Evaluaciones de Seguridad - Capítulo 1

Questions and Answers

¿Cuál es el objetivo principal de la evaluación en el caso mencionado?

Evaluar el rendimiento de los empleados

Probar la infraestructura de red

Analizar la seguridad del software de EDR

Determinar la efectividad de los controles de seguridad del correo electrónico (correct)

La evaluación del control de seguridad del correo electrónico debe considerar el impacto operativo de los métodos utilizados.

True

¿Qué se debe desarrollar para que las diferentes pruebas sean consistentes y comparables?

Metodologías estandarizadas

El eva­luador debe tener un ______________ en caso de que ocurra un problema durante la evaluación.

plan de contingencia

Relaciona cada tipo de control con su descripción adecuada:

Correo electrónico = Control sobre la seguridad de las comunicaciones electrónicas EDR = Solución de detección y respuesta en puntos finales Gateway de seguridad de correo = Puerta de enlace para analizar y filtrar correos electrónicos Conciencia de seguridad = Conocimiento y práctica de buenas medidas de seguridad por parte del personal

¿Qué método se menciona que podría interrumpir la disponibilidad del servicio de correo electrónico durante la evaluación?

Prueba de penetración

La evaluación puede ser realizada únicamente por un equipo interno sin necesidad de la participación de terceros.

False

El alcance de la evaluación debe especificar los _______________ que se evaluarán.

controles específicos

¿Cuál de las siguientes capacidades ofrecen los escáneres de vulnerabilidades?

Identificación de sistemas operativos

Las pruebas de penetración son realizadas sin la autorización del propietario del sistema.

False

¿Qué es una prueba de penetración?

Un proceso que simula ataques en una red para medir su resistencia.

Un escáner de vulnerabilidades puede identificar configuraciones __________.

mal configuradas

Relaciona los términos con sus definiciones adecuadas:

Escáner de vulnerabilidades = Herramienta para identificar vulnerabilidades en sistemas Prueba de penetración = Simulación de ataques para evaluar seguridad Configuración mal hecha = Configuración que debilita la seguridad Políticas de seguridad = Normas para el uso seguro de aplicaciones

¿Cuál es uno de los objetivos de una prueba de penetración?

Medir la resistencia de la organización ante ataques

Las pruebas de penetración utilizan técnicas obsoletas para simular ataques.

False

¿Por qué las organizaciones necesitan realizar pruebas de penetración periódicas?

Para determinar la efectividad de sus medidas de seguridad.

¿Cuál es el objetivo principal de la programación defensiva?

Buscar oportunidades de problemas durante el desarrollo.

El código de prueba que los desarrolladores incluyen en el software final no representa un riesgo de seguridad.

False

¿Qué sucede cuando se deja código comentado en el software final?

Puede ser olvidado y representar un riesgo de seguridad.

La programación defensiva implica tratar todas las entradas como potencialmente _____ .

peligrosas

Empareja los siguientes términos de revisión de código con sus descripciones:

Código a revisar = Función o archivo específico Líder del equipo = Organiza la inspección Errores obvios = Se collate fuera de la reunión Reunión de inspección = Revisión del código por el equipo

¿Cuál de las siguientes etapas no pertenece al proceso de revisión de código?

Compilar el código antes de la inspección.

Los desarrolladores deben hacer notas durante la reunión de inspección para discutir todos los errores encontrados.

False

¿Qué mejor práctica deben adoptar todos los desarrolladores durante el proceso de programación?

Programación defensiva

¿Cuál es una causa posible que permite a un atacante proporcionar entrada inesperada a un programa?

Uso inseguro de un descriptor de archivo

Las condiciones de carrera son siempre causadas por errores en la programación.

False

Menciona una medida de seguridad para reducir vulnerabilidades en programas.

Prácticas de programación adecuadas y educación para desarrolladores.

Una vulnerabilidad puede permitir a un atacante modificar la base de datos de contraseñas si el archivo crítico tiene permisos ______.

inadecuados

Empareja los tipos de vulnerabilidades con sus descripciones:

Uso de descriptores de archivos = Entrada/salida inesperada Condiciones de carrera = Ejecutar acciones no autorizadas Permisos de archivos = Acceso no permitido a archivos críticos Prácticas de programación adecuadas = Mitigación de vulnerabilidades

¿Qué ataque es un ejemplo de condición de carrera?

TOC/TOU

La verificación de los permisos de archivos no es importante para la seguridad de la aplicación.

False

¿Cuál es el propósito de los verificadores de integridad de archivos?

Detectar problemas de permisos y modificaciones no autorizadas.

¿Cuál es la frecuencia recomendada para la revisión de logs en sistemas críticos?

Diariamente

Las pruebas de penetración se deben realizar mensualmente.

False

¿Qué tipo de control de seguridad se implementa a través del uso de un activo de TI?

Control técnico

¿Cuál de las siguientes afirmaciones describe mejor la prueba de caja negra?

El tester no tiene conocimiento previo del diseño o características internas del sistema.

Las pruebas de caja blanca pueden simular mejor el comportamiento de un atacante externo.

False

La revisión de logs valida que el sistema está funcionando de acuerdo con la ___.

política

Asocia el tipo de prueba con su frecuencia:

Revisión de logs = Diariamente Pruebas de penetración = Anualmente Escaneo de vulnerabilidades = Trimestral o bimestral Escaneo de red = Continuamente a trimestral

¿Cuál es una ventaja de la prueba de caja blanca?

Permite al equipo de prueba enfocarse en controles internos específicos.

La prueba de _____ combina elementos de la prueba de caja blanca y de caja negra.

caja gris

¿Qué beneficio proporciona el escaneo de vulnerabilidades?

Identifica posibles vulnerabilidades en un conjunto de computadoras

El escaneo de red ayuda a enumerar la estructura de la red.

True

Relaciona los tipos de pruebas con sus características principales:

Prueba de caja negra = Conocimiento nulo del sistema interno Prueba de caja blanca = Conocimiento completo del sistema Prueba de caja gris = Conocimiento parcial del sistema Pen testing = Evaluación de la efectividad de la defensa

¿Cuál es el propósito principal de las pruebas de penetración?

Determinar la vulnerabilidad de la red

¿Cuál es una desventaja de la prueba de caja negra?

No cubre todos los controles internos del sistema.

La prueba de caja gris permite al equipo de pruebas evaluar el sistema sin ninguna guía interna.

False

El chequeo de integridad se realiza mensualmente y en caso de un evento ___.

sospechoso

¿Qué tipo de prueba se realiza continuamente para verificar contraseñas difíciles de romper?

Comprobación de contraseñas

¿Qué es lo que se busca en las pruebas de pen testing?

Identificar vulnerabilidades potenciales en el sistema.

Study Notes

Security Assessments

• This chapter presents strategies for testing, assessing, and auditing.
• Regular assessments of security measures are crucial, as their effectiveness can diminish over time.
• Audit strategies include assessment, testing, and auditing strategies.
• A test records system properties and compares them to standards.
• An assessment is a series of related tests.
• An audit is a thorough evaluation of a system against external standards.
• Security assessments are crucial for maintaining a strong security posture.
• These assessments are critical to improve security posture and address risks in an effective way.
• Assessments should be consistent and comparable through standard methodologies.
• The scope of the assessment should clearly define objectives, including the relevant controls and elements to audit for a given problem or situation.
• Assessments should involve stakeholder approval; this includes financial resources and scheduling.
• Internal and external evaluations are essential for identifying vulnerabilities, assessing risks, and validating controls in place.

Test, Assessment, and Audit Strategies

• Tests record behaviors to determine compliance with predetermined standards.
• Assessments entail a series of planned tests, often related.
• Audits rigorously evaluate a system against external standards.

Designing an Assessment

• Initial step: define the assessment's objective—such as an audit, a security incident, or specific control implementation.
• Scope: determine the specific controls to be evaluated.
• Resources: identify resources needed for the assessment, including personnel, time, and budget.

Validating an Assessment

• Management uses assessment results to prioritize remediation efforts.
• Risk and cost considerations are essential in the prioritization.
• Plans are critical for repeatable and efficient assessments and effective risk mitigation.
• Any changes in the plan should be documented.

Vulnerability Testing

• Manual, automatic, or combined testing is necessary.
• Staff (and/or consultants) experienced in security are required.
• Tools produce output that needs to be correctly interpreted.
• Testing needs to evaluate critically.
• Written agreement from management is a critical requirement for testing.
• Assessment aims to evaluate true security posture.
• Identification of vulnerabilities and prioritized action plans.
• System-specific tests (e.g., software versions, database versions) evaluate current security compliance.

Penetration Testing

• Purpose: evaluate the organization's system's ability to resist attacks.
• Methodologies emulate those used by real attackers, focusing on a variety of targets.
• Testing types vary based on organization, objectives, and desired impact.
• Can evaluate different system components and vulnerabilities, such as web servers, DNS servers, routers, etc.
• Timeframes should be agreed upon to avoid affecting current operations.
• The knowledge of the testing team can vary (zero-knowledge, partial knowledge, full knowledge).

Vulnerability Scanning

• Identify active hosts and services on the network, operating systems, and applications.
• Determine vulnerabilities associated with discovered operating systems and applications.
• Testing compliance with established security policies.
• Foundation for penetration testing.
• Establish a foundation for future security evaluations.

Log Reviews

• Assessing daily operational logs for critical systems and errors may prevent and/or discover security breaches.
• Validates operational compliance to security policy.
• Identifies operational issues and vulnerabilities.
• Enables effective risk mitigation.

Password Cracking

• Verify compliance with password policy.
• Establish effectiveness in producing passwords that are secure.

Integrity Checkers

• Assess for unauthorized modifications, such as unexpected changes to files and data.
• Monitoring for suspicious events.
• Identifies potential vulnerabilities.

Testing Technical Controls

• Testing third-party software and technical controls with systematic steps to ensure that controls will mitigate risks.
• Determining control effectiveness based on the risk analysis to mitigate risk.
• Selecting appropriate means of testing, such as third-party services for software issues.

Compliance Checks

• Evaluations of security controls and their execution in a certain time frame.
• Demonstrates adherence to standards and regulations in an objective way.
• Logs and other documentation are used to validate the checks.
• Demonstrating compliance to regulatory requirements.

Conducting Security Audits

• Length of time: cover longer periods and evaluate compliance with established controls, policies, and standards.
• Scope of audit: define the specific elements and components to audit.
• Validation of controls: ensure that the controls are implemented correctly, and that they are properly functioning.
• Goal-oriented audits that address risk factors.
• Stakeholder communication is fundamental for successful audits.

Facilities Third-Party Audits

• The importance of thorough planning and precise communication between the parties involved in the process.
• Defining clear rules and boundaries to prevent misunderstandings.

Synthetic Transactions

• Useful for testing system responsiveness and performance under user behavior simulations.
• Mimics real user actions (e.g., web page requests, wire transfers).
• Helps in the proactive identification and resolution of problems.

Real User Monitoring (RUM)

• Passive monitoring of user interactions with applications.
• Data from actual users.
• Important because it provides a more accurate representation of user behavior.

Code Reviews

• In-depth examination of code to identify vulnerabilities and security shortcomings.
• Verification against the standards set by the organization (guidelines).
• Detection of defects or issues in the code.
• Improving code quality and security.

Breach Attack Simulations (BAS)

• Automated testing that simulates sophisticated attacks.
• Helps assess an organization's defense capabilities.
• Emulates real attacker behavior and objectives.
• Can include realistic malware and ransomware.

Network Time Protocol (NTP)

• Establishes a standardized time across a network.
• Improves the accuracy of timekeeping and helps to avoid inconsistent timestamp issues between events.
• Important in security incident analysis, and other situations where synchronization is critical.

Preventing Log Tampering

• Crucial to keep log files from malicious modification.
• Log files can be compromised or altered to hide attacks and/or to hide malicious activities.
• Methodologies and best practices to ensure log file integrity and consistency.
• Various methods to prevent successful alteration.

Description

Este capítulo presenta estrategias para la evaluación y auditoría de la seguridad. A través de pruebas regulares y medidas de comparación, se busca mantener una postura sólida de seguridad. La importancia de las evaluaciones consiste en mejorar la seguridad y abordar los riesgos de manera efectiva, involucrando a las partes interesadas en el proceso.