[go: up one dir, main page]
Scribd
Cargar
113 vistas16 páginas

Ethical Hacking

Este documento describe las evaluaciones de seguridad de sistemas de información, incluyendo el hacking ético. Explica que el hacking ético involucra simular ataques reales para identificar vulnerabilidades desde la perspectiva de un atacante. También describe las fases de la metodología de hacking ético, que incluyen reconocimiento, escaneo, acceso, mantenimiento y eliminación de rastros. El documento concluye que las evaluaciones de seguridad deben incluirse regularmente en las organizaciones para identificar problemas y mejorar la seguridad.

Cargado por

MarceloAlejandroMontecinosCabrera
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
113 vistas16 páginas

Ethical Hacking

Este documento describe las evaluaciones de seguridad de sistemas de información, incluyendo el hacking ético. Explica que el hacking ético involucra simular ataques reales para identificar vulnerabilidades desde la perspectiva de un atacante. También describe las fases de la metodología de hacking ético, que incluyen reconocimiento, escaneo, acceso, mantenimiento y eliminación de rastros. El documento concluye que las evaluaciones de seguridad deben incluirse regularmente en las organizaciones para identificar problemas y mejorar la seguridad.

Cargado por

MarceloAlejandroMontecinosCabrera
Derechos de autor
© © All Rights Reserved
Nos tomamos en serio los derechos de los contenidos. Si sospechas que se trata de tu contenido, reclámalo aquí.
Formatos disponibles
Descarga como PDF, TXT o lee en línea desde Scribd
Está en la página 1/ 16

Seguridad de Sistemas de la Información

ETHICAL HACKING

IVÁN FERNÁNDEZ-DÁVILA GALLEGOS


Contenidos
• Las evaluaciones de seguridad
• El hacker ético
• Metodología de ataque
• Entregables
Evaluaciones de Seguridad
Las evaluaciones de la seguridad
• Permiten conocer el nivel de seguridad de una organización
• Deben realizarse con periodicidad
• Deben contar con la debida autorización legal
• Motivaciones
• Cumplimiento de leyes, regulaciones y normativas
• Identificación de puntos débiles y vulnerabilidades
• Obtención de información para la gestión de la seguridad
• Ejecución y contratación (Ethical Hackers)
• Personal especializado
• Consultas externas
• Profesionales independientes
Tipos de evaluaciones
• Sobre sistemas y redes
• Vulnerability assesment
• Penetration test
• Auditoría informática
• Sobre software
• Testing de aplicaciones
• Identificación de puntos débiles y vulnerabilidades
Tipos de evaluación según el conocimiento del objetivo

White Box Gray Box Black Box


• Total • Parcial • Sin
conocimiento conocimiento conocimiento
El Hacker Ético - Rol
• Simular acciones de un ataque real
• ¿A qué puede acceder el intruso?
• ¿Qué podía hacer con la información?
• ¿Puede ser notada una intrusión?
• Información necesaria
• Qué se intenta proteger
• Contra quién se protege
• Con qué recursos se cuenta
El Hacker Ético - Perfil
• Experto en informática
• Software
• Hardware y electrónica
• Redes y telecomunicaciones
• Investigación de vulnerabilidades
• Técnicas de seguridad
• Habilidades sociales
• Código de conducta estricto
• Paciencia y perseverancia
Áreas de Explotación

Sistemas
Aplicaciones
Operativos

Código propio Configuraciones


Clasificación de ataques

Por Por Por


actividad ubicación naturaleza

Activos Internos Técnico

Pasivos Externos
Metodología y entregables
Metodología de Ethical Hacking - Fases

Reconocimiento

Escaneo y enumeración

Acceso

Mantenimiento

Eliminación de rastros
Metodología de Ethical Hacking – Tipos de escaneo
• Escaneo de Red
• Determinación de equipos activos y direcciones IP
• Detección de sistemas operativos y servicios
• Escaneo de puertos
• Determinación de puertos TCP/UDP abiertos
• Detección de aplicaciones instaladas
• Escaneo de Vulnerabilidades
• Determinación de existencia de vulnerabilidades conocidas
Ethical Hacking – Proceso completo
Discutir con el cliente necesidades y expectativas

Preparar y firmar un NDA

Preparar el equipo y establecer agenda

Llevar Adelante el test

Analizar resultados y elaborar los reportes

Presentar el resultado al cliente (Reporte / Workshop)


Entregables
• Informe
• Características
• Calidad de confidencial
• Impreso y digital

• Contenido
• Información General
• Resumen ejecutivo
• Índice de riesgos
• Detalle pruebas realizadas
• Resultados obtenidos
• Vulnerabilidades identificadas
• Recomendaciones
• Detalle de herramientas y técnicas usadas
• Clasificación de problemas según nivel de riesgo

• Workshop (opcional)
• Presentación personalizada de los resultados
• Discusión sobre problemas y soluciones
• Asesoramiento de las alternativas de solución
Resumen y conclusiones
• Las evaluaciones de seguridad deben incluirse en toda
organización
• El ethical hacking supone la simulación de ataques reales
• El ethical hacker es un profesional de seguridad que se rige por
un código de ética
• Existen metodologías y técnicas para realizar pruebas de
seguridad

También podría gustarte