Tácticas de Seguridad Informática para Detectar, Resistir y Recuperarse de Ataques

Clase 36 de 43 • Curso Profesional de Arquitectura de Software

Resumen

¿Cómo enfrentar los ataques a un sistema?

La seguridad de los sistemas informáticos es un tema crítico y, más que nunca, las aplicaciones enfrentan constantes intentos de ataque. La gestión eficaz de estos eventos es esencial, por lo que es vital familiarizarse con las estrategias y las tácticas disponibles para garantizar la seguridad del sistema ante accesos no autorizados. Conocer estas prácticas nos dará la capacidad de detectar, resistir y recuperarse de ataques, proporcionando una defensa robusta a nuestras aplicaciones.

¿Cómo detectar un ataque de seguridad?

Detectar un ataque es el primer paso para proteger un sistema. Identificar un uso inusual del sistema o tráfico de red sospechoso nos alertará sobre posibles intrusiones.

Sensores y alertas: Instalar sensores que vigilan el uso de la aplicación ayuda a identificar accesos anómalos, pudiendo actuar a tiempo.
Análisis de tráfico y comportamiento: Examinando el tráfico de red y analizando el comportamiento en memoria, podemos identificar actividades inusuales que sugieran un ataque.

¿Qué es la resistencia frente a ataques?

La resistencia se enfoca en prevenir el éxito de un atacante, generalmente a través de prácticas de autenticación y autorización.

Autenticación: Asegura que el usuario es quien dice ser. Desde el básico usuario y contraseña hasta métodos avanzados como Two-Factor Authentication o biometría.
Autorización: Define las acciones permitidas para cada usuario, basándose en roles que restringen el acceso solo a las funciones necesarias.
Confidencialidad de datos: Asegura que solo personas autorizadas accedan a información sensible utilizando técnicas como la encriptación.
Integridad de datos: Garantiza que la información no ha sido alterada usando algoritmos de hashing para validar que el contenido es original.

¿Cómo restablecer la seguridad tras un ataque?

Recuperarse de un ataque consiste en restaurar el sistema a un estado consistente lo más rápido posible.

Restauración a un estado seguro: Implementar estrategias de disponibilidad que permitan identificar y recrear un estado del sistema conocido y seguro.
Trazabilidad y auditoría: Mantener registros de las acciones permite identificar el alcance del ataque y restaurar el sistema sin incluir las acciones del atacante.

Desarrollar estrategias de detección, resistencia y recuperación no solo prepara mejor al sistema frente a ataques, sino que también ofrece una protección operatoria a largo plazo. Aunque estas tácticas ofrezcan un buen punto de partida, es crucial recurrir a expertos en seguridad informática para situaciones más complejas. Así se podrán implementar soluciones más avanzadas y personalizadas a las necesidades del sistema.

David Andrade Morales

student•

Seguridad Nuestro estimulo de entrada es un ataque, nuestras tácticas para controlar la seguridad y tener como resultado la detección, resistencia o recuperación en nuestro sistema. Tendremos tres familias:

Detectar ataques: Van a tratar de identificar que el estado actual de la aplicación está bajo un ataque, puede ser por medio de sensores.

-Detectores de intrusos: Ayuda a tener implementaciones para saber cuándo se está usando de manera no apropiada. Levantará alertas para tomar decisiones sobre nuestro sistema (pueden ser complejas, automatizadas o simples). Podremos ir descendiendo en niveles cuanto más complejo sea.

Recuperación de ataques: Trata de tener bases o tácticas para regresar a un estado basal y también poder comprender cuáles fueron las acciones del atacante para poder evitarlas a futuro

-Restauración: Cómo hacemos para entender nuestros estados del sistema y entender qué pasa con mi sistema. Es muy similar a la estrategia de Disponibilidad (estados conocidos, estados diferentes para comparar)
-Identificación: Saber qué específicamente hizo el atacante. La traza de auditoria sirve para que cuando detectamos un atacante tengamos todo el rastro de nuestro usuario y poder restablecer mi sistema a ese punto basal, ignorando lo que hizo el atacante

Resistencia de ataques: Va a tratar que el atacante no tenga éxito.

-Autenticación: Cómo sabemos que el usuario es quien realmente die ser (Contraseñas, datos biométricos, RS, etc.)
-Autorización: Saber quién es y qué puede o no hacer esa persona (Roles entre sistemas)
-Confidencialidad de datos: Cómo garantizamos que el dato sea visto por quien debe verlo (encriptación)
-Integridad: Cómo garantizo que el mensaje es íntegro, es decir, cómo el emisor lo envió (Hashes para comprobar información)
-Limitar exposición: Si un atacante entra podemos determinar que este no pueda (por lo menos) entrar a consultar la información más sensible del usuario. Lo podemos hacer separando información (separar info sensible de info “normal”).
-Limitar acceso: Entender cuáles son los vectores de acceso y restringir lo menor posible esos accesos que pueden ser puntos iniciales de penetración (Puertos de red: 8080, SSH, etc.)

Elmer Padilla Espinoza

student•

Gracias David por el aporte.

Antonio Rafael González Ferrer

student•

Apuntes:

Seguridad

Detectar ataques. Tratar de identificar que el estado actual de la aplicación tiene un atacante de por medio. - Detectores de intrusos. Ayuda a tener diferentes implementaciones puestas en nuestra aplicación para saber cuándo se está utilizando de forma incorrecta.

Recuperación de ataques. Tratar de tener diferentes tácticas para poder volver a un estado consistente y saber cuáles fueron las acciones que el atacante tomó para poder evitarlas. - Restauración. Cómo hacemos para tener por un lado un estado conocido que sabemos que es consistente o por otro lado diferentes estados que podemos comparr y saber si estamos en un estado consistente o no. -Identificación. Es importante para poder saber qué es lo que hizo el atacante. -Traza de auditoría. Sepamos exactamente todos los pasos que dan nuestros usuarios como para que, cuándo detectamos al atacante, podamos volver a un estado conocido y luego ejecutar todas las acciones de nuestros usuarios ignorando lo que hizo el atacante.

Resistencia al ataque. Va a tratar que el atacante no tenga éxito. - Autenticación. Refiere a cómo sabemos que el usuario es quién dice ser. - Autorización. Trata no solamente de saber quién es esa persona sino saber qué puede o no hacer esa persona.

juan esteban colcombet

student•

Excelente resumen. Creo que faltaron estos 4 detalles en Resistencia al ataque:

Confidencialidad de datos. Como garantizamos que el dato solo lo puede ver quien deberia verlo. Por ejemplo: encriptacion.
Limitar Exposición. Si un atacante entra por algunos de los vectores de ataque de nuestro sistema, al menos no pueda acceder a la informacion mas sensible. La idea es separa los datos sensibles de los datos menos sensibles.
Integridad. Garantizar que el mensaje que se esta recibiendo en el destino es igual que el mensaje que se envio desde el origen. Ej: hashing/encriptacion.
Limitar acceso. Cuales son los lugares (vectores de ataque) donde un atacante puede atacar, y tratar de reducir esos puntos de ataques. Ej: si tenemos un servicio web, deberiamos tener abierto el puerto 80 y 443, pero un puerto 22 (ssh) no deberia estar expuesto a internet.

Abril Darynka Tapia Sosa

student•

Escenario: Seguridad. Estimulo: Ataque Tácticas para controlar la seguridad.

- Detectar ataques
  *  Detectores de intrusos
- Resistencia al ataque
* Autenticación
    * Autorización
    * Confidencialidad de datos
    * Integridad
    * Limitar exposición
    * Limitar acceso
- Recuperación de ataques
   * Restauración -> Disponibilidad
   * Identificación
    Traza de auditoria

La respuesta sea: Detectar, resistir o recuperar

Christian Gómez

student•

Escenarios: Seguridad

El estímulo es un ataque al sistema. alguien quiere ingresar al sistema de forma no autorizada.

Familias:

Detectar Alguien: Van a tratar de identificar que alguien esta intentando ingresar. Tácticas:

Detectores de Intrusos.

Recuperación de Ataques: Va a tratar de tomar acciones para volver al estado anterior y conocer las acciones que el atacante tomó para poder evitarlas. Tácticas:

Autenticación
Autorización
Confidencialidad de datos
Limitar Exposición
Integridad
Limitar acceso

Resistencia al ataque: Es la familia más compleja es la que va a tratar de que el atacante no tenga éxito. Tácticas:

Restauración (Disponibilidad)
Identificación (Traza de Auditoria)

Elmer Padilla Espinoza

student•

Christian se le agradece el aporte.

David Peñafiel Zeballos

student•

Vectores de Ataque
El término en sí es un préstamo del argot militar; y en este sentido, un vector de ataque se refiere literalmente a un agujero o falla presente en la defensa establecida.
Cómo se usan los vectores de ataque en ciberseguridad.

Análisis e inspección del objetivo potencial
Codificación
Instalación
Explotación
Fuente

Gustavo Cerinza

student•

https://platzi.com/seguridad-informatica/

Sergio Andrés Ruiz

student•

La parte más interesante, para mí es la seguridad, y cómo tantas personas, con sus amplios conocimientos, mantienen seguros los sistemas TI que nos rodean.

En general este curso y todo su contenido es espectacular! gracias.

Alberth Fabian Perez Mendivelso

student•

La seguridad es uno de los puntos en el que mas debemos prestar atención cuando especificamos la arquitectura del software, debido a que es aquí donde podemos brindar la empresa para que funcione bajo los parámetros dados.

Oriana Morillo

student•

Familias de resistencias a ataques

Juan Carlos Ortiz Romero

student•

La seguridad de software se encarga de proteger las aplicaciones y el software de amenazas exteriores como pueden ser ataques maliciosos, virus, etc.

Juan Carlos Ortiz Romero

student•

Seguridad ⭐️⭐️⭐️ Detectar ataques. Tratar de identificar que el estado actual de la aplicación tiene un atacante de por medio. 🤖

Detectores de intrusos. Ayuda a tener diferentes implementaciones puestas en nuestra aplicación para saber cuándo se está utilizando de forma incorrecta. Recuperación de ataques. Tratar de tener diferentes tácticas para poder volver a un estado consistente y saber cuáles fueron las acciones que el atacante tomó para poder evitarlas. 🤖
Restauración. Cómo hacemos para tener por un lado un estado conocido que sabemos que es consistente o por otro lado diferentes estados que podemos comparar y saber si estamos en un estado consistente o no. 🤖 -Identificación. Es importante para poder saber qué es lo que hizo el atacante. 🤖 -Traza de auditoría. Sepamos exactamente todos los pasos que dan nuestros usuarios como para que, cuándo detectamos al atacante, podamos volver a un estado conocido y luego ejecutar todas las acciones de nuestros usuarios ignorando lo que hizo el atacante. Resistencia al ataque. Va a tratar que el atacante no tenga éxito. 🤖
Autenticación. Refiere a cómo sabemos que el usuario es quién dice ser. 🤖
Autorización. Trata no solamente de saber quién es esa persona sino saber qué puede o no hacer esa persona.

Diego Salgado Castellanos

student•

Un buen ejemplo de Limitar la exposición está en esta PR reciente sobre Laravel 9.x.

https://github.com/laravel/framework/pull/43097

En esta PR se explica que puedes hacer uso de las herramientas de laravel para controlar la autorización a recursos, pero que es bueno poder personalizar la salida cuando no se posee esta autorización.

Esto es una mejora de la exposición porque si un ataque siempre recibe, por ejemplo, un 404 para recursos que no existen o recursos a los que no tiene acceso, no sabrá diferenciar cuando el recurso existe o no y tendrá más complicada la tarea de deducir puntos flacos de la aplicación.

Eduardo Gonzalez Esquivel

student•

En su experiencia cual es la información sensible de sus aplicaciones que suelen encriptar además claro de el password?

Korpi delfin

student•

Mi backup y documentos personales como IDs, facturas, etc.

Jorge Arturo Pintor Morales

student•

Depende del sistema y de como se diseñe o establzca, pero por ejemplo información como el CURP, RFC. En sistemas médicos toda la información que describe o indica que tiene el paciente debe ser cifrado. Información bancaria, información de la persona como estado civil, preferencias sexuales, nacionalidad, enfermedades cronicas y un sin fin de otros datos.

Por cierto, las contraseñas no se encriptan, se hashean. La diferencia es que en la primera puedes recuperar la información original y en la segunda no.