presentación de powerpointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... ·...
TRANSCRIPT
![Page 1: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/1.jpg)
Ing. Javier Hernández Calderón Consultor en Seguridad Informática
PRUEBAS DE PENETRACIÓN EN AMBIENTES DE NUBE
![Page 2: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/2.jpg)
¿Que es la nube de internet?
![Page 3: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/3.jpg)
¿Dónde están las aplicaciones y mis datos?
![Page 4: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/4.jpg)
Beneficios de la nube de internet Acceso , desde cualquier lugar Ahorro en Costos (Infraestructura)
Inversión en hardware y Software
Ultimas aplicaciones y Actualizaciones Disponibilidad en los servicios 24X7X365
Ajustar servicios y crecer en cualquier
momento.
Cuento con alimentación Energía ,Ancho de banda, y mucho almacenamiento
Ingenieros , expertos revisando mi problema
Seguridad *
Escalabilidad(Quiero más, me da más;) Quiero menos me da menos;.
![Page 5: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/5.jpg)
Amenazas en la Nube Filtración de datos Recursos compartidos entre clientes. Privacidad de la Información Perdida de Datos Secuestro de datos y cuentas (Ramsomware) Interfaces inseguras Denegación de servicios Empleados Maliciosos Robo de cuentas o servicios
![Page 6: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/6.jpg)
Auditoria de caja blanca
Auditoria de caja negra
![Page 7: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/7.jpg)
Algunas Pruebas de seguridad en la NUBE
![Page 8: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/8.jpg)
Herramientas de Seguridad y Estándares
Nmap –sS –vv –d –sC –sV –O (IP) • sS sin scan • -vv –d Modo debug • -sC Activar sistema Script • -sV Que versión esta ? • -O Sistema Operativo
![Page 9: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/9.jpg)
Educación y concientización de quienes la utilizan
Los servicios en la nube pueden ser utilizados fácilmente, pero también pueden ser utilizados fácilmente por los atacantes para fines maliciosos, por su facilidad de uso. • Ingeniería Social • Robo de Credenciales • Envío de correo basura (spam), • Distribución de malware, • Servidores de comando y control, • Ataques distribuidos de denegación de servicio (ddos), • Cracking de contraseña/hash, etc.
![Page 10: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/10.jpg)
Pruebas en la Transmisión de datos vulnerable
Los datos transferidos desde los clientes a la nube necesitan ser encriptados adecuadamente mediante el uso de SSL/TLS, que evita que los atacantes intercepten datos sin cifrar. Los datos pueden ser interceptados por ataques man-in-the-middle, que pueden ser difíciles de descifrar. Las actualizaciones de seguridad de software deben aplicarse regularmente, se debe habilitar el monitoreo de registros, los sistemas IDS/IPS deben escanear constantemente buscando tráfico malicioso
![Page 11: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/11.jpg)
Pruebas de tecnología compartida
El soportar múltiples inquilinos que comparten una infraestructura subyacente con múltiples capas. Cada capa puede ser atacada usando de diferentes técnicas, como la explotación de una vulnerabilidad en un hipervisor. Máquina virtual (VM), el acceso no autorizado a datos compartidos a través de ataques de canal lateral.
![Page 12: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/12.jpg)
Pruebas Brecha de datos «ataques de canal lateral»
Una máquina virtual podría tener acceso a los datos de otra VM en el mismo host físico, lo que podría dar lugar a una violación de datos. Al tener varias VM, cada una perteneciente a empresas distintas, en el mismo servidor físico, una empresa podría tener acceso a los datos de otra empresa. Robo de componentes compartidos como la caché del procesador.
![Page 13: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/13.jpg)
Y que mas puedo revisar ?
Utilizados para el control de los entornos industriales. Estos sistemas se utilizan en el sector energético, el sector manufacturero y la infraestructura crítica como las plantas nucleares, plantas de energía, etc. ya que puede ser un asunto de seguridad nacional. Supervisory Control and Data Acquisition (SCADA), Industrial Control Systems (ICS) Industrial Automation and Control Systems (IACS)
![Page 14: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/14.jpg)
MEDIDAS DE SEGURIDAD Y RECOMENDACIONES
Cifrado de las Transmisiones https:// Cifrado de la información almacenada Valorar la información que subimos a la nube Siempre contar con algún respaldo extra, por si
las dudas
![Page 15: Presentación de PowerPointgloballynx.com.mx/eventos/simposio-nube-y-seguridad-informatica/... · Herramientas de Seguridad y Estándares ... • Ingeniería Social ... el sector](https://reader030.vdocuments.site/reader030/viewer/2022021720/5bafd93f09d3f2e27b8d0fcd/html5/thumbnails/15.jpg)
Ing. Javier Hernández Calderón Consultor en Seguridad Informática
@seginformattica
i'm not a hacker i'm a security professional
GRACIAS