ccs - sans 20 critical security controls asegure su empresa en 20 controles - segurinfo 2014 -...
DESCRIPTION
Presentación: Asegure su empresa con 20 controles. Top 20 Critical Security Controls - SANS - CCS (Council on CyberSecurity) Presentación brindada en Segurinfo Argentina 2014 EspañolTRANSCRIPT
![Page 1: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/1.jpg)
![Page 2: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/2.jpg)
Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados
Presentada por:
![Page 3: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/3.jpg)
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
![Page 4: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/4.jpg)
Agenda
Intro
Controles
Conclusiones
Origen
¿Por qué son útiles?
Pilares
20 controles críticos
Grupos de controles
Mitigaciones
5 quick wins
Roadmap
![Page 5: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/5.jpg)
Intro: Abordaje actual
Aplicamos buenas prácticas
A veces a medias…
Hacemos buenas cosas
En lugar de hacer las cosas necesarias…
Muchas veces el árbol no nos deja
ver el bosque…
![Page 6: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/6.jpg)
Intro: Abordaje actual
Tenemos demasiadas herramientas
disponibles
Lo que dificulta decidir cual utilizar 6
![Page 7: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/7.jpg)
Intro: Abordaje actual
Puede que seamos muy exigentes en
algunos puntos…
7
![Page 8: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/8.jpg)
Intro: Abordaje actual
… y poco exigentes en otros.
8
![Page 9: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/9.jpg)
Origen de los controles
Surge del ámbito gubernamental
Primero corregir los males conocidos
NSA + CIS + SANS consorcio
Expansión de miembros a +100
Conocimiento agregado publico/privado
Versión 5 (revs. Cada 6/12 meses desde 2008)
Gestionado por SANS hasta 2013 (hoy por el
Council on CyberSecurity – CCS)
9
![Page 10: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/10.jpg)
¿Por qué son útiles?
Aportantes / Consenso
Foco en acciones de alta prioridad
Casos de éxito
Adoptantes
Herramientas disponibles
Mapeo contra frameworks existentes
Mapa de ruta para mejorar la seguridad
10
![Page 11: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/11.jpg)
Pilares
Ofensa informa a defensa
Priorización
Métricas
Monitoreo continuo
Automatización
11
![Page 12: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/12.jpg)
20 Controles críticos
12
![Page 13: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/13.jpg)
20 Controles críticos
13
![Page 14: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/14.jpg)
Grupos de controles
Gestión de riesgos en activos CSC1- Inventario de dispositivos autorizados y no
autorizados
CSC2- Inventario de software autorizado y no autorizado
CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers
CSC4- Análisis y remediación de vulnerabilidades continua
CSC6 - Seguridad en Software de Aplicación
CSC7 - Control de dispositivos Wireless
14
![Page 15: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/15.jpg)
Grupos de controles
Gestión de riesgos de usuarios CSC12- Uso controlado de privilegios
administrativos
CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria
CSC15- Acceso controlado basado en el "need to know“
CSC16- Control y monitoreo de cuentas de usuario
15
![Page 16: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/16.jpg)
Grupos de controles
Gestión de riesgos de red CSC10- Configuraciones Seguras para
Dispositivos de Red
CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red
CSC13- Defensa perimetral
CSC19 Ingeniería de red segura
16
CSC3
CSC1
![Page 17: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/17.jpg)
Grupos de controles
Prevención y respuesta a incidentes CSC5 - Defensas contra Malware
CSC8 - Capacidad de recupero de datos
CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps
CSC17 -Data loss prevention
CSC18 -Gestión de Respuesta ante Incidentes
CSC20 - Pruebas de Penetración y Hacking Ético
17
![Page 18: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/18.jpg)
Anatomía de un ataque actual
Identificar un objetivo
Analizar vectores de ataque
Explotación
Consolidación (upload/exec/persist)
Realizar conexiones salientes (C & C)
Reconocimiento interno
Pivot dentro de la red
![Page 19: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/19.jpg)
Mitigación de ataques
19
![Page 20: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/20.jpg)
5 Quick Wins
1. App white listing (en CSC2)
2. Standard, secure system configurations (en
CSC3)
3. Patchear software de aplicación dentro de las
48 horas (en CSC4)
4. Patchear software de sistemas dentro de las
48 horas (en CSC4)
5. Reducir el Nro. de usuarios con privilegios
administrativos (en CSC3 y CSC12)
20
![Page 21: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/21.jpg)
Roadmap
1. Gap analisys inicial
2. Plan de implementación en fases
3. Primer fase
1. Mejorar el uso herramientas existentes
2. Incorporar nuevas herramientas
3. Mejora de procesos / skills
4. Integración de controles en la operación +
monitoreo continuo
5. Repetir pasos 3 y 4 para siguientes fases
21
![Page 22: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/22.jpg)
Conclusiones
Controles prioritarios bien fundados
No abarca todos los aspectos de
seguridad punto de partida
Basado en experiencias de ataques
Conceptualización simplificada
Focalización de esfuerzos
No olvidar: Monitoreo continuo +
Automatización
22
![Page 23: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/23.jpg)
Gracias por asistir a esta sesión…
![Page 24: CCS - SANS 20 Critical Security Controls Asegure su empresa en 20 controles - Segurinfo 2014 - Javier Antunez](https://reader034.vdocuments.co/reader034/viewer/2022052602/5599e3341a28ab25668b45cc/html5/thumbnails/24.jpg)
Para mayor información:
(Javier Antúnez)
Para descargar esta presentación visite
www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en