presentación de powerpoint - ebg...caso de estudio: target •implementar un segundo factor de...
Post on 08-May-2020
5 Views
Preview:
TRANSCRIPT
Aseguramiento de los Accesos de Usuarios Privilegiados a las
Infraestructuras de Nube y Sitio Alterno
Julio Duarte
Amitego Latinoamérica, Guatemala
Agenda de la Presentación
• Qué es la nube? • Tipos de Nube
• Sitios Alternos
• Seguridad de TI – Errar es de Humanos
• Casos de Estudio • Target
• TeamViewer
• El Balance entre Seguridad de la Información y Privacidad • Controlando y Documentando la Actividad de los Usuarios Privilegiados
Qué es la Nube?
• Definición • “La práctica de usar una red de
servidores remotos localizados en el Internet para almacenar, administrar y procesar datos en lugar de servidores locales o computadoras personales”
Riesgos y Beneficios del Modelo: la Nube
• Beneficios • Menores Costos Operativos
• Menores Inversiones de Capital
• Flexibilidad
• Agilidad
• Escalabilidad
• Arquitecturas de Nueva Generación
Riesgos y Beneficios del Modelo: la Nube
• Riesgos • Seguridad
• Efecto “Hotel California”
• Confiabilidad
• Falta de Control
Mi Sitio Alterno es una Forma de Nube
• Impulsado por las Políticas de Continuidad del Negocio
• Ha evolucionado desde simples respaldos hasta la capacidad de mantener las operaciones de la empresa
• Puede ser privada o híbrida
Seguridad de TI
• Múltiples Riesgos que Mitigar • Virus • Malware • Intrusos • Ramsonware, etc.
• Un riesgo olvidado • Los Accesos remotos de Usuarios
Privilegiados • Vulnerables a malas prácticas • Son el principal objetivo de los
Delincuentes Cibernéticos
Errar es de Humanos
• “Es casi imposible trabajar con una computadora sin cometer errores operativos”
• El problema de las contraseñas simples
• Clicks inadvertidos sobre archivos adjuntos
• Los super usuarios y administradores no son inmunes a estos tipos de errores
• Representan el riesgo más alto
Use
rs
Pri
vile
ges A más privilegios,
mayores los
riesgos
Usuarios de
Aplicaciones
Usuario
Privilegiado
Debemos Mitigar el Riesgo de los Usuarios Privilegiados
• Acciones erróneas cometidas involuntariamente
• Robo de credenciales privilegiadas
• Uso de dispositivos no administrados por la empresa
• Protección sobre contratistas con agendas ocultas
• Balance entre seguridad y flexibilidad
• Registrar y Documentar todas las actividades de los procesos que involucran a los usuarios privilegiados
• Mejorar la productividad
Mitigar Mantener
“Más que usar la estrategia de la ignorancia
del password debemos concentrarnos en las
actividades del usuario privilegiado” Amitego
Qué es más Importante?
• Si el mecánico tiene la llave?
• Puede copiarla
• O lo que hace cuando trabaja?
• Puede cometer un error
• Podría robar repuestos
“Las acciones del usuario privilegiado
deben ser transparentes y reproducibles”
Amitego
Los Usuarios son el Mayor Riesgo de Seguridad
Algunos trabajadores venderían sus credenciales por $55*
“…1 de cada 4 usuarios en USA estaría dispuesto a comprometer la seguridad
corporativa por una oferta monetaria…”
…“27% en Norteamérica estaría dispuesto a vender sus credenciales, la cifra más alta
entre todos los países encuestados, la media es 20% en el resto del mundo…”
“…la cantidad más alta solicitada fue de $82,000; en USA tomaría $50,700 para
traicionar la confianza de sus empleadores, la cifra más baja fue de $55…”
*Fuente: http://time.com/money/4275526/sell-password-for-55-dollars/
El Dilema de la VPN
• El Cliente es parte de la zona de seguridad de la compañía
• VPN protege contra ataques de “man in the middle” y “snooping”
• La encripción del canal evita que la actividad sea transparente, inclusive para los dueños de la Infraestructura
• Malware/Spyware en el dispositivo cliente no administrado podría infectar la red corporativa
Company Security Zone
El Dilema de la VPN
• Se deben dividir las zonas de seguridad (interna y externa)
• Mantener el control de la sesión
• Registar y Documentar la actividad
VIS
ULO
X
Qué Podemos Hacer?
Caso de Estudio: Target
• Robo de 40 millones de tarjetas de crédito
• Sistemas de Punto de Ventas comprometidos por Malware
• Cómo pudo suceder esto?
Caso de Estudio: Target
• La respuesta se encuentra en la nueva arquitectura de Target
• Como parte del refrescamiento de la infraestructura de TI
• Basado en el modelo de 2 servidores por tienda
• Utilizando virtualización
• Nube privada que provee • Hosting de múltiples aplicaciones • Punto de Ventas para 30 registradoras • Manejo de inventarios, infraestructura y BDD
Caso de Estudio: Target
• 1,700 tiendas comparten la arquitectura
• La mayoría de sus sistemas corren en Windows, sólo la farmacia utiliza Linux
• Cada tienda tiene su propio Microsoft System Center que es el punto de distribución de actualizaciones y parches de seguridad
• Dependen de proveedores de servicios de TI externos
Caso de Estudio: Target
• Hackers utilizan las credenciales del administrador del servidor de HVAC
• Fazio Mechanical Services: compañía proveedora de refrigeración y sistemas HVAC
• Fecha de ruptura: Nov. 15, 2013
• Malware/Spyware en la computadora del técnico utiliza sus credenciales y el acceso remoto a la red de Target para infectar los servidores virtualizados
Caso de Estudio: Target
• Del 15/Nov al 28/Nov los Hackers infectan los puntos de venta con malware que roba tarjetas de crédito
• Prueban su funcionamiento y, en 2 días, infectan la mayoría de los puntos de venta de Target
• De Nov 27 a Dic 15, el malware roba 40 millones de registros de tarjetas de crédito y débito
Caso de Estudio: Target
• Implementar un segundo factor de autenticación para los accesos remotos del personal y subcontratistas
• Separar las redes de los puntos de ventas de los demás sistemas. Esto va más allá de lo requerido por PCI.
• Implementar POS que acepten tarjetas con Chip y PIN a un costo de $100 millones
Fuentes: https://www.tripwire.com/state-of-security/vulnerability-management/targets-point-sale-system-compromised/
https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/
Recomendaciones para que no suceda nuevamente:
Caso de Estudio: TeamViewer
• Mar/2016
• Por más de un mes se reportan hackeos de computadoras por medio de TeamViewer
• En muchos casos los ladrones robaron dinero de Paypal y cuentas bancarias
Caso de Estudio: TeamViewer
• La fisura de seguridad fue el resultado de:
• Malas prácticas sobre uso de passwords por los usuarios
• La Megaruptura de 642 millones de passwords que fueron hechos públicos
Caso de Estudio: TeamViewer
• El orígen del problema: • Ataque DOS a la red de
TeamViewer • DNS Hijacking • No cambiar los passwords
después del anuncio de ruptura de credenciales robadas
Caso de Estudio: TeamViewer
• Acciones Correctivas tomadas: • Dispositivos Confiables: el usuario debe
confirmar que confía en el dispositivo que trata de conectarse por primera vez
• Integridad de los Datos: reinicio obligatorio de contraseñas para enforzar la integridad de los datos
Fuente: https://arstechnica.com/security/2016/06/teamviewer-users-are-being-hacked-in-bulk-and-we-still-dont-know-how/
El Balance entre Seguridad de la Información y Privacidad
• Una interpretación de los requerimientos emitidos por la Regulación de Protección de los Datos (DSGVO)
• Controlando y Documentando las actividades de los Usuarios Privilegiados
El Balance entre Seguridad de la Información y Privacidad
• El componente de la administración del acceso:
• Controlar y Administrar a los usuarios privilegiados
• Revisiones regulares, valoraciones y evaluaciones de la efectividad de las medidas técnicas organizacionales
El Balance entre Seguridad de la Información y Privacidad
• Leyes de Protección a los Datos, requisitos:
• Grabación del Trabajo
• Protección del Flujo de Datos y Protección de los mismos
• Trazabilidad de las Actividades a través de la Documentación (Medio de Prueba)
• Control de Acceso y Uso
El Balance entre Seguridad de la Información y Privacidad
• Qué debería ofrecer un sistema de Accesos Remotos para Usuarios Privilegiados?
• Separación de la comunicación y zonas de seguridad en confiables y no confiables (S)
• Control de acceso por medio de la arquitectura y habilitado por default (AC)
• Documentación de actividades por medio de la arquitectura y habilitado por default (DOC)
• Manejo de las detecciones (HN)
• Control de flujo de datos, incluyendo copiar y pegar (DF)
• Capacidad de trabajo cooperativo (CO)
• Reportar quién, cuándo y cómo se otorgó el acceso y a quién fue otorgado (R)
• Supervisión obligada y garantizada (4AP)
Implementar una Solución de Acceso Remoto: RAS
• Resumen de tecnologías básicas:
• Facilidad de administración, costo y disponibilidad no se toman en cuenta en la evaluación.
Implementar una Solución de Acceso Remoto: RAS
• Análisis: • Las herramientas para compartir
escritorios no ofrecen ninguna de las funciones que proveen evidencia confiable. Adicionalmente, una buena calidad de experiencia en el trabajo muchas veces no está disponible, finalmente, siempre se requiere la interacción de dos usuarios para realizar una tarea.
Implementar una Solución de Acceso Remoto: RAS
• Análisis: • La encripción de punto a punto provee
protección sólamente en el caso de ataques de “hombre en el medio”, pero nada más. El uso de VPNs (Virtual Private Networks) con servidores intermedios para saltos proveen una solución que asegura control de acceso pero no guarda evidencia de la interacción de los usuarios con los sistemas y los datos.
Implementar una Solución de Acceso Remoto: RAS
• Análisis: • Las soluciones basadas en agentes
proveen mucha información, pero son muy complejas de implementar aún en su metodología más básica.
• Aunque cualquier combinación de estos métodos constituye una buena base para comenzar, también es cierto que la misma es muy compleja de administrar debido a la variedad de productos involucrados.
Implementar una Solución de Acceso Remoto: RAS
• Soluciones que ofrecen todos los aspectos necesarios para el acceso de usuarios privilegiados es el objetivo primario de todos los requerimientos contenidos en la Regulación de Protección de los Datos.
La Implementación de Soluciones RAS se ha convertido en una necesidad!
• No debemos permitir que nuestra organización se convierta en el próximo caso de estudio.
• Los costos de no hacer nada son mucho más altos de lo que imaginamos.
top related