CH01 CompSec4e
CH01 CompSec4e
CH01 CompSec4e
Descripción general
El Informe interno/interinstitucional del NIST
NISTIR 7298 (Glosario de términos clave de
seguridad de la información, mayo de 2013) define
el término seguridad informática como sigue:
Conceptos clave de
seguridad
Confidencialid Disponibilid
ad
Integridad ad
3. Los procedimientos utilizados para proporcionar servicios particulares a menudo son contrarios a la
intuición.
5. Los mecanismos de seguridad generalmente involucran más que un algoritmo o protocolo particular y también
requieren que los participantes estén en posesión de alguna información secreta que genere dudas sobre la creación,
distribución y protección de esa información secreta.
6. Los atacantes solo necesitan encontrar una única debilidad, mientras que el diseñador debe encontrar y
eliminar todas las debilidades para lograr una seguridad perfecta
7. La seguridad todavía es una idea de último momento para incorporarla a un sistema después de que se
complete el diseño, en lugar de ser una parte integral del proceso de diseño.
9. Existe una tendencia natural por parte de los usuarios y los administradores de sistemas de percibir poco
beneficio de la inversión en seguridad hasta que se produce un fallo de seguridad.
10. Muchos usuarios e incluso los administradores de seguridad ven la seguridad sólida como un
impedimento para el funcionamiento eficiente y fácil de usar de un sistema de información o el uso de la
información.
Tabla 1.1
Terminología de seguridad informática, de RFC 2828, Glosario de seguridad de Internet, mayo de 2000
Ataque
Cualquier tipo de actividad maliciosa que intente recopilar, interrumpir, denegar, degradar o destruir los recursos del sistema de
información o la información en sí.
Contramedida
Un dispositivo o técnicas que tienen como objetivo el deterioro de la efectividad operativa de actividades adversas o adversas, o la
prevención de espionaje, sabotaje, robo o acceso no autorizado a información sensible o sistemas de información.
Riesgo
Una medida de la medida en que una entidad está amenazada por una circunstancia o evento potencial, y típicamente una función de
1) los impactos adversos que surgirían si ocurriera la circunstancia o evento; y 2) la probabilidad de ocurrencia.
Política de seguridad
Un conjunto de criterios para la prestación de servicios de seguridad. Define y restringe las actividades de una instalación de procesamiento
de datos para mantener una condición de seguridad para los sistemas y los datos.
Amenaza
Cualquier circunstancia o evento con el potencial de impactar adversamente las operaciones de la organización (incluida la misión,
funciones, imagen o reputación), los activos de la organización, los individuos, otras organizaciones o la Nación a través de un sistema de
información mediante acceso no autorizado, destrucción, divulgación, modificación de la información. , y / o denegación de servicio.
Vulnerabilidad
Debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos o implementación que podría ser
explotada o activada por una fuente de amenaza.
(La tabla se puede encontrar en la página 8 en el libro de texto)
Owners Threat agents
value
wish to abuse
wish to impose and/or
minimize may damage
give
rise to
countermeasures assets
to
reduce
to to
risk threats
that
increase
Software
Datos
Instalaciones de comunicación y
redes
Vulnerabilidades,
amenazas y ataques
• Categorías de vulnerabilidades
o Corrupto (pérdida de integridad)
o Permeable (pérdida de confidencialidad)
o No disponible o muy lento (pérdida de disponibilidad)
• Amenazas
o Capaz de explotar vulnerabilidades
o Representar el daño potencial de seguridad a un activo
• Ataques (amenazas realizadas)
o Pasivo: intenta aprender o hacer uso de la información del sistema
que no afecta los recursos del sistema
o Activo: intenta alterar los recursos del sistema o afectar su
funcionamiento
o Interno - iniciado por una entidad dentro del parámetro de
seguridad
o Forastero - iniciado desde fuera del perímetro
Contramedidas
Medios utilizados
para hacer frente
a los ataques de
seguridad
•Evitar
•Detectar
•Recuperar
Las
vulnerabilidades
residuales
pueden
permanecer
El objetivo es
Puede introducir
minimizar el nivel
nuevas
residual de riesgo
vulnerabilidades
para los activos
Threat Consequence Threat Action (Attack)
Unauthorized Exposure: Sensitive data are directly released to an
Disclosure unauthorized entity.
A circumstance or Interception: An unauthorized entity directly accesses
event whereby an sensitive data traveling between authorized sources and Table 1.2
entity gains access to destinations.
data for which the Inference: A threat action whereby an unauthorized entity
entity is not indirectly accesses sensitive data (but not necessarily the Las consecuencias
authorized. data contained in the communication) by reasoning from
characteristics or byproducts of communications. de las amenazas y
Intrusion: An unauthorized entity gains access to sensitive
data by circumventing a system's security protections. los tipos de
Deception Masquerade: An unauthorized entity gains access to a
A circumstance or system or performs a malicious act by posing as an acciones de
event that may result authorized entity.
in an authorized entity Falsification: False data deceive an authorized entity. amenazas que
receiving false data Repudiation: An entity deceives another by falsely denying
and believing it to be responsibility for an act. causan cada
true.
consecuencia
Disruption Incapacitation: Prevents or interrupts system operation by
A circumstance or disabling a system component.
event that interrupts Corruption: Undesirably alters system operation by
or prevents the correct adversely modifying system functions or data.
Basado en RFC
operation of system Obstruction: A threat action that interrupts delivery of
services and system services by hindering system operation.
4949
functions.
Usurpation Misappropriation: An entity assumes unauthorized logical
A circumstance or or physical control of a system resource.
event that results in Misuse: Causes a system component to perform a function
control of system or service that is detrimental to system security.
services or functions
by an unauthorized
entity.
** La tabla está en la página 10 del libro de texto.
Computer System Computer System
4 Sensitive files
must be secure
Data (file security) Data
Requerimientos
de seguridad
(FIPS 200)
(Página 1 de 2)
Security
Requirements
(FIPS 200)
(page 2 of 2)
Menos asombro
Superficies de ataque
Consiste en las vulnerabilidades alcanzables y
explotables en un sistema
Ejemplos:
Low Medium
Deep
Small Large
Attack Surface
Malicious software
Vulnerability exploit
installation
UT/U3a Smartcard analyzers UT/U2a Hidden code
CC2 Sniffing
User communication
UT/U4a Social engineering
with attacker
UT/U4b Web page
obfuscation
Redirection of
Injection of commands CC3 Active man-in-the communication toward
middle attacks fraudulent site
User credential guessing IBS1 Brute force attacks CC1 Pharming