*su empresa: en la mira del cibercrimenedubasc.org/cursos/seguridad de la...
TRANSCRIPT
Sensibilización hacia la
Seguridad de la Información y
CIBER-SEGURIDAD
Septiembre 2019
Bogotá, D.C.
e-mail: [email protected] : 3188275201
Profesional en Seguridad de la Información
ESTUDIOS REALIZADOS:✓ Magister en Seguridad de la Información (UNIANDES).✓ Ingeniero Electrónico, énfasis en Control e Instrumentación (U.A.N.)✓ Profesional Certificado en Seguridad de la Información (CISSP-ISC2).✓ Analista en Informática Forense (DATA SECURITY, Brasil).✓ Especialista en Seguridad de Redes (ENSA - EC Council).✓ Administrador Certificado de Sistemas (MCSA - Microsoft).✓ Ex-Oficial Naval Armada de Colombia. Curso Inteligencia y Guerra Electrónica (US Navy).
EXPERIENCIA PROFESIONAL:✓ Ciber-defensa: Aseguramiento de Infraestructuras Críticas e Industriales.✓ Compliance: Seguridad de Activos de Información, Privacidad y Seguridad del Recurso Humano.✓ Consultoría: Sector Diplomático, Sector Gobierno y Militar, Sector Finanzas, Sector Real.✓ Oficial de Tecnología: SGSI y Continuidad del Negocio (BANCO MUNDIAL / NACIONES UNIDAS).✓ Líder Regional DRP: Continuidad Informática (BANCO MUNDIAL / IFC Corp. Financiera Internacional).✓ Oficial de Comunicaciones Tácticas: Fuerza Naval del Atlántico (Operación UNITAS - OTAN).✓ Oficial de Operaciones, Radares y Armamento. Unidades de Superficie Armada Nacional.✓ Docente Universitario, Instructor y Conferencista Internacional.
Ingeniero ElectrónicoAntonio Clavijo López
MSc.,CISSP
Sector
Diplomático
AGENDA
• Evolución de las Amenazas
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
5
AGENDA• Evolución de la Amenaza
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
6
SEGURIDAD de la INFO.
Las Nuevas Amenazas
APTs
IoT e IIoT
Amenazas Móviles
Amenazas Cloud
Amenazas Software/RPA
7
8
EVOLUCIÓN DE LAS
AMENAZAS INFORMÁTICAS - APTs
• ADVANCED – Técnicas sofisticadas (AET)
• PERSISTENT – Pueden pasar desapercibidos por años
• THREAT – Amenazan CONFIDENCIALIDAD
INTEGRIDAD y DISPONIBILIDAD
EVOLUCIÓN DE LAS AMENAZAS INFORMÁTICAS APTs
9
VERTICALES en el IoT = INFRAESTRUCTURAS CRÍTICAS
Servicios públicos
Salud
Manufacturero
Financiero
RetailSmart Cities
Industria FinanzasServicios Públicos
IoT - Un nuevo CONTEXTO
10
IIoT
www.kernelsphere.com
Fuente:ISACA
IoT - AMENAZAS
12
“70% de los dispositivos mas comunes de IoT contienen Vulnerabilidades.” (HP)
Internet of things research study 2015 report - HP
IoT - AMENAZAS
13
SEG. DE LA INFORMACIÓN
Las Nuevas Amenazas
14
Amenazas Móviles
• SMISHING• PHISHING• Spyware• Hot Spots WiFi• Spoofing• CRIPTO débil• Tokens compartidos
9
15Fuente: https://www.cybersecobservatory.com/
SEG. DE LA INFORMACIÓN
Amenazas CLOUD
El SDLC
DevSecOps
AGENDA• Evolución de las Amenazas
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
18
– NC, Hacker Ruso
“Todo esta abierto, solo debes poder verlo”
“Tuve una época difícil y necesitaba dinero. Yo
solo hice un software, no se para que lo usaron.” – Eas7, Hacker Rusa
19
Imag
en
: http
s://g
estio
n.p
e/te
cn
olo
gia
El “Camino de Seda”
CIBERCRIMEN
20
CLEAR WEB
DEEP WEB
DARK WEBImagen: www.helpmycash.com
INTERNET
¡No es lo que parece!
Navegación anónima…
para quién?
Un día cualquiera en la
OFICINA …
25
26
La familia del MAL…WARE
• Virus: Dependen de un archivo portador y acción del usuario.
• Worms (Gusanos): Se esparce rápidamente sin necesidad de
un archivo portador ni ejecución del usuario.
• Bombas lógicas: Se activan luego de un período
de tiempo o por determinada acción del sistema / usuario.
• Troyanos: programas aparentemente inofensivos, con
“payload”.
• Back doors y Root Kits: Mecanismos alternos para acceso
al programa creados por desarrolladores de programas y/o
atacantes.
PHISING… a Criminales
VIDEO• ¡ Tu carro puede ser HACKEADO !
¿Y si sucediera? ¡ Míralo por tí mismo !
Imagen WALT DISNEY
CIBERTERRORISMO
RANSOMWorms
Ataques Masivos y Direccionados
30
Imagen: https://securityintelligence.com/
CIBERTERRORISMOOctubre 22 de 2016
31
CIBERGUERRA
Definición
“La ciberguerra es un área dentro de las agencias militares
de los países que tiene como objetivo encontrar las
vulnerabilidades técnicas de los sistemas o redes
informáticas del enemigo para penetrarlas y atacarlas, tanto
así como para extraer datos e información sensible.”
www.pensamientopenal.com.ar/
Todo tan
normal…
STUXNETQui Erat?
NATANZ - Irán
STUXNET
• Infraestructuras Críticas (IC) vulnerables
• Preocupación a nivel nacional (CONPES “Seguridad
Digital”)
• Sistemas de Control Industrial: ahora están en Red!
• Ciberespionaje
Imagen wallstreetdaily.com
37
CIBERINTELIGENCIA - CONPESCIBERINTELIGENCIA - CONPES
Infraestructuras Críticas
38
STUXNET y el efecto “Pandora”
¿ Y si todo esto se sale de control?
Control a las
CIBEROPERACIONES
AGENDA
• Evolución de las Amenazas
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
41
QUE ES UNA AMENAZA?
Cualquier hecho que puede
producir daño.
Según ISO 27005:
“Una amenaza es todo aquello tiene el
potencial de dañar activos de información,
procesos y sistemas, y por ende a las
organizaciones.”
42
QUE ES UNA VULNERABILIDAD?
Es una falla en el Sistema por error, por
desconocimiento o por negligencia.
Según ISO 27005:
“Es una debilidad en la organización,
sistemas informáticos o la red que
puede ser aprovechada por una
amenaza.”
43
QUE ES RIESGO?
Riesgo: Toda situación que impida
el cumplimiento de los objetivos.
Definición según ISO 27005:
“Riesgo de seguridad de la información: PROBABlLIDAD
que una Amenaza aproveche (a traves de un exploit) una
vulnerabilidad de un activo y cause IMPACTO a la
organización.”
Guidance Consulting, Inc.
44
Ejemplo de gestión del riesgo informático (Clásico):
AMENAZA – Software malicioso (Crackers).
VULNERABILIDAD – Contraseñas fáciles de adivinar.
RIESGO – Alta probabilidad de acceso no autorizado a
sistemas de la organización generando el robo / sabotaje de
información crítica.
CONTROL – Autenticación Biométrica.
45FUENTE: http://www.pi-news.net/
Evaluación del Riesgo Informático
Matriz RAM
IMPACTO
PR
OB
AB
ILID
AD
Análisis Cualitativo vs. Cuantitativo
46
TSUNAMI
RANSOMWARE
APAGÓN
2016 World Economic Forum
PROBABILIDAD
IM
PA
CT
O
ROBO DATOS FRAUDE
ATAQUES a ICs
CIBERATAQUES
Tendencias - Riesgos Globales
2016
Dinámica - Riesgos Globales 2019
2018 World Economic Forum
ROBO DATOS FRAUDE
ATAQUES a ICs
CIBERATAQUES
48
CIBERINTELIGENCIA
A Nuevas Amenazas …
NUEVAS ESTRATEGIAS
Ejemplo de gestión del riesgo informático (ACTUAL):
AMENAZA – Botnets IoT, Crimen Organizado / Terroristas informáticos /
Cibermercenarios / Países Adversarios y/o Hacktivistas.
VULNERABILIDAD – Todas las Humanas, Tecnológicas, Físicas y
Naturales juntas están a disposición del atacante (INGSOC y CaaS).
RIESGOS – Pérdida de vidas humanas, conflicto bélico entre naciones,
guerra civil, colapso financiero, daños a infraestructuras críticas, epidemias,
escasez de alimentos, medicamentos, etc.
CONTROL – Inteligencia Artificial, Sensores basados en Comportamiento,
Minado de BigData y Metadata, Ciberinteligencia, Cibercontrainteligencia.
49
Áreas de
Preocupación
50
AGENDA
• Evolución de las Amenazas
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
52
Algunos ejemplos:
• Software propietario y Apps móviles
• Plan estratégico de negocios
• Trade secrets (Secretos Comerciales)
• Nómina de la empresa
• Listado de teléfonos de los empleados
• Servidores de e-mail y de Documentos
• Routers y Switches (Comunicaciones)
• Base de datos de clientes
• Firewalls e IDS (Sistemas de Seguridad)
ACTIVOS DE
INFORMACIÓN
53
Valor económico
Cuanto pagaría mi competencia por conocer esta información? / Cuánto me costaría reconstruirla?
Edad / Vida útil
Sigue esta información teniendo validez?
Sigue siendo de aplicabilidad?
Dependencia - Es un punto unico de Falla?
Privacidad - Es información de tipo personal?
Normatividad
La empresa se expone a sanciones al no proteger la información?
ACTIVOS DE INFORMACIÓNCRITERIOS DE CLASIFICACIÓN
54
Depende de cada empresa / entidad. Por ejemplo:
• Publica: Puede ser de conocimiento abierto, su
exposición no es grave
• Sensitiva: Énfasis en confidencialidad e integridad
(Impacto leve)
• Privada: Información Personal, uso interno
(Impacto moderado), posibles sanciones
• Confidencial: Muy Sensible , su conocimiento
podría impactar fuertemente a la compañía
ACTIVOS DE INFORMACIÓNESQUEMA DE CLASIFICACIÓN
55
• Solo permitir acceso al sistema y sus recursos a
usuarios, programas y procesos debidamente
autorizados.
• Procedimientos ejecutados por hardware,
software y administradores.
• Una vez otorgados, se deben monitorear los accesos.
ACTIVOS DE INFORMACIÓNCONTROL DE ACCESO
• Identificación.
– Se refiere al acto de proveer credenciales que permitan determinar la identidad de un sujeto.
• Autenticación.
– Se refiere a la comprobación de las credenciales recibidas, con el objetivo de determinar si el sujeto es quien dice ser.
• Autorización.
– Se refiere a la determinación de los permisos de acceso de un sujeto identificado y autenticado, sobre un objeto.
“El Triple A del Control de Acceso”
ACTIVOS DE INFORMACIÓNCONTROL DE ACCESO
Regla del Mínimo Privilegio (Least Privilege)
Cualquier sujeto (usuario, administrador, programa, sistema) debe tener
el mínimo privilegio de acceso al objeto, solo el que que sea
absolutamente necesario para realizar sus tareas específicas y nada
mas.
Limita la exposición a ataques y el daño que estos puedan ocasionar.
Ejemplo: En Bases de Datos el operador que realiza consultas
debe tener solo acceso READ a los registros, no MODIFY, ni
DELETE.
• El acceso se otorga con base en un modelo de seguridad y reglas
determinadas (MAC, DAC, RBAC).
ACTIVOS DE INFORMACIÓNCONTROL DE ACCESO
58
DAC - Discrecional
RBAC - Roles
CBAC - Contexto
MAC - Mandatorio
ACTIVOS DE INFORMACIÓNMODELOS DE ACCESO
IMAGEN: PanCom
Interfaces de usuario restringidas (DBs)
Matrices RACI
Matrices de Acceso
Sistemas Dedicados
ACTIVOS DE INFORMACIÓNMECANISMOS DE CONTROL DE ACCESO
IMAGEN Socialh
• Tipo 1: Algo que conoces.
• Tipo 2: Algo que tienes.
• Tipo 3: Algo que eres (físicamente).
• Autenticación de dos factores (two-factor) se refiere
a la utilización de dos tipos de los anteriores para la
realización de la autenticación.
ACTIVOS DE INFORMACIÓNTIPOS DE CONTROL DE ACCESO
61
Algo que conoces
• Caso ideal: “one-time password”.
• Contraseña estática: aquella que se mantiene
durante cada sesión de logon.
• Contraseña dinámica: aquella que cambia cada vez
que el usuario se identifica.
• Passphrase: secuencia de caracteres, usualmente de
mayor longitud de la permitida para un contraseña.
K0ntraZ3nh@ D1f!Z1l d3 Ad1v!n@RyR3c0rd@r
ACTIVOS DE INFORMACIÓNTIPOS DE CONTROL DE ACCESO
62
Algo que eres
• Sistemas Biométricos:
– Método automatizado de autenticación de un sujeto vivo
basado en aspectos fisiológicos o de comportamiento.
– Tipos de Biometría:
Huellas digitales, Retina, Iris, Cara, geometría
de la Mano, Voz.
Dinámica de la firma a mano alzada.
Movimiento. Ej. MISIÓN IMPOSIBLE (-;
Compromiso entre Precisión y Aceptación
ACTIVOS DE INFORMACIÓNTIPOS DE CONTROL DE ACCESO
63
Algo que tienes
• Estos dispositivos son generadores de passwords, usualmente cuentan con un visor de LCD.
• Se encuentran separados de la computadora
a la que se quiere acceder.
• Requiere estar sincronizado con el servidor
de autenticación o utilizar un esquema de reto-respuesta.
• Solo el Token y el servicio de autenticación conocen el algoritmo de generación del código de acceso.
ACTIVOS DE INFORMACIÓNTIPOS DE CONTROL DE ACCESO
64
VIDEO:
EC3 - ALIANZA EUROPEA CONTRA EL CIBERCRIMEN
Imagen https://www.elintransigente.com/tecnologia/
65
AGENDA
• Evolución de las Amenazas
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
66
RIESGO: REVELACIÓN
AFECTA : CONFIDENCIALIDAD
RIESGO: MODIFICACIÓN,
AFECTA: INTEGRIDAD
Evitar divulgación a personal no autorizado o que no tiene necesidad de conocer la info. (Compartimentación)
Evitar manipulación errónea, con o sin intención, que altere la confiabilidad de la información.
CIDGarantizar el acceso a la info. en todo tiempo y lugar.
RIESGO: DAÑO
AFECTA: DISPONIBILIDAD
LA TRÍADA DE SEGURIDAD
DE LA INFORMACIÓN
de la ECONOMÍA Digital
67
DIC
LA TRÍADA DE SEGURIDAD
DE LA INFORMACIÓN
de la INDUSTRIA 4.0
68
AGENDA
• Evolución de las Amenazas
• Ataques Informáticos
• Riesgo Informático
• Activos de Información
• El Triángulo CID
• Conciencia y Controles
69
CONCIENCIA - Señuelos
• Programas con la misma presentación que los originales para capturar información sensible (ej. usuario y contraseña)
• “Fake Gina”emulaba la pantalla de arranque de Windows 2000. hoy se usa el PHISHING, SMISHING, SPEARPHISHING, etc.
CONCIENCIA - “Basurología”
• Búsqueda de información critica y útil, en la basura de la compañía
• Búsqueda de información en los temporales y archivos descartables del sistema
• Es una de las formas mas habituales
para buscar información antes de un
ataque…
• Desechos tecnológicos por doquier!
CONCIENCIA
Espionaje Industrial
• Robo de información propietaria con fines económicos.
• Técnicas utilizadas:
• Robo de moldes, patrones de producción, planos, etc.
• Hacking (intrusión informática)
• Interceptación de comunicaciones
• Acceso no autorizado a instalaciones
• Ingeniería SOCIAL y “BASUROLOGÍA”
72
CONTROLESCifrado de la Información
HOLA !!!XY23@ENC DEC
INTRUSO
CRIPTOGRAFÍA
CRIPTOGRAFIA SIMETRICA
CONTROLESCifrado de la Información
74
• Tipos de Algoritmos Simétricos:
• IDEA
• BLOWFISH
• DES
• 3DES
• AES
Imagen: tripwire.com
CONTROLESCifrado de la Información
75
Criptografía de
Clave Pública o
Asimétrica
Permite verificar la Autenticidad y la INTEGRIDAD
CONTROLESCifrado de la Información
76
• Es el aprovechamiento de los gustos, curiosidad e ingenuidad de las personas para convencerlas de que ejecuten acciones o actos que puedan revelar información.
• No se usan herramientas tecnológicas.
• Fallas del factor humano o en los
procedimientos de la empresa.
• Puede ser vía telefónica, mail o en persona.
CONTROLESIngeniería Social
77
• Objetivo: “Establecer un marco gerencial para iniciar y controlarla implementación y operación de Seguridad de Información enla organización.”
• Lineamientos:
• Observar las Políticas establecidas.
• Definir responsabilidades para
Gestión del Riesgo.
• Definir responsabilidades para
protección de Activos.
• Definir procesos para Seguridad y Activos.
• Definir niveles de Autorización.
CONTROLES:ORGANIZACIÓN DE LA SEGURIDAD
Imagen: blogs.office.com78
Separación de Tareas
“Quien controla no ejecuta.”
Un individuo no puede ser responsable de aprobar su propio trabajo.
“Quien ejecuta tareas críticas no lo debe hacer solo.”
Nadie debe ser responsable único de realizar una tarea que involucra información sensitiva de principio a fin.
CONTROLES:
SEGURIDAD DEL RECURSO HUMANO
79
Contratos de Empleo
•Pueden contener una cláusula de No- Competencia
•Deben contener una cláusula de CONFIDENCIALIDAD
•Deben existir restricciones a la distribución de información corporativa (Política de Difusión de Info.)
CONTROLES:
SEGURIDAD DEL RECURSO HUMANO
80
75
POLÍTICAS DE SEGURIDAD
• Título - A qué hace referencia la Política?
• Propósito – Para qué se formula?
• Alcance – A qué área / grupo compete? Qué responsabilidades
y roles establece? Que activos de información incluye?
• Leyes, Normas y Estándares – Cómo se debe implementar?
• Procedimiento – Cuál es el paso a paso para implementarla?
• Cumplimiento – Qué pasa si no se cumple? Habrá sanciones?
• Glosario e Historial de Revisiones (versión)
Ele
me
nto
s d
e u
na
Po
líti
ca
CONTROLES:
SEGURIDAD DEL RECURSO HUMANO
81
Terminación y Despido
Políticas y Procedimientos definidos por RR.HH. / Seguridad /
Tecnología / Finanzas y demás áreas de la Organización:
– Inhabilitación/ borrado de cuentas de usuarios
– Reenvío del e-mail y del correo de Voz
– Cambios en las cerraduras
– Inhabilitar contraseñas de sistemas
– Recuperación de computadores
– Recuperación y desactivación de
dispositivos de autenticación (Security Tokens)
CONTROLES:
SEGURIDAD DEL RECURSO HUMANO
82
VIDEO:
Nuestro mundo interconectado está en riesgo…
Imagen: www.ccn.com
83
Objetivo: Verificar que los controles implementados cumplan con la función para la cual fueron diseñados y generen los resultados esperados.
Diferentes Metodologías:
• ISACA• ISO 27007
CONTROLES: AUDITORÍA DE SEGURIDAD INFORMÁTICA
84
• Registros de Auditoría:
– Permiten seguir el historial de modificaciones
de todo tipo (TRAZABILIDAD)
– Permite cumplir con el concepto de
“Asignación de Responsabilidad”
CONTROLES: AUDITORÍA DE SEGURIDAD INFORMÁTICA
85
• La auditoria abarca, entre otros temas:
– Controles de Backup (copias de seguridad)
– Control de las transacciones
– Controles en las librerías de datos
– Estándares de desarrollo de sistemas y SOFTWARE
– Seguridad del Data Center
– Planes de Contingencia
– Etc…
CONTROLES: AUDITORÍA DE SEGURIDAD INFORMÁTICA
86
Medios de Almacenamiento
– Registro de uso de medios (logging).
– Control de accesos Físicos y Lógicos a los medios.
– Pruebas de Recuperación de Información.
– Eliminación/ borrado / Destrucción
(data remanence).
– Etiquetado.
– Trato (uso y transporte de los medios
de almacenamiento).
– Archivo (medio ambiente
controlado, seguridad física).
CONTROLES
87
DMZ
INTERNET
LAN
FIREWALL
CONTROLES DE COMUNICACIONES:FIREWALLS
88
Continuidad procesamiento datos
– Acuerdos de ayuda mutua.
– Servicios de Subscripción.
•Hot Site. CALIENTE
•Warm Site. TIBIO
•Cold Site. FRIO
– Centros Móviles (PODs)
– Servicios de suministro de
Hardware y Software.
CONTROLES: CONTINUIDAD
DEL NEGOCIO
89
Controles Administrativos: Esta categoría incluye políticas y
procedimientos, concientización, entrenamiento, estudio de
antecedentes, estudios de hábitos de trabajo, supervisión, etc.
Controles Lógicos y Técnicos:
Implica la restricción del acceso a
los sistemas y la protección
de la información: Contraseñas,
encriptación, tarjetas, ACLs, etc.
Controles Físicos: incluye guardias,
seguridad física del edificio, CCTV,
barreras perimetrales, etc.
CLASIFICACIÓN DE CONTROLES
90
• Preventivo: Previene la ocurrencia de hechos
maliciosos
• Detectivo: Informa durante
la ocurrencia de un evento
malicioso
• Correctivo: Minimiza el impacto y /o hace
restauración a la situación original, luego de una
ocurrencia maliciosa
CLASIFICACIÓN DE CONTROLES
91
Fuente: Vergara, González, Clavijo, Henao, Proyecto COSD, 2016
CONTROLES CORRECTIVOS:MANEJO DE INCIDENTES
CONTROLES: DIFUSIÓN DE LA INFORMACIÓN
Protocolos de Intercambio de Eventos
93
La dependencia creciente en los sistemas hace que la Seguridad
de Información sea prioridad de las organizaciones.
Los avances tecnológicos traen nuevas oportunidades pero
también nuevas amenazas y riesgos.
La Seg. de la Información es un proceso, no un proyecto a corto
plazo: requiere planeamiento y seguimiento constante.
La Seg. de la Información es transversal a todas las áreas de la
organización y requiere la sinergía entre las mismas.
Un exitoso plan de Seg. de la Información requiere del apoyo de la
Alta Gerencia y de establecer claras Políticas y Procedimientos.
La Ley exige a las empresas observar la Seg. de la Información.
CONCLUSIONES
94
Amenazas en la Nube – Cloud Computing:
http://www.cloudsecurityalliance.org/topthreats
MALWARE - Microsoft Security Report: http://www.microsoft.com/security/sir/default.aspx
Gestión del Riesgo:
NIST – Risk Management Guide for IT Systems (SP 800-30)
Seguridad Informática – Conceptos y Definiciones:
“CISSP All in One”, Shon Harris, 5a Edición.
I-SEC de Colombia, Material de Estudio:
CISSP BOOTCAMP y Seminario RISK MANAGEMENT.
BIBLIOGRAFÍA Y REFERENCIAS
Cuidado con la Webcam – Usos Positivos y Riesgos – 4 minhttp://www.youtube.com/watch?v=JgzHphn5ldYExtorsion Virtual 2:55 minhttp://www.youtube.com/watch?v=H_v0v70WFaA&feature=fvwp&NR=1Joven asesinada por amigos / Facebook – 6 minhttp://www.youtube.com/watch?v=ElxGQXmdD-QRedes Sociales – Peligro – 4:12 minhttp://www.youtube.com/watch?v=HTvAXweqNMUCiberbullying (Ciberacoso) - 3:00 minhttp://www.youtube.com/watch?NR=1&v=SEC_dOWFN5M&feature=endscreen
VIDEOS SEGURIDAD DE LA INFORMACIÓN
96