Pasos de una auditoría de seguridad

Las auditorías de seguridad son básicas para todas las empresas, independientemente de su tamaño o sector. Y por ello, en ICM lo consideramos un servicio esencial para cualquier cliente. En esta entrada, en concreto, trataremos de explicar por encima la base y los pasos de una auditoría seguridad informática. Es una pincelada y una breve guía de cómo empezar.

Los pasos básicos de una auditoría de seguridad

Para empezar una auditoría debemos tener claros los tres primeros pasos de una auditoría de seguridad. Footprinting, escaneo de la red/hosts y finalmente escaneo de vulnerabilidades. Una vez analizados estos tres puntos, se puede profundizar tanto como se quiera.

Hay auditorías de seguridad tipificadas como caja negra, blanca, gris, auditorías inside o bien outside, auditorias de seguridad de redes, auditorías de seguridad informática… Es un concepto muy amplio que no se puede explicar de forma concentrada en unas pocas líneas. Eso sí, ¿cuáles son los objetivos de la auditoría y cómo empezamos a ejecutarla? He aquí una breve descripción que nos puede servir de idea inicial.

Primer paso de la auditoría de seguridad: Footprinting

El concepto esencial del concepto «Footprinting» (huella), es identificar el nivel de riesgo asociado a la información de acceso público de una organización.

«Footprinting» es el primer paso en la piratería y también en una auditoría de seguridad. Se refiere concretamente al proceso de recopilación de información sobre una red objetivo y su entorno. Al utilizar el «Footprinting», se puede encontrar una serie de oportunidades para evaluar y penetrar en la red de una organización objetivo. Después de completar este proceso, se puede obtener el perfil de seguridad tecnológica de la organización objetivo.

No existe una metodología única para el proceso de «Footprinting», ya que la información se puede rastrear de muchas maneras. Sin embargo, este proceso es importante, ya que debe recopilar toda la información crucial sobre la organización objetivo antes de comenzar la fase de piratería. Por esta razón, se debe realizar de manera organizada.

La información recopilada en este paso en la auditoría de seguridad ayuda a descubrir las vulnerabilidades existentes en la red de destino. Y también a identificar diferentes formas de explotar estas vulnerabilidades.

Tipos de «Footprinting»

Los «Footprinting» se pueden clasificar en pasivos y activos. Así, un Footprinting pasivo recopila información sobre el objetivo sin interacción directa. Es útil cuando el objetivo no debe detectar las actividades de recopilación de información. Realizar «Footprinting» pasivos es técnicamente difícil, ya que el tráfico activo no se envía a la organización de destino desde un host o servicio anónimo a través de Internet. Solo podemos recopilar información almacenada sobre el objetivo mediante motores de búsqueda, sitios de redes sociales, etc.

Los «Footprinting» activos se pueden realizar a través de motores de búsqueda, servicios web, redes sociales, websites, email, whois, DNS, redes e ingeniería social.

Herramientas para «Footprinting» hay muchísimas, como Maltego, Recon-ng, FOCA, OSRFramework, OSINT Framework, Recon-Dog, BillCipher, TheHarvester, Th3Inspector, Raccoon, Orb, o PENTMENU.

En caso de detectar en una auditoría de seguridad alguna información delicada concerniente a una organización, se deberían tomar medidas. Ejemplos serían restringir el acceso de los empleados a redes sociales desde la red de la organización, educar a los empleados para que usen seudónimos en blogs, no revelar información crítica en comunicados de prensa, informes anuales, catálogos de productos, etc… Limitar la cantidad de información que se está publicando en el sitio web, desarrollar y hacer cumplir políticas de seguridad… Regular la información que los empleados pueden revelar a terceros, separar el DNS interno y externo y restringir la transferencia de zona a servidores autorizados, deshabilitar listados de directorios en los servidores web…

Segundo paso de la auditoría de seguridad: Escaneado de la red

El escaneo de red se refiere a un conjunto de procedimientos muy importantes en una auditoría de seguridad, utilizados para identificar hosts, puertos y servicios en una red. Y es que el escaneo en red es uno de los componentes de la recopilación de datos que puede ser utilizado por un atacante para crear un perfil de la organización objetivo.

Hay diferentes tipos de escaneado:

• Escaneado de puertos, que enumera los puertos y servicios abiertos.
• Escaneo de red, enumera los hosts activos y las direcciones IP.
• Análisis de vulnerabilidades, muestra la presencia de puntos débiles conocidos.

La herramienta de escaneado más conocida es NMAP. Para saber cómo realizar estos escaneos, se requiere de conocimientos en networking. Como también de conocimientos del funcionamiento de los equipos de red/seguridad. Cada arquitectura de red puede requerir parámetros diferentes. También existen otras herramientas como hping, Metasploit, NetScanTools Pro…

Tercer paso de la auditoría de seguridad: Vulnerabilidades

Por lo general, existen dos causas principales para los sistemas vulnerables en una red. Por un lado la mala configuración del software o hardware y por otro las malas prácticas de programación o configuración.

Los atacantes aprovechan estas vulnerabilidades para realizar varios tipos de ataques a los recursos de una organización. Por lo tanto, una buena auditoría de seguridad informática para detectarlas es fundamental.

Hay unos cuantos «sites web» utilizados para realizar investigaciones de vulnerabilidades. Como por ejemplo:

• Microsoft Vulnerability Research (MSVR)
• Dark Reading
• SecurityTracker
• Trend Micro
• Security Magazine
• PenTest Magazine
• SC Magazine
• Exploit Database

Análisis de las vulnerabilidades de la red

Hay dos enfoques para el análisis de vulnerabilidades de la red:

• Análisis activo, donde el atacante interactúa directamente con la red de destino para encontrar vulnerabilidades. Este escaneo activo ayuda a simular un ataque a la red de destino para descubrir vulnerabilidades que pueden ser explotadas por el atacante. Por ejemplo, un atacante envía sondeos y solicitudes especialmente diseñadas al host de destino en la red para identificar vulnerabilidades.
• Análisis pasivo, donde el atacante intenta encontrar vulnerabilidades sin interactuar directamente con la red de destino. El atacante identifica vulnerabilidades a través de la información expuesta por los sistemas durante las comunicaciones normales. El escaneo pasivo identifica los sistemas operativos, las aplicaciones y los puertos activos en toda la red de destino, monitorizando la actividad para determinar sus vulnerabilidades. Por ejemplo, un atacante extrae la información del sistema operativo, las aplicaciones y las versiones de aplicaciones y servicios, al observar la conexión y desconexión de una sesión TCP.

Conclusión

En resumen, esta entrada es una muy pequeña pincelada para saber por encima los pasos para empezar a realizar una auditoría de seguridad. Hay infinidad de tipos de auditorias de seguridad informática y diferentes profundidades.

Lo que es muy importante es siempre tener permiso de los clientes, dueños de sus servicios. En ningún caso, nadie puede lanzar una auditoría de seguridad contra sus propios clientes sin tener el pleno consentimiento de los mismos.