El Reto de la Seguridad en las Redes de Telecomunicaciones

Transcripción

1 El Reto de la Seguridad en las Redes de Telecomunicaciones Raymundo Villar Senior Manager Offer and Solution Development Caribbean and Latin America Buenos Aires, Octubre 2006

2 Por Qué Preocuparse? Virus, gusanos, spyware, spam, phishing, spoofing Privacidad y propiedad intelectual Leyes (HIPAA, Sarbox, GLBA) Amenazas internas y externas (DoS/DDoS) Gestión de parches, vulnerabilidades de software y códigos maliciosos Gestión de Seguridad Robo de identidad y de información Defensa Interna y Ciberterrorismo Consolidación del negocio Migración a tecnologías complejas Si bien es cierto los riesgos aumentan, las organizaciones no enfrentan el problema adecuadamente 2

3 El Enfoque Actual No Es Suficiente Aislado y Altamente Manual Cada uno resuelve su problema Los parches consumen tiempo Demasiadas soluciones puntuales e identidades que gestionar Reactivo, lento, y no proactivo Hace falta un control de cambios Listas Negras La seguridad se considera un costo Difícil de gestionar El daño ya está hecho Falta de integración HACKER: Solo requiere de UN elemento débil Sabe que la protección no es perfecta Sabe tanto como el protector PROTECTOR: Requiere proteger TODOS los elementos Debe ser experto en diseñar, implementar, configurar y operar redes 3

4 Algunos Datos del Mercado $250K 24% 3.6% $2M por hora >70% 90% 20% Costo promedio por infección de gusanos a empresas Yankee Group Porcentaje de ataques dirigidos, no aleatorios DataPro Ingresos promedio que pierden las empresas 2004 E-Crime Watch Survey, CSO Magazine/US Secret Service/CERT Coordination Center, May 2004 Costo promedio por redes de comunicaciones fuera de servicio Meta Group Cantidad de ataques desde adentro IDC Porcentaje estimado de empresas que tienen ataques cada año Damage Statistics: More Damage Than Statistics?, Meta Group, July 2004 Porcentaje de empleados encuestados que consideran que la seguridad es una preocupación al nivel del CEO Ernst and Young, Global Information Security Survey

5 Retos de las Redes de Telecomunicaciones D A T A B R O V A I D D C E A O S T D V E I O M D N A E N O D V V O I & o C I E P 1. Complejidad de Redes 2. Las amenazas se propagan en velocidad, cantidad y Internet severidad Analog satellite Analog off-air Digital HDTV satellite Digital HDTV off-air OSSs* IP address mgmt IP provisioning DNS DHCP TOD Billing rcvr demod Local pgms rcvr demod Local pgms Internet gateway Firewalls VOD Servers Signal gateway CMS analog mod analog mod analog mod MPEG mux PacketCable Core Router Servers GigE switch Medi a Gateway PSTN Xport Xport OSSs* Xport Native data, Analog video, Digital v ideo Synchronous TDM DWDM SONET/SDH ATM GigE RPR DVB-ASI DVT Xport Ckt Switch Xconnect Circuit Xport Xport Application Servers Xconnect Router Router GigE switch Xconnect Broadband Multimedia CMTS CMTS Local VOD Servers WEB cache servers GR303 gateway Broadcast Video HDT Data, VoIP, Multimedia ASI GigE Ckt voice Hybrid Ckt/ VoIP QAM C O M B I N E R / S P L I T T E r Downstream Fiber Upstream Fiber HFC Fiber Node Applianc es MTA (PacketCable) NIU (Ckt Telephony) Cable Modem (high speed data) Set-top-box (video) Tap Coax 2-way Amps Drop Velocidad 2001: Code Red varios días 2003: Slammer varios minutos Cantidad 2001: 53,000 incidentes 2003: 138,000 incidentes 2004: CERT dejó de contar En Abril y Mayo del 2004 Sasser: Inutilizó computadoras del gobierno de la Unión Europea Sacó de servicio la red financiera de Goldman Sachs Demoró 350 vuelos de Delta Apagó 1600 estaciones de trabajo del correo de Taiwan Anuló la red de trenes de Sidney por 16 horas (300 mil pasajeros) Se requiere un enfoque sistemático de seguridad 5

6 Cuando Uno se ha Metido a un Hoyo Primero hay que dejar de cavar! 6

7 Un Nuevo Enfoque de Seguridad Atributos de una compañía segura: Cuenta con una organización robusta de seguridad de información Identifica los activos críticos y los riesgos Implementa política actualizadas de seguridad, libres de ambiguedades Tiene una arquitectura adaptable de seguridad de información Cuenta con un programa de continuidad del negocio Considera a la seguridad en las etapas de diseño y planificación de redes y procesos Gestionar Evaluar Implementar Planificar y Diseñar La seguridad es un proceso continuo para garantizar que las personas, las redes y la información cuenten con la protección necesaria para llevar a cabo operaciones cotidianas confiables 7

8 ISO (X.805): Un Esquema Completo de Seguridad de Redes Capas de Seguridad VULNERABILIDADES Aplicaciones Servicios Infraestructura Control de Acceso Autenticación No-Repudiación Confidencialidad de Datos Seguidad de Comunicaciones Integridad de Datos Disponibilidad Privacidad AMENAZAS Destrucción Corrupción Eliminación Difusión Interrupción ATAQUES Plano del Usuario Plano de Control Plano de Gestión 8 Dimensiones de Seguridad Los Bell Laboratories proporcionaron los cimientos para la elaboración de las normas de seguridad de la industria 8

9 Qué es ISO (X.805)? El Esquema de Seguridad de los Bell Labs Es la metodología sistemática para implementar una red segura. Consta de tres capas, tres planos y 8 dimensiones de seguridad Organiza la complejidad de una red en requerimientos más gestionables Abarca la totalidad de la red, considerando todos sus elementos Un enfoque común conlleva a un entendimiento cabal Promueve la estandarización como factor esencial para lograr la interoperabilidad en un entorno de varios proveedores Tres interrogantes que reciben respuesta Qué protección requiero y contra qué amenazas? Qué tipos de elementos de red debo proteger y de qué manera? Qué actividades en la red debo proteger? X.805 permite la integración de las redes, las personas y los procesos en un entorno confiable y seguro 9

10 Modelos de Amenaza 1. Destrucción (Se ataca la disponibilidad): Destrucción de la información y/o de otro recursos de la red Ejemplo: (1) Destrucción de un equipo X 2. Corrupción (Se ataca la integridad): Acceso no autorizado a un activo Ejemplos: (1) Cambios a la configuración de la red (2) Cambios a los datos transmitidos 3. Eliminación (Se ataca la disponibilidad): Robo, retiro o pérdida de información y/o de otro recurso de la red Ejemplo: (1) Robo de laptop o de información confidencial 4. Difusión (Se ataca la confidencialidad): Acceso no autorizado a un activo Ejemplos: (1) Captura no autorizada de datos (data sniffing) (2) Uso no autorizado de puntos WLAN 5. Interrupción (Se ataca la disponibilidad): La red no se puede utilizar Ejemplos: (1)Corte de un enlace o cable (2)Ataque de denegación de servicio de la red X 10

11 Ejemplo de Seguridad en un Router Usando X.805 Capa de Infraestructura Capa de Servicios Capa de Aplicaciones Plano de Gestión Módulo Uno Módulo Cuatro Módulo Siete Plano de Control y Señalización Módulo Dos Módulo Cinco Módulo Ocho Plano del Usuario Módulo Tres Módulo Seis Módulo Nueve Usando un Router como Ejemplo: Un router típico no contiene servicios o aplicaciones, de modo que el estudio de seguridad sólo está circunscrito a las celdas de la capa de infraestructura. En este ejemplo, un router tendría 24 celdas en las que debe evaluarse el impacto de la seguridad tomando en consideración el ambiente de amenaza en el que se va a operar. Metodología sistemática y organizada para llevar a cabo estudios y planificar la seguridad de las redes 11

12 Metodología de Evaluación de Seguridad X.805 Estándares: ITU-T Rec. ITU X.805 Rec X.805 VULNERABILITIES Security Planes Security Layers Applications Security Services Security Infrastructure Security End User Plane Control Plane Management Plane Inputs Prueba / Evaluación Access Control Authentication Non -repudiation Data Confidentiality Communication Security Data Integrity Availability Privacy 8 Security Dimensions THREATS Destruction Corruption Removal Disclosure Interruption ATTACKS Prácticas de la Industria NRIC NIST Más de mil ISO/IETF Requerimientos CERT Bell Labs Insights OMC OAM Network Node B ATM Uu Iub ATM RNC Iu-cs/Iu-ps/Iur ATM SGSN Node B Iub Uu 72 factores críticos Arquitectura, Protocolos IP/MPLS Red Objetivo GGSN ATM Node B Iu-cs/Iu-ps/Iur ATM Uu Iub RNC ATM Node B Iub Uu Internet SS7/PSTN Análisis de arquitectura* Entrevistas de seguridad R evisión de políticas Seguridad física Dom inio de red* Análisis de am enazas* Estudio de vulnerabilidad* Pruebas de penetración Pruebas internas Interoperabilidad ability Privacy Data Integrity Resultados Authentication Non-repu Data Confidentiality Management Plane Control/Signalin g Plane User Plane Address Threats in Security Module: Layer & Plane Intersection Reporte de Dimensiones de Seguridad Infrastructure Layer Module One Module Two Module Three Services Layer Module Four Module Five Module Six Applications Layer Module Seven Module Eight Access Control Authentication Module Nine Non-repudiation Communication Security Data Integrity Availability Data Confidentiality Privacy The 8 Security Dimensions Are Applied to Each Security Module Vulnerabilidad de Dominios High Priority Categories 1. Frequency of Security Audits. 2. Documentation of security breaches. 3. Incorporation of Incident Response procedures into security policy. M&Ps for the installation of patches/hot-fixes for discovered security 4. vulnerabilities. 5. Personnel change procedure. 6. Assurance of the security of critical assets. 7. Security awareness. 8. Security training. 9. Hardening procedures for servers that store sensitive customer data. 10. Network element management functions and TCP/UDP ports. 11. Administrative password protection. 12. Protection of sensitive information when transmitted by . Protection of the integrity of stored network element configuration Fortalezas/Mejoras Dimensiones críticas Recomendaciones 13. data. Siguientes Pasos 12 * =Para los dominios de seguridad X.805 identificados

13 Metodología Disciplinada Una metodología definida establece expectativas mensurables y provee un enfoque en base a resultados Las técnicas de evaluación de red se adaptan a la realidad de la red misma Una metodología que provee flexibilidad de despliegue contribuye a resultados eficientes con una interrupción mínima en las operaciones cotidianas Los enfoques consistentes y probados se traducen a un valor elevado del negocio Una metodología probada asegura una solución de alta calidad Los procesos de gestión incorporan la transición de conocimientos e integración de sistemas 13

14 En Resumen Un Enfoque Cabal para la Seguridad de las Redes X.805 / ISO provee una visión integral de seguridad para una red Se aplica a cualquier tecnología de red Fija, móvil, óptica Voz, datos, video, convergente Independiente del fabricante y de la tecnología Se aplica a cualquier función de red Redes de proveedores de servicio (operadores) Redes corporativas o empresariales Redes gubernamentales Redes de gestión/operadores o administrativas Centros de datos Metodología diseñada por los Bell Laboratories La pieza que completa el rompecabezas de seguridad 14

15 Navegando en un Mar de Spam 3.65B 118 TB EE.UU Años 5 Años 1379 Muerte en la Horca Una Multa H. Nelson Número aproximado de s spam transmitidos en los últimos 30 días Número aproximado de spam transmitido en los últimos seis meses Cantidad de veces que se puede almacenar la Biblioteca del Congreso Porcentaje de spam alojado en Estados Unidos Porcentaje estimado de s que son spam País con la mayor cantidad de websites de pesca electrónica (phishing) Marcas secuestradas por pesca electrónica en Setiembre 2005 Según la ley de EEUU, la pena por phishing or robo agravado de identidad Pena si el robo agravado de identidad está relacionado con terrorismo Año en el que el gobierno inglés comenzó a combatir la pesca ilegal Según la ley inglesa de 1379, pena para aquellos hallados culpables de actividades de pesca ilegal o piratería Según la ley actual, pena por pesca ilegal o furtiva Miembro Notable del Escuadrón de Protección de la Pesca de Inglaterra Fuente: CIO Magazine, Enero 15,

16 Raymundo Villar