autenticación de usuarios de cobertura - … · siempre conectado trabajo & personal cualquier...
TRANSCRIPT
Autenticación de Usuarios de Symantec:
Cobertura completa de
autenticación para sus empleados,
socios, contratistas en un
modelo costo efectivo basado en SaaS model.
Elis Martinez
IIP Sales Specialist
1 Autenticación de Usuarios Symantec – Visión General
Agenda
Necesidades de los clientes 1
Visión General de Autenticación de Usuarios 2
Q&A 3
2 Autenticación de Usuarios Symantec – Visión General
Las Brechas de Seguridad tienen una alta visibilidad
3
Usuarios Internos y Socios de Negocios
• Empleados y partners robando propiedad intelectual
• 68% de las brechas son causadas por negligencia de los usuarios y fallas de sistemas
Cumplimiento Regulatorio
• Las leyes de notificación y de encriptación ahora tienen multas reales
• Costo promedio de una brecha promedia los $7.2 millones
Amenazas Externas
• Generan el costo más alto por registro: $318
• Atacantes política y económicamente motivados
Evolución hacia la seguridad céntrica en la información
4
•Aplicaciones colaborativas y sociales
•Explosión de información
•Infraestructura virtual y en la nube
•Fuerza de trabajo móvil
•WikiLeaks
•Grupos de hackers
•LulzSec
•Anonymous
•Ataques auspiciados por gobierno, claramente direccionados
Nuevas tendencias en los procesos de negocios
Nuevas amenazas
Céntrico en información
Céntrico en información y personas
Céntrico en sistemas
• ¿Cómo exigir cumplimiento de las políticas?
• ¿Cómo prevenir una brecha?
PROTECCIÓN
CONCIENCIA
Componentes claves en un modelo de seguridad céntrico en la información
IDENTIDAD
5
• ¿Dónde está la información sensible?
• ¿Cómo está siendo usada?
• ¿Quién debiera tener acceso a los datos sensibles?
Reduciendo el Riesgo con “Information and Identity Protection”
CONCIENCIA IDENTIDAD PROTECCIÓN
RIESG
O
DLP Autenticación Encriptación
Contraseñas
Heurísticas
Dos Factores
Biometría
Red
Punto Final
Almacenamiento
+
+
Punto Final
Almacenamiento
+
+
6
• ¿Cómo exigir cumplimiento de las políticas?
• ¿Cómo prevenir una brecha?
PROTECCIÓN
CONCIENCIA
Componentes claves en un modelo de seguridad céntrico en la información
IDENTIDAD
7
• ¿Dónde está la información sensible?
• ¿Cómo está siendo usada?
• ¿Quién debiera tener acceso a los datos sensibles?
Endpoint DLP Network DLP Storage DLP
User Authentication
Behavior Two-Factor PKI
Shared Storage Encryption
Endpoint Encryption
Email Encryption
Cualquier dispositivo Trabajo & Personal Siempre conectado
Nuevas Tecnologías=Nuevos Comportamientos
8 Autenticación de Usuarios Symantec – Visión General
Networks
Wi-Fi WiMAX
3G VPN
Corporate Kiosk
Nuevo Mundo – Las Personas Son El Nuevo Perímetro
Laptop
PDA
iPad
Desktop
Laptop
PDA
iPad
iPad
PDA
PDA
Laptop
Laptop
Desktop
Desktop
Smartcards
Consumidor Gobierno
Socios
Empleados
9 Autenticación de Usuarios Symantec – Visión General
El Legado de VeriSign
Experiencia
15 años Validando sitios web,
usuarios y dispositivos, con más
de 400,000 clientes a nivel
mundial
Ancho de Bando Seguro
3 mil millones de
validaciones seguras por día
con 100% de disponibilidad en
los últimos 5 años, en un
modelo Saas
10 Autenticación de Usuarios Symantec – Visión General
Foco de Autenticación: Hacerlo Fácil
Integración Enrolamiento Soporte
11 Autenticación de Usuarios Symantec – Visión General
Portal de consumidor, extranet, socios, etc
Red Corporativa
Corporativo Servicio VIP
Usuario
VIP: Autenticación de Dos Factores como un Servicio
PKI RBA
OTP
12 Autenticación de Usuarios Symantec – Visión General
Una Completa Solución de Autenticación
Autenticación Integrada
Autenticación Inteligente basada en Riesgo
Autenticación Más Robusta
(Usuarios y Sitios)
OTP Móvil
SMS y Voz
Challenge-Response
Flash OTP Browser Toolbar
OTP
EV SSL Cert Secure Seal
Site Auth Image
Certificados Digitales
Tokens OTP
Tarjeta OTP
13 Autenticación de Usuarios Symantec – Visión General
14
Resumen de los Beneficios de la Tecnología
• Servicios Gestionados minimizan la inversión en tecnología
– Aproximación de “Software as a Service” (SaaS) a la autenticación de dos factores
– No hay servidores adicionales que instalar y gestionar
– Interfaces simples basadas en servicios web SOAP y RADIUS
– Integración puede realizarse en minutos
• Abierto y Preparado para el Futuro
– Estandarización en OATH asegura la interoperabilidad y amplia selección de credenciales
– Estándares abiertos permiten embeber credenciales en dispositivos y aplicaciones
– Motor de validación “conectable” puede aprovechar una inversión existente en credenciales y adaptarse a los avances tecnológicos
• Construido para Crecer
– Las características del producto están diseñadas para resolver los casos de uso propios de instalaciones de gran cantidad de usuarios
Autenticación de Usuarios Symantec – Visión General
Operaciones de los Servicios VIP
• Seguridad Física
– Centro de Cómputo de nivel “Tier 4”, doble nivel de control requerido para acceder material de llaves sensible y funciones de firma digital
– Requerimientos de chequeo de pasado de los empleados
• Certificaciones y Cumplimiento
– PCI , SAS-70 Tipo II
– WebTrust como CA, Certificación “Federal Government PKI”
– Políticas de Seguridad y Prácticas internas de Symantec
• Gestión del Servicio
– Estricto control de cambios para todos los servicios de TI
– Procesos y procedimientos de gestión de incidentes, complementados con ejercicios tipo “incendio” en forma regular
• Monitoreo y Seguridad de Sistemas
– NOC dedicado 24x7
– Servicio externo global de monitoreo de procesos críticos, escaneo diario de vulnerabilidades
– HIDS y NIDS para monitorear los sistemas, aplicaciones y redes
– SSL y S/MIME para comunicaciones encriptadas
15 Autenticación de Usuarios Symantec – Visión General
Intel Core
con IPT Firmware
software cliente VIP
Ejemplo de Filosofía Embebida: Intel Identity Protection Technology (IPT)
B2E/B2B B2C
16 Autenticación de Usuarios Symantec – Visión General
Portal de Gestión de Fácil Uso
17 Autenticación de Usuarios Symantec – Visión General
Sitio para Desarrolladores https://vipdeveloper.verisign.com
• El paquete incluye:
– SDKs, código de muestra y documentación
– Aplicaciones demo para plataformas Android, iPhone y J2ME
– Window Mobile SDK
18 Autenticación de Usuarios Symantec – Visión General
Autenticación de Usuarios Symantec – Visión General
Symantec User Authentication – Solution Overview
Intelligent Authentication
Autenticación basada en el riesgo
The EV SSL Value Proposition
Address bar turns green
assuring they have
reached the right site
Security status bar
indicates the company
you are talking to
Organization name is
highlighted in green
EV - Prominent in all browsers
The benefits of Extended Validation certificates include:
• Proven to increase online transactions
• Green address bar is the most widely recognized worldwide for a secure site
• Highest level of organization validation defined by the CA Browser Forum
• Industry standard for SSL certificates
Balance de Securidad y Facilidad de Uso
23
Un problema clave al seleccionar soluciones de autenticación
Uso más difícil
Alta seguridad
Fácil uso
Baja seguridad
Insuficiente Seguridad
Symantec™ Managed PKI
Service
Symantec™ VIP
Usuario y contraseña
Complejo uso para algunos usuarios finales
Autenticación por 2 factores
Nada
Autenticación basada en riesgo
Symantec™ VIP Intelligent Authentication
• Protección superior vs. contraseñas
– Analiza el riesgo de la sesión en base a perfilamiento del dispositivo y reglas de comportamiento
• Experiencia transparente para el usuario
– Autentica al usuario en forma invisible, salvo en escenarios de alto riesgo
• Protección contra amenazas, única de Symantec
– Usa el cliente Norton, y “Symantec ™ Global Intelligence Network” para ayudar a bloquear amenazas emergentes
24
Aumentando Symantec™ VIP con autenticación basada en riesgo
Symantec™ VIP Intelligent Authentication
Evaluar…
• ¿Conocemos el dispositivo?
• ¿Es aún el mismo dispositivo?
• ¿Es confiable?
• ¿Está actuando como se espera?
25
Combinando autenticación del dispositivo con análisis de riesgo
ID del dispositivo
Huella digital del dispositivo
Reputación del dispositivo
Comportamiento del usuario
Nivel de Riesgo
…y responder
• Bajo riesgo: Otorgar acceso sin desafío adicional
• Alto riesgo: Desafiar al usuario mediante autenticación adicional
Dispositivo desconocido, ID inválido
Symantec™ VIP Intelligent Authentication
26
Combinando autenticación del dispositivo con análisis de riesgo
ID del Dispositivo
Device Fingerprint
Device Reputation
User Behavior
Dispositivo conocido con un ID válido
Identifica en forma única un dispositivo conocido
• Computador registrado: Plugin en el navegador usa en certicado del dispositivo
• VIP Access for Desktop: el software de Symantec extracta identificadores adicionales de hardware
• Potenciado con Norton e Intel IPT
• SDK para móviles: VIP OTP para ID del dispositivo
Diferencias mayores, incluyendo versiones anteriores del software instalado
Cambios menores, actualización de software
Symantec™ VIP Intelligent Authentication
27
Combinando autenticación del dispositivo con análisis de riesgo
Device ID
Huella Digital
Device Reputation
User Behavior
No hay cambios en la configuración
Evalúa la configuracíón del dispositivo
• Observación pasiva de parámetros de HW y SW desde el navegador
• Técnicas basadas en el navegador para depositar un ID única más un perfile, resistentes a la adulteración
Datos de Symantec™ GIN indican que el dispositivo o la IP son reconocidos como maligno
Chequeo de salud de Norton indica que no ha sido actualizado recientemente
Symantec™ VIP Intelligent Authentication
28
Combinando autenticación del dispositivo con análisis de riesgo
Device ID
Device Fingerprint
Device Reputation
User Behavior
Dispositivo “saludable”,“buena” IP
Examina la confiabilidad del dispositivo
• Salud del dispositivo: si el cliente Norton está instalado
• Ubicación de la red: Chequea la IP en “Symantec Global Intelligence Network”
• Ubicación geográfica: Chequea lista de países prohibidos según OFAC (Office of Foreign Assess Control)
Symantec™ VIP Intelligent Authentication – Sales Enablement Training 29
29 29
Dispositivos
gestionados en 70+
países
120 Millones de
sistemas alimentando
amenazas/virus
40,000+ Sensores en
200+ Países
2 mil millones de
eventos por día
Más de 100,000 alertas
de seguridad anuales 200,000 códigos
evaluados diariamente
BD de riesgos
Fraude: Spam
& Phishing
Red de Honeyspot
• 55,000+ technologías de más de 8000 marcas
• 30+ Millones de mensajes de intento por día
• Genera estadísticas con más 1 billón de correos diarios
• Capacidad de locación geográfica de servidores y zombies
• Captura amenazas y ataques previamente desconocidos
Symantec™ Global Intelligence Network (GIN) Visibilidad sin paralelo a fuentes globales de actividad maliciosa
Falla chequeo de dificultad de viaje
Ubicación no conocida anteriormente, viaje factible desde login anterior
Symantec™ VIP Intelligent Authentication
30
Autenticación del dispositivo y análisis de riesgo
Device ID
Device Fingerprint
Device Reputation
Comportamiento
Ubicación observada anteriormente, viaje factible
Compara ubicación con historia
• Historia de ubicaciones: Examina si la ubicación está asociada con autenticación exitosa previa
• Chequeo de “viaje difícil” : Compara el delta en la ubicación, con el tiempo desde el último login
Bumper-Bumper Security
31
Monetary Transactions
Bumper – Bumper Security
Login
Log-out
Available Today
Non-Monetary Touch Points
Bumper – Bumper Security, Monetary Transactions
32
Data Inputs
• User ID - Unique User Identifier (can be annonymized)
• Session ID - Login Event Identifier
• Channel Type - Web, Phone
• IA AuthData - Device ID, Device Fingerprint
• Bank ID - Source and/or Destination ID (can be hashed)
• Account ID - Source and/or Destination ID (can be hashed)
• Transaction Amount
• Transaction ID – ID for Auditing and Reporting
• Account Balance
• Transaction Type - t1, t2, t3, where t1 corresponds to Wire Transfer, t2 corresponds to bill payment and so on)
Bumper–Bumper Security, Non-Monetary Touch Points
• Monitor change in User’s Password
• Monitor change in Personal Details
– Email,
– Phone,
– Address
• Monitor change in Security Questions
• Increase Risk when any of the touch points are modified and flag when these changes are combined with any monetary anomalous activity
33
Monitor High Risk Touch Points
Identificando eventos de autenticación riesgosos
34
User Logs In From Home Using Work Laptop
Sunnyvale, United States
IP: 66.135.192.123
OS: Windows 7
Browser: Firefox 5.0
ID del dispositivo conocida
Ubicación concuerda con historia
Perfil del dispositivo sin cambios
Bajo Riesgo, no requiere autenticación adicional
Guangzhou, Guandong
IP: 61.145.127.128
OS: Windows 7
Browser: Firefox 5.0
Dispositivo desconocido, no hay ID
Viaje difícil desde login anterior
Perfil sin cambios
Alto riesgo, requiere autenticación adicional
Identificando eventos de autenticación riesgosos
35
Hacker #1: Ataque desde China
Identificando eventos de autenticación riesgosos
36
Hacker #2: Ataque desde Cuba
Havana, Cuba
IP: 61.145.127.128
OS: Windows 7
Browser: Firefox 5.0
Dispositivo desconocido, no hay ID
Orígen en país prohibido
Perfil sin cambios
Alto Riesgo, requiere autenticación adicional
IP: 202.138.101.165
OS: Windows 7
Browser: Firefox 5.0
Mumbai, Maharashtra
Dispositivo conocido, ID conocida
Ubicación no esperada
Perfil sin cambios
Mediano riesgo, requiere autenticación adicional
Identificando eventos de autenticación riesgosos
37
Usuario viaje a India con mismo laptop
IP: 202.138.101.165
OS: Windows 7
Browser: Firefox 4.0.1
Mumbai, Maharashtra
Dispositivo conocido, ID conocida
Baja de versión en software
Dispositivo desconocido, no hay ID
Alto riesgo, requiere autenticación adicional
Identificando eventos de autenticación riesgosos
38
Hacker #3: Ataque desde el hotel en la India
Identificando eventos de autenticación riesgosos
39
Usuario actualiza Firefox en el hotel en la India
Mumbai, Maharashtra
IP: 202.138.101.165
OS: Windows 7
Browser: Firefox 6.0a2
Dispositivo conocido, ID conocida
IP y ubicación conocidas
Cambio de perfil, actualización de Firefox
Bajo riesgo, no requiere autenticación adicional
Algunos pocos clientes VIP
41 Autenticación de Usuarios Symantec – Visión General
Symantec User Authentication – Solution Overview
Trusted Bank
Q&A
43 Autenticación de Usuarios Symantec – Visión General