vi congreso iberoamericano de seguridad informática cibsi 2011. software d… · de seguridad...
TRANSCRIPT
Carlos Noguera
Ronald Escalona
VI Congreso Iberoamericano de Seguridad Informática
CIBSI 2011
Universidad Nacional Experimental del Táchira Venezuela
Riesgos Evaluaciones
de Seguridad
Integridad
Confidencialidad
Disponibilidad
Simular, en un
ambiente
controlado,
ataques reales
Sistemática Documentada Exhaustiva
SP 800-115
•Uso de buenas prácticas
•Seguir Metodologías
•Homologación de actividades
Guiar en el proceso de Pruebas de Intrusión
•Herramientas
•Análisis y Salidas
Coordinar y relacionar
•Registro de actividades
•Pruebas de Concepto
•Comentarios adicionales
•Generación automática de Reportes!
Documentación
•Llevar información de diferentes áreas u organizaciones
•Coordinar actividades entre distintos analistas de
seguridad
Gestión de Casos
Plantillas de metodologías
Recopilación de Información Competitiva
Enumeración de la red
Análisis de Vulnerabilidades
Explotación de Vulnerabilidades
Análisis de los Resultados y
Generación de Informe
“El Compositor plasma la música en una
partitura, el Director coordina la Orquesta”
Plantillas de metodologías
<?xml version="1.0"?>
<template name=“SP 800-115" autor=“Super User" desc=“Metodología Sp800-115 del NIST" version=“1.0" > <phase name=" Application Security Testing “ desc=" Target Identification and Analysis " > <tool name=" CIRT Fuzzer "/> <tool name=" NetSed "/> …
</phase> < phase name=" Network Discovery " desc=" Target Identification and Analysis " >
<tool name=“P0f"/>
<tool name="Nmap"/> …
</ phase > < phase name=" Network Port and Service Identification" desc=" Target Identification and Analysis " >
<tool name=“Amap"/>
<tool name=“UnicornScan"/> …
</ phase >
…
</template>
Integración de herramientas
Software de terceros
Software de
Gestión
Base de datos
Herramienta
Descripción de la herramienta
Ruta del ejecutable
Reglas de Búsqueda
Patrones de búsqueda usando
expresiones regulares
Relaciones
Relaciones explicitas entre herramientas
Gestión de Pruebas de Penetración
Pentest Orchestrator - PentOr
Software de Gestión
Base de Datos Software
de Terceros
Generación de Reportes
Plantilla de Metodología
Define la metodología a seguir y el
orden de ejecución de las herramientas
Genera reportes de actividades
dado el caso de prueba
Controla la ejecución,
establece parámetros e
invoca herramientas
Guarda la información
asociada al caso de prueba
El sistema se enfoca
principalmente en
resultados
Salva resultados de la
ejecución de
herramientas
Estructura de la Base de Datos
“De la partitura a la metodología …”
Reusar herramientas ya existentes y aprovechar las fortalezas de cada una de ellas.
Facilitar la gestión de generación de reportes
Facilitar el uso e implementación de buenas practicas
Pentest Orchestrator http://pentestorchestr.sourceforge.net/
Carlos Noguera [email protected]
Ronald Escalona [email protected]