seguridad en sistemas informáticos (ssi) visión...
TRANSCRIPT
![Page 1: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/1.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 1
Seguridad en Sistemas Seguridad en Sistemas Informáticos (SSI)Informáticos (SSI)
Carlos Pérez CondeDepartament d'Informàtica
Escola Técnica Superior d'Enginyeria
Universitat de València
Visión general deVisión general dela seguridad informáticala seguridad informática
![Page 2: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/2.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 2
GuiónGuión
● El proceso de la seguridad
● Riesgos y vulnerabilidades
● La política de seguridad
● Tratamiento de incidentes
![Page 3: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/3.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 3
¿Qué significa seguridad?¿Qué significa seguridad?
● "Un sistema informático (SI) es seguro si se puede depender de que se comporte tal y como de él se espera." [GS96, p. 6]
● Cualquier SI puede ser comprometido:● errores sw/hw● accidentes y causas naturales● ataque con suficientes recursos y conocimientos
● Compromiso: ¿cuántos recursos destinar?● Política de seguridad
● ¿Cómo debe comportarse el sistema?● ¿Cuánto esforzarse en garantizar que se cumple?
● Estrategia de seguridad● ¿cómo conseguirlo?
![Page 4: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/4.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 4
Concepto de seguridadConcepto de seguridad
● Papel del profesional de seguridad: ● ayudar en el establecimiento de la política de seguridad● diseñar e implantar la estrategia de seguridad● comprobar que se cumple la política de seguridad
● La seguridad es un proceso● prevención● detección● reacción
● Requiere participación universal
![Page 5: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/5.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 5
El proceso de la seguridadEl proceso de la seguridad
asegurar preparar
detectar
responder
mejorar
sistema nuevo
Recomendación del CERT(Center for Emergency Response Team)
SKiP(Security Knowledge in Practice)
http://www.cert.org/archive/pdf/SKiP.pdf
![Page 6: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/6.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 6
El proceso de la seguridadEl proceso de la seguridad
asegurarasegurar preparar
detectar
responder
mejorar
sistema nuevo
configurar adecuadamente los sistemas configurar adecuadamente los sistemas para protegerlos frente a ataques conocidospara protegerlos frente a ataques conocidos
- instalar lo mínimo (versiones recientes)- instalar los parches disponibles- denegar primero, permitir después- habilitar el máximo nivel de registro posible
![Page 7: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/7.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 7
El proceso de la seguridadEl proceso de la seguridad
asegurar prepararpreparar
detectar
responder
mejorar
sistema nuevo
caracterizar el sistema para reconocer caracterizar el sistema para reconocer ataques/problemas nuevos/inesperadosataques/problemas nuevos/inesperados
- definir el comportamiento esperado- identificar la información necesaria- gestionar los mecan. de recopilación de infor.- seleccionar, instalar y comprender
las herramientas de respuesta
![Page 8: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/8.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 8
El proceso de la seguridadEl proceso de la seguridad
asegurar preparar
responder
mejorar
sistema nuevo
monitorizar el comportamiento,monitorizar el comportamiento,analizar la necesidad de cambiosanalizar la necesidad de cambios
- detección de comportamiento anómalo- avisos externos de vulnerabilidades- disponibilidad de nuevos parches- disponibilidad de nuevas versiones de sw
detectardetectar
![Page 9: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/9.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 9
El proceso de la seguridadEl proceso de la seguridad
asegurar preparar
detectarmejorar
sistema nuevo
recuperar el comportamiento recuperar el comportamiento normal del sistemanormal del sistema
- establecer el alcance del daño- contener los efectos- eliminar la posibilidad de nuevas intrusiones- devolver el sistema a su funcionamiento normal
responderresponder
![Page 10: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/10.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 10
El proceso de la seguridadEl proceso de la seguridad
asegurar preparar
detectar
responder
mejorarmejorar
sistema nuevo
aprovechar el incidenteaprovechar el incidentepara aumentar la seguridad del sistemapara aumentar la seguridad del sistema
- comunicarse con otros grupos afectados- reunirse para identificar lo aprendido- actualizar políticas y procedimientos- actualizar la configurac. de las herramientas,
seleccionar nuevas herramientas
![Page 11: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/11.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 11
El proceso de la seguridadEl proceso de la seguridad
asegurar preparar
detectar
responder
mejorar
sistema nuevo
Recomendación del CERT(Center for Emergency Response Team)
SKiP(Security Knowledge in Practice)
http://www.cert.org/archive/pdf/SKiP.pdf
![Page 12: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/12.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 12
GuiónGuión
● El proceso de la seguridad
● Riesgos y vulnerabilidades
● La política de seguridad
● Tratamiento de incidentes
![Page 13: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/13.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 13
Requisitos de seguridadRequisitos de seguridad
● Secreto o confidencialidad● lectura● conocimiento de existencia● Ejemplo: empresas e instituciones
(patentes industriales, secretos de estado...)
● Integridad● consistencia de la información● modificación de los datos● Ejemplo: modificación de un saldo
● Disponibilidad● disponibilidad para los usuarios autorizados● evitar el uso no autorizado● Ejemplo: el gusano de Internet
![Page 14: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/14.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 14
Amenazas a los Amenazas a los componentes del sistemacomponentes del sistema
● Soporte físico● disponibilidad: el equipo puede ser dañado● medidas físicas y administrativas
● Soporte lógico (sw)● confidencialidad: copias no autorizadas● integridad: modificación del sw● disponibilidad: borrado o dañado del sw● medidas: administración cuidadosa del sistema
● Datos● confidencialidad: lectura, copia, información indirecta● disponibilidad: eliminación, modificación del control de acceso● integridad: modificación, creación● medidas: administración + colaboración de los usuarios
![Page 15: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/15.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 15
Principios de diseñoPrincipios de diseño
● Principio del menor privilegio● cada acción realizada con los privilegios estrictamente necesarios
● Economía de mecanismos● sencillez para verificación● parte integral del diseño del sistema
● Aceptabilidad● completos, pero sin interferencias innecesarias● sencillos de utilizar
● Intervención completa● todos los accesos deben ser controlados
● Diseño abierto● los mecanismos de seguridad no deben ser secretos
![Page 16: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/16.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 16
GuiónGuión
● El proceso de la seguridad
● Riesgos y vulnerabilidades
● La política de seguridad
● Tratamiento de incidentes
![Page 17: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/17.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 17
Políticas de seguridadPolíticas de seguridad
● Análisis previos:● análisis de las necesidades de seguridad● análisis de riesgos● análisis de costes y beneficios
● La política de seguridad establece:● qué se protege y por qué● quién es responsable de esa protección● cómo resolver problemas derivados de su aplicación
● La política de seguridad del sistema:● debe ser impulsada por la administración de la
empresa/institución● debe ser conocida y comprendida por todos los usuarios
![Page 18: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/18.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 18
Creación de la política de Creación de la política de seguridadseguridad
● Usos y costumbres de los usuarios
● Reglas (escritas y no escritas) y la cultura de la organización
● Redacción del documento● específico● claro● conciso● realista
● Política bien escrita fácil generar una lista →de comprobación de que se cumple
![Page 19: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/19.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 19
GuiónGuión
● El proceso de la seguridad
● Riesgos y vulnerabilidades
● La política de seguridad
● Tratamiento de incidentes
![Page 20: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/20.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 20
Gestión de incidentes de seguridadGestión de incidentes de seguridad
● Preparación
● Detección e identificación
● Contención● contener y limpiar versus observar y aprender● preparar futuros análisis mientras se limita el daño
● Erradicación● reforzar las medidas de prevención (eliminar las nuevas
vulnerabilidades)
● Recuperación● necesidad de reforzar la vigilancia para comprobar la efectividad
de los cambios
● Lecciones aprendidas
![Page 21: Seguridad en Sistemas Informáticos (SSI) Visión …ocw.uv.es/ingenieria-y-arquitectura/seguridad/1Vision_general.pdf · los mecanismos de seguridad no deben ser secretos. 26/02/08](https://reader031.vdocuments.co/reader031/viewer/2022022617/5ba556de09d3f2ee718c8319/html5/thumbnails/21.jpg)
Carlos Pérez, Dpto. de Informática, ETSE, UVEG26/02/08 21
Caso de ejemplo: Caso de ejemplo: descripción de incidentes de descripción de incidentes de
seguridadseguridad● Ejemplo de incidente
● Sun Microsystems Java GIF image processing buffer overflow● US-CERT: http://www.kb.cert.org/vuls/id/388289● CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-0243
● Preguntas● ¿cómo funciona?● ¿qué riesgos supone?● ¿cómo se puede resolver el problema?● ¿cómo se puede resolver el problema en openSUSE 10.3?
● ¿Cómo informar de un incidente?● http://www.cert.org/tech_tips/incident_reporting.html