Seguridad y Alta Disponibilidad Adopción de pautas de seguridad informática

Transcripción

1 Seguridad y Alta Disponibilidad Adopción de pautas de seguridad informática Carlos Villarrubia Jiménez Escuela Superior de Informática Universidad de Castilla-La Mancha

2 Contenido Principios de seguridad informática Seguridad física Seguridad lógica Análisis forense en sistemas informáticos

4 Principios de seguridad informática Definición Objetivos de la seguridad informática Defensa en profundidad Servicios de seguridad informática Gestión de la seguridad de la información Vulnerabilidades de los sistemas informáticos Amenazas a la seguridad informática

6 Definición de seguridad informática La preservación de la confidencialidad, la integridad y la disponibilidad de la información, pudiendo, además, abarcar otras propiedades, como la autenticidad, la responsabilidad, la fiabilidad y el no repudio (ISO/IEC )

7 Definición de seguridad informática Serie de mecanismos que minimizan la vulnerabilidad de bienes y recursos en una organización (ISO ) Medidas y controles que aseguran la confidencialidad, integridad y disponibilidad de los activos de los sistemas de información, incluyendo hardware, software, firmware y aquella información que procesan, almacenan y comunican (Infosec Glossary-2000)

9 Objetivos principales de la seguridad informática Confidencialidad: La propiedad por la que la información no se pone a disposición o se releva a individuos, entidades o procesos no autorizados Integridad: La propiedad de salvaguardar la exactitud y completitud de los activos Disponibilidad: La propiedad de ser accesible y utilizable por una entidad autorizada Activo: Cualquier bien que tiene valor para la organización

10 Objetivos deseables de la seguridad informática Autenticidad: Característica que se refiere a la comprobación y confirmación de la identidad real de los activos (procesos, sistemas, información) y/o actores (usuarios) y/o de la autorización por parte de los autorizadores, así como la verificación de estas tres cuestiones Fiabilidad: Propiedad relativa a la consistencia en el comportamiento y en los resultados deseados No repudio:característica que permite garantizar la autoría de un mensaje y/o su envío

12 Defensa en profundidad Diseño e implementación de varios niveles de seguridad dentro del sistema de información de la organización La seguridad de la organización es el resultado de operaciones realizadas por personas y soportadas por la tecnología

13 Niveles de defensa en profundidad Políticas y procedimientos de seguridad Seguridad física y del entorno Defensa perimetral Defensa de red Defensa de equipos Defensa de aplicaciones Defensa de datos

15 Servicios de seguridad informática Confidencialidad, integridad y disponibilidad Autenticación, autorización y auditabilidad No repudio Anonimato Protección a la réplica Referencia temporal (certificación de fechas) Certificación mediante Terceros de Confianza

17 Gestión de la seguridad de la información Sistema de Gestión de la Seguridad de la información (SGSI): La parte del sistema de gestión general, basada en un enfoque de riesgo empresarial, que se establece para crear, implementar, operar, supervisar, revisar, mantener y mejorar la seguridad de la información

18 Recursos del sistema Son los activos a proteger del sistema de información: Recursos hardware Recursos software Elementos de comunicación Información que se almacena, procesa y distribuye Locales y oficinas Personas que utilizan directa o indirectamente el sistema Imagen y reputación de la organización

19 Amenazas Posible causa de un incidente no deseado, el cual puede ocasionar un daño a un sistema o a una organización

20 Origen de las amenazas Amenazas naturales: inundación, incendio, tormenta, fallo eléctrico, explosión, etc... Amenazas de agentes externos: virus informáticos, ataques de una organización criminal, sabotajes terroristas, disturbios y conflictos sociales, intrusos en la red, robos, estafas, etc... Amenazas de agentes internos: empleados descuidados con una formación inadecuada o descontentos, errores en la utilización de las herramientas y recursos del sistema, etc...

21 Intencionalidad de las amenazas Accidentes: averías del hardware y fallos del software, incendio, inundación, etc... Errores: errores de utilización, de explotación, de ejecución de procedimientos, etc... Actuaciones malintencionadas: robos, fraudes, sabotajes, intentos de intrusión, etc...

22 Vulnerabilidad Debilidad de un activo o grupo de activos que puede ser explotada por una o más amenazas

23 Incidente de seguridad Un único evento o una serie de eventos de seguridad de la información, inesperados o no deseados, que tienen una probabilidad significativa de comprometer las operaciones empresariales y de amenazar la seguridad de la información Es decir, se considera que un incidente es la materialización de una amenaza

24 Impacto El impacto es la medición y valoración del daño que podría producir a la organización un incidente de seguridad

25 Riesgo Es la posibilidad de que se produzca un impacto determinado en un activo, en un dominio (conjunto de activos) o en toda la organización; este impacto se puede producir debido a que una amenaza explote vulnerabilidades para causar perdidas o daños

26 Ejemplo de evaluación del nivel de riesgo Activo: servidor de ficheros Amenaza: fallo hardware en un servidor con una probabilidad de ocurrencia baja (una vez cada 5 años) Vulnerabilidad del sistema: alta ya que no se dispone de un servidor alternativo ni de medidas redundantes (discos RAID, etc...)

27 Ejemplo de evaluación del nivel de riesgo Impacto: indisponibilidad durante 24 horas de activo afectado hasta su reposición. Impacto de nivel alto Nivel de riesgo: se obtiene a partir de las tablas de valoración adoptadas teniendo en cuenta que la amenaza es baja, la vulnerabilidad es alta y el impacto es alto

28 Defensas, salvaguardas o medidas de seguridad Una defensa, salvaguarda o medida de seguridad es cualquier medio empleado para eliminar o reducir un riesgo. Su objetivo es reducir las vulnerabilidades de los activos, la probabilidad de ocurrencia de las amenazas y/o el nivel de impacto en la organización

29 Tipos de medidas de seguridad Medida de seguridad activa: Cualquier medida utilizada para anular o reducir el riesgo de una amenaza Medidas de prevención: aplicación antes del incidente (autenticación de usuarios, control de acceso, cifrado de datos, formación, etc.) Medidas de detección: aplicación durante el incidente (sistema de detección de intrusos, análisis de los registros de actividad, etc.)

30 Tipos de medidas de seguridad Medida de seguridad pasiva: Cualquier medida empleada para reducir el impacto cuando se produzca un incidente de seguridad. Son medidas de corrección (se aplican después del incidente). (copias de seguridad, plan de respuesta a incidentes, etc.)

31 Riesgo residual Es el riesgo que se da tras la aplicación de salvaguardas dispuestas en un sistema Siempre va a existir un riesgo residual que la organización debe asumir

32 Evaluación y gestión de riesgos

33

35 Vulnerabilidades de los sistemas informáticos Diseño Debilidad en el diseño de protocolos utilizados en las redes Políticas de seguridad deficientes e inexistentes Implementación Errores de programación Existencia de puertas traseras en los sistemas informáticos Descuido de los fabricantes

36 Vulnerabilidades de los sistemas informáticos Uso Configuración inadecuada de los sistemas informáticos Desconocimiento y falta de sensibilización de los usuarios y de los responsables de informática Disponibilidad de herramientas que facilitan los ataques Limitación gubernamental de tecnologías de seguridad

37 Análisis y evaluación de vulnerabilidades Metodologías de evaluación de vulnerabilidades: NIST SP , OWASP, OSSTM Test de penetración Externos Internos Vulnerabilidad del día cero: Vulnerabilidad con amenazas conocidas que no dispone de salvaguarda directa para su eliminación CVE: Formato de identificación de vulnerabilidades que asigna un identificador único a cada vulnerabilidad publicada

38 Tendencias en las vulnerabilidades

40 Amenazas a la seguridad informática Tipos de intrusos Fases de un ataque Herramientas para llevar un ataque Tipos de ataques

41 Tipos de intrusos Hackers Crackers Phreakers Sniffers Spammers Piratas informáticos Creadores de virus y programas dañinos Lamers Personas interno Ex-empleados Intrusos remunerados

42 Fases de un ataque Descubrimiento y exploración de sistemas Búsqueda de vulnerabilidad en el sistema Explotación de las vulnerabilidades detectadas Corrupción o compromiso del sistema Eliminación de las pruebas del ataque

43 Herramientas utilizadas Escáneres de puertos Sniffers Exploits Backdoors kits Rootkits Auto-rooters Password crakcers

44 Herramientas utilizadas Generadores de virus y software malicioso Herramientas que facilitan la ocultación y suplantación ( spoofings ) Herramientas de cifrado para dificultar la detección de ataques

45 Tipos de ataques informáticos Actividades de reconocimiento de sistemas Detección de vulnerabilidades en los sistemas Robo de información mediante la interceptación de mensajes Modificación de contenido en mensajes transmitidos

46 Tipos de ataques informáticos Ataques de suplantación de la identidad IP spoofing DNS spoofing SMTP spoofing Captura de cuentas de usuario y contraseñas Modificación del tráfico y de las tablas de enrutamiento Conexión no autorizada a equipos

47 Tipos de ataques informáticos Introducción en el sistema de malware Virus Troyanos Gusanos Ataques de Cross-Site Scripting (XSS) Ataques de inyección de código SQL

48 Tipos de ataques informáticos Ataques contra los sistemas criptográficos Fraudes, engaños y extorsiones Denegación de servicio Denegación de servicio distribuido

50 Seguridad física - Disponibilidad Tolerancia a fallos Recuperación de sistemas

51 Tolerancia a fallos Fallos en el suministro eléctrico Protectores de sobretensión Sistemas de alimentación interrumpida Sistemas de alimentación alternativos Detección y extinción de incendios Calefacción, ventilación y aire acondicionado Temperatura: Entre 15º y 23º Humedad relativa: Entre 40% y 60%

52 Seguridad en medios de almacenamiento Tipos de almacenamiento: Almacenamiento directamente conectado (DAS) Almacenamiento conectado a la red (NAS) Redes de almacenamiento (SAN)

53 Sistemas RAID Conjunto redundante de discos independientes Configuraciones más típicas: RAID 0 (Conjunto dividido) RAID 1 (Conjunto en espejo) RAID 5 (Conjunto dividido con paridad distribuida)

54 RAID 0

55 RAID 1

56 RAID 5

57 Recuperación de sistemas Cuando todo falla sólo existe una solución para retornar a la normalidad: acudir a las copias de respaldo y restaurar el sistema al estado cuando se realizo la última copia de seguridad

58 Copias de seguridad del sistema de archivos Qué copiar? Cómo copiarlo? Con que frecuencia? En qué tipo de soporte almacenarlo? Durante cuánto tiempo? Dónde guardar las copias? Quién las hace?

59 Información a copiar Información de sistema Información de usuario/aplicación Es aconsejable separar en unidades distintas la información de sistema y de usuario/aplicación

60 Tipos de copia de seguridad Copia de seguridad completa: Todos los archivos se copian. La primera copia siempre debe ser completa Copia de seguridad incremental: Sólo se copian los archivos modificados desde la última copia de seguridad completa o incremental. Copia de seguridad diferencial: Sólo se copian los archivos modificados desde la última copia de seguridad completa

61 Comparación entre métodos Método de copia Espacio de almacenamiento Proceso de creación Proceso de restauración Cuándo usarlo Completo Máximo posible Muy lento Sencilo Pocos datos Completo + Incremental Mínimo posible Rápido Laborioso Muchos datos que cambian frecuentemente Completo + Diferencial Muy grande Lento Sencillo Muchos datos que cambian lentamente

62 Duración de las copias de seguridad Objetivo: Conservar la información el mayor tiempo posible en el menor espacio de almacenamiento posible Estrategias de rotación más utilizadas: Padre-Hijo: 4 cintas para copias diarias (hijo) y 2 cintas para copias semanales (padre). 6 cintas para 6 días de recuperación Abuelo-Padre-Hijo: 4 cintas para copias diarias (hijo), 3 cintas para copias semanales (padre) y 6 cintas para copias mensuales (abuelo). 13 cintas para 6 meses de recuperación a largo plazo y 6 días de recuperación a corto plazo

63 Tipos de medio de almacenamiento Formato Velocidad (Mbps) Capacidad (GB) Coste Digital Audio Tape (DAT) Medio Quarter Inch Cartridge (QIC) 1, Bajo Cinta de 8 mm 1-3 2,5-40 Medio Digital Linear Tape (DLT) Alto Super DLT Alto DRD-R/RW 1 5 Muy bajo

64 Lugar de almacenamiento y responsable de las copias Lugar de almacenamiento: Copias diarias en lugar cercano y copias semanales en sitio remoto Traslado y almacenamiento de forma segura Responsable de las copias: Es aconsejable la centralización de los datos corporativos y la responsabilidad de las copias de seguridad

66 Seguridad lógica Confidencialidad e Integridad Criptografía Autenticación, autorización y registro de usuarios

67 Criptografía Cifrado: Transformación de datos para que sólo sean inteligibles a los usuarios autorizados Criptografía: Ciencia que estudia las distintas técnicas de cifrado

68 Clase de cifrado Cifrado simétrico o de clave única Cifrado asimétrico o de clave pública

69 Cifrado simétrico Método: Los mensajes son transformados por un algoritmo que utiliza la misma clave para cifrar que para descifrar Principal problema: Distribución de la clave Ejemplos: DES, RC2. IDEA o AES

70 Cifrado asimétrico o de clave pública Método: Los mensajes son cifrados por una clave y se descifrar con otra clave. Un usuario genera un par de claves con esta propiedad y distribuye una clave (clave pública) y mantiene oculta la otra clave (clave privada) Principal problema: Lentitud en las operaciones de cifrado y descifrado Ejemplos: RSA, Diffie-Hellman, ElGamal o Schnorr

71 Servicios de seguridad con cifrado asimétrico Confidencialidad: El emisor cifra el mensaje con la clave pública del receptor y el receptor descifra con su clave privada. Sólo el receptor puede leer el mensaje original Autentificación: La autentificación del emisor se consigue cifrando el mensaje con la clave privada del emisor y el receptor lo descifra con la clave pública del emisor.

72 Servicios de seguridad con cifrado asimétrico Firma digital: Para la autentificación y evitar cifrar todo el mensaje se puede generar un resumen del mensaje (a través de un función hash) y cifrar sólo el resumen Certificado digital: Con los métodos anteriores no se puede conocer si existe una suplantación inicial de los participantes. Un certificado digital es un archivo con la identificación de un usuario, su clave pública firmado digitalmente por un tercero de confianza (Autoridad de Certificación)

73 Autenticación, autorización y auditoria de usuarios Modelo de seguridad AAA (Autenticación, autorización y auditoria): 1.Identificación y autenticación de los usuarios 2.Control de acceso a los recursos del sistema 3.Registro del uso de los recursos

74 Identificación/Autenticación de usuarios Lo que se sabe: contraseñas, PIN, etc. Lo que posee: tarjeta de crédito, tarjeta inteligente, teléfono móvil, llave USB, etc. Lo que se es: características biométricas del individuo: reconocimiento de voz, firmas manuscritas, huellas dactilares, fondo del ojo, análisis del iris, etc. Sistemas multimodales:se utiliza dos o varios métodos de identificación/autenticación

75 Gestión de contraseñas Política de gestión de contraseñas: Tamaño mínimo Caducidad Historial Calidad Formación a usuarios

76 Control de acceso Tipos de control de acceso: Control de Acceso Obligatorio: los permisos de acceso son definidos por el sistema Control de Acceso Discrecional: los permisos de acceso son definidos por el propietario del objeto Las Listas de Control de Acceso (ACL) son el método general de gestionar cualquier política de control de acceso

78 Análisis forense en sistemas informáticos Fundamentos de análisis forense Etapas en el análisis forense Herramientas de análisis forense

79 Fundamentos de análisis forense Principio de Transferencia de Locard: Cualquier persona u objeto que entra en la escena de un crimen deja un rastro en la escena o en la propia víctima y, viceversa, también se lleva consigo algún rastro de la escena del crimen

80 Definición El proceso de estudio exhaustivo de un sistema del que se desea conocer su historia Se encarga de adquirir, preservar, obtener y presentar datos que han sido procesados electrónicamente y guardados en un sistema informático

81 Etapas en el análisis forense 1.Identificación y captura de las evidencias 2.Preservación de las evidencias 3.Análisis de la información obtenida 4.Elaboración de un informe con las conclusiones del análisis forense

82 Captura de evidencias RFC3227:Guidelines for Evidence Collection and Archiving Ejemplos de evidencias: Registro de acceso a un fichero Cookie de navegación web Tiempo que lleva el sistema sin apagarse Contenido de un fichero Proceso en ejecución Archivo temporal Resto de instalación de un software

83 Principios RFC3227: Legalidad: Se debe tener autorización Reproducible: Utilización de metodología para cada tipo de evidencia Volatilidad: Orden de recogida de evidencias: registros, memoria principal, procesos, discos duros, topología de la red, medio de almacenamiento extraibles, copias de seguridad Cadena de custodia: Registro de operaciones y personas que han tenido acceso a las evidencias

84 Preservación de las evidencias Creación de copias digitales de las evidencias para su análisis Creación de firmas digitales para comprobación de la integridad de las evidencias

85 Análisis forense de las evidencias Búsqueda de ficheros sospechosos como virus, troyanos o gusanos Comprobación de la integridad de los ficheros y librerias del sistema Revisión de la configuración del sistema Revisión de los registros de actividad del sistema Búsqueda de información oculta en ficheros, volumenes o discos Recuperación de información eliminada Ejecución del sistema en un entorno controlado

86 Herramientas de análisis forense Código cerrado: EnCase Forensic Toolkit Código abierto: Autopsy (The Sleuth Kit)

87 Bibliografía básica recomendada Enciclopedia de la Seguridad Informática. Alvaro Gómez Vieites. Edit. Ra-Ma, 2006 Seguridad informática para empresas y particulares. Gonzalo Álvarez Marañon. Edit. Mc Graw-Hill. 2004