Implementación de Sistemas de Información Seguros

Transcripción

1 Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security Security Consultant Microsoft Security Center of Excellence, SCoE

2 Agenda Conceptos básicos de seguridad Triada de Seguridad CIA Seguridad en Aplicaciones: Más que un problema Tecnológico Componentes básicos para de Seguridad Arquitectura Administración de Riesgo Defensa en profundidad Seguridad en Aplicaciones Modelo de Amenazas (Threat Modeling) y STRIDE Herramientas: FXCop Caso de Estudio DJ Hell Defacement

3 Triada de Seguridad CID Confidencialidad Integridad Disponibilidad Confidencialidad Seguridad Integridad Disponibilidad

4 Seguridad de Aplicaciones: Más que un problema Tecnológico Procesos Tecnologías Operaciones

5 Modelo de Infraestructura Tecnológico y WSSRA

6 El Problema Tecnológico Crecimiento informal Administración lenta y Compleja de los componentes

7 Ambiente de Infraestructura

8 Arquitectura de Referencia

9 Zonas de Seguridad

10 Segmentación de Redes

11 Almacenamiento

12 Componentes básicos de Servicios de Red

13 Servicios de Aplicación

14 Servicios de Administración

15 Servicios Públicos y Clientes

16 Análisis de Riesgo

17 Administración de Riesgos y soporte para decisiones El equipo de negocios define el impacto Alto Bajo Impacto al negocio Riesgo Aceptable Ejecución de la vulnerabilidad Riesgo NO Aceptable La administración de riesgo define un nivel aceptable del mismo El equipo de Seguridad de información define la probabilidad Alto

18 Amenazas de Seguridad de TI Ambiente de Seguridad Defensa en profundidad Físico Red Servidor Apps Datos Servidores Amenazas Amenazas Clientes Dispositivos Amenazas Amenazas Amenazas Amenazas

19 Análisis de Riesgo Ambiente de Seguridad Servidores Defensa en Profundidad Físico Red Servidor Apps Datos Evaluación de riesgo en cada capa Mejor visión de la situación actual Cada sección tiene una clasificación de riesgo y un plan de mitigación Clientes Aceptable Dispositivos Control en Progreso No Aceptable

20 Resultado de Análisis de Riesgo Ambiente de Seguridad Defensa en Profundidad Físico Red Servidor Apps Datos Servidores Clientes Dispositivos

21 Implementación de Soluciones Ambiente de Seguridad Defensa en Profundidad Físico Red servidor Apps Datos Servidores Solución Solución Clientes Dispositivos Solución Solución Solución Solución

22 Plan de Evaluación de Resultados Ambiente de Seguridad Defensa en Profundidad Física Red Servidor Apps Datos Servidores Clientes Dispositivos

23 Defensa en Profundidad

24 Defensa en Profundidad Medidas de control segmentadas en capas de protección Aplica medidas de control en cada capa de cada componente que interactúa en una solución, desde la capa de perímetro hasta la capa de datos Reduce la posibilidad de un único punto de vulnerabilidades cuando el sistema es atacado Reducción del riesgo por: Análisis de vulnerabilidades presentes en los sistemas Análisis de amenazas presentes que pueden tomar ventaja de esas vulnerabilidades Implementación de los medidas de control apropiadas en cada capa

25 Defensa en Profundidad Datos Aplicación Servidor Red Perímetro Seguridad Física Políticas, procedimientos, Concientización

26 Como minimizar la superficie de ataque? Datos Aplicación Servidor Red Interna Perímetro Seguridad Física Políticas, Procedimientos, Concientización Listas de Acceso, Encriptación, EFS Aseguramiento de App, Antivirus Aseguramiento del SO, Autenticación, Actualizaciones de OS, Detector de Intrusos local Segmentación de Red, IPSec, Detector de Intrusos dered Muros de fuego, Control de acceso de Cuarentena Guardas, Cerrojos, Dispositivos de monitoreo Documentación de Seguridad, Educación al Usuario

27 Seguridad en aplicaciones

28 Amenazas de Seguridad más comunes

29 Vulnerabilidades por Años Data Source: Secunia (

30 Seguridad en la arquitectura Seguridad en el modelo de desarrollo Estrategia SD 3 Seguridad en el diseño por capas Holística de la seguridad

31 Seguridad en el modelo de desarrollo Analizar amenazas Revisión externa Aprender y refinar Preguntas durante las entrevistas Determinar los criterios de validación de la seguridad Security push Concepto Entrenar a los miembros del equipo Diseños completados Planes de pruebas completados Código completado Entrega Revisar defectos anteriores, comprobar registros directrices de programación segura, usar herramientas Después de la entrega Revisión del equipo de seguridad Pruebas de mutación de datos y mínimos privilegios =continuo

32 Modelo de análisis de Riesgos Entender las amenazas hacia las aplicaciones/sistema Uso de modelo de riesgo para identificar riesgos Diferente a la fase de pruebas y servicios Consideraciones de diseño de alto nivel Permite una mitigación proactiva de la mitigación de amenazas

33 Proceso para el Modelo de analisis de riesgo Crear un modelo de la aplicación (UML, DFD, etc.) Utilizar STRIDE para categorizar los tipos de amenazas Para cada destino de ataque Spoofing, Tampering, Repudiation, Information disclosure, DoS, Elevation of privilege Construcción de un arbol de amenazas Categorizar las amenazas con DREAD Damage potential, Reproducibility, Exploitability, Affected users, Discoverability

34 Árbol de Amenazas PROCESS STRIDE STRIDE THREAT STRIDE THREAT STRIDE THREAT STRIDE THREAT DREAD SUB-THREAT SUB-THREAT SUB-THREAT SUB-THREAT CONDITION CONDITION CONDITION

35 Para cada proceso en el Modelo Es el proceso susceptible a spoofing? Puede ser el proceso alterado? Existe la posibilidad de manejar no repudio en la aplicación? Pueden un ataque resultar en la vista no autorizada de los datos? Puede un ataque de DoS deshabilitar el proceso? Puede ser ejecutado la elevación de privilegios si un proceso ha sido atacado?

36 Aplicando STRIDE Procesos Afectados Afecta datos almacenados Afecta en interacció n S Afecta el flujo de datos T R I D E

37 Mitigación de Amenazas Técnicas de Mitigación S T R I D E Autenticación, Almacenamiento de credenciales seguras Autorización, firmas digitales Autenticación, autorización, firmas digitales, bitácoras Autorización, Encriptación Filtrado, Autenticación, Autorización No utilizar identidades las cuales tienen altos niveles de privilegios

38 Priorización de Amenazas Utilización del modelo de análisis de riesgo (DREAD) para asignar las prioridades a las áreas mas criticas basado en sus amenazas Priorizar mitigaciones de seguridad Priorizar revisiones periódicas Estrategias de reutilización

39 Pruebas de los planes de mitigación a amenazas Necesidad plan de prueba para cada amenaza Pruebas básicas de acceso y funcionalidad Pruebas intrusivas El modelo de amenazas dirige el plan de pruebas Proceso de fin a fin

40 Probando el plan de mitigación de amenazas Spoofing Autenticación Intento de cracking, replay, ver datos en la red física Almacenamiento seguro de las credenciales Intentar compromiso de acceso a información Tampering Intentar ingresar sin autenticacion Intentar de invalidar/modificar hashes firmas

41 Probando el plan de mitigación de amenazas Repudiation Intentar de eludir la autenticación/autorización Intentar Evitar firmas Intento de evitar bitácoras, o bien escribir bitácoras falsas Information Disclosure Intento de acceso a información no autorizada Intentar de ver el dato en la red (eavesdropping) Eliminar un proceso, mirar datos sensitivos Intento de causar errores de condición, mirar las bitácoras

42 Pruebas de mitigación de amenaza Denial of Service Filtrado Envío de datos mal formados Consumo de recursos Elevation of Privilege No poseer acceso a procesos ejecutándose con altos privilegios

43 Desarrollo de objetivos de seguridad Elevar el nivel de seguridad de la aplicación Identificar cuando y como se requiere autenticación o autorización Identificar donde y como usted necesita para asegurar la comunicación de ambos para su aplicación (desde usuarios finales) y entre aplicaciones de terceros Identificar dificultadas comunes y como evitarlas Identificar riesgos principales y su mitigación relacionada a la autenticación y a la autorización Evitar minimizar la seguridad de hacer cosas para trabajar Identificar no solamente como y donde, pero también cuando usar varias características de seguridad Eliminar el miedo, duda e incertidumbre Promover mejores practicas y obtener resultados predecibles

44 Desarrollo de Principios básicos de Seguridad Adoptar el principio del mínimo privilegio Utilizar defensa en profundidad No confiar en el ingreso de datos de los usuarios Utilice siempre la seguridad como base de todo proceso de configuración inicial No confiar en la seguridad por oscuridad Reducir la superficie de ataque SI existe una falla que se redirija a un modo seguro

45 Ataque de DJ Hell

46 Data Application Host Internal Network Perimeter Physical Security Defensas de Perímetro Policies, Procedures, and Awareness

47 Data Application Host Internal Network Perimeter Physical Security Defensas de Red Policies, Procedures, and Awareness

48 Data Application Host Internal Network Perimeter Physical Security Defensa de Host Policies, Procedures, and Awareness

49 Data Application Host Internal Network Perimeter Physical Security Defensa de Aplicación Policies, Procedures, and Awareness

50 Data Application Host Internal Network Perimeter Physical Security Defensa de Datos Policies, Procedures, and Awareness

51 Ataque de Sitio Web: DJ Hell Compromiso de sitio web Problemas en algunas capas de Seguridad Los servidores web no estaban debidamente actualizado (parches) Claves de administrador no actualizadas Métodos de acceso: Capa de Aplicación 1 aplicación de consulta no utilizaba estándar de autenticación para consulta de datos. Capa de Datos Concepto de mínimo privilegio no utilizado SysAdmin

52 Ataque de Sitio Web: DJ Hell INTENTO ACCESO :40:24 SERVERIP GET /msib21/apphacked/capitulo.asp cod=02update%20is_arest%20set%20est_descripcion%20=%20%27hacked%20by%20djhell % e14 [Microsoft][ODBC_SQL_Server_Driver][SQL_Server]Line_1:_Incorrect_syntax_near_ 'Hacked'. 80 IPATTACKER libwww-perl/ MODIFICACION DE CODIGO : :37:25 SERVERIP GET /msib21/apphacked/notascapitulo.asp cod=01update%20is_arest%20set%20est_descripcion%20=%20%27hacked%20by%20djhell % SERVERIP libwww-perl/ :25 SERVERIP GET /msib21/apphacked/notascapitulo.asp cod=01update%20is_arest%20set%20est_descripcion%20=%20%27hacked%20by%20djhell % libwww-perl/ SQL Code Injection

53 Ataque de Sitio Web: DJ Hell Code Review of ASP pages from customer's server: ========================================= line 7 of /_Conexi.asp: conn.open = "DSN=APPHACKED;UID=adminAPP;PWD=XXXXX" line 2 of /NotasCapitulo.asp  line 11 of /Capitulo.asp sql = "select EST_DATA1, EST_Notas from IS_AREST where EST_DATA = " & cod Line 11 allows for SQL Injection...making the following request will cause the exact same behavior the customer originally reported: UPDATE IS_AREST SET EST_Descripcion = 'Hacked By SQLInjection' SQL Code Injection

54 Herramienta FXCop

55 FXCop Herramienta FXCop Diseño de librerías Localización Convención de Nombres Desempeño Seguridad

56 Referencias Herramienta FXCop Modelo de análisis de Amenazas (Threat Modeling) ult.aspx Pagina General de Seguridad Sitio para Seguridad de desarrollo Sitio de seguridad de MSDN para desarrolladores Guías de mejores practicas Guías Patterns & Practices Ejemplos de programación seguro Writing Secure Code, 2nd edition Howard, Leblanc. MS Press, 2003