Confidencialidade, Integridade e Dispoñibilidade

A seguridade lóxica refírese ao conxunto de medidas, ferramentas e procedementos empregados para protexer os sistemas de información e os seus activos dixitais fronte a accesos non autorizados, modificacións, roubos ou ataques que comprometan a súa integridade, confidencialidade e dispoñibilidade. Mentres a seguridade física se ocupa da protección dos compoñentes físicos (servidores, dispositivos de rede, centros de datos), a seguridade lóxica enfócase na protección dos recursos dixitais a través de medidas de control e protección a nivel de software e datos.

1. Ameazas, Ataques e Vulnerabilidades

Ameaza

Unha ameaza é calquera posible evento, entidade ou circunstancia que poida explotar unha vulnerabilidade nun sistema ou activo de información, causando dano ou comprometendo a súa seguridade. As ameazas poden ser naturais, humanas ou tecnolóxicas. Algunhas son intencionadas (como un ataque informático) e outras poden ser accidentais ou de carácter natural.

Tipos de ameazas

• Naturais: Desastres naturais como inundacións, terremotos, incendios, etc., que poden danar os sistemas informáticos.
• Humanas: Poden ser intencionadas (como ciberataques) ou accidentais (como un erro dun usuario que comprometa a seguridade).
• Tecnolóxicas: Fallos de hardware ou software, obsolescencia tecnolóxica, entre outros.

Ataque

Un ataque é unha acción deliberada e malintencionada executada por un axente (persoa, grupo ou programa) para explotar unha vulnerabilidade nun sistema, co obxectivo de danar, roubar, modificar ou destruír datos, ou comprometer a confidencialidade, integridade ou dispoñibilidade da información.

Tipos de ataques

• Ataques activos: O atacante realiza cambios directos no sistema, como a modificación de datos ou a interrupción de servizos. Exemplo: Un ataque de denegación de servizo (DoS) que sobrecarga un servidor para deixalo inoperativo.
• Ataques pasivos: O atacante intercepta datos sen alterar o sistema. Exemplo: Espiar o tráfico de rede para obter información confidencial.

Vulnerabilidade

Unha vulnerabilidade é unha debilidade ou falla nun sistema, no deseño, implementación ou configuración de software ou hardware que pode ser explotada por unha ameaza para causar dano ou comprometer a seguridade dos activos de información. As vulnerabilidades deben identificarse e corrixirse antes de que poidan ser explotadas por un atacante.

Taxonomía de Vulnerabilidades

As vulnerabilidades clasifícanse en función de factores como:

• Software: Erros no código ou na lóxica de aplicacións, sistemas operativos e servizos que permiten a explotación por parte de atacantes. Exemplos: buffer overflow, fallos de autenticación, SQL injection, XSS.

• Hardware: Fallos no deseño ou na fabricación de compoñentes físicos que poidan ser explotados, como as vulnerabilidades en procesadores (Meltdown, Spectre).

• Redes: Configuracións incorrectas en dispositivos de rede, protocolos de comunicación inseguros ou falta de cifrado, que permiten escoitar comunicacións ou realizar ataques de Man-in-the-Middle (MitM).

• Humanas: Erros cometidos por usuarios ou administradores, como a configuración inadecuada de sistemas ou a divulgación de credenciais sensibles.

• De Configuración: Configuracións incorrectas dun sistema que deixan portas abertas para os atacantes, como contrasinais por defecto sen cambiar ou portas non seguras abertas.

• Fsicas: Aquelas que permiten o acceso físico non autorizado a sistemas ou dispositivos.

2. Risco e Impacto

Risco

O risco na seguridade informática refírese á probabilidade de que unha ameaza explote unha vulnerabilidade, e ás consecuencias dese evento sobre os activos ou sistemas afectados. A xestión de riscos é unha parte esencial na seguridade, que inclúe avaliar as vulnerabilidades, valorar o impacto potencial e implementar medidas para reducir ou eliminar o risco.

Impacto

O impacto refírese ao efecto que a explotación dunha vulnerabilidade pode ter nun sistema ou organización. O impacto inclúe:

• Perda de datos sensibles: Datos persoais, financeiros ou comerciais comprometidos.
• Interrupción dos servizos: Caída de sistemas ou aplicacións críticas, afectando a operación.
• Perda financeira: Custos asociados á reparación de danos ou recuperación de datos.
• Danos reputacionais: Perda de confianza dos clientes e socios comerciais debido a incidentes de seguridade.

3. Clasificación das Vulnerabilidades

As vulnerabilidades pódense clasificar por:

Gravidade:

• Críticas: Fallas que permiten a execución remota de código ou acceso completo sen autorización. Exemplo: execución remota en servizos sen parches.
  
• Altas: Vulnerabilidades que poden ser explotadas con certas condicións pero que levan a un acceso significativo ou interrupcións.
  
• Medias/Baixas: Poden non levar directamente a un impacto severo, pero aínda así expoñen o sistema a riscos menores ou actúan como puntos de entrada para ataques máis complexos.
  

Categoría técnica:

• Erro de autorización: Falta de control sobre os permisos dos usuarios.
• Erros de configuración: Configuracións incorrectas que expoñen recursos de maneira innecesaria (ex: bases de datos abertas a Internet sen control de acceso).
• Erro de autenticación: Fallos nos mecanismos de autenticación que permiten acceso non autorizado.

Por orixe:

• Erro humano: Falta de actualización, erro na configuración de seguridade.
• Erros de deseño ou implementación: Fallos no código ou arquitecturas inseguras.

Por tipo de sistema:

• Sistemas operativos: Vulnerabilidades nos sistemas que controlan o hardware.
• Aplicacións web: Como SQL injection ou Cross-Site Scripting (XSS).
• Infraestrutura de rede: Configuracións de router inseguras ou protocolos mal implementados.

4. Os Exploits ou Probas de Concepto

• Exploit: Un exploit é unha ferramenta ou software que aproveita unha vulnerabilidade. Os exploits poden ser utilizados para probar sistemas de forma lexítima, ou con intención maliciosa para realizar un ataque.
  • Exploits zero-day: Son os que explotan vulnerabilidades descoñecidas polo público ou o fabricante, sendo especialmente perigosos.
• Proba de Concepto (PoC): Un PoC é unha demostración que mostra como pode ser explotada unha vulnerabilidade. Moitas veces úsase para fins de investigación, para alertar aos desenvolvedores sen danar sistemas reais.

5. Divulgación das Vulnerabilidades

A divulgación de vulnerabilidades é o proceso de comunicar a existencia dunha falla de seguridade. Pode ser:

• Divulgación responsable: O investigador informa aos fabricantes ou desenvolvedores, permitindo que teñan tempo para resolver o problema antes de facelo público.

• Divulgación pública: A vulnerabilidade faise pública inmediatamente, sen dar tempo ao fabricante de corrixir o problema, o que pode poñer en perigo aos usuarios.

• Divulgación coordinada: Cando as vulnerabilidades se comunican a múltiples partes interesadas para garantir unha solución oportuna.

• Non divulgación: A vulnerabilidade se mantén en segredo, sen comunicar a ningunha parte constituindo unha Zero Day.

6. Bases de Datos de Vulnerabilidades

As bases de datos de vulnerabilidades son recursos que catalogan e fan un seguimento das vulnerabilidades coñecidas. Exemplos principais:

• CVE (Common Vulnerabilities and Exposures): Unha base de datos que asigna un identificador único a cada vulnerabilidade coñecida.

• NVD (National Vulnerability Database): Unha extensión de CVE, que proporciona información detallada sobre as vulnerabilidades e clasifica a súa severidade mediante métricas como o CVSS (Common Vulnerability Scoring System).

7. Definición de Ameaza

Unha ameaza é calquera evento, acción ou entidade que poida explotar unha vulnerabilidade e provocar danos nun sistema. As ameazas poden ser:

• Naturais: Como desastres naturais que causan fallos en infraestruturas críticas.

• Humanas: Como ataques maliciosos (hackers, organizacións criminais) ou erros cometidos por usuarios e administradores.

• Accidentais: Fallos técnicos ou humanos sen intención maliciosa que resultan en perda de datos ou interrupcións de servizo.

8. Definición e Taxonomía de Ataques

Os ataques son accións levadas a cabo por ameazas para explotar vulnerabilidades.

Taxonomía de Ataques:

• Ataques pasivos: Observación ou espionaxe de comunicacións sen alteración dos datos (ex: sniffing, eavesdropping).

• Ataques activos: Modificación ou interrupción de datos e servizos (ex: man-in-the-middle, SQL injection).

• Ataques de negación de servizo (DoS): Intento de sobrecargar un sistema para facelo inaccesible aos usuarios lexítimos.

• Ataques internos: Cando o atacante é un empregado ou usuario con acceso autorizado que utiliza ese acceso para comprometer o sistema.

9. Fases dun Ataque

Os ataques adoitan seguir unha serie de fases:

1. Recoñecemento: Recopilación de información sobre o obxectivo (ex: footprinting, scanning).

2. Escaneo: Exploración activa de portas abertas, servizos en execución e vulnerabilidades que poidan ser explotadas.

3. Gañar acceso: Explotar a vulnerabilidade para obter acceso a recursos ou información.

4. Mantemento do acceso: Usar backdoors ou outros mecanismos para manter o control do sistema.

5. Cubrir os rastros: Eliminar rexistros e outros trazos para evitar a detección.

Compoñentes da Seguridade Lóxica

1. Control de acceso:

   • O control de acceso refírese á capacidade de restrinxir quen pode ver, modificar ou interactuar con sistemas e datos específicos. Isto inclúe tanto o acceso físico (aos dispositivos) como o acceso a nivel de software.
   • Existen diferentes tipos de control de acceso:
     • Autenticación: Verificación da identidade dun usuario ou sistema. Isto inclúe contrasinais, tarxetas intelixentes, tokens de hardware, ou métodos biométricos (impresións dixitais, recoñecemento facial).
     • Autorización: Definición dos permisos que se outorgan a usuarios ou sistemas unha vez autenticados. Pódese implementar a través de mecanismos como listas de control de acceso (ACLs), políticas baseadas en roles (RBAC), ou políticas baseadas en atributos (ABAC).
     • Auditoría e rexistro de eventos: Os sistemas rexistran eventos importantes, como accesos ou modificacións de datos, para analizar posibles problemas de seguridade, identificar comportamentos sospeitosos ou investigar incidentes.

2. Cifrado de datos:

   • O cifrado é unha técnica clave da seguridade lóxica que garante que os datos sexan ilegibles para calquera que non teña as credenciais correctas para descifralos. Este proceso pódese aplicar tanto aos datos almacenados como aos datos en tránsito.
     • Cifrado de datos en tránsito: Protexe os datos que se están transmitindo entre dispositivos a través de redes. Protocolos como TLS (Transport Layer Security) e VPNs (Virtual Private Networks) son comúns neste ámbito.
     • Cifrado de datos en repouso: Protexe os datos almacenados en discos duros, bases de datos ou sistemas de almacenamento en nube. Un exemplo sería o uso de cifrado AES (Advanced Encryption Standard) en bases de datos.

3. Autenticación multifactor (MFA):

   • A MFA é unha medida de seguridade lóxica que require que o usuario proporcione varias formas de identificación para acceder a un sistema ou servizo. Adoita combinar algo que o usuario sabe (como un contrasinal), algo que ten (como un token ou código xerado por unha aplicación), e algo que é (como unha característica biométrica).
   • O MFA engade unha capa adicional de seguridade fronte ao roubo de credenciais, xa que o atacante necesitaría acceder a múltiples factores para comprometer o sistema.

4. Firewall e sistemas de control de tráfico:

   • Un firewall é un mecanismo que controla o tráfico de rede entrante e saínte, baseándose nun conxunto de regras de seguridade predeterminadas. Estes sistemas poden ser hardware, software ou unha combinación de ambos.
     • Firewall de rede: Controla o acceso a nivel de rede, protexendo contra ataques externos.
     • Firewall de aplicación: Específico para a protección de aplicacións web ou outras aplicacións de usuario, filtrando solicitudes maliciosas como SQL injection ou cross-site scripting.
     • WAF (Web Application Firewall): Firewall especializado que protexe aplicacións web contra ataques como SQL injection ou cross-site scripting (XSS).
       
     
     

5. Sistemas de detección e prevención de intrusións (IDS/IPS):

   • Os IDS (Intrusion Detection Systems) son sistemas que monitorizan o tráfico de rede ou actividades de sistemas para detectar comportamentos anómalos ou ataques coñecidos, xerando alertas cando se detectan.
   • Os IPS (Intrusion Prevention Systems) van un paso máis aló, xa que non só detectan intrusións senón que tamén actúan para bloquealas en tempo real.

6. Sistemas de xestión de seguridade da información (SIEM):

   • Un SIEM (Security Information and Event Management) é unha ferramenta que agrega, analiza e correlaciona os eventos de seguridade rexistrados por varios sistemas da rede, como firewalls, IDS/IPS e servidores. Permite a análise en tempo real e a detección de ameazas, proporcionando unha visión xeral do estado da seguridade na organización.

7. Actualizacións e parches de software:

   • Unha parte crítica da seguridade lóxica consiste en manter os sistemas actualizados. As vulnerabilidades son descubertas de maneira continua, e os desenvolvedores lanzan parches para corrixilas. Non aplicar estes parches deixa os sistemas vulnerables a exploits coñecidos.

8. Xestión de identidades e accesos (IAM):

   • O IAM (Identity and Access Management) refírese a políticas, procedementos e ferramentas utilizadas para xestionar as identidades dixitais dos usuarios e garantir que só teñan acceso aos recursos que precisan.
     • Funcións clave inclúen a creación de contas de usuario, asignación de roles, autenticación e control de acceso en función do nivel de privilexio.

9. Prevención contra malware:

   • O malware é unha das ameazas máis comúns á seguridade lóxica. As solucións anti-malware monitorizan os sistemas en busca de software malicioso, como virus, troianos ou ransomware. Estas ferramentas están deseñadas para detectar, bloquear e eliminar malware, protexendo os sistemas contra comprometementos.

10. Respaldo e recuperación de datos:

• A seguridade lóxica tamén abarca a protección dos datos mediante copias de seguridade periódicas, que garanten a continuidade do negocio en caso de ataque ou fallo. Ademais, os plans de recuperación ante desastres (DRP) son esenciais para asegurar que os sistemas poidan recuperarse rápidamente tras un ataque ou incidente de seguridade.