Aplicación de la Disciplina de administración de riesgos de seguridad La información que contiene este documento, incluidas las direcciones URL y otras referencias a sitios Web de Internet, está sujeta a modificaciones sin previo aviso. A menos que se indique lo contrario, los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios y en modo alguno representan a compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. El cumplimiento de todas las leyes de derechos de autor aplicables es responsabilidad del usuario. Sin limitar los derechos de copyright, ninguna parte de este documento puede ser reproducida, almacenada en sistemas de recuperación o transmitida de ninguna forma, ni por ningún medio, ya sea electrónico, mecánico, fotocopia o grabación, ni con ningún propósito, sin la previa autorización por escrito de Microsoft Corporation. Microsoft puede ser titular de patentes, solicitudes de patentes, marcas, derechos de autor y otros derechos de propiedad intelectual sobre los contenidos de este documento. El suministro de este documento no le otorga ninguna licencia sobre estas patentes, marcas, derechos de autor u otros derechos de propiedad intelectual, a menos que ello se prevea en un contrato por escrito de licencia de Microsoft. © 2004 Microsoft Corporation. Reservados todos los derechos. Microsoft, MS-DOS, Windows, Windows NT, Windows Server y Active Directory son marcas comerciales o marcas registradas de Microsoft Corporation en EE.UU. y otros países. Los nombres de las compañías y productos reales mencionados en este documento pueden ser marcas comerciales de sus respectivos propietarios. Los nombres de las compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares y acontecimientos aquí mencionados son ficticios. No se pretende indicar, ni debe deducirse, ninguna asociación con compañías, organizaciones, productos, nombres de dominio, direcciones de correo electrónico, logotipos, personas, lugares o acontecimientos reales. 3 Aplicación de la Disciplina de administración de riesgos de seguridad Aplicación de la Disciplina de administración de riesgos de seguridad Descripción del módulo En este módulo se proporciona un ejemplo práctico en el que se demuestra cómo utilizar la Disciplina de administración de riesgos de seguridad (SRMD) para analizar e identificar dichos riesgos. La SRMD (detallada en este módulo, "Comprensión de la Disciplina de administración de riesgos de seguridad" de esta guía) es una metodología comprobada, destinada a identificar y abordar posibles cuestiones de seguridad en una organización. El módulo utiliza una organización ficticia modelo denominada "Contoso Inc.", una compañía dedicada a la investigación de mercado, que cuenta con dos sedes principales y miles de empleados. Se identifican y establecen prioridades en cuanto a los problemas de seguridad que pueda enfrentar esta organización. Objetivos Utilice este módulo para: • Identificar posibles amenazas a la seguridad de la tecnología de información (TI) y su factibilidad aproximada. • Identificar el valor de los activos, incluido su valor indirecto en caso de daño o infracción. • Identificar y establecer prioridades en cuanto a las posibles cuestiones de seguridad en su propia organización por medio de la SRMD. Marco de aplicación Este módulo se aplica a los siguientes productos y tecnologías • Toda infraestructura de TI Uso del módulo Se proporciona una guía para ayudarlo a interpretar y aplicar la información de este módulo, "Comprensión de la Disciplina de administración de riesgos de seguridad". Lea el módulo para conocer las generalidades del uso de la SRMD en una organización genérica. Máximo aprovechamiento del módulo: • Lea el módulo "Definición del panorama de seguridad de Windows 2000", que es la introducción a la terminología utilizada y los temas que aborda el módulo. • Lea el módulo "Comprensión de la Disciplina de administración de riesgos de seguridad" como introducción al análisis de Riesgos de seguridad por medio de la SRMD. 4 Aplicación de la Disciplina de administración de riesgos de seguridad Contenido Introducción Generalidades del entorno Identificación de riesgos de seguridad Análisis y priorización de riesgos de seguridad Resumen Información adicional Introducción La Disciplina de administración de riesgos de seguridad (SRMD) es un proceso detallado y útil para determinar las amenazas y vulnerabilidades de mayor impacto potencial en una organización dada. Debido a que cada compañía tiene necesidades comerciales diferentes, es imposible crear una lista de vulnerabilidades que tengan el mismo impacto en cada entorno. Este proceso se describe detalladamente en el módulo "Comprensión de la Disciplina de administración de riesgos de seguridad". El módulo aplica el proceso a un cliente genérico. Se dan algunos detalles de alto nivel referentes al entorno destino, con el objeto de brindar un trasfondo adecuado para el ejemplo práctico. Al concluir el módulo se definen, describen y analizan detalladamente los riesgos específicos debatidos. Generalidades del entorno La solución gira en torno a una compañía de investigación de mercado denominada Contoso, Ltd. Contoso tiene dos oficinas: la sede central ubicada en Atlanta, Georgia, y una segunda oficina en Boston, Massachussets. Contoso es una empresa de cierta envergadura, y tiene miles de empleados que utilizan recursos informáticos. Las ganancias declaradas el año pasado fueron de $829 millones. La infraestructura de la compañía está totalmente actualizada al sistema operativo de servidor Microsoft® Windows® 2000 pero el desarrollo de sus clientes aún se encuentra en una etapa de transición. Actualmente, la compañía posee una combinación de Microsoft Windows 98 SR2, Microsoft Windows NT® Workstation versión 4.0, Windows 2000, y Windows XP. Modelo administrativo Contoso ha segmentado los grupos administrativos de la compañía y ha formado divisiones que se concentran en tecnologías específicas. Existe un grupo de administradores que supervisan todas las administraciones a nivel de dominio, incluida la administración de los controladores de dominio. Existe también un segundo grupo que administra los servicios de infraestructura de la compañía, tal como el Servicio de nombre de Internet para Windows [Windows Internet Name Service (WINS)], el Protocolo de configuración de host dinámico [Dynamic Host Configuration Protocol (DHCP)], y los Sistemas de nombre de dominio [Domain Name Systems [(DNS)], así como los servidores de archivo e impresión en la organización. Además, hay un grupo de servicios Web que maneja la administración de todos los servidores de Servicios de información por Internet [Internet Information Services (IIS)] en el entorno. IIS es el software de servidor Web de Microsoft que utiliza el protocolo de transferencia de hipertexto [Hypertext Transfer Protocol (HTTP)] y el protocolo de transferencia de archivos [File Transfer Protocol (FTP)]. Los grupos administrativos se detallan en la siguiente tabla. 5 Aplicación de la Disciplina de administración de riesgos de seguridad Tabla 1: Grupos administrativos de Contoso Nombre del grupo Responsabilidades Ingeniería de dominio Administración de dominio Administración del controlador de dominio DNS Operaciones WINS DHCP Servicios de archivo Servicios de impresión Servicios Web Administración IIS Diseño de infraestructura Diseño de redes Contoso posee dos centros de datos conectados a dos líneas T1. Parte del personal de ingeniería y operaciones de cada oficina tiene a su cargo servicios de infraestructura de redes. Todos los servidores Web están ubicados en el centro principal de datos de Atlanta. Cada sede posee conexiones de 100 megabits por segundo (Mbps) con todos los servidores y de 10 Mbps con todas las estaciones de trabajo de los clientes. Los servidores presentan una subred propia. Los equipos de los clientes se encuentran en una subred aparte. Todos los equipos tienen acceso a Internet a través de la conexión de Atlanta. Diseño de Active Directory Contoso ha implementado un bosque único para Windows 2000 Server con raíz vacía y dominio secundario único. Un dominio raíz vacío es un dominio aparte que alberga sólo las cuentas de equipos correspondientes a los controladores de dominio en ese dominio y las cuentas de usuario predeterminadas. Puede crearse un dominio raíz vacío si se desea obtener dominios secundarios múltiples divididos equitativamente en límites geográficos y administrados por un grupo central. Un dominio raíz vacío no proporciona seguridad adicional alguna, pero puede evitar que los errores no intencionados afecten a todo el bosque al separar los Administradores de la empresa y los administradores de dominio regionales. Contoso creó una raíz vacía porque esperaba expandirse a otros países en el futuro. 6 Aplicación de la Disciplina de administración de riesgos de seguridad La ilustración siguiente muestra un diagrama de dominio de alto nivel. Figura 1 Diseño de Active Directory para Contoso, Ltd. Contoso también ha dividido su red en dos Active Directories Microsoft® sitios de servicios para directorios — Atlanta y Boston. Las funciones de las operaciones maestras únicas flexibles (FSMO) se dividen en estos sitios. Cada sitio posee controladores de dominio Active Directory integrado con DNS, DHCP y servidores de archivo e impresión. Atlanta es la base de los servidores WINS para toda la organización. La mayoría de los servidores IIS de la organización se encuentra en Atlanta; sin embargo, algunos servidores Web de departamentos de menor importancia están en Boston. Actualmente, Contoso se encuentra en proceso de actualización de su red interna. Está migrando a una topología de red a base de conmutadores pero en algunos de los edificios todavía existe una gran cantidad de equipos conectados por concentradores. 7 Aplicación de la Disciplina de administración de riesgos de seguridad Figura 2 Diseño de servicio para Contoso Ltd. La ilustración anterior muestra la distribución de servicios a base de servidores en Contoso pero no representa con precisión la cantidad total de servidores dentro de la organización. Necesidades comerciales Tal y como se ha mencionado, Contoso es una compañía dedicada a la investigación de mercado. La investigación de mercado es una actividad que se concentra en el planeamiento y control de la suma de actividades involucradas en el flujo de artículos y servicios de los fabricantes a los consumidores, incluidos el envasado, la fijación de precio, la promoción y distribución física de los productos para satisfacer las necesidades de un mercado en particular. Los investigadores de mercado deben aprender lo máximo posible sobre sus clientes para descubrir las necesidades del mercado. Para facilitarles la tarea, Contoso les ofrece información detallada de sus mercados destino. La mayor parte de la información de mercado de Contoso está alojada en servidores IIS ubicados dentro de la organización. El personal de investigación de mercado utiliza los servidores Web internos para recolectar información detallada de sus clientes. Parte de esta información también se encuentra en recursos compartidos de archivo, pero la información de estos recursos es sólo una porción de la información disponible en los servidores de la intranet. Contoso desea garantizar la seguridad de sus datos internos. La investigación de mercado es un campo muy competitivo y los datos de la compañía representan una ventaja comparativa principal respecto de la competencia. Por ello, la prioridad máxima de la organización es mantener un alto nivel de seguridad de los datos de mercado de la compañía. 8 Aplicación de la Disciplina de administración de riesgos de seguridad Se ha iniciado un proyecto independiente para analizar la seguridad de la conectividad externa de Contoso y de su red perimetral. Estos temas quedan fuera del alcance de este proyecto. Identificación de riesgos de seguridad El primer paso en todo proyecto de seguridad es definir los riesgos de seguridad a debatir. Estos riesgos son una combinación de activos, las amenazas que pudieran afectarlos y las vulnerabilidades de dichos activos que puedan ser explotadas de modo alguno. Una buena analogía de estos tipos de relaciones es una casa. La casa es un activo. Tiene valor y debe ser protegida. Un ladrón representa un agente que amenaza la casa porque tiene el potencial de dañarla o robar elementos. Las ventanas de la casa son necesarias; sin embargo, toda ventana abierta se convierte en una vulnerabilidad porque el ladrón puede usarla para entrar a la casa. Este simple ejemplo muestra cómo un agente amenazante puede explotar una vulnerabilidad para obtener acceso a un activo. El primer paso para garantizar la seguridad total en el entorno de los equipos de una organización es identificar los activos, las amenazas que pudieran afectar el entorno y las vulnerabilidades de los activos identificados. Llevar a cabo este proceso en una organización ayuda a establecer un conjunto de riesgos de seguridad que se pueden analizar y clasificar por orden de prioridad adecuadamente. Identificación de activos Los activos pueden incluir una amplia gama de elementos. Este módulo sólo analiza un subconjunto de activos informáticos. Identificar estos activos puede ser muy simple en algunas organizaciones y muy difícil en otras, según los procesos de obtención y los mecanismos de seguimiento de activos utilizados. Conocer las funciones de los servidores es más importante que conocer la cantidad de servidores implementados en la organización. Por ejemplo, Contoso es una empresa de investigación de mercado que utiliza servidores Web para que sus empleados tengan acceso a datos de mercado. La compañía puede determinar que estos equipos son más importantes que un servidor de impresión. Sin embargo, Contoso también puede determinar que diferentes servidores Web del entorno poseen diferentes niveles de importancia en la estructura general de la organización. Además, los activos no son sólo hardware físico. En un entorno informático, los activos potenciales que deben ser evaluados incluyen servicios tales como los servicios de nombre provistos por un servidor DNS. Los activos también pueden incluir cuentas de usuario tales como cuentas de servicio o de administrador. Priorización de activos Si bien identificar activos es un proceso cualitativo, deben considerarse los beneficios generales de las metas comerciales de la organización al determinar el valor potencial de cada servidor o grupo de servidores. Al hacerlo, se puede definir una prioridad de activo (PA) para cada servidor o grupo de servidores. Entre los principales factores a considerar como parte de este proceso se incluyen: • El valor financiero del activo. • El coste de construcción del activo. • El coste de protección del activo. • El valor del activo para la competencia. • El coste de recuperación del activo. Puede resultar muy difícil clasificar todos los activos de una organización en la misma escala. Por ello, resulta útil desglosarlos en tecnologías similares y luego clasificarlos. Este enfoque facilita la comparación del valor relativo de diferentes activos utilizando una escala similar en la organización. 9 Aplicación de la Disciplina de administración de riesgos de seguridad Determinación de los valores de los activos Al identificar activos es extremadamente importante determinar el Valor del activo (VA) para cada recurso. El VA es el valor monetario del activo. Al determinar el valor del activo es importante considerar una cantidad de elementos, incluidos el valor físico y el valor comercial de los datos alojados en dicho activo. El valor físico es fácil de calcular. El monto se genera en función de los siguientes costes: • Costes de hardware • Costes de software • Costes de soporte técnico • Costes de reemplazo El valor comercial de los datos contenidos en dichos activos puede ser muy difícil de expresar numéricamente. Puede basarse en su contribución a las metas financieras generales de la compañía o en el valor que un individuo o una organización externa pueda darles. Normalmente, este valor es muy debatible pero debería ocasionar un impacto relativo en la pérdida de datos en comparación con datos de activos similares. A menudo, el valor de los datos supera ampliamente el valor del hardware en sí. El valor indirecto del activo puede resultar lo más difícil de cuantificar. Esta cifra debe ser el valor que la compañía puede perder por publicidad negativa, acciones legales o lucro cesante si el activo se extravía o se pone en peligro. Además, este valor puede incluir el coste comercial de reemplazo o reparación por la pérdida del activo. Finalmente, se debe evaluar el valor que una organización externa le da al activo. Al igual que con el valor comercial indirecto, puede resultar difícil de calcular. Esta cifra debe reflejar el valor monetario que un agente externo pagaría por los datos reales contenidos en el activo. El Valor del activo es una suma en dólares que puede utilizarse al computar las expectativas de pérdida para el activo. El VA debe calcularse sumando el valor físico del activo, su valor comercial directo e indirecto y el valor del activo para una organización externa. Tal y como se ha mencionado anteriormente, esta cifra es muy difícil de determinar. EL valor físico de un servidor es sólo una fracción del valor total del equipo. El valor real de un activo dentro de la organización viene dado por su funcionalidad o por los datos que contiene. Lista de activos de Contoso Como parte del proceso de análisis de riesgos de seguridad, todo activo de una organización debe ser identificado y clasificado para proporcionar información a la evaluación general de riesgos de seguridad y un medio para calcular sus valores relativos dentro de la organización. El proceso de análisis de riesgos de seguridad ofrece un método para identificar riesgos y evaluar el daño que podría ocasionarse para justificar la protección de la seguridad. Contoso ha identificado varios grupos de activos que desea debatir en la primera fase del proyecto. Uno de ellos es la infraestructura de Windows 2000. Este agrupamiento incluye los controladores de dominio, los servidores de archivo e impresión, los servidores IIS y los servidores de infraestructura. Contoso también ha definido servidores de infraestructura de modo que incluyan específicamente los servicios DNS, DHCP y WINS. Estos servicios fueron clasificados en función de los criterios mencionados anteriormente. Como parte de este proceso, tanto la Ingeniería de dominio como las Operaciones, los servidores Web y los equipos de seguridad extendida, determinaron una prioridad de activo (PA) general para cada grupo de servicios. Para hacerlo, los equipos basaron sus calificaciones en la siguiente escala de 1 a 10, que puede utilizarse para designar activos clave para la compañía: 10 Aplicación de la Disciplina de administración de riesgos de seguridad • 1 — El servidor ofrece funcionalidad básica pero no representa un impacto financiero en los negocios. • 3 — El servidor almacena información importante pero los datos pueden recuperarse rápida y fácilmente. • 5 — El servidor contiene información importante que llevaría tiempo recuperar. • 8 — El servidor contiene información importante para las metas comerciales de la compañía. La pérdida de este equipo tendría un gran efecto sobre la productividad de todos los usuarios. • 10 — El servidor representa un gran impacto en los negocios de la compañía. La pérdida de este equipo ocasionaría una desventaja comparativa. La siguiente tabla ilustra las calificaciones de prioridad del activo otorgadas a algunos de los activos de Contoso. No es una lista completa de activos pero sí una muestra del proceso de calificación general realizado en el entorno Contoso. Tabla 2: Prioridades de activos de Contoso Clasificación de servidores Prioridad de activo (PA) Controladores de dominio raíz 8 Cuentas del Administrador de la empresa 10 Controladores de dominio secundario 8 Cuentas del Administrador de dominio Norteamérica 10 Cuentas del usuario de dominio Norteamérica 5 Servicios DNS raíz 4 Servicios DNS secundario 5 Servidores WINS 3 Servidores DHCP 1 Servidores de archivo e impresión 8 Servidores IIS de investigación 10 Servidores IIS de departamento 6 Servidores IIS de recursos humanos 7 Además, se realizó la valuación de los activos para cada uno de los servidores de la siguiente tabla. Un detalle adicional de estos valores está disponible en la hoja de cálculo de Excel "JA0401.xls", incluida en esta solución. Tabla 3: Valuación de activos de Contoso Clasificación de servidores Valor físico Valor adicional Valor del activo (VA) Controlador de dominio raíz único $18.000 $10.000 $28.000 Cuentas del Administrador de la empresa $0 $829 millones $829 millones 11 Aplicación de la Disciplina de administración de riesgos de seguridad Clasificación de servidores Valor físico Valor adicional Valor del activo (VA) Controlador de dominio secundario único $18.000 $50.000 $68.000 Cuentas del Administrador de dominio Norteamérica $0 $829 millones $829 millones Cuentas del usuario de dominio Norteamérica $0 $1.000 $1.000 Servicios DNS raíz $18.000 $30.000 $48.000 Servicios DNS secundario $18.000 $30.000 $48.000 Servidor WINS $18.000 $0 $18.000 Servidor DHCP $18.000 $0 $18.000 Servidor de archivo e impresión $40.000 $480.000 $520.000 Servidor IIS de investigación $46.000 $550.000 $596.000 Servidor IIS de departamento $32.000 $50.000 $82.000 Servidor IIS de Recursos Humanos $32.000 $300.000 $332.000 Comprensión de las prioridades y los valores de activos Los activos de una compañía pueden clasificarse de diversas maneras. En esta sección se detallan los criterios utilizados para tomar estas decisiones en el caso de los activos de Contoso. La información siguiente describe las decisiones tomadas en este ámbito en particular. El suyo puede ser muy diferente y se obtendrán diferentes resultados en función de las necesidades y los requerimientos comerciales. Estos valores son muy subjetivos y sólo ofrecen una descripción general del proceso realizado en el entorno Contoso. Controladores de dominio raíz Los controladores de dominio raíz son piezas importantes de la infraestructura; sin embargo, contienen pequeños datos difíciles de recrear. Contoso cuenta con diversos controladores de dominio en su dominio raíz, que ofrecen redundancia en los servicios que prestan. Representan un mínimo beneficio financiero directo a la compañía, pero gozan de un enorme poder. Por ello, se les asignó una prioridad de activo de 8. Los controladores de dominio raíz contienen poca información de valor financiero fuera de la compañía, pero un error en ellos limitaría la información de los usuarios. Por esta razón, se evaluó la información comercial que contienen en aproximadamente $10.000. Conjuntamente con los costes de hardware, el VA total de los controladores de dominio se estima en $28.000. Estas cifras se corresponden con un único controlador de dominio y no con la prioridad de los servicios generales de dominio. Las cuentas de dominio y del administrador de la empresa se evaluaron como recursos propios para calcular los riesgos asociados. Contoso podría haber realizado una evaluación adicional de la prioridad y del valor de los servicios generales de dominio para dar cuenta de cualquier riesgo que pudiera eliminar la funcionalidad del dominio. Esto se consideró no pertinente al alcance de este proyecto. 12 Aplicación de la Disciplina de administración de riesgos de seguridad Cuentas del Administrador de la empresa Las cuentas del grupo Administrador de la empresa son las más importantes dentro de la organización. Un administrador de la empresa puede controlar cualquier computadora del bosque. Estas cuentas deben usarse sólo cuando es necesario y deben contar con las máximas medidas de seguridad dentro de la organización. Debido al enorme poder de este grupo, se calificó la prioridad de estos activos con 10. Perder el control de estas cuentas podría originar un caos para la organización. El valor de las cuentas de este grupo es enorme. Equivale a toda la información almacenada o asegurada en el bosque Windows 2000. Por ello, el valor de las cuentas del Administrador de la empresa se estimó equivalente a las ganancias de la organización durante el último año — $829 millones. El grupo debe gozar de una protección tal como si el funcionamiento integral de los negocios de la empresa dependiera de su seguridad. Controladores de dominio secundario Los controladores de dominio secundario contienen información clave sobre los usuarios de la organización, incluidas sus contraseñas. Si se perdiera o pusiera en peligro esta información podría generarse un importante impacto en la compañía. Contoso ha dispuesto controladores de dominio múltiples en todas sus sedes, con lo cual reduce el impacto de un error independiente. Gracias a ello, sería más fácil recuperar la pérdida de un controlador de dominio independiente. La combinación de estos factores ayudó a Contoso a calificar a los controladores de dominio secundario con una prioridad de activo de 8. La información de los controladores de dominio secundario se valuó en $50.000. Esta estimación se basa en la suma que una organización externa pagaría por obtener los números telefónicos y las direcciones de correo electrónico de los usuarios. Conjuntamente con el valor del hardware, el VA de los controladores de dominio secundario se estimó en $68.000. Tal como en el caso de los controladores de dominio raíz, estas cifras no toman en cuenta errores en la cuenta de dominio o la pérdida de todos los servicios de dominio. En cambio, la estimación se concentra solamente en la información y las funciones ofrecidas por un controlador de dominio independiente. Cuentas del Administrador de dominio Norteamérica Contoso posee un dominio secundario denominado "Norteamérica". Este dominio contiene la mayoría de los activos de la compañía, incluidos servidores, información y cuentas. Si bien son menos que las cuentas del grupo Administrador de la empresa, las cuentas del grupo del Administrador de dominio Norteamérica goza de un enorme poder. Debido a que los administradores de dominio tienen total control sobre todos los recursos del dominio, la prioridad de las cuentas de administradores del dominio Norteamérica se calificó con 10. Si bien el error de una de estas cuentas es levemente más grave que el error de una cuenta del grupo Administrador de la empresa, ambas pondrían en peligro a todos los equipos de la organización. Tal como se mencionó anteriormente, el valor de las cuentas del grupo Administrador de dominio es enorme. Por esta razón, el valor de las cuentas del grupo Administradores del dominio Norteamérica también es equivalente a las ganancias de la empresa durante el último año. Cuentas del Administrador de dominio Norteamérica Las cuentas de Administradores de dominio no son las únicas cuentas de interés dentro de una organización. Si bien las de usuario no representan el mismo poder inmediato que una cuenta de Administrador de dominio, son otro punto de apoyo que un atacante podría utilizar para tomar el control de la organización. La estabilidad e integridad de las cuentas de usuario es una de las principales preocupaciones de Active Directory. Por ello, se calificó la prioridad de las cuentas de usuario con 5. El valor físico de una cuenta de usuario independiente es mínimo. Se requeriría de cierto trabajo administrativo para recuperar la cuenta y se perdería cierta funcionalidad. Sin embargo, éste es uno de los activos de más difícil 13 Aplicación de la Disciplina de administración de riesgos de seguridad valoración. El coste necesario para recrear la cuenta y compensar la productividad perdida ayuda a estimar el VA de una cuenta de usuario en aproximadamente $1.000. Servicios DNS raíz Los servidores DNS raíz ofrecen gran funcionalidad pero pueden recrearse muy fácilmente. Los datos contenidos en estos servidores no proporcionarían gran información a terceros y el impacto general de su pérdida sería mínimo. Sin embargo, si alguien infectara los servidores DNS, los usuarios serían redirigidos a otras ubicaciones y perderían el acceso a los recursos que necesitan. Por ello, se les asignó una prioridad de activo de 4. Un servidor DNS puro no contiene información comercial. Sin embargo, se podría ocasionar una pérdida de funcionalidad y productividad si estos servicios fueran alterados de modo alguno. En función del tiempo estimado que llevaría recuperar la funcionalidad y corregir cualquier inconveniente, conjuntamente con una estimación de las pérdidas de productividad, el valor adicional de los servicios DNS se estimó en aproximadamente $30.000. En combinación con el valor del hardware, el VA de los servidores DNS se estimó en $48.000. Tenga en cuenta que los servidores DNS de Contoso funcionan como parte de los controladores de dominio, pero se decidió tratarlos por separado. Servidores DNS secundarios Los servidores DNS secundarios contienen información de todos los servidores, las estaciones de trabajo de clientes y ciertos servicios de red del dominio secundario que podrían ser de interés para terceros. Los servidores no afectan directamente a las ganancias de la compañía pese a que tienen un elevado valor por su capacidad de conservar el buen funcionamiento de la red Contoso. Debido a que la información almacenada en estos servidores puede recrearse fácilmente en servidores DNS, se les asignó una prioridad de activo de 5. Al igual que con los servidores raíz, un servidor DNS puro no contiene información comercial. Sin embargo, podría ocasionarse una pérdida de funcionalidad y productividad si estos servicios fueran alterados en modo alguno. En función del tiempo estimado que llevaría recuperar la funcionalidad y corregir cualquier inconveniente, conjuntamente con una estimación de las pérdidas de productividad, el valor adicional de los servicios DNS del dominio Norteamérica se estimó en aproximadamente $30.000. En combinación con el valor del hardware, el VA de los servidores DNS se estimó en $48.000. Nuevamente, tenga en cuenta que los servidores DNS de Contoso funcionan como parte de los controladores de dominio, pero se decidió tratarlos por separado. Servidores WINS Los servidores WINS contienen información similar a la almacenada en los servidores DNS. Sin embargo, el uso de los servidores WINS está limitado principalmente a las estaciones de clientes más antiguas del entorno Contoso que aún poseen Windows 98 y Windows NT Workstation 4.0. También en este caso y debido a que la información del servidor puede recrearse fácilmente, se les asignó una prioridad de activo de 3. Un servidor WINS no contiene información comercial. La única información contenida en servidores WINS es la información de nombre del servicio básico de entrada y salida de red (NetBIOS) para los hosts del entorno. Toda pérdida de productividad significaría la pérdida de todos los servicios WINS del entorno, pero gracias a la redundancia, el riesgo se mitiga. El VA total de un servidor WINS se estima en $18.000. Tenga en cuenta que no incluye el valor de los servicios WINS de toda la organización, sólo el valor de un servidor WINS independiente. Servidores DHCP Los servidores DHCP contienen poca información de valor para otra organización. Estos servidores pueden recrearse fácilmente y no representan ganancias directas para la compañía. Por ello, se les asignó una prioridad de activo de 1. 14 Aplicación de la Disciplina de administración de riesgos de seguridad El servidor DHCP sólo contiene información de los equipos y sus direcciones IP, así como cierta información del ámbito DHCP. Estos servidores no contienen información alguna de valor comercial aunque sí proporcionan funcionalidad comercial. Contoso ha implementado servidores DHCP múltiples en su entorno y ha utilizado la regla 80/20 al crear sus ámbitos DHCP para permitir la pérdida de un servidor DHCP. Gracias a esto se reduce en gran medida el impacto de la pérdida de un servidor independiente. Siendo éste el caso, el VA de un servidor DHCP independiente se estimó en $18.000. Tenga en cuenta que no incluye el valor de los servicios DHCP de toda la organización, sólo el de un servidor DHCP independiente. Servidores de archivo e impresión Los servidores de archivo e impresión contienen gran parte de la propiedad intelectual de la compañía. La pérdida de estos equipos significaría una gran suma de dinero tanto para la compañía como para la competencia. Sería costosísimo recrear la información almacenada en estos servidores. Debido a estos factores, se les asignó una prioridad de activo de 8. El valor promedio de la información almacenada en cada uno de los servidores de archivo e impresión se estimó en $200.000 por servidor. Esta suma se basa en el valor que dicha información le rinde actualmente a la organización, así como en el coste de generación de la información. Servidores IIS de investigación Los servidores IIS de investigación de Contoso publican la mayoría de los datos de investigación de mercado para los usuarios internos de la compañía. Estos servidores contienen la información que representa la principal ventaja comparativa de la compañía. Por estas razones, los servidores IIS de investigación son clave y se les asignó una prioridad de activo de 10. Cada servidor IIS de investigación contiene información valuada en $450.000. Esto también se basa en el valor que dicha información le representa actualmente a la organización, como así también en el coste de generación de la información. Además, el valor que una organización externa pagaría por esta información se estimó en aproximadamente $80.000. En combinación con el coste del hardware, esto genera un VA de $596.000 para cada servidor IIS reservado para información de investigación de mercado. Servidores IIS de departamento Los servidores IIS de departamento también contienen información de valor sobre proyectos presentes y futuros de Contoso, pero no almacenan gran cantidad de información con valor comercial neto. Estos servidores se utilizan principalmente como medios de comunicación. Por estas razones, se les asignó una prioridad de activo de 6. El valor promedio de la información almacenada en los servidores IIS de departamento se estimó en $50.000 por servidor. Tal como se mencionó anteriormente, se basa en el valor que la información le representa actualmente a la organización, como así también en el coste de generación de la información. En combinación con los costes de hardware, el VA de los servidores IIS de departamento es $82.000. Servidores IIS de recursos humanos Los servidores IIS de recursos humanos son los servidores cliente para otro sistema de servidores de RR.HH. Estos servidores pueden recrearse fácilmente y no almacenan gran cantidad de información comercial clave. Sin embargo, el desarrollo de estos servidores es costoso por lo que se les asignó una prioridad de activo de 7. El valor de la información comercial almacenada en los servidores IIS se ha determinado en $100.000. Esta información incluye extensos datos personales e información interna de la compañía con dicho valor estimado para una organización externa. Además, se estimó un valor de $200.000 para hacer frente a cualquier acción judicial o publicidad negativa potenciales por la divulgación de esta información. En combinación con el valor del hardware del servidor IIS, el VA de estos activos se estimó en $332.000. 15 Aplicación de la Disciplina de administración de riesgos de seguridad Identificación de amenazas Luego de identificar y evaluar los activos a tener en cuenta en el proyecto de seguridad de Contoso, se debe determinar las amenazas a debatir para protegerlos. Las amenazas se presentan de diversas maneras y cada una conlleva diferentes riesgos para los activos de la compañía. Existe una cantidad ilimitada de amenazas para los activos dentro de una organización. Se analizan en detalle dichas amenazas en el módulo "Definición del panorama de seguridad de Windows 2000." En resumen, las amenazas pueden dividirse en tres categorías principales: naturales, mecánicas y humanas. Amenazas identificadas en el entorno Contoso Como parte de su proyecto de seguridad de Windows 2000, Contoso decidió considerar sólo ataques maliciosos potenciales. Los procedimientos operativos y las directivas de capacitación de la compañía ayudan a reducir las amenazas por mal uso accidental del entorno del sistema. El diseño físico de la red de Contoso y sus requerimientos de sistema también ayudan a reducir las amenazas mecánicas. Además, Contoso ha desarrollado planes de contingencia bien definidos en caso de un desastre natural. Al reducir la cantidad de amenazas que se debatirán en el proyecto de seguridad se facilita la comprensión total de la superficie de ataque y los límites del proyecto necesarios para establecer las directivas y los procedimientos de seguridad. Sin embargo, establecer estos límites también puede significar que se necesiten proyectos adicionales para hacer frente a todas las amenazas al entorno de la organización. Análisis de riesgos de seguridad — determinación de probabilidades de amenazas Determinar las probabilidades de amenazas específicas es muy importante para el proceso general de análisis de riesgos de seguridad. Al crear una valoración de riesgos de seguridad para su organización, estas cifras ayudan a determinar la gravedad de cada riesgo. Contoso definió la probabilidad de amenaza (PAm) como la probabilidad de que se materialice una amenaza. Desarrolló una escala para todas las amenazas de alto nivel y las calificó de 0 a 1,0. De acuerdo con esta escala, una amenaza calificada 0,1 tiene pocas probabilidades de materializarse, mientras que otra calificada 1,0 es de segura materialización, tal lo detallado en la siguiente tabla. Tabla 4: Probabilidades de amenazas de Contoso Amenaza Probabilidad Incendio 0,05 Inundación 0,025 Vientos fuertes 0,025 Terremoto 0,001 Corte del suministro eléctrico 0,0002 Error de hardware 0,1 Error de red 0,3 Usuarios desinformados 0,2 Código malicioso (virus) 0,6 Espías industriales 0,1 16 Aplicación de la Disciplina de administración de riesgos de seguridad Amenaza Probabilidad Atacantes internos 0,6 Atacantes externos 0,4 Las probabilidades correspondientes a atacantes internos y externos se basan en una combinación de los resultados del "Computer Crime and Security Survey" ("Relevamiento sobre delitos y seguridad informática") y las experiencias previas de Contoso durante el último año. Éste es sólo un subconjunto de amenazas que pudieron identificarse, pero ilustra cómo puede confeccionarse una lista en función de la experiencia pasada, las condiciones del entorno, la geografía y la industria de la organización. Evaluación de la seguridad Tal como ocurre en la mayoría de los proyectos de sistemas de información, el mejor modo de programar un proyecto de seguridad es inspeccionar el panorama existente. Se deben revisar las directivas y los procedimientos e investigar el uso de la tecnología en los niveles físico, perimetral, de red, de host, de aplicación y de datos. Existen diversas metas en lo que hace a la evaluación de la seguridad, por lo que se dispone de diversas categorías de acciones a realizar para alcanzarlas. Se incluyen: • Evaluación operativa. • Pruebas de penetración. • Evaluación de vulnerabilidad. • Auditoría de detección de intrusos. Ciertos socios de Microsoft ofrecen estos servicios. Para conocer los socios certificados de Microsoft, consulte: http://directory.microsoft.com/resourcedirectory/Solutions.aspx. Aquí se describen las tres categorías de evaluación de seguridad en mayor detalle. Evaluación operativa La seguridad se inicia con una directiva bien definida. El primer paso para garantizar la seguridad de una organización debe ser una revisión completa de las directivas documentadas de la organización. Una evaluación operativa suele generar una investigación detallada de las directivas y los procedimientos de la compañía. Ciertas evaluaciones operativas pueden extenderse hacia el uso de tecnología de alto nivel. El objetivo de una evaluación operativa es ayudar a identificar el estado actual de la seguridad de la organización y garantizar la disponibilidad de la administración operativa. Además, debe identificar tanto las recomendaciones generales como las específicas que mejoren la disponibilidad de la seguridad y reduzcan el coste total de propiedad (CTP) de la organización. Pruebas de penetración Las pruebas de penetración pueden ayudar a identificar las vías de acceso que un individuo no autorizado puede utilizar para ingresar a la organización. Pueden incluirse: • Exploración de recursos externos para identificar blancos potenciales. 17 Aplicación de la Disciplina de administración de riesgos de seguridad • "War dialing" (técnica de "marcado") para identificar accesos telefónicos no seguros. Un "war dialer" ("marcador de guerra") es una herramienta utilizada por los intrusos para obtener acceso no autorizado a un número telefónico de módem. • "War pinging" ("técnica de detonación") para identificar cualquier host disponible exteriormente. Estas máquinas pueden utilizarse para pruebas adicionales. • "War driving" ("manejo de guerra"), un concepto relativamente nuevo que representa el proceso de localización de cualquier punto de acceso inalámbrico de una organización. • Ingeniería social para localizar personas que pudieran ser engañadas y revelen sus contraseñas o algún tipo de información de seguridad que pueda proporcionar información confidencial accidentalmente. • Ingreso al edificio para determinar la sencillez de acceso físico a las instalaciones. Estas pruebas son útiles para incrementar la atención que una organización le presta a las directivas de seguridad. Una de las consideraciones más importantes al realizar una prueba de penetración es solicitar los servicios de una organización externa de conocida reputación. Toda prueba de penetración debe contar con autorización escrita antes de su inicio. En el caso de muchas compañías, acciones no autorizadas como ésta pueden dar pie a la extinción del contrato. Evaluación de vulnerabilidad Una evaluación de vulnerabilidad profundiza la prueba de penetración. En vez de identificar algunas de las posibles rutas de acceso, una evaluación de vulnerabilidad define todos los posibles puntos de entrada a la organización. Dentro de la organización, el equipo responsable del proyecto de seguridad sigue adelante con la evaluación de vulnerabilidad al identificar otras debilidades de activos internos. Este procedimiento suele realizarse por recursos internos con privilegios administrativos en todos los equipos. Una vulnerabilidad es una debilidad de un sistema de información o sus componentes (por ejemplo, procedimientos de seguridad del sistema, diseño de hardware y controles internos) que puede ser utilizada para generar un inconveniente relacionado con la información. En general, las vulnerabilidades se generan a raíz de la configuración actual de un activo. Al modificar la configuración de un activo, se debe repetir la evaluación de seguridad para validar el sistema actualizado y garantizar que sigue siendo seguro. Las vulnerabilidades pueden originarse por debilidades en cualquier punto del modelo de defensa en profundidad. Este modelo ofrece una estrategia para proteger los recursos de amenazas externas e internas. El término defensa en profundidad (también llamado seguridad en profundidad o seguridad multicapa) tiene su origen en un término militar usado para describir el sistema de capas de contramedidas de seguridad destinado a generar un entorno de seguridad cohesivo sin puntos de error. Este modelo incluye hacer frente a problemas con personas, procesos o tecnología y puede identificarse utilizando la estrategia de evaluación. El análisis de vulnerabilidad puede realizarse con herramientas o mediante procesos manuales. Puede utilizarse una exploración automática para identificar cada computadora o componente de la red. Una vez identificados los blancos potenciales, el análisis ejecuta una serie de pruebas para determinar las posibles vulnerabilidades del activo. Los análisis manuales pueden utilizar la información provista por una herramienta de evaluación para obtener información más detallada sobre el blanco. Profundizando aún más, el proceso manual puede identificar áreas de debilidad no percibidas en el proceso automático. Auditoría de detección de intrusos Una auditoría de detección de intrusos suele combinar los resultados de varias de las demás pruebas y confirmar que las herramientas de detección de intrusos de una organización funcionan tal cual lo esperado. La agencia 18 Aplicación de la Disciplina de administración de riesgos de seguridad que realiza la auditoría de detección de intrusos utilizará la información de la evaluación operativa para comprender las directivas y los procedimientos vigentes dentro de la organización. Los resultados de la prueba de penetración permiten tener un pantallazo de las diferentes áreas expuestas de la organización. La evaluación de vulnerabilidad permite comprender los problemas existentes en la organización. La empresa contratada para realizar dicha auditoría puede utilizar todo su conocimiento y poner en práctica un intento de intrusión desde fuera de la organización. Lo que más la diferencia de la evaluación de vulnerabilidad es que este procedimiento suele realizarlo una agencia externa sin derechos administrativos. Si este proceso se lleva a cabo con éxito, la compañía blanco debe reevaluar la implementación de su sistema de detección de intrusos. Si la penetración tiene éxito, quienes realizaron la prueba repetirán el proceso dentro de la organización para determinar qué información adicional pueden obtener sin que se enteren los administradores o el sistema de detección de intrusos. La auditoría de detección de intrusos es la prueba más completa y sólo organizaciones de conocida reputación pueden llevarla a cabo. Tal procedimiento requiere la autorización de los ejecutivos del más alto nivel y se debe evaluar exhaustivamente el impacto total antes de su inicio. Herramientas de evaluación de la vulnerabilidad Es posible que ciertas compañías deseen adquirir una herramienta de evaluación de la vulnerabilidad, antes que confiar a un tercero la realización de los análisis. Ambos enfoques presentan ventajas y desventajas. Es muy útil que un tercero revise la infraestructura de la compañía. Sin embargo, el coste puede ser un factor limitante. Si una organización desea utilizar una herramienta de evaluación de vulnerabilidad por sus propios medios, debe considerar las siguientes cuestiones para asegurarse de que la herramienta incluya la mayor cantidad posible de las prestaciones descritas a continuación. Listas de base de datos de vulnerabilidad La herramienta de evaluación de la vulnerabilidad debe ser capaz de utilizar múltiples recursos de listas de vulnerabilidad. Por ejemplo, se pueden incluir los Microsoft Security Bulletins (Boletines de seguridad de Microsoft), la base de datos Common Vulnerabilities and Exposures (Vulnerabilidades y exposiciones habituales) o BugTraq. Capacidad de actualización La herramienta debe actualizar automáticamente los resultados de la prueba. La lista de vulnerabilidades analizada por una herramienta y las pruebas que ejecuta son tan útiles como la última actualización que proveen. Realizar el análisis utilizando una herramienta que requiera actualizaciones manuales incrementa las posibilidades de que el administrador pueda estar omitiendo algunas posibilidades. Capacidad de personalización La herramienta debe poseer cierta capacidad de personalización. Cada entorno es diferente. Hay vulnerabilidades con las que ciertas organizaciones están dispuestas a convivir debido a la configuración de sus entornos. Es posible que tales organizaciones no deseen recibir alertas cada vez que se identifique una cuestión ya conocida. Además, es posible que deseen investigar otros elementos específicos no habituales en otros entornos. Seguridad de red La herramienta de análisis de vulnerabilidad debe verificar la seguridad de la red. Como parte de estas pruebas, debe buscar puertos abiertos que puedan identificar servicios no asegurados correctamente. Seguridad del host La herramienta debe verificar la seguridad del sistema operativo del host. Esto incluye buscar servicios innecesarios que puedan estar activos y analizar grupos y cuentas del equipo y utilidades innecesarias del servidor. Debe garantizar que las listas correctas de control de acceso (LCAs) se apliquen en los registros de eventos, que se 19 Aplicación de la Disciplina de administración de riesgos de seguridad hayan restringido adecuadamente los permisos de registro y que se hayan otorgado sólo las asignaciones necesarias de derechos de usuario. Seguridad de la aplicación La seguridad de la aplicación también debe incluirse en la prueba. Esto incluye configuraciones de sistema operativo de línea de base, análisis del controlador y la configuración de dominio y análisis del servidor Web. Específicamente, si se utiliza IIS en la organización, la herramienta debe supervisar la configuración de metabase IIS que contiene la información de configuración del servidor IIS, además de verificar que se ha movido el directorio a otro volumen y que se hayan ejecutado tanto el IIS Lockdown Tool como las direcciones URL. Seguridad de la información El escáner de vulnerabilidad debe verificar la seguridad de la información. Los elementos a considerar incluyen: seguridad en archivos principales de sistema operativo, niveles de Service Packs, revisiones instaladas y permisos de archivos compartidos. Las revisiones son paquetes acumulativos compuestos por uno o más archivos destinados a solucionar un defecto de un producto. Atienden situaciones específicas del cliente y no pueden ser distribuidas fuera de la organización del cliente sin autorización legal por escrito de Microsoft. Las revisiones de seguridad son levemente diferentes ya que deben aplicarse inmediatamente a todo servidor que reúna los criterios especificados. No requieren autorización legal y pueden distribuirse según sea necesario. Priorización Finalmente, la herramienta debe ayudar a definir las cuestiones de alta prioridad identificadas. Por ejemplo, el Microsoft Security Response Center (Centro de Respuestas de Seguridad de Microsoft) identifica las revisiones basadas en las vulnerabilidades identificadas y luego les asigna una calificación. El centro es una unidad comercial de Microsoft responsable de la investigación y solución de toda vulnerabilidad de seguridad que involucre productos de Microsoft. Las calificaciones incluyen: crítica, importante, moderada y baja. Si bien son muy generales, pueden ayudar a establecer prioridades en cuanto a las revisiones a aplicar inmediatamente a la vez que determinar cómo deben encararse con diferentes grupos de equipos. Requisitos del proceso de Análisis de riesgos de seguridad Como parte del proceso de Análisis de riesgos de seguridad, debe evaluarse cada vulnerabilidad utilizando diversos criterios. Estos requisitos ayudan a determinar el riesgo general al que cada amenaza expone a la organización. Esto puede hacerse creando una valoración concisa de riesgos para cada atacante, cada exploit (programa para sacar provecho de los errores), cada vulnerabilidad y cada combinación de activos. Si bien esto puede significar mucho trabajo, ayuda a definir por completo las cuestiones que hay que abordar como parte del proyecto general de seguridad para su organización. Valoración de riesgos Al realizar una valoración de riesgos de seguridad debe encararse cada posibilidad por separado y describirse la consecuencia específica de cada riesgo. De haber consecuencias múltiples, la valoración de riesgos puede resultar muy extensa y debe definirse más en profundidad. Toda valoración de riesgos debe contar con una condición que conduzca a una consecuencia. Según lo establecido en el módulo "Definición del panorama de seguridad de Windows 2000", la valoración de riesgos de seguridad que desarrolle debe basarse en la siguiente forma: SI un agente amenazante utiliza una herramienta, técnica o método para explotar una vulnerabilidad, ENTONCES la pérdida de confidencialidad, integridad o disponibilidad de un activo puede generar un impacto. 20 Aplicación de la Disciplina de administración de riesgos de seguridad Determinación de factores de gravedad El factor de gravedad (FC) es una medida del daño que un exploit en particular puede ocasionar en un activo al utilizar las vulnerabilidades en cuestión. Una vulnerabilidad en particular puede presentar varios exploits diferentes que pueden utilizarse para atacar el activo. Cada exploit puede tener diferentes efectos sobre el equipo blanco. Por ello, debe investigarse para evaluar los exploits potenciales de cada vulnerabilidad. El factor de gravedad debe medirse en una escala de 1 a 10, donde 1 indica un mínimo impacto del exploit y 10 indica que podría generarse un daño irrevocable de importancia. Determinación de esfuerzos para explotar vulnerabilidades identificadas El esfuerzo (E) es la cantidad de trabajo, conocimiento o experiencia que un atacante debe utilizar para un exploit en particular. El nivel de esfuerzo para utilizar el exploit específico debe medirse por la simplicidad del ataque. Existe una amplia gama de atacantes maliciosos. Pueden variar desde "script kiddies" ("jóvenes intrusos") con poco conocimiento de cómo o por qué funcionan los ataques (pero saben qué herramientas pueden ayudarlo a obtener información) hasta verdaderos "crackers" con profundos conocimientos técnicos de seguridad. Un cracker es una persona que burla las medidas de seguridad de un sistema informático para obtener acceso no autorizado. El esfuerzo de un exploit específico debe medirse con la misma escala del factor de gravedad: de 1 a 10, donde 1 indica una habilidad mínima requerida para utilizar un exploit en particular y 10 indica que se requieren las habilidades de un programador experto en seguridad. Determinación de factores de vulnerabilidad El factor de vulnerabilidad (FV) es la medida de susceptibilidad a una forma de ataque en particular. El factor de vulnerabilidad de un activo también debe medirse según una escala de 1 a 10, donde 1 indica que el activo no es particularmente susceptible a la vulnerabilidad y 10 indica que se encuentra extremadamente expuesto a la cuestión en particular. Máximas vulnerabilidades identificadas en el entorno Contoso Contoso utilizó una herramienta de análisis de vulnerabilidad en su red para identificar algunas de las cuestiones de mayor importancia dentro de su configuración. La herramienta devolvió una amplia lista de elementos priorizados como vulnerabilidades de alto, mediano o bajo riesgo. Contoso ha decidido tratar de encarar las vulnerabilidades de alto y mediano riesgo inmediatamente durante esta fase del proyecto de seguridad. Muchas de las vulnerabilidades pueden agruparse en categorías más amplias. Estos agrupamientos se debaten conjuntamente con las vulnerabilidades específicas identificadas. Además, cada vulnerabilidad se califica por el esfuerzo, como así también por los factores de gravedad y vulnerabilidad. Desbordamientos de búfer El escáner de vulnerabilidad utilizado en el entorno Contoso determinó que ciertos servidores eran susceptibles a desbordamientos de búfer relacionados con IIS. Un desbordamiento de búfer es un tipo de exploit que utilizan los atacantes para obtener acceso a un sistema. Específicamente, la herramienta identificó el desbordamiento de búfer no revisado ida/idq que es explotado por el gusano Code Red. Un gusano es un programa independiente y auto-replicante que suele consumir memoria, lo que hace que el equipo deje de funcionar. Valoración de riesgos Si los atacantes utilizan Code Red para explotar las vulnerabilidades ida/idq, ENTONCES una pérdida de integridad y disponibilidad de los servidores IIS de investigación puede ocasionar un incremento en el tráfico de la red. Debido a que las valoraciones de riesgos deben ser creadas para cada activo vulnerable, deben construirse valoraciones de riesgos similares para los servidores IIS del departamento y de recursos humanos. 21 Aplicación de la Disciplina de administración de riesgos de seguridad Factor de gravedad El gusano Code Red se descubrió el 17 de julio de 2001. Se autopropagó a través de Internet a una velocidad asombrosa, e infectó a casi 360.000 servidores en 14 horas. En su camino, mutiló servidores Web y ocasionó una gran cantidad de tráfico adicional, y así inundó muchas redes corporativas. Debido a su impacto potencial en el entorno corporativo, el equipo de seguridad de Contoso le asignó a Code red un factor de gravedad de 9 para todos los servidores IIS de la organización. Esfuerzo Code Red fue muy difícil de crear. El desbordamiento ida/idq era una vulnerabilidad particularmente compleja y muy difícil de explotar al comienzo. Sin embargo, por su naturaleza, Code Red se esparció en gran medida. El gusano Code Red se autopropaga, por lo que casi no se requieren habilidades para utilizar este exploit. Por ello, el esfuerzo requerido para utilizarlo se califica con 1. Factor de vulnerabilidad Contoso aún sufre infecciones de Code Red en sus dos ubicaciones de servidores de dominio. Es habitual que los servidores de la compañía se infecten durante el proceso de construcción, incluso antes de que puedan instalarse todas las revisiones. Por ello, encarar los desbordamientos de búfer IIS es una de las mayores preocupaciones de Contoso. Como Code Red continúa infectando servidores dentro de la organización, el proceso actual de construcción de servidores es sumamente vulnerable al gusano. Pero el personal del equipo de seguridad está instalando las revisiones necesarias para esta cuestión en particular. Se le asignó al factor de vulnerabilidad de los servidores Web de Contoso una calificación de 8. NetBIOS - Enumeración El escáner determinó que todas las cajas eran vulnerables a la enumeración Net BIOS. NetBIOS utiliza un recurso compartido predeterminado para comunicaciones IPC. De forma predeterminada, toda persona puede conectarse a este recurso compartido (no se requiere nombre de usuario ni contraseña). Si bien la simple conexión no otorga derechos para visualizar archivos o controlar procesos, sí se tiene acceso a gran cantidad de información del sistema. Al crear una conexión nula (una conexión sin nombre de usuario o contraseña) al recurso compartido IPC$ de un equipo, los atacantes potenciales pueden usar utilidades de fácil acceso para visualizar, por ejemplo: • Nombres de cuenta. • Grupos. • Recursos compartidos. • Campos de comentarios de cuenta. • Último inicio de sesión de cuenta. • Última modificación de la contraseña. Éstos son sólo algunos de los elementos de fácil visualización, pero representan el tipo de información que puede obtenerse sin un nombre de usuario o contraseña. Valoración de riesgos 22 Aplicación de la Disciplina de administración de riesgos de seguridad SI un atacante utiliza una herramienta de enumeración NetBIOS para explotar sesiones nulas, ENTONCES toda pérdida de confidencialidad del controlador de dominio de Norteamérica puede permitir que un usuario no autorizado obtuviera acceso a la información de la cuenta. También debe crearse una valoración similar para el controlador de dominio raíz. Factor de gravedad La enumeración NetBIOS y su utilización de sesiones nulas puede ocasionar una seria infracción de seguridad. Si no puede evitar que un usuario no autorizado visualice todos los nombres de cuenta, comentarios de cuentas, grupos y recursos compartidos, la organización se enfrenta a un enorme riesgo: los atacantes podrían tener acceso a una cantidad de nombres de cuenta, lo que representa la mitad de la combinación nombre/contraseña. Debido al potencial impacto de los nombres de usuario en peligro, Contoso calificó el FG de la enumeración NetBIOS con 6 para todos los controladores de dominio de la compañía. Contoso no crea cuentas de usuario específicas en servidores miembro, aunque podría crearse una valoración de riesgos aparte, ya que los servidores miembro no contienen recursos compartidos enumerables. Contoso no lo consideró una amenaza de importancia pero habría calificado al FG de los servidores miembros con 3. Esfuerzo Se requiere relativamente poco esfuerzo para enumerar la información NetBIOS de un host específico. Se dispone de una cantidad de herramientas en Internet que automatizan esta funcionalidad luego de establecida una sesión nula en un equipo destino. Contoso calificó el esfuerzo necesario para explotar esta vulnerabilidad con 2. Factor de vulnerabilidad Actualmente, el entorno Contoso no implementa ninguna medida preventiva para evitar la enumeración NetBIOS en ninguno de sus servidores miembro o controladores de dominio. Por ello, se calificó al FV de todos los servidores con 10. Enumeración SNMP La herramienta de análisis descubrió que el Protocolo simple de administración de redes [Simple Network Management Protocol (SNMP] estaba activado en los equipos y que utilizaba la cadena "pública" predeterminada. Contoso utiliza servicios SNMP en servidores Windows 2000 para informar de eventos. La compañía siempre ha usado la cadena pública por lo que estaba interesada en descubrir que, además de su capacidad para supervisar el hardware genérico, SNMP puede utilizarse para devolver información de otros aspectos del equipo, incluidos: • Nombres de cuenta. • Nombres de recursos compartidos. • Rutas y comentarios de recursos compartidos. • Servicios activos. • Puertos abiertos. Valoración de riesgos SI un atacante utiliza la herramienta de enumeración SNMP para explotar cadenas públicas comunitarias, ENTONCES toda pérdida de confidencialidad del controlador de dominio Norteamérica podría permitir que un usuario no autorizado obtuviera acceso a la información de cuenta. También debe crearse una valoración similar para el controlador de dominio raíz. 23 Aplicación de la Disciplina de administración de riesgos de seguridad Factor de gravedad La enumeración SNMP puede proporcionar gran cantidad de información y resultar potencialmente peligrosa, especialmente si se le otorga el derecho de escritura sobre el servidor destino a la cadena comunitaria especificada. Debido a su configuración, Contoso asignó una calificación de FG de 6 a todos los servidores. En caso de que Contoso tuviera alguna cadena comunitaria SNMP de escritura, debe crearse una valoración de riesgos aparte. Esfuerzo La enumeración SNMP es de fácil explotación mediante diversas herramientas gratuitas o shareware disponibles en Internet. Contoso calificó el esfuerzo necesario para utilizarlas con 2. Factor de vulnerabilidad Contoso cuenta con SNMP activado en la mayoría de sus servidores para cumplir con la supervisión, y la compañía posee el nombre de cadena comunitaria predeterminada de pública. Por ello, la organización es relativamente vulnerable. Contoso le asignó a la enumeración SNMP un FG de 10. Enumeración DNS La evaluación de vulnerabilidad determinó que los servidores DNS no restringían las transferencias de zona. Si esta característica de DNS no está asegurada, un atacante puede obtener información de un servidor DNS de la organización fácilmente. Contoso utiliza Active Directory integrado con DNS en Windows 2000. DNS almacena gran cantidad de información sobre un dominio, incluidos los nombres de servidores y las direcciones de protocolo de Internet (IP), los servicios activos de la red y los servidores a cargo de servicios específicos como catálogos globales y DC. Valoración de riesgos SI un atacante utiliza nslookup para explotar transferencias de zona sin cerrojo, ENTONCES toda pérdida de confidencialidad del DNS Norteamérica podría ocasionar la identificación del equipo y el servicio. También debe crearse una valoración similar para los servidores DNS raíz. Factor de gravedad La enumeración DNS puede proporcionar gran cantidad de información de hosts y servicios del entorno, pero no contiene información de usuarios específicos o información clave de la compañía. Por ello, Contoso asignó a los controladores de dominio un factor de gravedad de 2. Esfuerzo La enumeración DNS puede realizarse con herramientas incluidas en la mayoría de los sistemas operativos. Contoso calificó el esfuerzo necesario para utilizarlas con 1. Factor de vulnerabilidad Debido a que Contoso no ha asegurado las transferencias de zona DNS de su entorno, se calificó al FV de la enumeración DNS con 7. Contraseñas no seguras La herramienta de evaluación elegida por Contoso posee una funcionalidad adicional que le permite realizar ataques de diccionario básicos contra las cuentas de usuario, para identificar contraseñas no seguras. Además, examina los valores hash de las contraseñas de la base de datos Administrador de cuentas de seguridad [Security Accounts Manager (SAM)] para determinar si existe alguna contraseña en blanco o duplicada. En caso de que 24 Aplicación de la Disciplina de administración de riesgos de seguridad identificara una gran cantidad de contraseñas duplicadas, un atacante puede determinar que son contraseñas predeterminadas, utilizadas cuando se establece una nueva cuenta en la organización. La información de la SAM está cifrada pero aun sin intentar descubrir las contraseñas, es fácil identificar aquéllas en blanco o duplicadas en función de los valores hash. Debido a que Contoso no posee una directiva de bloqueo de cuenta definida, puede realizarse una cantidad ilimitada de ataques para averiguar contraseñas. La herramienta de análisis descubrió una cantidad de contraseñas que consistían meramente en palabras comunes presentes en cualquier diccionario; pudo averiguarlas en cuestión de minutos. Valoración de riesgos SI una persona ejecuta un ataque de fuerza bruta contra una contraseña para explotar la falta de directivas de contraseña, ENTONCES toda pérdida de integridad y confidencialidad de las cuentas de Administrador de la empresa puede permitirle al atacante obtener acceso no autorizado a la organización. Deben generarse valoraciones de riesgo similares para el grupo Administrador de dominio, como así también para las cuentas de usuario generales. Factor de gravedad Una contraseña no segura es la perdición de todo administrador de sistema. Permite que un atacante obtenga rápido acceso a la combinación cuenta/contraseña de un usuario. Por ello, Contoso le asignó un FG de 10. Esfuerzo Las contraseñas no seguras pueden adivinarse fácilmente con herramientas de ataque de diccionario disponibles en Internet. Contoso calificó el esfuerzo necesario para utilizarlas con 2. Factor de vulnerabilidad Debido a que Contoso no tiene vigente una directiva de contraseña y no audita ningún error de inicio de sesión, calificó el FV de las contraseñas no seguras con 10. Tráfico no cifrado de bloques de mensaje del servidor El escáner de vulnerabilidad detectó que los servidores de Contoso utilizaban la configuración predeterminada para las comunicaciones de Bloques de mensajes del servidor (SMB). De forma predeterminada, el desafío/respuesta del Administrador Windows NT LAN (NTLM) nunca hace circular la autenticación LanManager (LM) o el valor hash NTML por la red. Sin embargo, existen herramientas que pueden supervisar el tráfico de este intercambio y utilizar el método de la fuerza bruta para derivar el valor hash LM original. Luego de haber obtenido los valores hash, pueden usarse diversas utilidades para convertirlos en contraseña de texto puro. Valoración de riesgos SI un atacante utiliza un rastreador SMB para explotar el tráfico SMB cifrado, ENTONCES toda pérdida de integridad y confidencialidad de las cuentas de Administrador de la empresa puede permitirle al atacante obtener acceso no autorizado a la organización. Deberán generarse valoraciones de riesgo similares para el grupo Administrador de dominio, como así también para las cuentas de usuario generales. Factor de gravedad Al infringir contraseñas, un atacante puede obtener acceso no autorizado a archivos y servicios que no puedan obtenerse de una sesión nula. Por ello, Contoso le asignó un FG de 10. 25 Aplicación de la Disciplina de administración de riesgos de seguridad Esfuerzo Puede adquirirse una herramienta disponible al público en general para esta funcionalidad. Sin embargo, la herramienta debe ser capaz de espiar todo el tráfico. Encontrarse en una red con conmutadores reduce enormemente esta posibilidad. Debido a que Contoso se encuentra en proceso de actualización de su infraestructura de red, calificó el esfuerzo necesario para utilizar esta herramienta con 5. Factor de vulnerabilidad Debido a que Contoso no cuenta con una directiva de contraseña vigente, existe una cantidad de contraseñas cortas que pueden obtenerse rápidamente mediante las técnicas de captura SMB. Debido a esta situación, el equipo de seguridad asignó un FV de 10 a esta cuestión. Auditoría ineficiente La configuración de auditoría de muchos de los servidores analizados no estaba activada en un nivel suficiente para identificar potenciales ataques. Por ejemplo, Auditar inicio de sesión de cuenta no estaba activada, lo que podría haber ayudado a identificar ataques de fuerza bruta perpetrados en contra de las contraseñas. Valoración de riesgos SI un atacante utiliza una herramienta que pueda desactivar la auditoría para explotar una auditoria ineficiente, ENTONCES toda pérdida de integridad del controlador de dominio Norteamérica puede permitir que el atacante obtenga acceso no autorizado al sistema remoto. Deben generarse valoraciones de riesgo similares para los controladores de dominio Norteamérica, todos los servidores IIS, DHCP, WINS y de archivo e impresión. Factor de gravedad Un atacante puede sacar provecho de una configuración de auditoría deficiente mediante una utilidad de recursos como auditpol. Auditpol puede permitir que el atacante desactive la auditoría por completo. Contoso le asignó una calificación de 3 al FG de este exploit, ya que no existe peligro alguno para la información, pero la situación puede dificultar las investigaciones de ataques inesperados. Esfuerzo El atacante que desee utilizar auditpol debe hacerse de la herramienta en el sistema y obtener acceso administrativo. La herramienta es de fácil operación pero como se requiere acceso administrativo, se calificó el esfuerzo necesario para utilizar este exploit con 4. Factor de vulnerabilidad Debido a que Contoso no posee una directiva de auditoría vigente y no se encuentra en proceso de auditoría de ningún evento de seguridad, el equipo del proyecto de seguridad le asignó un FV de 9. Ataques DoS no verificados Un ataque de Denegación del servicio (DoS) es aquél que no permite que los usuarios accedan a los recursos. Existen diversas variaciones de ataques DoS pero algunas de las más habituales afectan a las pilas de IIS o del Protocolo de Control de Transmisión/Protocolo de Internet (TCP/IP) de equipos individuales. La herramienta de análisis identificó diversas modificaciones que podrían asegurar a los equipos contra ataques DoS basados en TCP/IP. Valoración de riesgos SI una persona realiza un ataque DoS para explotar vulnerabilidades DoS de TCP/IP, ENTONCES toda pérdida de disponibilidad del controlador de dominio raíz puede ocasionar una pérdida de productividad. 26 Aplicación de la Disciplina de administración de riesgos de seguridad Deben generarse valoraciones de riesgo similares para los controladores de dominio Norteamérica, todos los servidores IIS, DHCP, WINS y de archivo e impresión. Factor de gravedad Un ataque DoS de TCP/IP haría que el sistema se volviera totalmente inservible. Por ello, Contoso le asignó un FG de 8. Esfuerzo Existe una variedad de utilidades gráficas de fácil uso que el atacante puede usar para obtener esta funcionalidad. Por ello, se calificó al esfuerzo necesario para explotar esta vulnerabilidad específica con 1. Factor de vulnerabilidad Debido a que Contoso no implementa ninguna medida preventiva para ataques DoS de TCP/IP en la actualidad, calificó la vulnerabilidad de este exploit con 9. Ataque transversal de directorio IIS El análisis de los servidores IIS identificó una cuestión de ataque transversal de directorio. Explotar esta vulnerabilidad le permitiría al atacante no sólo visualizar información tal como diseños de directorio o los contenidos de archivos del equipo destino, sino que también le permitiría en muchos casos escribir archivos y ejecutar comandos en los servidores. Valoración de riesgos SI un atacante hace uso del doble decodificador para explotar cuestiones de hacer URL ortodoxas, ENTONCES toda pérdida de integridad y confidencialidad de los servidores IIS de investigación le puede permitir al atacante visualizar el sistema de archivos y ejecutar comandos en el servidor. También deben generarse valoraciones de riesgo similares para los servidores IIS de departamento y de recursos humanos. Factor de gravedad Los ataques transversales de directorio IIS pueden resultar muy peligrosos, ya que permiten que un usuario remoto ejecute ciertos comandos de sistema desde un servidor Web. IIS versión 5.0 limita el contexto de estos comandos para que se ejecuten como la cuenta IUSR. Sin embargo, un ataque de este tipo representa un gran riesgo por lo que Contoso le asignó un FG de 7. Esfuerzo El esfuerzo necesario para explotar los ataques transversales de directorio IIS es mínimo. Los ataques transversales de directorio IIS pueden realizarse utilizando diversas herramientas, de las cuales la más simple es un explorador Web. Por ello, se le asignó una calificación de 2. Factor de vulnerabilidad Debido a que Contoso posee cierta cantidad de servidores sin las últimas revisiones, que no han sido construidos según las mejores prácticas IIS, la compañía asignó a este exploit en servidores IIS un FV de 9. Análisis y priorización de riesgos de seguridad Análisis Luego de realizadas diversas evaluaciones se reunió suficiente información para comenzar el análisis de los riesgos de seguridad, y clasificarlos por orden de prioridades en función de su impacto y exposición en el entorno 27 Aplicación de la Disciplina de administración de riesgos de seguridad Contoso. Antes de generar las valoraciones de riesgos, puede resultar útil organizar la información en una tabla. En la siguiente tabla se ilustra parte del análisis de los riesgos de Contoso. Tabla 5: Resumen de evaluación de riesgos de Contoso Amenaza PAm Explotar FC E Vulnerabilidad FV Activo PA Código malicioso 0,6 Code Red 9 1 Vulnerabilidades 8 ida/idq Servidores IIS 10 de investigación Código malicioso 0,6 Code Red 9 1 Vulnerabilidades 8 ida/idq Servidores IIS de departamento 6 Código malicioso 0,6 Code Red 9 1 Vulnerabilidades 8 ida/idq Servidores IIS de recursos humanos 7 Atacante 0,6 Una 6 herramienta de enumeración NetBIOS 2 Sesiones nulas 10 Controlador de dominio raíz 8 Atacante 0,6 Una 6 herramienta de enumeración NetBIOS 2 Sesiones nulas 10 Controlador de dominio Norteamérica 8 Atacante 0,6 Una 6 herramienta de enumeración SNMP 2 Cadenas públicas comunitarias 10 Controlador de dominio raíz 8 Atacante 0,6 Una 6 herramienta de enumeración SNMP 2 Cadenas públicas comunitarias 10 Controlador de dominio Norteamérica 8 Atacante 0,6 Nslookup 2 1 Transferencias de zona sin cerrojo 7 DNS raíz 4 Atacante 0,6 Nslookup 2 1 Transferencias de zona sin cerrojo 7 DNS Norteamérica 5 Atacante 0,6 Un ataque de fuerza bruta contra contraseñas 10 2 Falta de directivas de contraseña 10 Cuentas de Administrador de la empresa 10 Atacante 0,6 Un ataque de fuerza bruta contra contraseñas 10 2 Falta de directivas de contraseña 10 Cuentas de Administrador de dominio Norteamérica 10 28 Aplicación de la Disciplina de administración de riesgos de seguridad Amenaza PAm Explotar FC E Vulnerabilidad FV Activo PA Atacante 0,6 Un ataque de fuerza bruta contra contraseñas 10 2 Falta de directivas de contraseña Cuentas de usuario Norteamérica 5 Atacante 0,6 Un rastreador SMB 10 5 Tráfico SMB no 10 cifrado Cuentas de Administrador de la empresa 10 Atacante 0,6 Un rastreador SMB 10 5 Tráfico SMB no 10 cifrado Cuentas de Administrador de dominio Norteamérica 10 Atacante 0,6 Un rastreador SMB 10 5 Tráfico SMB no 10 cifrado Cuentas de usuario Norteamérica 5 Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Controlador de dominio raíz 8 Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Controlador de dominio Norteamérica 8 Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Servidores IIS 10 de investigación Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Servidores IIS de departamento 6 Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Servidores IIS de recursos humanos 7 Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Servidores de archivo e impresión 8 10 29 Aplicación de la Disciplina de administración de riesgos de seguridad Amenaza PAm Explotar FC E Vulnerabilidad FV Activo PA Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Servidor WINS 3 Atacante 0,6 Una herramienta capaz de desactivar la auditoría 3 4 Auditoría ineficiente 9 Servidor DHCP 1 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Controlador de dominio raíz 8 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Controlador de dominio Norteamérica 8 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Servidores IIS 10 de investigación Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Servidores IIS de departamento 6 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Servidores IIS de recursos humanos 7 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Servidores de archivo e impresión 8 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Servidor WINS 3 Atacante 0,6 Ataque DoS 8 1 Vulnerabilidades 9 DoS de TCP/IP Servidor DHCP 1 Atacante 0,6 Un ataque de doble decodificador 7 2 Cuestiones de lograr URL ortodoxas 9 Servidores IIS 10 de investigación Atacante 0,6 Un ataque de doble decodificador 7 2 Cuestiones de lograr URL ortodoxas 9 Servidores IIS de departamento 6 Atacante 0,6 Un ataque de doble decodificador 7 2 Cuestiones de lograr URL ortodoxas 9 Servidores IIS de recursos humanos 7 30 Aplicación de la Disciplina de administración de riesgos de seguridad Nivel de frecuencia de amenazas El nivel de frecuencia de amenazas (NA) es la medida de la frecuencia de ataques esperada, el potencial dañino y el esfuerzo necesario para realizar el ataque. Dicho valor puede calcularse multiplicando la probabilidad de amenaza (PAm) por el factor de riesgo (FR). El FR es el factor de gravedad (FG) del ataque dividido por el esfuerzo (E) necesario para realizar el ataque. Factor de impacto El factor de impacto (FI) también describe la pérdida potencial. Esta cifra puede calcularse multiplicando el factor de vulnerabilidad (FV) por la prioridad de activo (PA). Factor de exposición Finalmente, el factor de exposición (FE) al riesgo puede calcularse multiplicando el NA por el FI. Puede compararse el factor de exposición de todos los riesgos para determinar los riesgos que se deben abordar primero en la organización. Análisis de riesgos Contoso Riesgos máximos identificados La siguiente tabla presenta un resumen de los riesgos máximos identificados por el proceso de Análisis de riesgos de seguridad. El factor de exposición se calculó mediante la siguiente fórmula: FE = ((FA — FI) / 1000) FE = (((PAm — FR) — FI) / 1000) FE = (((PAm — (C / E)) — FI) / 1000) Que en su forma más simple se expresa: FE = (((PAm — (C / E)) — (FV — PA)) / 1000) Tabla 6: Riesgos máximos identificados en el entorno Contoso Vulnerabilidad Activo Un ataque de fuerza bruta perpetrado en Cuentas del Administrador de la empresa contra de las contraseñas FE 0,6 Un ataque de fuerza bruta perpetrado en Cuentas del Administrador de dominio Norteamérica 0,6 contra de las contraseñas Ataque DoS Servidores IIS de investigación 0,432 Code Red Servidores IIS de investigación 0,432 Ataque DoS Controlador de dominio raíz 0,3456 Ataque DoS Controlador de dominio Norteamérica 0,3456 Ataque DoS Servidores de archivo e impresión 0,3456 Code Red Servidores IIS de recursos humanos 0,3024 31 Aplicación de la Disciplina de administración de riesgos de seguridad Vulnerabilidad Activo FE Ataque DoS Servidores IIS de recursos humanos 0,3024 Un ataque de fuerza bruta perpetrado en Cuentas del usuario Norteamérica contra de las contraseñas 0,3 Code Red Servidores IIS de departamento 0,2592 Ataque DoS Servidores IIS de departamento 0,2592 Un ataque de doble decodificador Servidores IIS de investigación 0,189 Una herramienta de enumeración NetBIOS Controlador de dominio raíz 0,144 Una herramienta de enumeración NetBIOS Controlador de dominio Norteamérica 0,144 Herramientas de análisis cuantitativo adicionales A menudo, identificar y establecer prioridades en cuanto a los riesgos máximos en una organización es sólo el comienzo del proceso de análisis de riesgos. El siguiente paso es determinar la solución o las medidas mitigantes necesarias para encarar cada riesgo identificado en la organización. Si bien pueden resultar relativamente fáciles de determinar, las medidas mitigantes necesarias pueden ser de muy difícil implementación. Puede requerirse información adicional para justificar el coste de la protección del sistema. Los siguientes procedimientos pueden ayudar a determinar el coste que significase implementar ciertas medidas mitigantes como parte del proyecto de seguridad de la organización. Expectativas de pérdida simple La expectativa de pérdida simple (EPS) es un modo de evaluar un sistema en particular. La EPS representa sólo un elemento del riesgo: el impacto esperado, monetario o de otro tipo, de una amenaza. La EPS puede calcularse multiplicando el factor de exposición de una amenaza determinada por el valor financiero del activo (VA). Por ejemplo, la EPS para el impacto de la infección de Code Red en los servidores IIS de investigación puede calcularse tomando el Factor de exposición de 0,432 determinado anteriormente y multiplicándolo por el VA del servidor IIS de investigación de $596.000. EPS = 0,432 X $596.000 = $257.472. Tasa de materialización anualizada La tasa de materialización anualizada (TMA) es la probabilidad de que se concrete una amenaza durante un año. Por ejemplo, una amenaza que se concretó una vez en 10 años presenta una TMA de 1/10 o 0,1; una amenaza que se concretó 50 veces en un año determinado presenta una TMA de 50,0. La posible amplitud de valores de frecuencia varía desde 0,0 (no se espera que se concrete la amenaza) hasta algún número entero que depende totalmente del tipo y la cantidad de fuentes de amenaza. En una organización de importancia ciertos riesgos podrían concretarse miles de veces, lo que implicaría una TMA muy alta. En el entorno Contoso, Code Red ha infectado servidores persistentemente por lo que 25 de sus 50 servidores lo han sufrido durante el último año, lo cual genera una TMA de 1/2 o 0,5. Expectativa de pérdida anual La expectativa de pérdida anual (EPA) se calcula multiplicando la expectativa de pérdida simple (EPS) por la tasa de materialización anualizada (TMA). 32 Aplicación de la Disciplina de administración de riesgos de seguridad Computar la expectativa de pérdida en términos anuales puede ser beneficioso para identificar eficientemente el riesgo y programar ciclos presupuestarios. Por ejemplo, la EPA para Code Red mencionada anteriormente con una TMA de 0,5 veces por año que afecta uno de los servidores IIS de Contoso con una EPS de $257.472 es $128.736. Al incluir la frecuencia esperada de amenaza (TMA) en la ecuación, se obtiene el impacto financiero del riesgo. Valor de las protecciones Si puede establecerse el coste estimado de las protecciones y estimarse el coste anual recurrente para mantener la medida preventiva, puede determinarse el valor general de la implementación de cada protección. Este proceso es la base de análisis significativos coste-beneficio de las medidas de reducción de riesgos. El valor de una protección puede calcularse tomando la EPA y sustrayendo el coste inicial de la medida preventiva y el coste anual recurrente de dicha medida. En función del ejemplo de análisis de riesgos de la ecuación anterior, si se estima un coste de $20.000 para implementar una medida preventiva para encarar una amenaza identificada y el coste anual necesario para mantener esta medida es $1.000, el valor de la protección sería de $128.736 ($20.000 + $1000) o $107.736. Resumen Este módulo aplica la Disciplina de administración de riesgos de seguridad (SRMD) a un entorno de cliente habitual. Toda la información provista para este ejemplo práctico se basa en datos reales; sin embargo, esta información sólo representa un fragmento de la información general requerida para que una organización realice una exhaustiva evaluación de riesgos de seguridad. De haber incluido toda la tabla de análisis de riesgos o cada valoración de riesgos de seguridad se habría dificultado la comprensión de la información provista en este módulo. Por ello, se resaltan los ejemplos relevantes para una rápida referencia y fácil comprensión. La SRMD es sólo una de cientos de maneras de categorizar y calificar riesgos dentro de una organización. Esta información puede utilizarse para complementar directivas y procesos existentes o para ayudar a una organización a establecer tales estándares por vez primera. Las instrucciones generales que se indican en este módulo se aplicaron para desarrollar una lista de riesgos que se abordarían a través de una serie de medidas mitigantes específicas. Una vez generada la lista, el próximo paso sería identificar los procesos necesarios para asegurar las vulnerabilidades de la lista. Información adicional El análisis de riesgos de seguridad se basa en el proceso de análisis de riesgos de Microsoft Solutions Framework (MSF). Para obtener más información sobre MSF, consulte: http://www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx. Temas relacionados La siguiente obra constituye una referencia de consulta obligada para conocer más sobre las vulnerabilidades específicas dentro de Windows 2000: Hacking Exposed Windows 2000: Network Security Secrets & Solutions por Joel Scambray y Stuart McClure (McGraw-Hill Professional Publishing, ISBN: 0072192623)