ESC

Escribe para buscar entre todos los artículos

Volver al archivo
· 7 min de lectura

Mirada práctica desde la aplicación al Instructivo Presidencial de Ciberseguridad

Guía práctica para implementar las medidas del Instructivo Presidencial N.°8 de Ciberseguridad en Chile, con herramientas y recursos para encargados de ciberseguridad.

Estimados lectores, luego de receso creativo, justo y necesario, junto con desearles un feliz nuevo año, les traigo esta nueva entrega con el único propósito de ayudar, gracias a los colegas que me dieron feedback previo, Tomás, Daniel, Raúl, Freddy, Juan y Daniel.

Ya quedando pocos días para el plazo de 20 de Enero del 2019, donde se debe entregar el informe de evaluación de riesgos de ciberseguridad y básicamente entendiendo que distintos grupos de especialistas y funcionarios públicos, existen algunas dudas es que preparé esto.

Hoy luego de esta lectura rápida, pueden ser contestadas, con la ayuda de este white paper, para la implementación de las medidas, y tal vez generar una buena práctica permanente y ganar un café para este humilde blogger.

Contarles un poco desde el año 2017 post “wanna cry-i-tis”, -que bueno que se terminaron las charlas de esto-, jejej, pasaron bastante situaciones y nuevos incidentes en nuestro país. En los esfuerzos que se han realizado como nación, a mi modo de ver tenemos un avance importante que es, Instructivo Presidencial N8 del 23 de Octubre de 2018, ¿Qué es lo nuevo?, básicamente es un complemento y actualización al trabajo de la línea de seguridad de la información que se realiza desde el año 2005, en la práctica el instructivo apunta al resguardo de los activos digitales de las instituciones públicas y servicios relacionados del país. El instructivo completo se compone de 8 medidas las cuales puede conocer en: https://www.ciberseguridad.gob.cl/monitoreo-instructivo-presidencial-n8-del-23-de-octubre-de-2018/, me enfocaré en las medidas que dan un nuevo aire a la temática, dándole bríos nuevos, un destino con fechas y compromisos claros.

Ver documento en: https://www.ciberseguridad.gob.cl/media/2018/10/Instructivo-008-23.10.2018-Ciberseguridad.pdf

1-Encargado de Ciberseguridad por Servicio

Cada Jefe de Servicio deberá designar a un encargado de ciberseguridad y a un subrogante. Esta medida ya se cumplió y hoy existen más de 200 encargados de ciberseguridad, en distintos servicios de nuestro país, lo cual es un avance, pueden existir distintas voces y opiniones sobre esto, como en una democracia, de cualquier manera sí es un avance, quizás usted amigo lector, fue nombrado como encargado de ciberseguridad, primero contarles que la ciberseguridad tiene muchas caras https://blogdelciso.com/2018/08/09/distintos-angulos-de-la-ciberseguridad-parte-i/, y cada especialidad tiene años de entrenamiento previo, ahora quizás necesita mejorar sus conocimientos y habilidades para trabajar de mejor forma en esto, pensé que este extracto en parte para usted:

Le cuento que puede estudiar temáticas de Ciberseguridad de forma pagada, y acá puede ver la oferta educativa en Chile: https://blogdelciso.com/2018/11/01/catastro-de-oferta-educacion-formal-en-ciberseguridad-y-seguridad-de-la-informacion-en-chile-noviembre-2018/ y gratuita en: https://www.cybrary.it/

Cursos de ciberseguridad al bolsillo de todos por unos pocos dólares en:

También con esfuerzo, puede estudiar, practicar muchísimo e invertir en buenos cursos pagados y certificarse en:

También practicar técnicas y mejorar sus habilidades sobre máquinas creadas para ello como son:

  • Hack the box
  • Metasploitable
  • UltimateLAMP
  • Web Security Dojo
  • OWASP Academics
  • DVWA Damn Vulnerable Web Application
  • Mutillidae
  • De-ICE
  • OWASP Web Goat

Puede informarse de las últimas tendencias siguiendo a estos dos bot de Telegram:

También trate de unirse a comunidades de ciberseguridad donde comparta con especialistas, los cuales pueden enseñarle mucho: Mi amigo sombrero blanco habla de esto en: https://www.sombrero-blanco.com/seguridad-informatica/buscas-comunidades-o-sitios-referentes-a-ciberseguridad-este-es-tu-post/

3-Medidas Internas de Ciberseguridad

Cada Jefe de Servicio, en un plazo máximo de 60 días hábiles contados desde el lanzamiento del instructivo, deberá presentar una evaluación de riesgo de ciberseguridad, un análisis del estado de vulnerabilidades, medidas actualmente adoptadas y un plan de acción de corto plazo.

En esta medida se trata primero de generar una estrategia, comprar cajas con la carencia de una estrategia clara definida, lo dejará donde mismo; Lo primero que debe hacer usted, es pensar en esto https://blogdelciso.com/2018/08/23/ciberdefensa-en-profundidad-por-funcion/ luego:

Evaluación de riesgo de ciberseguridad

Para evaluar el riesgo, debe conocer sus activos, por lo tanto la primera etapa podría ser:

  • Identificar todos los activos digitales que tiene expuestos de cara a internet
  • Identificar todos los activos digitales que tiene de cara a red interna

Para identificar la amenaza debe saber cuales son sus vulnerabilidades:

  • A nivel de aplicativo
  • A nivel de servidor
  • A nivel de Red
  • Y todos los extras que desee agregar

Ejemplos de distintas vulnerabilidades que recopilé, como son:

  • Diseño - Debilidad en el diseño de protocolos utilizados en las redes.
  • Diseño - Políticas de seguridad deficientes e inexistentes.
  • Implementación - Errores de programación.
  • Implementación - Existencia de “puertas traseras” en los sistemas informáticos.
  • Implementación - Descuido de los fabricantes.
  • Uso - Configuración inadecuada de los sistemas informáticos.
  • Uso - Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática.
  • Uso - Disponibilidad de herramientas que facilitan los ataques.
  • Uso - Limitación gubernamental de tecnologías de seguridad.
  • Capacidad técnica insuficiente
  • Limitación y control de puertos de red
  • Fase de capacidad de recuperación de datos
  • Configuraciones seguras para dispositivos de red
  • Defensa de límite
  • Protección de datos
  • Acceso controlado basado en la necesidad de saber
  • Control de acceso inalámbrico
  • Monitoreo y control de cuenta
  • Evaluación de habilidades de seguridad y capacitación adecuada para llenar las brechas
  • Aplicación Software Seguridad
  • Respuesta y gestión de incidentes
  • Pruebas de penetración y ejercicios de equipo rojo
  • Ciberseguridad - Vulnerabilidad del día cero
  • Ciberseguridad - desbordamiento de buffer
  • Ciberseguridad - condición de carrera (race condition)
  • Ciberseguridad - error de formato de cadena (format string bugs)
  • Ciberseguridad - Cross Site Scripting (XSS)
  • Ciberseguridad - Inyección SQL
  • Ciberseguridad - denegación del servicio
  • Ciberseguridad - ventanas engañosas (Window Spoofing)
  • OWASP - A1 Inyección
  • OWASP - A2 Pérdida de autenticación y gestión de sesiones
  • OWASP - A3 Exposición de datos sensibles
  • OWASP - A4 Entidades Externas de XML (XXE)
  • OWASP - A5 Violación de control de acceso
  • OWASP - A6 Configuración de seguridad incorrecta
  • OWASP - A7 Secuencia de comandos en sitios cruzados (XSS)
  • OWASP - A8 Deserialización insegura
  • OWASP - A9 Utilización de componentes con vulnerabilidades conocidas
  • OWASP - A10 Monitoreo y registro insuficiente
  • OWASP Mobile - M1 a M10
  • CIS - Inventario de dispositivos autorizados y no autorizados
  • CIS - Inventario de software autorizado y no autorizado
  • CIS - Configuraciones seguras para Hardware y Software
  • CIS - Fórmula de evaluación y corrección de la vulnerabilidad continua
  • CIS - Uso controlado de privilegios administrativos
  • CIS - Mantenimiento, monitoreo y análisis de registros de auditoría
  • CIS - Protecciones de correo electrónico y navegador web
  • CIS - Defensas de malware
  • NUBE - 1 a 13 vulnerabilidades de cloud

Y para identificar sus riesgos debe saber cuales son sus amenazas: Ejemplo: Ataque malicioso con Explotacion de CVE de componente vulnerable por atacante externo Asignando el impacto y la probabilidad para asignar el valor del riesgo inherente. Es importante mencionar que el título del riesgo siempre debe ser al daño que genera a la institución o servicio: Ejemplo: Daño reputacional, por violación al control de acceso

Pero, ¿qué software usar?, tranquilo amigo, el open source tiene mucho que ofrecer para su distinguido rol, usted debe, realizar al menos las primeras etapas de un pentesting, Fase de reconocimiento, fase de escaneo, fase de enumeración, si tiene presupuesto trate de contratar a un equipo externo para corroborar sus hallazgos, las funciones de un Red Team, según pienso deberían formarse en las instituciones, les recomiendo para, al menos realizar una práctica periódica usar las siguientes herramientas para análisis de vulnerabilidades:

Herramientas de Reconocimiento:

  • NMAP
  • Whatweb
  • dirb
  • Photon
  • Sitadel

Herramientas de Análisis de vulnerabilidades:

  • OpenVAS
  • Nexpose Community
  • Metasploit Framework
  • Burp Suite Free Edition
  • Nikto
  • OWASP Zed Attack Proxy (ZAP)

Deberá realizar algunas de las capacitaciones que mencioné más arriba y manos a la obra, identificar las principales debilidades, descartar falsos positivos, identificar los CVE, que tengan posibilidades de explotación en sus servicios y plasmarlo en una matriz de riesgos:

Los documentos mínimos que debe completar son los en negrita, mi recomendación es un paso más adelante y crear una práctica institucional:

  • Matriz de activos digitales expuestas a internet y red interna.
  • Bitácora de análisis de vulnerabilidades, datos de los informes, fechas y activos involucrados
  • Procedimiento de Análisis de Vulnerabilidad
  • Proceso de mitigación de vulnerabilidades
  • Formato de informe de análisis de vulnerabilidades
  • Informe de vulnerabilidades a enero 2019
  • Formato de reporte ejecutivo para la gerencia mensual
  • Procedimiento de desarrollo seguro
  • Procedimiento de Hardening de Servicios
  • Bitácora de soluciones de ciberseguridad con tipo, licenciamiento, dueño y ubicación
  • Matriz de riesgos en materias de ciberseguridad 2019

7-Reporte Obligatorio de Incidentes

Los órganos de la Administración del Estado deberán reportar la totalidad de incidentes de ciberseguridad que se presenten, tan pronto tomen conocimiento de los mismos, se informará al Centro de Coordinación de Entidades de Gobierno, vía correo electrónico al csirt@interior.gob.cl.

Primero fórmese, edúquese lo más que pueda, y habilite equipos donde pueda realizar los análisis; Recomiendo estas distribuciones de Linux para completar esta tarea:

Plataformas donde realizar análisis de malware:

Idealmente monte un sistema de monitoreo, que permita detectar incidencias, recomiendo https://www.elastic.co/es/elk-stack

En esta primera etapa, son las actividades que debe realizar, espero este post sea de utilidad, y logre este flag que es importante para que todos juntos contribuyamos a un país más ciberseguro.

Plan de acción y sus principales hint, viene en próximo capítulo.

Capítulo DOS EN: https://www.blogdelciso.com/2019/03/31/mirada-practica-desde-la-aplicacion-al-instructivo-presidencial-de-ciberseguridad-capitulo-2-la-mitigacion/

SV
Autor

Sebastián Vargas

CISO & Fundador de TTPSEC SpA. Más de 15 años en ciberseguridad, governance, riesgo y compliance. Escribiendo sobre seguridad de la información desde 2018.

LinkedIn Medium

¿Te sirve el contenido?

Recomendarme en LinkedIn
Volver al archivo