La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 Auditoria Conceptos y Estrategias Guillermo Alfonso Molina León, Ms.Auditoria.

Presentaciones similares


Presentación del tema: "1 Auditoria Conceptos y Estrategias Guillermo Alfonso Molina León, Ms.Auditoria."— Transcripción de la presentación:

1

2 1 Auditoria Conceptos y Estrategias Guillermo Alfonso Molina León, Ms.Auditoria

3 2 Aspectos de Seguridad Los principios básicos Confidencialidad Integridad Disponibilidad Servicios Autenticación Autorización No Repudiación Monitoreo Auditabilidad

4 3 Vistos de otra forma… Identificación & Autenticación Quien? Autorización Que acceso puede tener? Confidencialidad No otros pueden ver esto? Integridad Quien es el autor? ha sido modificado? Non-Repudiacion Lo mando usted? Lo recibio usted? Configuración Que es permitido hacer? Auditoria Que paso? Monitoreo Que esta pasando?

5 4 Estados del monitoreo Evento monitoreo Revisar políticas Revisar reglas DIARIOANUAL Monitoreo (1) Alcance y frecuencia

6 5 Monitoreo (2) Estado del monitoreo. Estado del monitoreo. Verificar la Configuración del software de seguridad. Verificar la Configuración del software de seguridad. Usuarios privilegiados Usuarios privilegiados Utilitarios restringidos Utilitarios restringidos Opciones globales del sistema. Opciones globales del sistema. La programación del monitoreo depende de : La programación del monitoreo depende de : Criticidad del sistema; una al día, mas de dos o permanente. Criticidad del sistema; una al día, mas de dos o permanente. Forma manual o Automática. Forma manual o Automática. La responsabilidad del estado de monitorear es compartido: La responsabilidad del estado de monitorear es compartido: Administradores u oficiales de seguridad. Administradores u oficiales de seguridad. Soporte técnico. Soporte técnico. Auditoría. Auditoría.

7 6 Monitoreo (3) Eventos del Monitoreo Eventos del Monitoreo Detectar y reaccionar a accesos no autorizados. Detectar y reaccionar a accesos no autorizados. Evaluar el impacto del acceso no autorizado. Evaluar el impacto del acceso no autorizado. Análisis de cambios inusuales en los cambios de las políticas y reglas de seguridad. Análisis de cambios inusuales en los cambios de las políticas y reglas de seguridad. Los eventos del monitoreo son en tiempo real basados en mensajes (Alarmas) originados Por accesos no autorizados. Por accesos no autorizados. Transacciones sensibles no frecuentes. Transacciones sensibles no frecuentes. Usuarios Privilegiados y restringidos para ser utilizados. Usuarios Privilegiados y restringidos para ser utilizados.

8 7 Monitoreo (4) Análisis de reglas. Análisis de reglas. Verificar que las reglas de; Verificar que las reglas de; Acceso a los recursos. Acceso a los recursos. Registro de transacciones. Registro de transacciones. Alertas de eventos. Alertas de eventos. Estén a la medida de los requerimientos hechos por el dueño del Negocio. Es responsabilidad de el dueño estar moni toreando que las reglas estén funcionando y constatando los mensajes de alerta transaccional.

9 8 Monitoreo (5) Revisión de las Políticas y Estándares de Seguridad. Revisión de las Políticas y Estándares de Seguridad. Las políticas de seguridad deberían ser bastante genéricas. Las políticas de seguridad deberían ser bastante genéricas. Los estándares pueden requerir más frecuencia de revisión. Los estándares pueden requerir más frecuencia de revisión. Ambos deberían ser revisados cuando el riesgo del negocio cambia. Ambos deberían ser revisados cuando el riesgo del negocio cambia. Los cambios de la tecnología ameritan la revisión de los estándares. Los cambios de la tecnología ameritan la revisión de los estándares. Estas revisiones son exclusivas de la Gerencia Tecnológica con el soporte de los grupos o unidades de seguridad informática y frecuentemente en consultoría de firmas externas. Estas revisiones son exclusivas de la Gerencia Tecnológica con el soporte de los grupos o unidades de seguridad informática y frecuentemente en consultoría de firmas externas.

10 9 Auditoría Establece certeza sobre las actividades realizadas por un usuario. Los logs pueden incluir reportes y análisis de: Los logs pueden incluir reportes y análisis de: Accesos al sistema (sign-on). Accesos al sistema (sign-on). Accesos no autorizados a los recursos. Accesos no autorizados a los recursos. Definiciones al sistema de seguridad. Definiciones al sistema de seguridad. Cambios autorizados o no a el esquema de seguridad. Cambios autorizados o no a el esquema de seguridad. Acceso a los recursos por privilegios. Acceso a los recursos por privilegios. Accesos autorizados a los recursos por usuario y/o recurso. Accesos autorizados a los recursos por usuario y/o recurso. Rastros de usuarios esquema o privilegiados. Rastros de usuarios esquema o privilegiados. Muestreo y extracción de datos. Muestreo y extracción de datos. Reconstrucción de eventos. Reconstrucción de eventos.

11 10 Auditoria Preguntas antes de Planear la Auditoria: Preguntas antes de Planear la Auditoria: Áreas a ser auditadas? Áreas a ser auditadas? Donde el Audit Trail debe estar? Donde el Audit Trail debe estar? Que Información se guardará? Que Información se guardará? Que nivel de Auditoria es apropiado? Que nivel de Auditoria es apropiado? Que personas se encargarán de el monitoreo? Que personas se encargarán de el monitoreo? Que personas están el grupo de atención de incidentes. Que personas están el grupo de atención de incidentes. Frecuencia de Mantenimiento y Respaldo? Frecuencia de Mantenimiento y Respaldo? Lugar para restaurar la información? Lugar para restaurar la información?

12 11…Arquitectura Modelos de Autenticación Modelos de Autenticación Password Password Certificados Certificados SSL SSL Kerberos Kerberos Biométricos Biométricos Smart Cards Smart Cards

13 12 Autenticación Directa Quien es el usuario? Quien es el usuario? El usuario tiene privilegios directos? El usuario tiene privilegios directos? Como Audito? Como Audito? Database Client A Client B Client C

14 13 Autenticación Usuario Base Quien es el usuario? Quien es el usuario? El usuario cliente tiene privilegios o quien? El usuario cliente tiene privilegios o quien? Como Audito? Como Audito? Database Client A Client B Client C UsuBase

15 14 Autenticación ebusiness Quien es el usuario real? Quien es el usuario real? La capa de la mitad tiene muchos privilegios? La capa de la mitad tiene muchos privilegios? Como y a quien Audito? Como y a quien Audito? Application Server or TP Monitor Database Client A Client A, B, or C? Client B Client C

16 15 Auditoria Basica… Podemos configurar sobre 180 audit options Podemos configurar sobre 180 audit options tanto por éxito como por fallo (SUCCESSFUL/WHEN NOT SUCCESSFUL ) tanto por éxito como por fallo (SUCCESSFUL/WHEN NOT SUCCESSFUL ) Por sesión o por acceso (session, access). Por sesión o por acceso (session, access). Que registros de Auditoria Básicos podemos incluir? Que registros de Auditoria Básicos podemos incluir? Fecha y Hora Fecha y Hora Username (gmolinle01000) Username (gmolinle01000) OS Username (gmolinle => carga NT) OS Username (gmolinle => carga NT) Terminal Terminal ip ip Objeto y su dueño (SMITH.Nomina) Objeto y su dueño (SMITH.Nomina) Action Action Session Id Session Id No audita acciones del usuario SYS. No audita acciones del usuario SYS.

17 16 Auditoria Extendida Que es? Que es? La puedo Implementar? Como? La puedo Implementar? Como? Como Funciona? Como Funciona? Puedo hacerla proactiva? Puedo hacerla proactiva? Esto solo me cubre acciones DML y las DDL? Esto solo me cubre acciones DML y las DDL? Que tan eficiente es? Que tan eficiente es? Debo conformar un grupo de Auditoria? Debo conformar un grupo de Auditoria? En oracle 8i y 9i, me cambia la seguridad y mi Auditoria? En oracle 8i y 9i, me cambia la seguridad y mi Auditoria?

18 17 Auditoria Extendida Que es? Que es? Son las acciones o complementos que se deben dar a la Auditoria básica. Dándole un valor agregado o más detallado y un factor de detección y aviso en tiempo real. Primordial para la atención de incidentes y al análisis informático forense. Se basa en la Implementación de Triggers.

19 18 Auditoria Extendida La puedo Implementar? Como? La puedo Implementar? Como? Implementando Triggers sobre los objetos. Database DBA Tabla o Vista Trigger Ins, Upd, Del Capturando el valor pre y post y enviándolo un recipiente alterno.

20 19 Auditoria Extendida Como Funciona? Como Funciona? Un insert tiene imagen pre. Un update tiene imagen pre y post. Un delete tiene imagen post Usuario Modifica tabla Nomina Registra Tabla Auditoria

21 20 Auditoria Extendida Puedo hacerla proactiva? Puedo hacerla proactiva? Además de registrarse en un log-table. Se puede enviar a : CorreoCelular CorreoCelular BeeperOtros medios… BeeperOtros medios… Usuario Modifica Nomina Registra Tabla Auditoria Alerta Usuario Dueño Inf.

22 21 Auditoria Extendida Esto solo me cubre acciones DML y las DDL? Esto solo me cubre acciones DML y las DDL? 1. Las DML se auditan mediante trigger a los objetos. 2. Una DDL quedaría registrada en el Audit Trail cuyo dueño es SYS, por ende no podemos colocarle un trigger. 3. Una alternativa es usar servicios o demonios que estén analizando el AUD$ y copiandolos a una tabla propia de seguridad. 4. A esta última se le puede colocar triggers u otro servicio para mandar las alertas sobre los DDL. Veamos gráficamente….

23 22 Auditoria Extendida Usuario Crea una tabla AUD$ Registra Tabla Auditoria Alerta Usuario Dueño Inf. Servicio

24 23 Auditoria Extendida ********************************** ********************************** ACTION_DATE=> 04/28/ :04:56 PM ACTION_DATE=> 04/28/ :04:56 PM SESSID=> SESSID=> USERNAME=> GMOLINLE01000 USERNAME=> GMOLINLE01000 TERMINAL=> Windows NT TERMINAL=> Windows NT OSUSER=> gmolinle OSUSER=> gmolinle PROGRAM=> C:\Documents and Settings\gmolinle\Escritorio\SQL PROGRAM=> C:\Documents and Settings\gmolinle\Escritorio\SQL PROCESS=> 2156:2204 PROCESS=> 2156:2204 MACHINE=> Aida MACHINE=> Aida DATABASE=> DB8i DATABASE=> DB8i AUDIT_NAME=> AUDIT_AUD$ AUDIT_NAME=> AUDIT_AUD$ OBJECT_NAME=> TB_NOMINA OBJECT_NAME=> TB_NOMINA OBJECT_OWNER=> SMITH OBJECT_OWNER=> SMITH ACTION=> 15 ACTION=> 15 ACTION_NAME=> ALTER TABLE ACTION_NAME=> ALTER TABLE Vista de un Correo … DDL

25 24 Auditoria Oracle Audit es muy eficiente. Oracle Audit es muy eficiente. La Auditoria es implementada en la base de datos, no en un adicional, add-on server. La Auditoria es implementada en la base de datos, no en un adicional, add-on server. La Auditoria debe evolucionar con el motor. En 8i o más, practicamente la auditoria de aplicación se acaba. Se implementan las politícas. La Auditoria debe evolucionar con el motor. En 8i o más, practicamente la auditoria de aplicación se acaba. Se implementan las politícas. El rendimiento depende de que tantos datos audite y que acciones. El rendimiento depende de que tantos datos audite y que acciones. Es recomendable auditar un Select? Es recomendable auditar un Select? Auditar todos los accesos de todos los tipos impactará el rendimiento? Auditar todos los accesos de todos los tipos impactará el rendimiento? Que tan eficiente es?

26 25 Auditoria 1. No solo conformarlo, se debe tener unas directrices en él. 2. El grupo debe cumplir con unas conductas de entrada. 3. Debe velar por el cumplimiento de las auditoria. Se debe conformar en lo posible por las siguientes áreas: Se debe conformar en lo posible por las siguientes áreas: Área usuaria Área usuaria Grupo de desarrollo Grupo de desarrollo Seguridad Informática Seguridad Informática Auditoria Auditoria Dba Dba Control Interno Control Interno Debo conformar un grupo de Auditoria?

27 26 Auditoria El grupo debe llenar una matriz de Datos vr. Acciones, adicionalmente la estrategia a seguir en cada caso. El grupo debe llenar una matriz de Datos vr. Acciones, adicionalmente la estrategia a seguir en cada caso. La aprobación de la Matriz. La aprobación de la Matriz. Implementar esta matriz bien sea a mano o utilizando software especializado, como Aida, sql audit, etc. Implementar esta matriz bien sea a mano o utilizando software especializado, como Aida, sql audit, etc. Tomar un tiempo prudencial para el afinamiento. Tomar un tiempo prudencial para el afinamiento. Oficializar ante la Auditoria y control interno esta auditorias. Oficializar ante la Auditoria y control interno esta auditorias. El mantenimiento o modificación debe ser aprobada por el grupo. El mantenimiento o modificación debe ser aprobada por el grupo. …..debo conformar un grupo de Auditoria?

28 27 Referencias Oracle Security Handbook Oracle Security Handbook pdf pdf pdf pdf twork.920/a96578/audit.htm twork.920/a96578/audit.htm twork.920/a96578/audit.htm twork.920/a96578/audit.htm


Descargar ppt "1 Auditoria Conceptos y Estrategias Guillermo Alfonso Molina León, Ms.Auditoria."

Presentaciones similares


Anuncios Google