Mirada práctica desde la aplicación, al Instructivo presidencial de Ciberseguridad

Estimados lectores, luego de receso creativo, justo y necesario, junto con desearles un feliz nuevo año, les traigo  este nueva entrega con el único propósito de ayudar, gracias a los colegas que me dieron feedback previo, Tomás, Daniel, Raúl, Freddy ,Juan y Daniel.

Ya quedando pocos días para el plazo de 20 de Enero del 2019, donde se debe entregar el informe de evaluación de riesgos de ciberseguridad y básicamente entendiendo que distintos grupos de especialistas y funcionarios públicos, existen algunas dudas es que preparé esto.

Hoy luego de esta lectura rápida, pueden ser contestadas, con la ayuda de este white paper,  para la implementación de las medidas, y tal vez generar una buena práctica permanente y ganar un café para este humilde blogger.

Contarles un poco desde el año 2017 post “wanna cry-i-tis “, -qué bueno que se terminaron las charlas de esto-, jejej, pasaron bastante situaciones y nuevos incidentes en nuestro país.  En los esfuerzos que se han realizado como nación, a mi modo de ver tenemos un avance importante que es, Instructivo Presidencial N°8 del 23 de Octubre de 2018, ¿Qué es lo nuevo?, básicamente es un complemento y actualización al trabajo de la línea de seguridad de la información que se realiza desde el año 2005, en la práctica el instructivo apunta al resguardo de los activos digitales de las instituciones públicas y servicios relaciones del país.

El instructivo completo se compone de 8 medidas las cuales puede conocer en: https://www.ciberseguridad.gob.cl/monitoreo-instructivo-presidencial-n8-del-23-de-octubre-de-2018/, me enfocare en las medidas que dan un nuevo aire a la temática, dándole bríos nuevos ,un destino con fechas y compromisos claros. Ver documento en: https://www.ciberseguridad.gob.cl/media/2018/10/Instructivo-008-23.10.2018-Ciberseguridad.pdf

1-Encargado de Ciberseguridad por Servicio: Cada Jefe de Servicio deberá designar a un encargado de ciberseguridad y a un subrogante

Esta medida ya se cumplió y hoy existen más de 200 encargados de ciberseguridad, en distintos servicios de nuestro país, lo cual es un avance, pueden existir distintas voces y opiniones sobre esto, como en una democracia, de cualquier manera sí es un avance, quizás usted amigo lector, fue nombrado como encargado de ciberseguridad, primero contarles que la ciberseguridad tiene muchas caras https://blogdelciso.com/2018/08/09/distintos-angulos-de-la-ciberseguridad-parte-i/ , y cada especialidad tiene años de entrenamiento previo, ahora quizás necesita mejorar sus conocimientos y habilidades para trabajar de mejor forma en esto, pensé qué este extracto en parte para usted:

Le cuento que puede estudiar temáticas de Ciberseguridad de forma  pagada, y acá puede ver la oferta educativa en Chile: https://blogdelciso.com/2018/11/01/catastro-de-oferta-educacion-formal-en-ciberseguridad-y-seguridad-de-la-informacion-en-chile-noviembre-2018/ y gratuita en: https://www.cybrary.it/

Cursos de ciberseguridad al bolsillo de todos por unos pocos dólares en:

También con esfuerzo, puede estudiar ,practicar muchísimo e  invertir en buenos cursos pagados y certificarse en:

También practicar técnicas y mejorar sus habilidades sobre máquinas creadas para ello como son:

  • Hack the box
  • Metasploitable.
  • UltimateLAMP.
  • Web Security Dojo.
  • OWASP Academics.
  • DVWA Damn Vulnerable Web Application.
  • Mutillidae.
  • De-ICE.
  • OWASP Web Goat.

Puede informarse de las últimas tendencias  siguiendo a estos dos bot de Telegram

También trate de unirse a comunidades de ciberseguridad donde comparta con especialistas, los cuales pueden enseñarle mucho:

Mi amigo sobrero blanco habla de esto en: https://www.sombrero-blanco.com/seguridad-informatica/buscas-comunidades-o-sitios-referentes-a-ciberseguridad-este-es-tu-post/

3-Medidas Internas de Ciberseguridad: Cada Jefe de Servicio, en un plazo máximo de 60 días hábiles contados desde el lanzamiento del instructivo, deberá presentar una evaluación de riesgo de ciberseguridad, un análisis del estado de vulnerabilidades, medidas actualmente adoptadas y un plan de acción de corto plazo.

En esta medida se trata primero de generar una estrategia, comprar cajas con la carencia de una estrategia clara definida, lo dejará donde mismo; Lo primero que debe hacer usted, es pensar en esto https://blogdelciso.com/2018/08/23/ciberdefensa-en-profundidad-por-funcion/ luego:

Evaluación de riesgo de ciberseguridad

Para evaluar el riesgo, debe conocer sus activos, por lo tanto la primera etapa podría ser:

  1. Identificar todos los activos digitales que tiene expuestos de cara a internet
  2. Identificar todos los activos digitales que tiene de cara a red interna

Para identificar la amenaza debe saber cuáles son sus vulnerabilidades:

  1. A nivel de aplicativo
  2. A nivel de servidor
  3. A nivel de Red
  4. Y todos los extras que desee agregar

Ejemplos de distintas vulnerabilidades que recopile, como son:

  • Diseño – Debilidad en el diseño de protocolos utilizados en las redes.
  • Diseño – Políticas de seguridad deficientes e inexistentes.
  • Implementación – Errores de programación.
  • Implementación – Existencia de “puertas traseras” en los sistemas informáticos.
  • Implementación – Descuido de los fabricantes.
  • Uso – Configuración inadecuada de los sistemas informáticos.
  • Uso – Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
  • Uso – Disponibilidad de herramientas que facilitan los ataques.
  • Uso – Limitación gubernamental de tecnologías de seguridad.
  • Capacidad tecnica insuficiente
  • Limitación y control de puertos de red
  • Fase de capacidad de recuperación de datos
  • Configuraciones seguras para dispositivos de red
  • Defensa de límite
  • Protección de datos
  • Acceso controlado basado en la necesidad de saber
  • control de acceso inalámbrico
  • Monitoreo y control de cuenta
  • Evaluación de habilidades de seguridad y capacitación adecuada para llenar las brechas
  • Aplicación Software Seguridad
  • Respuesta y gestión de incidentes
  • Pruebas de penetración y ejercicios de equipo rojo
  • Ciberseguridad – Vulnerabilidad del día cero
  • Ciberseguridad – desbordamiento de buffer.
  • Ciberseguridad – condición de carrera (race condition).
  • Ciberseguridad – error de formato de cadena (format string bugs).
  • Ciberseguridad – Cross Site Scripting (XSS).
  • Ciberseguridad -Inyección SQL.
  • Ciberseguridad – denegación del servicio.
  • Ciberseguridad -ventanas engañosas (Window Spoofing).
  • OWASP – A1 Inyección
  • OWASP – A2 Pérdida de autenticación y gestión de sesiones.
  • OWASP – A3 Exposición de datos sensibles
  • OWASP – A4 Entidades Externas de XML (XXE)
  • OWASP – A5 Violación de control de acceso
  • OWASP – A6 Configuración de seguridad incorrecta
  • OWASP – A7 Secuencia de comandos en sitios cruzados (XSS)
  • OWASP – A8 Deserialización insegura
  • OWASP – A9 Utilización de componentes con vulnerabilidades conocidas
  • OWASP – A10 Monitoreo y registro insuficiente
  • OWASP – M1: Uso inadecuado de la plataforma
  • OWASP – M2: Almacenamiento de datos inseguros
  • OWASP- M3: comunicación insegura
  • OWASP – M4: Autenticación insegura
  • OWASP – M5: Criptografía insuficiente
  • OWASP – M6: Autorización insegura
  • OWASP – M7: calidad del código del cliente
  • OWASP – M8: alteración de código
  • OWASP – M9: Ingeniería inversa
  • OWASP – M10: Funcionalidad Extraña
  • CIS – Inventario de dispositivos autorizados y no autorizados
  • CIS – I Inventario de software autorizado y no autorizado
  • CIS – I Configuraciones seguras para Hardware y Software
  • CIS – I  Fórmula de evaluación y corrección de la vulnerabilidad continua
  • CIS – I Uso controlado de privilegios administrativos
  • CIS – IMantenimiento, monitoreo y análisis de registros de auditoría
  • CIS – IProtecciones de correo electrónico y navegador web
  • CIS – Defensas de malware
  • NUBE Las brechas de datos
  • NUBE – 1. Violaciones de datos
  • NUBE – 2. Insuficiente identidad, credencial y administración de acceso
  • NUBE – 3. Interfaces inseguras e interfaces de programación de aplicaciones (API)
  • NUBE – 4. Vulnerabilidades del sistema
  • NUBE – 5. Secuestro de cuentas
  • NUBE – 6. Personas malintencionadas
  • NUBE – 7. Amenazas persistentes avanzadas (APT)
  • NUBE – 8. Pérdida de datos
  • NUBE – 9. Diligencia debida insuficiente
  • NUBE – 10. Abuso y uso nefasto de servicios en la nube
  • NUBE – 11. Denegación de servicio (DoS)
  • NUBE – 12. Vulnerabilidades de tecnología compartida
  • NUBE – 13. amenaza para 2018: Spectre y Meltdown

Y para identificar sus riesgos debe saber cuáles son sus amenazas:

  • Ejemplo: Ataque malicioso con Explotación de CVE de componente vulnerable por atacante externo

Asignando el impacto y la probabilidad para asignar el valor del riesgo inherente.

Es importante mencionar que el titulo del riesgo siempre debe  ser al daño que genera a la institución o servicio:

  • Ejemplo Daño reputacional, por violación al control de acceso

¿Pero , qué software usar?, tranquilo amigo, el open source tiene mucho que ofrecer para su distinguido rol, usted debe, realizar al menos las primeras etapas de un pentesting, Fase de reconocimiento, fase de escaneo, fase de enumeración, si tiene presupuesto trate de contratar a un equipo externo para corroborar sus hallazgos, las funciones de un Red Team , según pienso deberían formarse en las instituciones, les recomiendo para, al menos realizar una práctica periódica usar las siguientes herramientas para análisis de vulnerabilidades:

Herramientas de Reconocimiento

  • NMAP
  • Whatweb
  • dirb
  • Photon
  • Sitadel

Herramientas de Análisis de vulnerabilidades

  • OpenVAS.
  • Nexpose Community.
  • Metasploit Framework.
  • Burp Suite Free Edition
  • Nikto.
  • OWASP Zed Attack Proxy (ZAP)

Deberá realizar algunas de las capacitaciones que mencioné más arriba y manos a la obra, identificar las principales debilidades, descartar falsos positivos, identificar los CVE, que tengan posibilidades de explotación en sus servicios y plasmarlo en una matriz de riesgos:

Los documentos mínimos que debe completar son los en negrita, mi recomendación es un paso más adelante y crear una práctica institucional.

  • Matriz de activos digitales expuestas a internet y red interna.
  • Bitácora de análisis de vulnerabilidades, datos de los informes, fechas y activos involucrados
  • Procedimiento de Análisis de Vulnerabilidad
  • Proceso de mitigación de vulnerabilidades
  • Formato de informe de análisis de vulnerabilidades
  • Informe de vulnerabilidades a enero 2019
  • Formato de reporte ejecutivo para la gerencia mensual
  • Procedimiento de desarrollo seguro
  • Procedimiento de Hardening de Servicios
  • Bitácora de soluciones de ciberseguridad con tipo, licenciamiento, dueño y ubicación
  • Matriz de riesgos en materias de ciberseguridad 2019

7-Reporte Obligatorio de Incidentes Los órganos de la Administración del Estado deberán reportar la totalidad de incidentes de ciberseguridad que se presenten, tan pronto tomen conocimiento de los mismos, se informará al Centro de Coordinación de Entidades de Gobierno, vía correo electrónico al [email protected].

Primero fórmese, edúquese lo más que pueda,  y habilite equipos donde pueda realizar los análisis; Recomiendo estas distribuciones de Linux para completar esta tarea:

Plataformas donde realizar análisis de malware:

Idealmente monte un sistema de monitoreo, que permita detectar incidencias, recomiendo

https://www.elastic.co/es/elk-stack

En esta primera etapa, son las actividades que debe realizar, espero este post sea de utilidad, y logre este flag que es importante para qué todos juntos contribuyamos a un país más ciberseguro.

Plan de acción y sus principales hint, viene en próximo capítulo.

Si le sirvió, un Like 😉 Capítulo DOS EN–> . https://www.blogdelciso.com/2019/03/31/mirada-practica-desde-la-aplicacion-al-instructivo-presidencial-de-ciberseguridad-capitulo-2-la-mitigacion/

0 comentarios en “Mirada práctica desde la aplicación, al Instructivo presidencial de Ciberseguridad”

Deja un comentario