11 dic 2013

Afrontando la auditoría interna

Las auditorias internas, quizá no tengan la fama de las caja negra, pero son realmente divertidas y emocionantes. Estar dentro de una organización grande y simular que eres un empleado descontento, que eres un intruso en una red desconocida y de la cual debes conocer e intentar obtener el máximo privilegio. Todo esto puede ser realmente interesante. Este tipo de auditorías proporcionan un estado de seguridad de los distintos segmentos de red. ¿Qué son estos segmentos? Ubicaciones internas los cuales no disponen de grandes privilegios de conectividad con sistemas los cuales tengan información sensible, la que al final al auditor le interesará acceder.

Los roles son algo importante, tomar el papel de un atacante interno pensando como un empleado es algo bastante divertido, para mi a la altura que la auditoría web, por ejemplo. El objetivo es encontrar las vías necesarias para acceder a la información sensible, a la que no se está autorizado. 

Para entender mejor este tipo de auditorías centrémonos en distintos departamentos, por ejemplo marketing, desarrollo, finanzas, sistemas, etc. Partiremos de un sitio de la empresa donde nuestros privilegios sean mínimos, donde no podamos llegar directamente a nuestros objetivos, ¿Dónde estaría lo divertido entonces? 

Generalmente, las redes se encuentran segmentadas, y un usuario no podrá acceder o tener conectividad con cualquier equipo de la red. Este hecho es el más común en grandes corporaciones. Por ejemplo, el uso de VLAN proporciona una solución de aislamiento interesante, aunque por supuesto no definitiva. 

¿Qué pruebas podemos usar?

Es cierto que podemos tener distintos objetivos, nos los pueden marcar a priori, o durante el desarrollo de la misma, aunque algunos son muy comunes, por ejemplo conseguir ser administrador de dominio (entornos Windows), si esto se consigue Game Over

Las pruebas que podemos llevar a cabo generalmente son:
  • Diseño, análisis de la topología de la red y análisis de la segmentación. En otras palabras conocer el entorno. En próximas entradas hablaremos de ello más en profundidad. 
  • Análisis de seguridad de VLAN. En otras palabras comprobar que este tipo de implementaciones funcionan correctamente. 
  • Seguridad de los puntos de accesoEn las grandes corporaciones existen mecanismos que no permiten realizar ataques ARP Spoofing, entre otras acciones, por lo que hay que verificar que estos mecanismos a nivel de puerto funcionan correctamente. Un ejemplo es Port Security.
  • Sniffing. Si el aislamiento funciona correctamente y los dispositivos implementan redes conmutadas no hay problema, pero...¿Siempre deberemos comprobar que no me llegan cosas que no debería? Si.
  • Escalada de privilegios en la red. Esta es la prueba más importante de la auditoría interna. Demostrar la posibilidad de ir escalando privilegios es algo imprescindible. El auditor necesitará escalar privilegios para que otras pruebas den un resultado positivo en la auditoría. El desplazamiento vertical en la infraestructura por parte del auditor viene proporciona por una escalada de privilegios.
  • Obtención de credenciales. Nos permitirá desplazamiento vertical, pero sobretodo horizontal en muchos casos.
  • Cifrado de comunicaciones. Se comprobará que la información sensible dentro de la organización circula correctamente cifrada. Es muy común que la Intranet de la organización los protocolos no sean seguros, pero puede llegar a ser crítico si la información es sensible y los empleados pueden llegar a interceptarla.
  • Análisis global de la información obtenida. Realimentar la auditoría es importante.  Cada vez que se obtiene un objetivo o se realiza una prueba, ya sea de manera satisfactoria o no, se debe analizar y documentar lo realizado.

En próximos artículos daremos mayor detalle a estas pruebas y detallaremos casos prácticos que son realmente interesantes dentro del procedimiento en una auditoría interna. 

1 comentario: