autenticación de usuarios de cobertura - … · siempre conectado trabajo & personal cualquier...

Autenticación de Usuarios de Symantec:

Cobertura completa de

autenticación para sus empleados,

socios, contratistas en un

modelo costo efectivo basado en SaaS model.

Elis Martinez

IIP Sales Specialist

1 Autenticación de Usuarios Symantec – Visión General

Agenda

Necesidades de los clientes 1

Visión General de Autenticación de Usuarios 2

Q&A 3


Las Brechas de Seguridad tienen una alta visibilidad

3

Usuarios Internos y Socios de Negocios

• Empleados y partners robando propiedad intelectual

• 68% de las brechas son causadas por negligencia de los usuarios y fallas de sistemas

Cumplimiento Regulatorio

• Las leyes de notificación y de encriptación ahora tienen multas reales

• Costo promedio de una brecha promedia los $7.2 millones

Amenazas Externas

• Generan el costo más alto por registro: $318

• Atacantes política y económicamente motivados

Evolución hacia la seguridad céntrica en la información

4

•Aplicaciones colaborativas y sociales

•Explosión de información

•Infraestructura virtual y en la nube

•Fuerza de trabajo móvil

•WikiLeaks

•Grupos de hackers

•LulzSec

•Anonymous

•Ataques auspiciados por gobierno, claramente direccionados

Nuevas tendencias en los procesos de negocios

Nuevas amenazas

Céntrico en información

Céntrico en información y personas

Céntrico en sistemas

• ¿Cómo exigir cumplimiento de las políticas?

• ¿Cómo prevenir una brecha?

PROTECCIÓN

CONCIENCIA

Componentes claves en un modelo de seguridad céntrico en la información

IDENTIDAD

5

• ¿Dónde está la información sensible?

• ¿Cómo está siendo usada?

• ¿Quién debiera tener acceso a los datos sensibles?

Reduciendo el Riesgo con “Information and Identity Protection”

CONCIENCIA IDENTIDAD PROTECCIÓN

RIESG

O

DLP Autenticación Encriptación

Contraseñas

Heurísticas

Dos Factores

Biometría

Red

Punto Final

Almacenamiento

+

+

Email

Punto Final

Almacenamiento

+

+

6

• ¿Cómo exigir cumplimiento de las políticas?

• ¿Cómo prevenir una brecha?

PROTECCIÓN

CONCIENCIA

Componentes claves en un modelo de seguridad céntrico en la información

IDENTIDAD

7

• ¿Dónde está la información sensible?

• ¿Cómo está siendo usada?

• ¿Quién debiera tener acceso a los datos sensibles?

Endpoint DLP Network DLP Storage DLP

User Authentication

Behavior Two-Factor PKI

Shared Storage Encryption

Endpoint Encryption

Email Encryption

Cualquier dispositivo Trabajo & Personal Siempre conectado

Nuevas Tecnologías=Nuevos Comportamientos


Networks

Wi-Fi WiMAX

3G VPN

Corporate Kiosk

Nuevo Mundo – Las Personas Son El Nuevo Perímetro

Laptop

PDA

iPad

Desktop

Laptop

PDA

iPad

iPad

PDA

PDA

Laptop

Laptop

Desktop

Desktop

Smartcards

Consumidor Gobierno

Socios

Empleados


El Legado de VeriSign

Experiencia

15 años Validando sitios web,

usuarios y dispositivos, con más

de 400,000 clientes a nivel

mundial

Ancho de Bando Seguro

3 mil millones de

validaciones seguras por día

con 100% de disponibilidad en

los últimos 5 años, en un

modelo Saas


Foco de Autenticación: Hacerlo Fácil

Integración Enrolamiento Soporte


Portal de consumidor, extranet, socios, etc

Red Corporativa

Corporativo Servicio VIP

Usuario

VIP: Autenticación de Dos Factores como un Servicio

PKI RBA

OTP


Una Completa Solución de Autenticación

Autenticación Integrada

Autenticación Inteligente basada en Riesgo

Autenticación Más Robusta

(Usuarios y Sitios)

OTP Móvil

SMS y Voz

Challenge-Response

Flash OTP Browser Toolbar

OTP

EV SSL Cert Secure Seal

Site Auth Image

Certificados Digitales

Tokens OTP

Tarjeta OTP


14

Resumen de los Beneficios de la Tecnología

• Servicios Gestionados minimizan la inversión en tecnología

– Aproximación de “Software as a Service” (SaaS) a la autenticación de dos factores

– No hay servidores adicionales que instalar y gestionar

– Interfaces simples basadas en servicios web SOAP y RADIUS

– Integración puede realizarse en minutos

• Abierto y Preparado para el Futuro

– Estandarización en OATH asegura la interoperabilidad y amplia selección de credenciales

– Estándares abiertos permiten embeber credenciales en dispositivos y aplicaciones

– Motor de validación “conectable” puede aprovechar una inversión existente en credenciales y adaptarse a los avances tecnológicos

• Construido para Crecer

– Las características del producto están diseñadas para resolver los casos de uso propios de instalaciones de gran cantidad de usuarios

Autenticación de Usuarios Symantec – Visión General

Operaciones de los Servicios VIP

• Seguridad Física

– Centro de Cómputo de nivel “Tier 4”, doble nivel de control requerido para acceder material de llaves sensible y funciones de firma digital

– Requerimientos de chequeo de pasado de los empleados

• Certificaciones y Cumplimiento

– PCI , SAS-70 Tipo II

– WebTrust como CA, Certificación “Federal Government PKI”

– Políticas de Seguridad y Prácticas internas de Symantec

• Gestión del Servicio

– Estricto control de cambios para todos los servicios de TI

– Procesos y procedimientos de gestión de incidentes, complementados con ejercicios tipo “incendio” en forma regular

• Monitoreo y Seguridad de Sistemas

– NOC dedicado 24x7

– Servicio externo global de monitoreo de procesos críticos, escaneo diario de vulnerabilidades

– HIDS y NIDS para monitorear los sistemas, aplicaciones y redes

– SSL y S/MIME para comunicaciones encriptadas


Intel Core

con IPT Firmware

software cliente VIP

Ejemplo de Filosofía Embebida: Intel Identity Protection Technology (IPT)

B2E/B2B B2C


http://inhabitat.com/files/dubiotech1.jpg

Portal de Gestión de Fácil Uso


Sitio para Desarrolladores https://vipdeveloper.verisign.com

• El paquete incluye:

– SDKs, código de muestra y documentación

– Aplicaciones demo para plataformas Android, iPhone y J2ME

– Window Mobile SDK


https://vipdeveloper.verisign.com/

https://vipdeveloper.verisign.com/

Autenticación de Usuarios Symantec – Visión General

Symantec User Authentication – Solution Overview

Intelligent Authentication

Autenticación basada en el riesgo

The EV SSL Value Proposition

Address bar turns green

assuring they have

reached the right site

Security status bar

indicates the company

you are talking to

Organization name is

highlighted in green

EV - Prominent in all browsers

The benefits of Extended Validation certificates include:

• Proven to increase online transactions

• Green address bar is the most widely recognized worldwide for a secure site

• Highest level of organization validation defined by the CA Browser Forum

• Industry standard for SSL certificates

Balance de Securidad y Facilidad de Uso

23

Un problema clave al seleccionar soluciones de autenticación

Uso más difícil

Alta seguridad

Fácil uso

Baja seguridad

Insuficiente Seguridad

Symantec™ Managed PKI

Service

Symantec™ VIP

Usuario y contraseña

Complejo uso para algunos usuarios finales

Autenticación por 2 factores

Nada

Autenticación basada en riesgo

Symantec™ VIP Intelligent Authentication

• Protección superior vs. contraseñas

– Analiza el riesgo de la sesión en base a perfilamiento del dispositivo y reglas de comportamiento

• Experiencia transparente para el usuario

– Autentica al usuario en forma invisible, salvo en escenarios de alto riesgo

• Protección contra amenazas, única de Symantec

– Usa el cliente Norton, y “Symantec ™ Global Intelligence Network” para ayudar a bloquear amenazas emergentes

24

Aumentando Symantec™ VIP con autenticación basada en riesgo


Evaluar…

• ¿Conocemos el dispositivo?

• ¿Es aún el mismo dispositivo?

• ¿Es confiable?

• ¿Está actuando como se espera?

25

Combinando autenticación del dispositivo con análisis de riesgo

ID del dispositivo

Huella digital del dispositivo

Reputación del dispositivo

Comportamiento del usuario

Nivel de Riesgo

…y responder

• Bajo riesgo: Otorgar acceso sin desafío adicional

• Alto riesgo: Desafiar al usuario mediante autenticación adicional

Dispositivo desconocido, ID inválido


26


ID del Dispositivo

Device Fingerprint

Device Reputation

User Behavior

Dispositivo conocido con un ID válido

Identifica en forma única un dispositivo conocido

• Computador registrado: Plugin en el navegador usa en certicado del dispositivo

• VIP Access for Desktop: el software de Symantec extracta identificadores adicionales de hardware

• Potenciado con Norton e Intel IPT

• SDK para móviles: VIP OTP para ID del dispositivo

Diferencias mayores, incluyendo versiones anteriores del software instalado

Cambios menores, actualización de software


27


Device ID

Huella Digital

Device Reputation

User Behavior

No hay cambios en la configuración

Evalúa la configuracíón del dispositivo

• Observación pasiva de parámetros de HW y SW desde el navegador

• Técnicas basadas en el navegador para depositar un ID única más un perfile, resistentes a la adulteración

Datos de Symantec™ GIN indican que el dispositivo o la IP son reconocidos como maligno

Chequeo de salud de Norton indica que no ha sido actualizado recientemente


28


Device ID

Device Fingerprint

Device Reputation

User Behavior

Dispositivo “saludable”,“buena” IP

Examina la confiabilidad del dispositivo

• Salud del dispositivo: si el cliente Norton está instalado

• Ubicación de la red: Chequea la IP en “Symantec Global Intelligence Network”

• Ubicación geográfica: Chequea lista de países prohibidos según OFAC (Office of Foreign Assess Control)

Symantec™ VIP Intelligent Authentication – Sales Enablement Training 29

29 29

Dispositivos

gestionados en 70+

países

120 Millones de

sistemas alimentando

amenazas/virus

40,000+ Sensores en

200+ Países

2 mil millones de

eventos por día

Más de 100,000 alertas

de seguridad anuales 200,000 códigos

evaluados diariamente

BD de riesgos

Fraude: Spam

& Phishing

Red de Honeyspot

• 55,000+ technologías de más de 8000 marcas

• 30+ Millones de mensajes de intento por día

• Genera estadísticas con más 1 billón de correos diarios

• Capacidad de locación geográfica de servidores y zombies

• Captura amenazas y ataques previamente desconocidos

Symantec™ Global Intelligence Network (GIN) Visibilidad sin paralelo a fuentes globales de actividad maliciosa

Falla chequeo de dificultad de viaje

Ubicación no conocida anteriormente, viaje factible desde login anterior


30

Autenticación del dispositivo y análisis de riesgo

Device ID

Device Fingerprint

Device Reputation

Comportamiento

Ubicación observada anteriormente, viaje factible

Compara ubicación con historia

• Historia de ubicaciones: Examina si la ubicación está asociada con autenticación exitosa previa

• Chequeo de “viaje difícil” : Compara el delta en la ubicación, con el tiempo desde el último login

Bumper-Bumper Security

31

Monetary Transactions

Bumper – Bumper Security

Login

Log-out

Available Today

Non-Monetary Touch Points

Bumper – Bumper Security, Monetary Transactions

32

Data Inputs

• User ID - Unique User Identifier (can be annonymized)

• Session ID - Login Event Identifier

• Channel Type - Web, Phone

• IA AuthData - Device ID, Device Fingerprint

• Bank ID - Source and/or Destination ID (can be hashed)

• Account ID - Source and/or Destination ID (can be hashed)

• Transaction Amount

• Transaction ID – ID for Auditing and Reporting

• Account Balance

• Transaction Type - t1, t2, t3, where t1 corresponds to Wire Transfer, t2 corresponds to bill payment and so on)

Bumper–Bumper Security, Non-Monetary Touch Points

• Monitor change in User’s Password

• Monitor change in Personal Details

– Email,

– Phone,

– Address

• Monitor change in Security Questions

• Increase Risk when any of the touch points are modified and flag when these changes are combined with any monetary anomalous activity

33

Monitor High Risk Touch Points

Identificando eventos de autenticación riesgosos

34

User Logs In From Home Using Work Laptop

Sunnyvale, United States

IP: 66.135.192.123

OS: Windows 7

Browser: Firefox 5.0

ID del dispositivo conocida

Ubicación concuerda con historia

Perfil del dispositivo sin cambios

Bajo Riesgo, no requiere autenticación adicional

Guangzhou, Guandong

IP: 61.145.127.128

OS: Windows 7


Dispositivo desconocido, no hay ID

Viaje difícil desde login anterior

Perfil sin cambios

Alto riesgo, requiere autenticación adicional


35

Hacker #1: Ataque desde China


36

Hacker #2: Ataque desde Cuba

Havana, Cuba

IP: 61.145.127.128

OS: Windows 7



Orígen en país prohibido

Perfil sin cambios

Alto Riesgo, requiere autenticación adicional

IP: 202.138.101.165

OS: Windows 7


Mumbai, Maharashtra

Dispositivo conocido, ID conocida

Ubicación no esperada

Perfil sin cambios

Mediano riesgo, requiere autenticación adicional


37

Usuario viaje a India con mismo laptop

IP: 202.138.101.165

OS: Windows 7

Browser: Firefox 4.0.1

Mumbai, Maharashtra


Baja de versión en software


Alto riesgo, requiere autenticación adicional


38

Hacker #3: Ataque desde el hotel en la India


39

Usuario actualiza Firefox en el hotel en la India

Mumbai, Maharashtra

IP: 202.138.101.165

OS: Windows 7

Browser: Firefox 6.0a2


IP y ubicación conocidas

Cambio de perfil, actualización de Firefox

Bajo riesgo, no requiere autenticación adicional

Algunos pocos clientes VIP


http://www.ml.com/

http://www.aba.com/

http://www.bms.com/

http://www.qualys.com/

https://www.caremark.com/wps/portal/!ut/p/kcxml/04_Sj9SPykssy0xPLMnMz0vM0Y_QjzKLN4g39DQCSYGYxqb6kWhCjgiRIH1vfV-P_NxU_QD9gtzQiHJHR0UAR1TW7A!!/delta/base64xml/L3dJdyEvd0ZNQUFzQUMvNElVRS82XzBfMUky

http://www.us.hsbc.com/1/2/3

http://www.scottrade.com/

https://addisonavenue.com/securitykey

http://www.imcu.com.au/accessing-your-money-net-tella.html

http://www.teacherscreditunion.com.au/

Symantec User Authentication – Solution Overview

Trusted Bank

Q&A


autenticación de usuarios de cobertura - … · siempre conectado trabajo & personal cualquier...

Documents