamente de una máquina a otra en la red. Se han informado varios ataques muy publicitados.
3. Caballo de Troya: Es una versión invisible de código malicioso. Parece ser un código bueno y confiable, pero ¿en realidad es un código malicioso? La forma más fácil de detener los troyanos es dejar de abrir archivos adjuntos no confiables y dejar de descargar y ejecutar programas gratuitos.
4. Bomba lógica: Este tipo de código malicioso espera en el sistema un disparador, como una fecha y hora específicas, para desatar el caos. El código espera pacientemente hasta una fecha y hora específicas antes de tomar acciones maliciosas y después de esa fecha y hora de vencimiento, funciona de manera maliciosa al corromper el sistema y los datos.

Ingeniería social

Esta es otra forma de atacar el sistema. La ingeniería social es un conjunto de técnicas utilizadas para engañar a los usuarios incautos para que revelen su información crítica, como nombres de usuario y contraseñas. Los atacantes de ingeniería social utilizan los siguientes atributos humanos para obtener acceso a datos críticos:

La mayoría de las personas confían en los demás hasta que descubren que no son dignos de confianza.

Los atacantes se aprovechan de esta característica de la naturaleza humana. Por ejemplo, una simple llamada telefónica aparentemente en nombre de una organización de confianza, como un banco, puede revelarnos mucha información importante sobre nuestras cuentas bancarias.

El miedo a meterse en problemas es otro rasgo humano que explotan los atacantes. Por ejemplo, un simple correo electrónico que le solicite su contraseña para mantener mejor su cuenta bancaria puede crearle el temor de que si no revela su contraseña, no se mantendrá correctamente, por lo que algunas personas hacen su contraseña.

La preferencia por los atajos es otro rasgo humano que explotan los atacantes. La mayoría de las personas proporcionan contraseñas como apodos, fechas de nacimiento o nombres de mascotas, que son fáciles de descifrar.

Por lo tanto, podemos ver que un ingeniero social hábil podría obtener datos críticos que le permitirían acceder al sistema sin muchos problemas. Por lo tanto, este tipo de ataque es una amenaza muy seria y todos deben tener cuidado.

Algunos de los principales incidentes de piratería de todos los tiempos

En 1990 El renombrado hacker Kevin Mitnick irrumpió en las redes y sistemas informáticos de las principales empresas de telecomunicaciones, incluidas Nokia, Fujitsu, Motorola y Sun Microsystems.

El incidente causó un gran revuelo entre el establecimiento de seguridad, y Mitnick fue arrestado por el FBI en 1995, pero luego fue puesto en libertad condicional en 2000.

En 1995, el hacker ruso Vladimir Levin se convirtió en el primer hacker en ingresar a un banco y robar su dinero. Pirateó un importante banco estadounidense con un sistema muy seguro basado en VAX VMS y robó alrededor de $10 millones. Más tarde fue arrestado.

En 1990, una estación de radio en Los Ángeles lanzó un concurso en el que la llamada número 102 ganaría un Porsche. El hacker Kevin Paulson tomó el control de toda la red telefónica de la ciudad y se aseguró de ser la persona número 102, reclamando así el premio. Más tarde fue arrestado.

En 1996, Timothy Lloyd escribió una pequeña pieza de código malicioso que detonó una "bomba lógica" que eliminó $ 10 millones en software.

En 1988, el graduado de la Universidad de Cornell, Robert Morris, lanzó un gusano en Internet que infectó y bloqueó miles de máquinas en todo el mundo.

En 1999, David Smith escribió y lanzó uno de los virus más aterradores, Melissa, que destruyó máquinas en todo el mundo.

En el año 2000, Mafia Boy hackeó los sitios web más populares en el mundo de Internet, como eBay, Amazon y Yahoo, y logró diseñar un ataque de denegación de servicio.