FUNDAMENTOS DE CIBERSEGURIDAD CONFIDENCIALIDAD, INTEGRIDAD Y DISPONIBILIDAD CONFIDENCIALIDAD La protección de la información de revelaciones no autorizadas INTEGRIDAD La precision y completitud de la información de acuerdo con los valores y expectativas del negocio DISPONIBILIDAD La capacidad de acceder a la información y recursos requeridos por los procesos de negocio GOBIERNO, RIESGO Y CUMPLIMIENTO GOBIERNO Risk • Asegura que los objetivos sean alcanzados • Garantiza que el clima de riesgo sea manejado apropiadamente Compliance Governance • Verifica que los recursos se usen adecuadamente CUMPLIMIENTO GESTIÓN DEL RIESGO El proceso de la organización para manejar el riesgo en niveles aceptables El acto de alinearse y la capacidad de demostrar adherencia a los requerimientos definidos por leyes y regulaciones DOMINIOS DE LA CIBERSEGURIDAD DOMINIO 1: CONCEPTOS DE CIBERSEGURIDAD Este dominio maneja conceptos como los siguientes: Conceptos de Ciberseguridad • Gestión del riesgo • Vectores comunes de ataques y agentes de amenazas • Patrones y tipos de ataques • Tipos de políticas y procedimientos de seguridad • Gestión del cambio Principios de Arquitectura en Seguridad Seguridad de las Redes, Aplicaciones y Datos Respuesta a Incidentes • Procesos de control de Ciberseguridad Implicaciones de Seguridad y Adopción de Nuevas Tecnologías DOMINIO 2: PRINCIPIOS DE ARQUITECTURA EN SEGURIDAD Los principales conceptos son los siguientes: Conceptos de Ciberseguridad • Marcos de referencia y arquitectura de la seguridad • Conceptos de topología y perímetro de las redes • Firewalls y Encriptación Principios de Arquitectura en Seguridad Seguridad de las Redes, Aplicaciones y Datos • Aislamiento y segmentación • Métodos de monitoreo, detección y acceso Respuesta a Incidentes Implicaciones de Seguridad y Adopción de Nuevas Tecnologías DOMINIO 3: SEGURIDAD DE REDES, SISTEMAS, APLICACIONES Y DATOS El dominio maneja técnicas básicas de hardening y medidas de seguridad, incluyendo: • Procesos de control, incluyendo evaluación de riesgos, gestión de vulnerabilidades y pruebas de penetración • Mejores prácticas de seguridad de redes, sistemas, aplicaciones y datos • Amenazas de seguridad y vulnerabilidades en sistemas y aplicaciones • Gestión de controles efectivos de vulnerabilidades Conceptos de Ciberseguridad Principios de Arquitectura en Seguridad Seguridad de las Redes, Aplicaciones y Datos Respuesta a Incidentes Implicaciones de Seguridad y Adopción de Nuevas Tecnologías DOMINIO 4: RESPUESTA A INCIDENTES El dominio describe los pasos necesarios para responder a los incidentes de ciberseguridad y su manejo con los tópicos siguientes: Conceptos de Ciberseguridad Principios de Arquitectura en Seguridad • Categorías de incidentes • Planes de Continuidad y Recuperación de Desastres Seguridad de las Redes, Aplicaciones y Dato • Pasos para la respuesta a incidentes Respuesta a Incidentes • Forense y preservación de evidencia Implicaciones de Seguridad y Adopción de Nuevas Tecnologías DOMAIN 5: IMPLICACIONES DE SEGURIDAD Y ADOPCIÓN DE NUEVAS TECNOLOGÍAS Describe los escenarios de amenazas, incluyendo la discusión de las vulnerabilidades con las tecnologías emergentes siguientes: Conceptos de Ciberseguridad Principios de Arquitectura en Seguridad • Dispositivos móviles • Computación en la nube y Almacenamiento Seguridad de las Redes, Aplicaciones y Datos • Colaboración digital Respuesta a Incidentes Además incluye la discusión sobre las Amenazas Persistentes Avanzadas (APT). Implicaciones de Seguridad y Adopción de Nuevas Tecnologías TIPOS COMUNES DE ATAQUES Y VECTORES THREAT AGENTS Source: ENISA Threat Landscape 2013 PROCESO DE ATAQUE GENERALIZADO Ejecutar reconocimiento Crear herramientas de ataque Entregar capacidades maliciosas Alcanzar resultados Conducir el ataque Explotar y comprometer Mantener la presencia Coordinar una campaña APT CONTROLES DE CIBERSEGURIDAD GESTIÓN DE IDENTIDADES Gestión de identidades incluye varios componentes, tales como: • Directorio de Servicios • Servicios de Autenticación • Servicios de Autorización • Capacidades de gestión de usuarios(aprovisionamiento y desaprovisionamiento) GESTIÓN DE PRIVILEGIOS DE USUARIOS Controles comunes para la gestión de privilegios de usuarios incluye: Verificación de antecedentes para privilegios Registro de actividades adicionales Uso de contraseñas robustas Revisión periódica y eliminación de privilegios ARQUITECTURA DE SEGURIDAD ARQUITECTURA DE SEGURIDAD Arquitectura de seguridad muestra: • Cómo la defensa en profundidad es implementada • Cómo se vinculan las capas de control • Cómo los subsistemas, productos y aplicaciones funcionan de manera conjunta EL PERÍMETRO DE INTERNET DEFENSA EN PROFUNDIDAD ESTRATEGIAS DE DEFENSA EN PROFUNDIDAD ANILLOS CONCÉNTRICOS • Crea una serie de capas anidadas que deben pasarse por alto para completar un ataque • Cada capa retrasa al atacante y brinda oportunidades para detectar el ataque FIREWALLS OPERACIÓN DEL FIREWALL Source: http://dc430.4shared.com/doc/Knqkp1ff/preview.html FIREWALLS DE PRÓXIMA GENERACIÓN • Introduce aplicaciones de alertamiento • Oculta la red desde fuera de las redes que no son de confianza • Incorpora inspección profunda de paquetes (DPI) • Prevención de pérdida de datos (DLP) • Sistema de Protección contra Intrusos (IPS) • Inspección de protocolos criptográficos (SSL/SSH) AISLAMIENTO Y SEGMENTACIÓN AISLAMIENTO Y SEGMENTACIÓN MONITOREO, DETECCIÓN Y ACCESO ANTIVIRUS Y ANTIMALWARE Antimalware puede ser controlado a través de diferentes mecanismos, incluyendo: • Restricción del tráfico saliente • Políticas y entrenamiento de concientización • Múltiples capas de software antimalware CATEGORIAS DETECTOR INTRUSOS (IDS) Basado en Red - IDS • Identifica ataques dentro de la red monitoreada y emite una advertencia al operador • Detecta intentos de ataques Basado en Servidor - IDS • Configurado para un ambiente en específico • Supervisa los recursos internos del sistema operativo para advertir de ataques • Puede detectar la modificación de programas ejecutables y la eliminación de archivos • Emite una advertencia si se intenta un comando con privilegios SISTEMA DE PREVENCIÓN DE INTRUSOS(IPS) • Similar al IDS, pero detecta los ataques y previene el daño a la víctima • Limita el daño o la interrupción de los sistemas que son atacados • Debe ser configurado apropiadamente para ser efectivo FUNDAMENTOS DE CRIPTOGRAFÍA CRIPTOGRAFÍA Criptografía es usada generalmente para: • Protege la información almacenada en las computadoras de la visualización y manipulación no autorizadas • Protege los datos en tránsito a través de redes contra la intercepción y manipulación no autorizadas • Aplaza y detecta alteraciones accidentales o intencionales de los datos • Verifica la autenticidad de una transacción o documento ELEMENTOS CLAVE DE LA ENCRIPCIÓN Elementos clave de los sistemas de encripción: • Algoritmos de Encripción– Una función o cálculo matemáticamente basado que encripta y descifra datos • Llave de Encripción –Información similar a una contraseña que hace que el proceso de cifrado o descifrado sea único • Longitud de la Llave– Longitud predeterminada para la clave FACTORES DE ENCRIPCIÓN Los sistemas de encriptación eficaces dependen de una variedad de factores, que incluyen: • Algoritmos fuertes • Secrecia y dificultad de comprometer una clave • La inexistencia de puertas traseras mediante las cuales se puede descifrar un archivo cifrado sin conocer la clave • Incapacidad para descifrar partes de un mensaje de texto de cifrado y evitar ataques conocidos de texto plano • Propiedades del texto plano conocidas por un perpetrador EVALUACIÓN DE RIESGOS EVALUACIÓN DE RIESGOS Evaluación de riesgos: proceso utilizado para identificar y evaluar el riesgo y sus efectos potenciales, tiene tres entradas : • Evaluación de activos • Evaluación de amenazas • Evaluación de vulnerabilidades EVALUACIÓN DE RIESGOS ELEMENTOS DESCRIPCIÓN Activo Los activos importantes se definen primero, y luego se analizan las posibles amenazas a éstos. Se identifican vulnerabilidades que pueden ser explotadas para acceder al activo. Amenaza Las amenazas potenciales se determinan primero, y luego se desarrollan los escenarios de amenaza. En función de los escenarios, las vulnerabilidades y los activos de interés para el adversario se determinan en relación con la amenaza. Vulnerabilidades Primero se identifican las vulnerabilidades y las deficiencias, luego se determinan los activos expuestos y los posibles eventos de amenaza. GESTIÓN DE VULNERABILIDADES GESTIÓN DE VULNERABILIDADES • Una vulnerabilidad es una debilidad explotable que resulta en una pérdida. • Están siendo descubiertas continuamente. • Las técnicas comunes de descubrimiento incluyen escaneos de vulnerabilidad y pruebas de penetración. • Las organizaciones deben comprender los activos de ciberseguridad y dónde residen (físicos y lógicos). TIPOS COMUNES DE VULNERABILIDADES TIPO CAUSA EJEMPLOS Técnica Errores en el diseño, implementación, ubicación o configuración • • • • Errores de codificación Contraseñas inadecuadas Puertos de red abiertos Falta de monitoreo Proceso Errores en operación • • Falla al monitorear registros Falla al parchar el software Organizacional Errores en la administración, toma de decisiones, planificación o por ignorancia • • • Carencia de políticas Falta de conciencia Incumplimiento al implementar controles Emergente Interacciones o cambios en ambientes • • • Fallas entre organizaciones Errores de interoperabilidad Implementando nueva tecnología PRUEBAS DE PENETRACIÓN PRUEBAS DE PENETRACIÓN Las pruebas de penetración utilizan métodos de explotación comunes para : • Confirmar exposiciones • Evaluar el nivel de efectividad y calidad de los controles de seguridad existentes • Identificar vulnerabilidades específicas que exponen recursos de TI • Garantizar el cumplimiento SEGURIDAD DE REDES RIESGOS DE LAS REDES Pérdida de datos a través de cambios no autorizados Falta de protección de datos debido a la incapacidad de mantener el control de versiones Exposición a la actividad externa a través de la verificación limitada del usuario Infección por virus y gusanos Revelación incorrecta de datos debido al acceso general Violación de las licencias de software Acceso ilegal al suplantar a usuarios legítimos Usuarios internos buscando debilidades Usuarios internos redireccionando servicios Destrucción de datos de registro y auditoría RIESGOS DE LAS REDES INALÁMBRICAS Intercepción de información sensible Pérdida o robo de dispositivos Mal uso de dispositivos Débil autenticación de usuario Falta de seguridad de archivos Encriptación de seguridad WEP Punto de traducción inseguro SEGURIDAD DEL SISTEMA OPERATIVO CONTROLES DE ENDURECIMIENTO DEL SISTEMA (HARDENING) • Autenticacion y autorizacion • Permisos del sistema de archivos • Privilegios de acceso • Registro y monitoreo del sistema • Servicios del sistema VIRTUALIZACIÓN VENTAJAS DESVENTAJAS Los costos del hardware del servidor pueden disminuir para las compilaciones y el mantenimiento. La configuración inadecuada del servidor podría crear vulnerabilidades que afectan a otros servidores y a los invitados. Varios sistemas operativos pueden compartir la capacidad de procesamiento y el espacio de almacenamiento, lo que reduce los costos operativos. Las vulnerabilidades o un ataque de denegación de servicio podrían afectar a todos los huéspedes de los servidores. La huella física de los servidores puede disminuir dentro del centro de datos. Un incidente de la consola de administración podría otorgar a los invitados acceso administrativo no aprobado. Un solo host puede tener múltiples versiones del mismo sistema operativo, o incluso diferentes sistemas operativos. Los datos pueden filtrarse entre los invitados si la memoria no se libera y el servidor la asigna incorrectamente. La creación de copias duplicadas de invitados en ubicaciones alternativas puede respaldar los esfuerzos de continuidad del negocio. Los protocolos de acceso remoto inseguros pueden dar como resultado la exposición de credenciales administrativas. SEGURIDAD DE APLICATIVOS RIESGOS EN APLICACIONES WEB 1 • Defectos de inyección 2 • Rompimiento de la autenticación y gestión de sesiones 3 • Inyección de código malicioso(XSS) 4 • Referencia insegura de objetos 5 • Configuración incorrecta de seguridad 6 • Exposición de datos sensibles 7 • Falta de acceso a nivel de función 8 • Falsificación de petición en sitios cruzados (CSFR) 9 • Uso de componentes con vulnerabilidades conocidas 10 • Redirecciones y reenvíos no validados SEGURIDAD DE DATOS PROCESO DE CLASIFICACIÓN DE DATOS CONTROLES DE BASES DE DATOS • Autenticación y acceso autorizado • Controles de acceso que limitan o controlan el tipo de datos a los que se puede acceder y los tipos de accesos permitidos (solo lectura, lectura y escritura o eliminación) • Registro y monitoreo transaccional • Controles de encriptación e integridad • Copias de seguridad AMENAZAS PERSISTENTES AVANZADAS EVOLUCIÓN ESCENARIOS DE AMENAZAS QUE ES UNA AMENAZA PERSISTENTE AVANZADA (APT) Es una amenaza dirigida que se compone de varios vectores de ataque complejos y puede permanecer sin detectar durante un período de tiempo prolongado, tiene lo siguiente: • Planeación, recursos empleados y técnicas utilizadas sin precedentes • A menudo siguen un modus operandi particular APT - FUENTES DE LA AMENAZA AMENAZA LO QUE BUSCA IMPACTO EN NEGOCIO Agencias de inteligencia Secretos políticos, de defensa o comerciales Pérdida de secretos comerciales o ventaja competitiva comercial Grupos criminales Transferencias de dinero, oportunidades de extorsión, información de identificación personal o secretos para posibles ventas futuras Pérdida financiera, violación de datos de clientes a gran escala o pérdida de secretos comerciales Grupos terroristas Producción de terror generalizado a través de la muerte, destrucción e interrupción Pérdida de producción y servicios, irregularidades en el mercado de valores y riesgo potencial para la vida humana Activistas Información confidencial o interrupción de los servicios Violación de datos importantes o pérdida de servicio Fuerzas armadas Inteligencia o posicionamiento para soportar ataques futuros en infraestructura nacional crítica Daño grave a las instalaciones en caso de conflicto militar APT- ETAPAS DEL ATAQUE Selección del Objetivo Explotación de Información Investigación del Objetivo Diseminación de Inteligencia Penetración del Objetivo Exfiltración de Datos Comando y Control Descubrimiento del Objetivo TECNOLOGÍA MÓVIL – VULNERABILIDADES, AMENAZAS Y RIESGOS TECNOLOGÍA MÓVIL VULNERABILIDAD AMENAZA RIESGO La información viaja a través de redes inalámbricas que a menudo son menos seguras que las redes cableadas. Los intrusos malintencionados pueden dañar a la empresa. Intercepción de información que resulta en una violación de datos confidenciales, daño a la reputación de la empresa, compromiso de cumplimiento de las regulaciones o acciones legales. La movilidad brinda a los usuarios la oportunidad de dejar los límites de la empresa, eliminando así muchos controles de seguridad. Los dispositivos móviles cruzan fronteras y perímetros de red que transportan malware y pueden llevar este malware a la red de la empresa. Propagación de malware, que puede provocar la pérdida de datos, la corrupción de datos y la falta de disponibilidad de los datos necesarios. La tecnología Bluetooth facilita las conversaciones con manos libres; sin embargo, a menudo se deja activado y luego es detectable. Los hackers pueden descubrir el dispositivo y lanzar un ataque. Daño en el dispositivo, pérdida de datos, interceptación de llamadas, posible exposición de información confidencial. La información no encriptada se almacena en el dispositivo. En el caso de que un intruso malicioso intercepte datos en tránsito o robe un dispositivo, o si el empleado pierde el dispositivo, los datos son legibles y utilizables. Exposición de datos confidenciales, lo que daña a la empresa, al cliente o a los empleados. MONITOREO DE ACTIVIDAD Y RECUPERACIÓN DE DATOS OBJETIVO RIESGO Mensajería •Ataques genéricos en texto SMS, transmisión de texto y contenidos con MMS •Recuperación de contenidos de correo electrónico en línea y fuera de línea •Inserción de comandos de servicio por mensajes de difusión de celular SMS •Ejecución de código arbitrario a través de SMS / MMS •Redirección o ataques de phishing mediante mensajes de texto o correos electrónicos habilitados para HTML Audio •Iniciación de llamada encubierta o grabación de llamadas •Grabación de micrófono abierto Fotos/Video •Recuperación de imágenes y videos mediante el uso de la funcionalidad habitual de "compartir" en la mayoría de las aplicaciones •Captura encubierta de video o imágenes, incluida la limpieza sin trazas de dicho material Geolocalización Monitoreo y recuperación de datos de posicionamiento de GPS, incluyendo marcas de fecha y hora Datos estáticos Inteligencia o posicionamiento para soportar ataques futuros en infraestructura crítica FUGA DE DATOS SENSIBLES Tipo de Información Identidad Riesgo •Identidad internacional de equipos móviles (IMEI), ID del dispositivo del fabricante, información personalizada del usuario •Estadísticas de lanzamiento de hardware / firmware y software, que también revelan debilidades conocidas o potenciales de día cero Credenciales •Nombres de usuario y contraseñas, pulsaciones de teclas •Fichas de autorización, certificados (S / MIME) Ubicación Coordenadas GPS, seguimiento de movimiento, inferencia de ubicación / comportamiento Archivos Todos los archivos almacenados en el sistema operativo / nivel del sistema de archivos CONSUMERIZACIÓN Y DISPOSITIVOS MÓVILES CONSUMERIZACIÓN DE TI La consumerización de TI es la reorientación de tecnologías y servicios diseñados en torno al usuario final individual, incluye: • Dispositivos inteligentes como teléfonos y tabletas • Estrategias “Traiga su propio dispositivo” (BYOD) • Nuevas aplicaciones y servicios gratuitos PROS y CONTRAS (BYOD) PROS CONTRAS • Cambia los costos para el usuario • Satisfacción del trabajador • Actualizaciones de hardware más frecuentes • Tecnología de vanguardia con las últimas características y capacidades • Pérdida de control de TI • Riesgo de seguridad conocido o desconocido • La política de uso aceptable es más difícil de implementar • Poco claro cumplimiento y propiedad de los datos GRACIAS POR SU ATENCIÓN