segurinfo 2010 - defensa en profundidad
Post on 29-Jun-2015
1.562 Views
Preview:
TRANSCRIPT
organizado por:
1
VII Congreso Internacional de Seguridad de la Información“LA SEGURIDAD AGREGA VALOR”
10 Y 11 DE MARZO DE 2010 – SHERATON HOTEL - BUENOS AIRES - ARGENTINA
Estrategias de defensa en profundidad para ISPs y Datacenters
Gabriel MarcosDatacenter, Security & Outsourcing
Product ManagerGlobal Crossing LATAM
2
Presentada por:
LOGOde la
EMPRESA
VII Congreso Internacional de Seguridad de la Información“LA SEGURIDAD AGREGA VALOR”
10 Y 11 DE MARZO DE 2010 – SHERATON HOTEL – BUENOS AIRES - ARGENTINA
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda
El punto de vista del ISP / Datacenter
Modelo general del ISP/Datacenter
Complejidad, Riesgos, Desafíos Qué es “defensa en
profundidad”? Ventajas / Implementación Mitos falsos y verdaderos Recomendaciones
4
Punto de vista del ISP/Datacenter
Tantos los ISP como los Datacenters son casos particulares:
En general, los modelos están orientados a una organización “stand-alone”
Prestar servicios implica complejidad adicional
Algunos fabricantes de tecnología tampoco consideran estos requerimientos
Hay mucho know-how en el mercado pero está orientado a las empresas
5
Punto de vista del ISP/Datacenter
Ejemplos (mediciones propias): 300.000 eventos críticos por día
(IDS/IPS) 80 Tbytes de logs por año (¡sólo
FWs!) SPAM: 100% CAGR (2006 – 2009)
Base: 4.000.000 por mes Virus: 200% CAGR (2006 – 2009)
Base: 2.500.000 por mes POPs: 600 (¡sólo los propios!)
6
Modelo general de ISP/Datacenter(solamente redes, sin seguridad)
7
Internet ISP
Datacenter
Cliente A Cliente BISP(Red Interna)
Datacenter(Red Interna)
Backbone
Perímetro
Red Interna
Servidores en DatacenterPublicación de serviciosDisaster recoverySistemas críticos
SucursalesUsuariosServidores internosIntranet
Empleado
Externo
Desconocido
Punto de vista del ISP/Datacenter
Complejidad: Múltiples perímetros Simultaneidad de políticas y
regulaciones Protección “todos contra todos” Gestión centralizada Distribución de la arquitectura Integración con terceros
8
Punto de vista del ISP/Datacenter
Riesgos: Gran ancho de banda +
interconexión: alcance de los ataques
Economía de escala para el atacante Compliance por cliente Sin estandarización en las topologías Falta de visibilidad y control
9
Punto de vista del ISP/Datacenter
Desafíos:Plataforma de base no intrusiva
Servicios escalablesFlexibilidad en complianceGranularidad por cliente
Concientización Múltiples tecnologías
Service Level Agreements10
Qué es “defensa en profundidad”?
Defensa en profundidad: Es un modelo conceptual para
diseñar un sistema de seguridad. La infraestructura está formada por
capas interconectadas. Cada capa o “layer” utiliza controles
y medidas de seguridad específicas.
11
Qué es “defensa en profundidad”?
12
Políticas y procedimientos
Seguridad física
Perímetro
Redes
Hosts
Aplicaciones
Datos
De
talle
téc
nic
oC
om
ple
jida
d
Qué es “defensa en profundidad”?
Ventajas: Múltiples barreras: disuasión Reducción del alcance del ataque Medidas y controles específicos Implementación a partir de políticas Análisis de riesgo por capa Certificación
13
Políticas y procedimientos
Referencia normativa: ISO 27001
Referencia metodológica: ITIL Definición de objetivos
medibles ROSI (Return on Security
Investments) Tablero de control Compromiso de la Dirección Análisis de riesgos
14
Políticas y procedimientos
Ejemplos: Política Corporativa Políticas del Datacenter Políticas de Uso Aceptable Leyes y regulaciones nacionales Leyes aplicables a Clientes
Corporativos Normativas aplicables al Gobierno
15
Mitos falsos
Implementar ITIL requiere contratar más de 40 personas
(FALSO) Los roles no representan personas, sino responsabilidades.
La mejor forma de controlar, es filtrar (FALSO) Seguridad es Disponibilidad!
Hay que guardar todos los logs (FALSO) El análisis es más importante que la
conservación.
16
Mitos falsos
La seguridad requiere muchísima inversión
(FALSO) La inversión está en función del riesgo. ¿Quién nos va a querer atacar, si no somos
un banco? (FALSO) La marca tiene un valor económico, y es lo
más importante! Hasta ahora no sufrimos ningún ataque…
(FALSO) Los ataques modernos están pensados para no ser detectados y perdurar en el tiempo.
Ya dimos una capacitación a los técnicos (FALSO) La concientización incluye la capacitación,
dentro de un proceso continuo, para toda la organización.
17
Seguridad física
Definición de perímetros Controles de acceso
biométricos Manejo de inventarios:
Software Hardware Licencias Personas Información
18
Perímetro
Filtrado por etapas: Mayor volumen -> menor precisión “del Router al UTM”
Balance de tecnologías: Más servicios -> menos detalle Más especialización -> menor ROI
19
Redes
SIEM (Security Information Event Mgmt):
Almacenamiento Correlación Análisis Decisión Acción
Seguridad para redes Wi-fi
20
Hosts
Protección de accesos remotos: SSL VPN Client-to-site
Endpoint protection: Remotos Red interna PDAs Terceros
21
Aplicaciones
Seguridad desde el desarrollo! Quality Assurance Análisis técnicos:
Vulnerability assessment: Por tecnología Por aplicación
Penetration test Hardening
22
Datos
Asignación de responsabilidades por la información:
Confidencialidad Integridad Disponibilidad
Registros (¡no logs!) Auditorias
23
Mitos verdaderos
Para implementar seguridad es imprescindible el apoyo de la dirección
(VERDADERO) La mejor forma de controlar, es conseguir
compromiso del usuario (VERDADERO)
La seguridad es una ventaja competitiva (VERDADERO)
Se habla de seguridad, pero se trabaja sobre el riesgo
(VERDADERO)
24
RecomendacionesISO 27001
25
A5 / A14 / A16
A7 / A9
A11
A10
A10
A12
A6 / A8 / A13
Cláusulas:4, 5, 6, 7, 8
(Information Security
Management System)
Recomendaciones
Pensar en seguridad desde el inicio de cualquier proyecto (CIO + CISO)
Agregar componentes solamente si se los puede monitorear
Primero medir el riesgo, para después invertir, y verificar la efectividad
Aplicar las normas y metodologías disponibles
26
Gracias por asistir a esta sesión…
27
Preguntas yRespuestas…
Para mayor información:
Gabriel Marcosgabriel.marcos@globalcrossing.com
http://blogs.globalcrossing.com
Para descargar esta presentación visite www.segurinfo.org
28Los invitamos a sumarse al grupo “Segurinfo” en
top related