1 / 39

Gestión de Identidad y Acceso de Usuarios: Por qué el hacker NO es su peor enemigo

Gestión de Identidad y Acceso de Usuarios: Por qué el hacker NO es su peor enemigo. Resumen.

pink
Download Presentation

Gestión de Identidad y Acceso de Usuarios: Por qué el hacker NO es su peor enemigo

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Gestión de Identidad y Acceso de Usuarios:Por qué el hacker NO es su peor enemigo

  2. Resumen • Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados son responsables de la mayor parte de violaciones de seguridad de la red. Mientras muchos adminstradores de sistemas se preocupan de hackers foráneos, los usuarios internos constituyen la verdadera amenaza de la que debieran preocuparse. Permisos de acceso inapropiados y la falta de una arquitectura de gestión de identidad crean un ambiente donde el hacker no es tema, pero los usuarios internos tienen acceso ilimitado. • El propósito de esta presentación es mostar: - Cuál es la percepción de la seguridad en la economía interconectada de hoy; - Cómo identificar soluciones tecnológicas para proteger a su empresa y salvaguardar información de personas, tanto dentro como fuera de la red, y mantener un ambiente laboral abierto.

  3. Agenda Revisaremos los siguientes temas: • El ambiente actual de seguridad informática • Identificar las causas de los riesgos reales de seguridad de información • Olvidar a Kevin Mitnick y darse cuenta del problema real de abuso interno de los sistemas

  4. Puntos Clave a Recordar • La seguridad no es software o hardware, sino personas, políticas y procesos. • Aunque la mayoría de los ataques proviene del exterior, los más dañinos se originan dentro de la organización.

  5. El Estado Actual de la Seguridad Informática Empresarial

  6. La Tecnología Cambió • Conocemos los riesgos, hemos visto los gráficos y estadísticas • Encuestas y estudios CSI, Gartner, E&Y, PwC, Information Week, US GAO, etc. reafirman la conclusión que las amenazas están aumentando, y los ataques vienen de adentro. • Internet ha transformado la infraestructura de las TI • La gran mayoría de las empresas cuentan con algún tipo de conexión pública externa • La conectividad a través de Internet, intranets, extranets, WAN y VPN ofrecen múltiples beneficios, pero también conllevan riesgos de seguridad • El lenguaje de Internet es TCP/IP. Pero la seguridad no fue incorporada a TCP/IP hasta la versión 6 <1998> • Considerando que más del 95% de Internet usa TCP/IP v4, fue construido con y corre sobre una infraestructura insegura

  7. El Ambiente Actual de Seguridad Informática • Las redes corporativas son complejas en extremo, y continúan creciendo en complejidad. Consideremos un departamento informático típico y sumemos sus: • Proveedores de hardware • Topologías y protocolos de red • Sistemas operativos; Bases de datos y software estándar • Aplicaciones desarrolladas a medida • Empleados, consultores, contratistas y socios de negocio • Tratemos de integrarlas en forma segura • Si la seguridad no fue considerada en la arquitectura original del sistema, ¿cómo esperamos que la seguridad informática sea efectiva? • Se está invertiendo más en seguridad de sistemas informáticos • Pero los sistemas se tornan más complejos, y los sistemas complejos son mucho más difíciles de asegurar.

  8. La Realidad • Todas las redes corporativas tienen firewalls • Algunos firewalls son poco más que un mecanismo para frenar el desempeño de la red • Los cortafuegos son una efectiva herramienta de seguridad alrededor del perímetro de la red – pero qué pasa con el tráfico dentro de la red, cómo se protege? • El daño significativo es ocasionado por usuarios con acceso a la red • Los externos haquean páginas web y causan daño vandálico; los internos: • Roban secretos industriales, venden información confidencial, I+D, adquisiciones, info de recursos humanos y demás propiedad intelectual • Cuentan con el tiempo y confianza interna para acceder y revisar sistemas

  9. Abuso de Usuarios Internos • La distribución incontrolada de información, combinado con una infraestructura que permite el acceso no gestionado a la información creo múltiples oportunidades para abuso • A veces es más fácil transferir múltiples gigas de información de una red corporativa que obtener un nuevo cartucho de toner para la impresora • La mayoría de los ataques a las redes vienen de afuera • Pero los más dañinos son originados de adentro

  10. Historias de Horror • Tim Lloyd/Omega Engineering • Borró decenas de megabytes de información de producción, ingeniería y manufactura • Hasta el día de hoy, Omega aún no se ha recuperado de este incidente ocurrido en 1996 • Lecciones aprendidas: Falta de controles y chequeos, separación de roles, manejo inadecuado de empleado deshonesto. • NetSupport • Gerente de ventas ofreció vender la lista de clientes a dos competidores de la empresa • Lecciones aprendidas : Control de acceso, monitoreo de acciones de empleados • Robert Hanssen/FBI • Vendió documentos clasificados, detalles sobre fuentes de inteligencia americana y operaciones de espionaje electrónico por $1,5 millones • Lecciones aprendidas : Falta de controles y chequeos, separación de roles. La gerencia del FBI no consideró una amenaza interna hasta que ya se había causado daño importante.

  11. Historias de Horror • Milo Nimori • Director de Seguridad del Barnes Bank of Utah • Miembro del comité de seguridad de la Asociación de Banqueros de Utah • Asaltó numerosos bancos en Salt Lake City

  12. Como olvidar a Kevin Mitnicko Dejemos de Vivir en el Pasado

  13. Control de Seguridad #1 • Por un punto, ¿cuál es el origen del nombre Giga (Giga Information Group)? • Gideon Gartner • Por 10 puntos, ¿quién es Kevin Mitnick? • Criminal computacional, famoso hacker • Por 100 puntos, nombre un producto de Checkpoint Systems • Checkpoint Systems fabrica productos de protección y seguimiento para la industria retail. • www.checkpointsystems.com NYSE: CKP • Check Point Software Technologies es una empresa de software de seguridad Internet. • www.checkpointsystems.com NASDAQ: CHKP

  14. Control de Seguridad #2 • Por 1000 puntos, ¿quiénes son las personas en su organización que representan una amenaza directa a la seguridad, tecnología, relaciones públicas, productividad y utilidades de su empresa? • Si no sabe, o no tiene un perfil del tipo de estos usuarios, está garantizado que su empresa será víctima de algún tipo de crimen informático

  15. La Obsesión con el Hacker • Los medios, e incluso muchos profesionales de seguridad, están obsesionados con el trístemente célebre hacker Kevin Mitnick. Pero mientras las empresas y los medios están ocupados preocupándose por casos como Mitnick, se vuelven complacientes respecto a la verdadera amenaza a la seguridad de la información: los usuarios internos • Si bien genera más empatía y autoestima pensar en hackers en países lejanos accesando nuestros sistemas en la mitad de la noche, la realidad es que la mayor parte de los compromisos a la información son causados por usuarios internos durante el horario hábil de trabajo.

  16. La Obsesión con el Hacker • Los medios dan una vitrina desmedida a los incidentes de seguridad • Piensan que los hackers son todos genios • La mayoría sabe ejecutar scripts y son genios en bajar cosas de la red • Ignoran los verdaderos problemas y se concentran en lo glamoroso que genera ratings y vende diarios • Fue el New York Times que hizo de Kevin Mitnick un hacker célebre • Hackers no han causado la muerte de ninguna empresa; los ataques de usuarios internos en cambio sí

  17. Abuso Interno

  18. Abuso Interno • Uno no puede pensar que las amenazas del mundo físico no se traspasan al mundo digital • El robo es un problema gigantesco en la industria del retail • Un problema aún más grande es el hurto por parte de empleados • El espionaje corporativo es un tremendo problema en las industrias farmacéuticas y de manufactura • Un problema mayor es el uso indebido de información propietaria por parte de empleados • Tras cada caso de espionaje corporativo hay abuso interno • Como promedio, el usario autorizado a la red puede acceder 20 – 50 veces más recursos de los que requieren para ejecutar su labor. • Este nivel de acceso abierto a las redes, combinado con seguridad no (o mal) implementada, es la razón por la cual usuarios internos son responsables por la mayoría de incidentes de seguridad en la red

  19. Abuso Interno • El 70 % de los incidentes de seguridad que arrojan pérdidas a la empresa (en contraste a aquellos que “sólo” son molestos) involucran a usuarios internos. Las empresas deben encontrar el punto de equilibrio entre acceso interno libre y una seguridad asfixiante que perjudica el negocio. Este equilibrio se puede lograr implementando políticas basadas en “necesidad de saber”. • Arquitecturas centralizadas de gestión de acceso deben ser usadas para otorgar acceso a servidores y bases de datos sólo a aquellos empleados que lo requieren por motivos legítimos de trabajo. • “Herramientas de auditoría y reporte deben ser usadas para revisar acciones de escalamiento de acceso” • High – Profile Thefts Show Insiders Do the Most Damage, John Pescatore, Gartner • “Montañas de dinero se gastan en corta-fuegos, software anti-virus y sistemas de detección de intrusos para detener los ataques en la puerta de entrada. Pero son los empleados de las empresas los que representan una amenaza mayor a las empresas, sus datos y bienes.” • CSI: Examining threats from inside the firewall

  20. Abuso Interno • Lectura o copia no autorizada, divulgación de información sensitiva • Ejecución de ataques de denegación de servicio • Infección de virus, gusanos u otros programas malignos en sus sistemas • Destrucción o corrupción de data (intencional o por error) • Exposición de información sensitiva debido a mal etiquetado o manejo de impresiones

  21. ¿Por Qué Ocurre Esto? • Reducciones Corporativas/Downsizing • “Ira del Ex –” es un tema candente para psicólogos industriales • Sueldos estancados • Promociones no recibidas • Discriminación/abuso sexual o NSE • ¿Qué ocurre cuando encuentran nuevo trabajo? • ¿Qué pasa si el nuevo empleador es competencia? Todos estos temas deben ser manejandos proactivamente

  22. El foco debe estar sobre las verdaderas amenazas: Prepararse para el 99% del lo real, y no el 1% de lo teórico Tomar decisiones racionales y prácticas No dejarse influenciar por reportes alarmistas El Foco

  23. Análisis de Riesgo • La mayoría de la gente no entiende la naturaleza del riesgo • La seguridad informática funciona en un vacío si no cuenta con análisis de riesgo. Debe ser ejecutada en el contexto de gestión de riesgo • No se puede eliminar el riesgo...sólo se gestiona. • De la misma manera, no se puede eliminar el crimen, sólo se gestiona. • Una evaluación y análisis de riesgo efectivas aseguran que estamos preocupados de los temas importantes • Si bien la mayoría de las amenazas son internas, no olvidar que el personal interno es nuestro mayor aliado

  24. Gestión del Riesgo Una gestión efectiva de riesgo reduce el riesgo de abuso de sistemas y ayuda en detectar y documentar eventuales casos de fraude Una estrategia efectiva de gestión de riesgo involucra dos fases: • Identificar y resolver debilidades de seguridad: • Monitorear sistemas informáticos en busca de vulnerabilidades • Desarrollar sistemas “duros” • Implantar políticas de uso permitido • Programa contínuos de capacitación • Implantar resguardos o detectar ataques: • Controles de Acceso (monitores de control de acceso, políticas de autorización, etc.) • Filtros (firewalls, filtros web) • Detección de mal uso (logs de auditoría, detección automática, monitoreo de sistemas, protecciones anti-virus y anti-spyware)

  25. Factores de Riesgo • Comportamiento Humano • Limitaciones Técnicas • Gestión de seguridad • Seguridad Informática aún se encuentra en pañales • Falta de experiencia de mundo entre profesionales de seguridad informática

  26. El Ser Humano como Factor de Riesgo • Ingenuidad • Chat • Active X • La Tecla Delete • Windows Explorer • Negligencia • Errores involuntarios • Ataques maliciosos de haqueo • Venganza • Riesgo de personas maltratadas • Codicio • Riesgo de aquellos de trabajan demasiado, reciben muy poco y en general sienten que merecen más

  27. Factores Técnicos de Riesgo • Bugs y puertas traseras • Funcionalidad de seguridad insuficiente • Seguridad física • Cada sistema operativo en red: NetWare, Windows NT/2000/XP, Linux, y Unix; el cimiento de la arquitectura de seguridad debe ser el fierro

  28. Factores de Riesgo en Gestión de Seguridad En general, las empresas adolecen de: • Conocimiento y capacitación técnica • Conocimiento y capacitación en seguridad • Seguridad como fundamento • Awareness • Políticas y procedimientos • Falta de tiempo y recursos apropiados • Información • Control y administración centralizados

  29. Gestión de Identidad y Control de Acceso El pilar de la seguridad informática

  30. Control de Acceso El derecho de usar o acceder a un objeto en un sistema • Necesitamos control de acceso por las mismas razones que tenemos candados y chapas en nuestras casas y autos • El acceso a menudo se controla mediante un Access Control List (ACL), una tabla que indica al SO que derechos de acceso cada usuario tiene a un objeto determinado • El ACL a menudo tiene diferentes implementaciones en cada SO • El ACL contiene un registro por cada usuario del sistema, con los privilegios de acceso. Los privilegios más comunes son lectura de un archivo (o directorio), escritura de archivo, y ejecución de archivos. • En general, el administrador del sistema o el dueño del objeto controlan el ACL del objeto.

  31. Gestión de Identidad • Problema – Tantos sistemas y redes, con tantas cuentas de usuarios. Es imposible de controlar sin alguna herramienta de software • Gestión de indentidad es una extensión de autenticación • CA define la gestión de identidad como la administración de usuarios y su acceso seguro a los sistemas de la corporación • Se logra a través de provisionamiento, SSO (Single Sign-on), autenticación y directorios • Por ejemplo: eTrust Identity and Access Control Management Suite • Otras soluciones: Netegrity, Oblix, Access360/Tivoli

  32. Cambiar el Foco de Seguridad Informática al Interior de la Empresa

  33. Foco Interno de Seguridad Informática • Considerando todo los factores de riesgo mencionados, para que la seguridad informática sea efectiva debe tener la misma visibilidad y prioridad corporativa que políticas de acoso sexual • Políticas de acoso sexual se definen como consecuencia del alto nivel de riesgo a la organización en caso de acción judicial • No obsesionarse con hackers remotos, preocuparse de las amenazas locales • Reconocer que la seguridad informática es un proceso • No hay seguridad mágica

  34. Controles • Información confidencial debe ser identificada, priorizada y sus derechos de acceso controlados • Políticas y procedimientos deben ser revisados y actualizados • Tales controles deben ser implentados usando software adecuado • Monitoreo en tiempo real y mecanismos de bloqueo • Definición de política “tolerancia cero” y documentación de violaciones • Apoyo de gerencia general, legal y teconología

  35. Controles • Exigir inducción en seguridad para nuevas contrataciones • Establecer programa de alerta y vigilancia • Verificación de antecedentes de empleados con acceso a información sensitiva • Establecer mecanismo confiable para asignar acceso a información corporativa • Determinar, basado en función laboral, quien requiere acceso a que recursos corporativos, y cual es la justificación de este acceso

  36. Controles • Exigir a empleados y contratistas firmar NDA en su fecha de contratación • Sofware: HIDS, NIDS, Silent Runner • Cuentas vencidas deben ser desactivadas y eliminadas • Cuando empleados temporeros dejan la empresa, deshabilitar y eliminar sus cuentas de acceso en forma inmediata • Como parte de la política de seguridad informática, dejar constancia que el uso de los sistemas y red corporativa son sujetos a monitoreo • Nunca suponer que la información detrás del cortafuego está protegida

  37. Referencias • Security Engineering: A Guide to Building Dependable Distributed Systems – Ross Anderson • Secrets and Lies: Digital Security in a Networked World - Bruce Schneider • CERT Guide to System and Network Security Practices – Julia Allen • The Art of Deception: Controlling the Human Element of Security – Kevin Mitnick • The Insider Threat to US Government Information Systems • www.nstissc.gov/Assets/pdf/NSTISSAM_INFOSEC1 -99.pdf • The Insider Threat – Terrance Roebuck • http://abyss.usask.ca/~ roebuck/threats. HTML

  38. Conclusiones y Soluciones

  39. Conclusiones • La gran mayoría del crimen informático se realiza por usuarios internos autorizados • No se deje llevar por la fascinación mediática con los hackers y su “visión” de seguridad • Conozca al enemigo, sus capacidades y debilidades • La única manera de tener éxito es a través de la formulación e implantación de una estrategia defensiva completa de seguridad informática

More Related