Evaluaciones de Seguridad - Capítulo 1

Questions and Answers

¿Cuál es el objetivo principal de la evaluación en el caso mencionado?

• Evaluar el rendimiento de los empleados
• Probar la infraestructura de red
• Analizar la seguridad del software de EDR
• Determinar la efectividad de los controles de seguridad del correo electrónico (correct)

La evaluación del control de seguridad del correo electrónico debe considerar el impacto operativo de los métodos utilizados.

True (A)

¿Qué se debe desarrollar para que las diferentes pruebas sean consistentes y comparables?

Metodologías estandarizadas

El eva­luador debe tener un ______________ en caso de que ocurra un problema durante la evaluación.

plan de contingencia

Relaciona cada tipo de control con su descripción adecuada:

Correo electrónico = Control sobre la seguridad de las comunicaciones electrónicas EDR = Solución de detección y respuesta en puntos finales Gateway de seguridad de correo = Puerta de enlace para analizar y filtrar correos electrónicos Conciencia de seguridad = Conocimiento y práctica de buenas medidas de seguridad por parte del personal

¿Qué método se menciona que podría interrumpir la disponibilidad del servicio de correo electrónico durante la evaluación?

Prueba de penetración (B)

La evaluación puede ser realizada únicamente por un equipo interno sin necesidad de la participación de terceros.

False (B)

El alcance de la evaluación debe especificar los _______________ que se evaluarán.

controles específicos

¿Cuál de las siguientes capacidades ofrecen los escáneres de vulnerabilidades?

Identificación de sistemas operativos (D)

Las pruebas de penetración son realizadas sin la autorización del propietario del sistema.

False (B)

¿Qué es una prueba de penetración?

Un proceso que simula ataques en una red para medir su resistencia.

Un escáner de vulnerabilidades puede identificar configuraciones __________.

mal configuradas

Relaciona los términos con sus definiciones adecuadas:

Escáner de vulnerabilidades = Herramienta para identificar vulnerabilidades en sistemas Prueba de penetración = Simulación de ataques para evaluar seguridad Configuración mal hecha = Configuración que debilita la seguridad Políticas de seguridad = Normas para el uso seguro de aplicaciones

¿Cuál es uno de los objetivos de una prueba de penetración?

Medir la resistencia de la organización ante ataques (D)

Las pruebas de penetración utilizan técnicas obsoletas para simular ataques.

False (B)

¿Por qué las organizaciones necesitan realizar pruebas de penetración periódicas?

Para determinar la efectividad de sus medidas de seguridad.

¿Cuál es el objetivo principal de la programación defensiva?

Buscar oportunidades de problemas durante el desarrollo. (B)

El código de prueba que los desarrolladores incluyen en el software final no representa un riesgo de seguridad.

False (B)

¿Qué sucede cuando se deja código comentado en el software final?

Puede ser olvidado y representar un riesgo de seguridad.

La programación defensiva implica tratar todas las entradas como potencialmente _____ .

peligrosas

Empareja los siguientes términos de revisión de código con sus descripciones:

Código a revisar = Función o archivo específico Líder del equipo = Organiza la inspección Errores obvios = Se collate fuera de la reunión Reunión de inspección = Revisión del código por el equipo

¿Cuál de las siguientes etapas no pertenece al proceso de revisión de código?

Compilar el código antes de la inspección. (D)

Los desarrolladores deben hacer notas durante la reunión de inspección para discutir todos los errores encontrados.

False (B)

¿Qué mejor práctica deben adoptar todos los desarrolladores durante el proceso de programación?

Programación defensiva

¿Cuál es una causa posible que permite a un atacante proporcionar entrada inesperada a un programa?

Uso inseguro de un descriptor de archivo (D)

Las condiciones de carrera son siempre causadas por errores en la programación.

False (B)

Menciona una medida de seguridad para reducir vulnerabilidades en programas.

Prácticas de programación adecuadas y educación para desarrolladores.

Una vulnerabilidad puede permitir a un atacante modificar la base de datos de contraseñas si el archivo crítico tiene permisos ______.

inadecuados

Empareja los tipos de vulnerabilidades con sus descripciones:

Uso de descriptores de archivos = Entrada/salida inesperada Condiciones de carrera = Ejecutar acciones no autorizadas Permisos de archivos = Acceso no permitido a archivos críticos Prácticas de programación adecuadas = Mitigación de vulnerabilidades

¿Qué ataque es un ejemplo de condición de carrera?

TOC/TOU (A)

La verificación de los permisos de archivos no es importante para la seguridad de la aplicación.

False (B)

¿Cuál es el propósito de los verificadores de integridad de archivos?

Detectar problemas de permisos y modificaciones no autorizadas.

¿Cuál es la frecuencia recomendada para la revisión de logs en sistemas críticos?

Diariamente (D)

Las pruebas de penetración se deben realizar mensualmente.

False (B)

¿Qué tipo de control de seguridad se implementa a través del uso de un activo de TI?

Control técnico

¿Cuál de las siguientes afirmaciones describe mejor la prueba de caja negra?

El tester no tiene conocimiento previo del diseño o características internas del sistema. (B)

Las pruebas de caja blanca pueden simular mejor el comportamiento de un atacante externo.

False (B)

La revisión de logs valida que el sistema está funcionando de acuerdo con la ___.

política

Asocia el tipo de prueba con su frecuencia:

Revisión de logs = Diariamente Pruebas de penetración = Anualmente Escaneo de vulnerabilidades = Trimestral o bimestral Escaneo de red = Continuamente a trimestral

¿Cuál es una ventaja de la prueba de caja blanca?

Permite al equipo de prueba enfocarse en controles internos específicos.

La prueba de _____ combina elementos de la prueba de caja blanca y de caja negra.

caja gris

¿Qué beneficio proporciona el escaneo de vulnerabilidades?

Identifica posibles vulnerabilidades en un conjunto de computadoras (D)

El escaneo de red ayuda a enumerar la estructura de la red.

True (A)

Relaciona los tipos de pruebas con sus características principales:

Prueba de caja negra = Conocimiento nulo del sistema interno Prueba de caja blanca = Conocimiento completo del sistema Prueba de caja gris = Conocimiento parcial del sistema Pen testing = Evaluación de la efectividad de la defensa

¿Cuál es el propósito principal de las pruebas de penetración?

Determinar la vulnerabilidad de la red

¿Cuál es una desventaja de la prueba de caja negra?

No cubre todos los controles internos del sistema. (A)

La prueba de caja gris permite al equipo de pruebas evaluar el sistema sin ninguna guía interna.

False (B)

El chequeo de integridad se realiza mensualmente y en caso de un evento ___.

sospechoso

¿Qué tipo de prueba se realiza continuamente para verificar contraseñas difíciles de romper?

Comprobación de contraseñas (C)

¿Qué es lo que se busca en las pruebas de pen testing?

Identificar vulnerabilidades potenciales en el sistema.

Flashcards

Evaluación de Control Específico

Una evaluación centrada en un control de seguridad específico, con un alcance más estrecho que una evaluación general.

Alcance de la Evaluación

Los controles específicos que se van a probar durante una evaluación de seguridad.

Control de correo electrónico

Los mecanismos de seguridad implementados para proteger los correos electrónicos.

Conocimiento de seguridad del personal

Nivel de comprensión y prácticas de seguridad de los empleados.

Metodologías Estandarizadas

Métodos consistentes y comparables para realizar las pruebas de seguridad.

Impacto Operacional

El efecto que la evaluación tiene sobre el funcionamiento normal de la empresa.

Plan de Contingencia

Procedimiento para restablecer los servicios en caso de un problema durante la evaluación.

Equipo Interno vs. Externo

Decisión sobre si la evaluación la realizará un equipo interno o un tercero.

Uso inseguro de descriptores de archivos

Un programa que utiliza incorrectamente un descriptor de archivo, pudiendo permitir a un atacante introducir datos inesperados o redirigir la salida del programa con los privilegios del programa ejecutable.

Condiciones de carrera

Situación en la que un programa es vulnerable antes de mitigar esa vulnerabilidad. Un ejemplo es abrir archivos temporales sin verificar su acceso o ejecutar en modo privilegiado sin validar la seguridad de la ruta de la biblioteca.

Permisos de archivos y directorios

Errores en el control de acceso a archivos y directorios, que pueden ser explotados. Un ejemplo es la falta de seguridad en el acceso a bases de datos de contraseñas, o directorios DLL inseguros.

Control de integridad de archivos

Herramientas que verifican la integridad de archivos y sus permisos, detectando posibles vulnerabilidades antes de que un atacante las explote.

Controles técnicos

Son controles de seguridad implementados mediante el uso de un activo de TI.

Escaneo de vulnerabilidades

Prueba periódica para identificar posibles debilidades en el sistema.

Pruebas de penetración

Evaluación de la capacidad de la red empresarial para resistir ataques cibernéticos.

Revisiones de registros

Análisis diario de los registros del sistema para asegurar el cumplimiento de las políticas.

Escaneo de red

Análisis continuo o cuatrimestral de la estructura de la red.

Craqueo de contraseñas

Prueba de la efectividad de la política de contraseñas.

Comprobación de integridad

Verificación periódica, especialmente ante eventos sospechosos, de modificaciones no autorizadas en archivos.

Programa de pruebas

Plan de pruebas de seguridad para diferentes áreas operativas y de seguridad.

Análisis de Vulnerabilidades

Proceso que identifica fallos de seguridad en redes y sistemas informáticos.

Escáner de Vulnerabilidades

Herramienta que busca vulnerabilidades en sistemas, servicios y configuraciones.

Pruebas de Penetración (Pen Test)

Simulación de ataques a un sistema para identificar debilidades de seguridad.

Objetivos de un Pen Test

Medir la resistencia a ataques y encontrar debilidades aprovechables.

Método de Pen Test

Usar técnicas de ataque actuales y comprobadas.

Alcance del Pen Test

Evaluación de todos los sistemas de la red.

Tipo de Pen Test

Depende de los objetivos de seguridad de la organización.

Pruebas de Caja Negra

Técnica de prueba donde el sistema se trata como una caja opaca. El probador no conoce el diseño interno del sistema, aprendiendo todo a través de la evaluación.

Pruebas de Caja Blanca

Técnica donde el probador conoce a fondo el funcionamiento interno del sistema antes de la prueba.

Pruebas de Caja Gris

Combina elementos de las pruebas de caja negra y blanca, proporcionando algo de información interna al equipo de pruebas.

Decisiones de los defensores durante la prueba

Determinación de qué acciones, si alguna, los defensores pueden realizar durante la prueba de penetración. Detener cada ataque puede ralentizar el equipo de prueba.

Consideración de impacto operacional

Evaluar los efectos de las pruebas de penetración en las operaciones diarias. Detener ataques puede afectar la velocidad de la prueba.

Código repetido

Bloques de código que se repiten en un programa y que pueden ser refactorizados o convertidos en componentes reutilizables.

Componentes Reutilizables

Secciones de código que pueden ser usadas en diferentes partes de un programa, ahorrando tiempo y esfuerzo.

Código Stub

Fragmentos de código simples utilizados durante el desarrollo para probar partes de un programa, pero que deben eliminarse antes de la versión final (es peligroso dejarlo).

Código de Prueba

Fragmentos de códigos diseñados para verificar el correcto funcionamiento de un software.

Credenciales en el código

Información confidencial (como contraseñas) incluidas directamente en el código fuente, lo que representa una gran vulnerabilidad.

Código Comentado

Código que se incluye en el programa, pero que no se ejecuta, ya que está marcado para evitar su ejecución.

Programación Defensiva

Enfoque de programación que prepara el programa para errores o datos no válidos en entradas o acciones.

Revisión de Código

Proceso de inspección de código fuente para encontrar errores, vulnerabilidades y mejorar la calidad del software.

Proceso de Revisión

Conjunto de pasos necesarios para inspeccionar y evaluar el código.

Study Notes

Security Assessments

• This chapter presents strategies for testing, assessing, and auditing.
• Regular assessments of security measures are crucial, as their effectiveness can diminish over time.
• Audit strategies include assessment, testing, and auditing strategies.
• A test records system properties and compares them to standards.
• An assessment is a series of related tests.
• An audit is a thorough evaluation of a system against external standards.
• Security assessments are crucial for maintaining a strong security posture.
• These assessments are critical to improve security posture and address risks in an effective way.
• Assessments should be consistent and comparable through standard methodologies.
• The scope of the assessment should clearly define objectives, including the relevant controls and elements to audit for a given problem or situation.
• Assessments should involve stakeholder approval; this includes financial resources and scheduling.
• Internal and external evaluations are essential for identifying vulnerabilities, assessing risks, and validating controls in place.

Test, Assessment, and Audit Strategies

• Tests record behaviors to determine compliance with predetermined standards.
• Assessments entail a series of planned tests, often related.
• Audits rigorously evaluate a system against external standards.

Designing an Assessment

• Initial step: define the assessment's objective—such as an audit, a security incident, or specific control implementation.
• Scope: determine the specific controls to be evaluated.
• Resources: identify resources needed for the assessment, including personnel, time, and budget.

Validating an Assessment

• Management uses assessment results to prioritize remediation efforts.
• Risk and cost considerations are essential in the prioritization.
• Plans are critical for repeatable and efficient assessments and effective risk mitigation.
• Any changes in the plan should be documented.

Vulnerability Testing

• Manual, automatic, or combined testing is necessary.
• Staff (and/or consultants) experienced in security are required.
• Tools produce output that needs to be correctly interpreted.
• Testing needs to evaluate critically.
• Written agreement from management is a critical requirement for testing.
• Assessment aims to evaluate true security posture.
• Identification of vulnerabilities and prioritized action plans.
• System-specific tests (e.g., software versions, database versions) evaluate current security compliance.

Penetration Testing

• Purpose: evaluate the organization's system's ability to resist attacks.
• Methodologies emulate those used by real attackers, focusing on a variety of targets.
• Testing types vary based on organization, objectives, and desired impact.
• Can evaluate different system components and vulnerabilities, such as web servers, DNS servers, routers, etc.
• Timeframes should be agreed upon to avoid affecting current operations.
• The knowledge of the testing team can vary (zero-knowledge, partial knowledge, full knowledge).

Vulnerability Scanning

• Identify active hosts and services on the network, operating systems, and applications.
• Determine vulnerabilities associated with discovered operating systems and applications.
• Testing compliance with established security policies.
• Foundation for penetration testing.
• Establish a foundation for future security evaluations.

Log Reviews

• Assessing daily operational logs for critical systems and errors may prevent and/or discover security breaches.
• Validates operational compliance to security policy.
• Identifies operational issues and vulnerabilities.
• Enables effective risk mitigation.

Password Cracking

• Verify compliance with password policy.
• Establish effectiveness in producing passwords that are secure.

Integrity Checkers

• Assess for unauthorized modifications, such as unexpected changes to files and data.
• Monitoring for suspicious events.
• Identifies potential vulnerabilities.

Testing Technical Controls

• Testing third-party software and technical controls with systematic steps to ensure that controls will mitigate risks.
• Determining control effectiveness based on the risk analysis to mitigate risk.
• Selecting appropriate means of testing, such as third-party services for software issues.

Compliance Checks

• Evaluations of security controls and their execution in a certain time frame.
• Demonstrates adherence to standards and regulations in an objective way.
• Logs and other documentation are used to validate the checks.
• Demonstrating compliance to regulatory requirements.

Conducting Security Audits

• Length of time: cover longer periods and evaluate compliance with established controls, policies, and standards.
• Scope of audit: define the specific elements and components to audit.
• Validation of controls: ensure that the controls are implemented correctly, and that they are properly functioning.
• Goal-oriented audits that address risk factors.
• Stakeholder communication is fundamental for successful audits.

Facilities Third-Party Audits

• The importance of thorough planning and precise communication between the parties involved in the process.
• Defining clear rules and boundaries to prevent misunderstandings.

Synthetic Transactions

• Useful for testing system responsiveness and performance under user behavior simulations.
• Mimics real user actions (e.g., web page requests, wire transfers).
• Helps in the proactive identification and resolution of problems.

Real User Monitoring (RUM)

• Passive monitoring of user interactions with applications.
• Data from actual users.
• Important because it provides a more accurate representation of user behavior.

Code Reviews

• In-depth examination of code to identify vulnerabilities and security shortcomings.
• Verification against the standards set by the organization (guidelines).
• Detection of defects or issues in the code.
• Improving code quality and security.

Breach Attack Simulations (BAS)

• Automated testing that simulates sophisticated attacks.
• Helps assess an organization's defense capabilities.
• Emulates real attacker behavior and objectives.
• Can include realistic malware and ransomware.

Network Time Protocol (NTP)

• Establishes a standardized time across a network.
• Improves the accuracy of timekeeping and helps to avoid inconsistent timestamp issues between events.
• Important in security incident analysis, and other situations where synchronization is critical.

Preventing Log Tampering

• Crucial to keep log files from malicious modification.
• Log files can be compromised or altered to hide attacks and/or to hide malicious activities.
• Methodologies and best practices to ensure log file integrity and consistency.
• Various methods to prevent successful alteration.