TECNOLOGÍAS DE PROTECCIÓN DE LA INFORMACIÓN SENSIBLE EN LA ADMINISTRACIÓN Y GRAN EMPRESA. VISIÓN PRÁCTICA INDUSTRIA Y EJEMPLOS DE APLICACIONES

Transcripción

1 TECNOLOGÍAS DE PROTECCIÓN DE LA INFORMACIÓN SENSIBLE EN LA ADMINISTRACIÓN Y GRAN EMPRESA. VISIÓN PRÁCTICA INDUSTRIA Y EJEMPLOS DE APLICACIONES Autores: Francisco Cuesta: Ingeniero Superior Industrial, Director General Adjunto MDtel, Respon sable de la división de seguridad Secunit. Juan Sáez:Ingeniero Consultor área seguridad, Responsable área de Auditoría Vulnerabilida des (Certificado en Imperva, Palo Alto, CCIE Cisco, Tenable SCCV) Ricardo Serrano Flores. [rserrano@ciberespacio.info] Presidente Grupo Voice Consulting, Ingeniero director comité expertos Ciberespacio Ponente: Francisco Cuesta Partida: [francisco.cuesta@mdsecunit.- com] Palabras clave: WAF, APT, vulnerabilidades, cifrado.

2 Introducción. Cuando se accede a cualquier sistema sin el permiso y conocimiento de su legal usuario los daños que se puedan llegar a producir muchos especialistas los están llegando a comparar con los producidos por los accidentes nucleares; pongamos el ejemplo de un ataque a cualquiera de las infraestructuras críticas del país. Hay que tener en cuenta, también, que empresas e instituciones pueden llegar a utilizar maliciosamente las posibilidades que ofrece el ciberespacio; en este caso hablamos de ciberespionaje con fines empresariales, económicos o institucionales, A nivel nacional, son pocas las compañías con capacidad para fabricar los elementos físicos que componen las estructuras complejas del denominado ciberespacio, me refiero a lo que llamamos Hardware: ordenadores, routers, sistemas de telefonía, por no decir satélites de comunicación. En el caso de los lenguajes de programación o sistemas de desarrollo, lo que denominamos Software, nos encontramos con que los grandes standards también pertenecen a compañías multinacionales. Otra cosa son las aplicaciones, o la integración de sistemas para configurar otros más complejos; en este caso y más concretamente en el desarrollo de aplicaciones y en el conocimiento de los sistemas relacionados con el ciberespacio disponemos de expertos que están al mismo nivel de los países más avanzados. El problema es que en cualquier parte del mundo nos podemos encontrar con un gran número de personas que disponen del conocimiento necesario para el desarrollo de aplicaciones maliciosas y su implantación en el ciberespacio y los sistemas que lo componen y configuran. Es tal el desarrollo que está adquiriendo el ciberespacio, nuestra relación diaria con dicho espacio donde se almacena y distribuye el conocimiento y su necesidad de utilización para nuestra actividad profesional, personal y de ocio que gran cantidad de personas, incluso sin titulación técnica, poseen conocimientos suficientes como para interactuar, desarrollar, mantener, con sistemas y aplicaciones. A nivel empresarial, cada vez más, se están incorporando a nuestros departamentos de desarrollo de sistemas o incluso de I+D, personal con distintas titulaciones que no son técnicas y con formación adquirida de forma autodidacta, pero a los que su iniciativa e inquietud profesional les ha dirigido hacia el mundo de la informática aplicada a los sistemas y desarrollos relacionados con Internet. Además, a nivel universitario o desde la formación profesional los nuevos titulados cada vez disponen de mejores conocimientos relacionados con el sector, dándose casos de personas con capacidades muy importantes, incluso, durante sus etapas de formación sin ni siquiera haber accedido al mercado laboral. Esto quiere decir que, no solo en los países de nuestro entorno sino a nivel prácticamente mundial, nos podemos encontrar con personas que bien formando grupos de trabajo coordinado o incluso a nivel particular y desde sus propias casas pueden crear y crean aplicaciones llamémoslas de dudosa intención.

3 Por tanto, la preocupación en empresas e instituciones por la ciberseguridad y la ciberdefensa, en estos momentos, es más acuciante. Desde las empresas se están adoptando todo tipo de soluciones para salvaguardar sus sistemas y la confidencialidad de los datos propios y de clientes; lo mismo ocurre con las instituciones que, además, tienen que velar por el correcto mantenimiento de sus infraestructuras propias o que dan servicio a los ciudadanos. Esta preocupación hace necesario cada vez más personal correctamente formado en la seguridad técnica e informática y por tanto abre nuevas posibilidades a empresas y profesionales que se dedican a este sector. Curiosamente, y es conocido, que las mejores empresas tratan de contratar a los mejores profesionales que en muchas ocasiones tenían ocupaciones no tan profesionales. En otros casos se recurre, incluso mediante concursos o competiciones, a premiar y seleccionar al profesional que ha sido capaz de violar un sistema o aplicación determinada. Cuando nos referimos a la ciberdefensa nacional, lo más importante se centra en la protección de las infraestructuras críticas del país, entre las que se encuentran los sistemas controlados por las FF.AA. En este sentido, es importante, que nuestro país disponga de unidades militares altamente especializadas en ciberdefensa, ciberdefensa que ha de contar entre sus prioridades con la ciberinteligencia. Ante un ataque cibernético, venga de donde venga; ya he comentado que una sola persona o un pequeño equipo con la suficiente preparación puede ocasionar un terrible contratiempo, en estos casos, y en cualquier otro, lo importante es adelantarse al ataque, conocerlo con antelación para poder prevenirlo antes de que ocurra, ya que una vez se haya producido, en la mayor parte de los casos, la marcha atrás será inviable. La experiencia empresarial en casos de ciberataques a entidades financieras nos dice que la inversión en medidas de protección es siempre muy inferior a los costes derivados de los daños producidos. Al menos en estas entidades, la jurisprudencia está haciendo casi siempre responsable a la entidad frente al daño producido al cliente, no digamos ya cuando el daño se le produce directamente a la entidad e incide sobre un gran número de clientes. Si trasladamos el ejemplo a la seguridad nacional nos encontraremos con los mismos efectos: la inversión en prevención será siempre muy inferior a los costes de reparación de los daños producidos. Esto que es así en la mayoría de los casos de la vida, se trate de lo que se trate; en el caso de las amenazas ciberneticas cobrará una mayor importancia según pase el tiempo y la utilización del ciberespacio se generalice todavía más. Las futuras unidades de Ciberdefensa de las FF.AA, desde nuestro punto de vista, han de ser unidades en las que se impliquen y se vean reflejados los intereses de defensa a nivel público y privado. Han de ser unidades con personal militar altamente especializado en ciberdefensa y donde la ciberinteligencia ocupe un lugar prioritario, pero también han de contar con la permanente colaboración de las empresas especializadas a nivel nacional; estas empresas o

4 instituciones además de universidades o centros de formación especializados, han de contar con personal que pueda integrarse fácilmente dentro de la estructura orgánica de las unidades militares en caso de crisis y que en cualquier caso trabaje en permanente colaboración con dichas unidades. Obvia comentar que quien sabe defenderse adecuadamente, también conoce como realizar un adecuado ataque, y este caso los medios y materiales necesarios serían los mismos. En definitiva, necesitamos proteger nuestra información sensible tanto de un punto de vista de valor estratégico (ventaja comercial, militar, de inteligencia), como por la necesidad de cumplimiento normativo (LOPD, ENS, PCI DSS, etc.). La aproximación a la seguridad debe ser integral 360º x 365 d, pero es cierto que existen amenazas crecientes que afectan de una forma directa en el robo de nuestra información: Vectores de ataque basados en la explotación de vulnerabilidades WEB y las nuevas amenazas avanzadas persistentes (APT s). Las tecnologías de protección que conocíamos ya no son suficientes. Las nuevas amenazas exigen de nuevas formas integrales de plantearnos la seguridad. La seguridad debe también abordarse como un proceso integral en el que intervienen procesos, personas y por supuesto la tecnología. Sin embargo, la formación y la concienciación son fundamentales para que la cadena no se rompa por el eslabón más débil. En este trabajo vamos a presentar nuestra experiencia en aplicaciones y proyectos de seguridad en el Ciberespacio de las Instituciones y la gran empresa. Las herramientas que utilizamos son punteras a nivel internacional y están presentes en instituciones de los principales países de nuestro entorno. El fraude en el Ciberespacio. El fraude online es un fenómeno ampliamente extendido a nivel internacional. La evolución del fraude electrónico en el ámbito mundial, según datos ofrecidos por Anti-Phishing Working Group (APWG), muestra una tendencia creciente continuada desde 2005 hasta nuestros días,así parece que, desde comienzos de 2009, el phishing ha vuelto a repuntar, situándose en niveles cercanos a los experimentados en Los últimos meses analizados por el APWG, muestran niveles considerables de ataques a páginas WEB o a BB.DD. Aunque el correo electrónico se posiciona como el canal más empleado para los intentos de fraude, cada día aparecen nuevos metodos; los SMS y las llamadas directas tienen una incidencia mayor cada día. En cualquier caso las mecánicas de fraude más habituales siguen siendo el enlace a webs fraudulentas, la oferta de productos o servicios no contratados, las ofertas de empleo falsas y la petición de claves a través de correo electrónico. Seguridad: Un proceso integral.

5 Para la correcta implantación de cualquier solución de seguridad, es preciso determinar que las políticas y los procesos que las sustentan están definidos y se cumplen: falta de cifrado, incorrecto almacenamiento de datos. Se trata de definir procesos de mejora cíclicos que incluyan los más recientes vectores de ataque. La Protección frente APT s, robo de información, denegación de servicio, ha de ser total y permanente dotando de alta disponibilidad al negocio. Se requiere además realizar continuamente una operación de mantenimiento y actualización tecnológica. Definimos seguidamente los tipos de amenazas a que nos estamos enfrentando y donde las aplicaciones de seguridad que se describen en este trabajo, resultan ser más eficientes: Amenaza Interna Sabotaje, robo de propiedad intelectual (código fuente, planes de negocio, información de clientes, etc.), fraude, error humano (mailing mal dirigido, pérdida de llaves USB, salvar datos en el lugar no adecuado) Amenaza Externa Antiguos empleados, hackers aislados, organizaciones criminales, gobiernos, grupos hackivistas (Ejemplo: Anonymous y Symantec 2006 PCAnywhere) Partners Externos Suministradores, fabricantes, empresas de hosting outsourcers. Ataque de Aplicaciones WEB La mayoría de los ataques que se realizan van dirigidos a las aplicaciones WEB, dándose las siguientes relevantes circunstancias: Se emplean de técnicas de hacking (vectores de ataque) haciendo uso del protocolo http / https. Se está produciendo un rápido desarrollo de la web y el uso de estas tecnologías para la interacción del ciudadano con servicios públicos o de usuarios con empresas ha motivado la rápida adopción de estas tecnologías. Los rápidos cambios que se introducen y la necesidad de un timeto-market reducido hacen que los aspectos concernientes a la seguridad sean olvidados siendo en la mayoría de las ocasiones el vehículo principal en el robo de información. OWASP Top 10 SQL Injection

6 Broken authentication and Session Management Cross Site Scripting (XSS) Insecure Direct Object References Security Misconfiguration Sensitive Data Exposure Missing Function Level Access Control CSRF (Cross Site Request Site Forgery) Using Components with Known vulnerabilities Unvalidated Redirects and Forwards Tecnología WAF. Clasificación según la consultora Gartner Industria En 2013 alcanza los 337 $ Millones Ritmo de crecimiento de un 30% 45% de la demanda de US 29% EMEA 26% ASIA / PACIFIC Líder Imperva resulta líder en solitario por su capacidad de innovación dentro de la industria. Se valora su capacidad de autoaprendizaje y adaptación, capacidad de superior de bloqueo ante las principales amenazas y técnicas de evasión. Capacidad de anticiparse a los nuevos requerimientos y estándares. Fuerte cuota de mercado y capacidad de crecimiento. Descibiremos seguidamente alguna de las principales aplicaciones de seguridad en el ciberespacio indicando sus principales características funcionales, aplicaciones instaladas en importantes empresas e instituciones de nuestro entorno: WEB Application Firewall Protección WAF La protección perimetral ya no es suficiente para mantener a salvo nuestra información sensible. Las vulnerabilidades y diferente tipo de malware APT s evaden de forma sencilla estos controles. Protección de aplicaciones WEB y bases de datos.

7 Las soluciones de IMPERVA, protegen las aplicaciones de los vectores de ataques web reconocidos como se indica en OWASP Top 10. Seguidamente describiremos alguna de las principales herramientas que nuestra empresa instala y mantiene dando servicio a importantes Instituciones. haremos una breve reseña de las empresas dedicadas a la seguridad en Internet que hemos seleccionado para este trabajo, en este caso de la empresa IMPERVA y la empresa VORMETRIC. IMPERVA. En Imperva estan enfocados en una cosa: cerrar la brecha peligrosa en seguridad de la empresa de hoy que deja sus negocios vulnerables a los ataques, robo y fraude. Sus productos están centrados a la seguridad del centro de datos, ofreciendos una nueva capa de protección que mantiene las aplicaciones de alto valor y los activos de datos en centros de datos físicos y virtuales seguros, pero accesibles. Lo que se traduce en la implantación de un tercer pilar de seguridad empresarial diseñado específicamente para el mundo hiperconectado moderno. VORMETRIC. Vormetric, Inc. es una empresa privad de seguridad de datos con sede en San José, California, Estados Unidos, que ofrece productos y servicios para prevenir el robo de datos sensibles de los piratas informáticos y los insiders maliciosos protegiendo los datos estructurados en bases de datos y los datos no estructurados ubicadas en los sistemas de archivos. En cuanto a las aplicaciones de seguridad de las fabricantes indicados anteriormente: WEB Application Firewall IMPERVA Threat Radar (Protección automatizada de fuentes maliciosas. Suma el conocimiento global de Imperva). Actualización automática de políticas y firmas (Bugtrak, CVE. Protección frente a malformaciones de protocolo y técnicas de evasión del mismo. Aprendizaje automático de aplicaciones. Dynamic Profiling Dashboards y capacidad de reporting avanzada para conseguir análisis precisos del estado de seguridad. Firewall de Base de Datos IMPERVA

8 Auditoría continúa de todos los accesos a datos sensitivos por parte de usuarios privilegiados y usuarios de aplicaciones. Alerta de actividad anormal, requerimientos de acceso no autorizados y trazas de ataques a la base de datos en tiempo real. Acelera la respuesta a incidentes y la investigación forense mediante administración centralizada y procedimientos analíticos avanzados. Provee reportes de auditoria y demuestra el cumplimiento de regulaciones estándares de la industria. La tecnología permite conocer el usuario real que interacciona con la DB: Usando los paquetes HTTP(WAF) + Correlación = Universal User Tracking (UUT) Consultas directas a la base de datos = SQL User Tracking WEB Application Firewall INCAPSULA Despliegue sencillo Protección frente a DDoS y WAF. Protección efectiva de ataques volumétricos de denegación de servicio. Balanceo de carga Web content caching mejorando el rendimiento de las aplicaciones. Ayuda al cumplimiento del requerimiento 6.6 de la norma PCI DSS. Permite autenticación de doble factor en nuestros aplicaciones sin necesidad de modificar nuestro código (SMS, Google Authenticator, ). Advanced Persistant Threats (APTs) Procesos o componentes de software que permanecen durante tiempo haciendo uso de técnicas avanzadas para evadir la detección. Conecta con centros de C&C para filtrar la información y recibir órdenes que pueden conllevar la descarga de nuevos componentes. La amenaza suele estar dirigida de forma específica por lo que evade los sistemas de detección implantados en el cliente. Los vectores de ataque suelen emplear webs maliciosas, phishing, ingeniería social, redes de terceros, medios extraíbles. Cientos de millones de variantes haciendo uso de mutaciones, polimorfismo, cifrado. Dado que las actividades en ocasiones pasan desapercibidas para los sistemas de detección, debemos revisar la información proporcionada por la capa de red buscando conexiones con IPs maliciosas. Herramientas como IDS/IPS y SIEMs ayudan en la detección de estas amenazas.

9 Avances en las tecnologías de protección Surgen nuevos paradigmas en la protección de acceso a la información, que podemos resumir con la siguiente afirmación, las defensas de antes ya no nos sirven o al menos en parte. Es preciso responder a nuevas amenazas y formas de ataque: Las defensas basadas en firmas son fácilmente evitadas. La protección perimetral no es suficiente. Las nuevos vectores de ataque aprovechan servicios publicados en internet necesarios. Es preciso un conocimiento avanzado e integrado de las tecnologías de protección para detectar las nuevas amenazas. Gestión de Vulnerabilidades Capacidades de Security Center CV Gestión de vulnerabilidades de nueva generación. Analizando los escaneos, esnifando tráfico de red y correlando eventos encuentra dispositivos vulnerables, equipos que están siendo atacados y sistemas comprometidos. Detección de Malware Detección de procesos maliciosos, comunicación con redes maliciosas y eventos de antivirus Monitorización de Cumplimiento y parcheo Monitorización de auditorias de cumplimiento y parcheo y verificación del control de estas. Análisis del comportamiento de la Red Monitorización pasiva de red y análisis NetFlow. Recopilación de Logs Recopilación, normalización y categorización de logs. Análisis Forense Acceso rápido y seguro a datos corporativos a través de tu red. Respuesta a Incidentes Resolución de incidentes y flujo de trabajo simplificado. Soporte dispositivos móviles, virtuales y cloud Descubrimiento del 100% de todos los activos, incluidos los dispositivos en transito. Integración de logs de diversas fuentes, correlación. Múltiples sondas y escáneres dentro de una misma instalación, integración de scanner on-line proporcionado por un ASV vendor.

10 Una de las mayores bases de datos de firmas y plugins para detección de amenazas y vulnerabilidades. Reportes y dashboards accesibles mediante roles dentro de la organización Detección de comunicaciones contra centros de C&C/Botnets. Detección de datos sensibles en la red sin cifrado. Características principales SC / SCCV Flujos de trabajo automatizados Procesos automáticos. Descubrimiento de activos. Alertas ante eventos específicos. Informes asignados por roles. Ticketing Análisis de tendencias Informes de tendencias. Correlación de los eventos de la red. Dispone de alertas de correlación basadas en firmas para descubrir amenazas a medida que ocurren. Los dashboards ofrecen puntos de vista a nivel de organización, grupos de activos, usuarios, vulnerabilidades, eventos de tendencias y anomalías. Acceso a más de 100 informes de cumplimiento preconfigurados, incluyendo CIS, PCI DSS, FDCC, SCAP, DISA STIG, 201 CMR 217, FISMA y Cyberscope, y muchos otros. Seguimiento de tendencias de la vulnerabilidad y la remediación contra los mandatos de cumplimiento de la organización. Cifrado de la información: Una capa más de seguridad. Vormetric En prácticamente todos los esquemas regulatorios se obliga a cifrar la información sensible. En el ámbito profesional se precisa de soluciones que eviten la complejidad y la criticidad de gestionar el cifrado de la información. Se precisan soluciones escalables con criterios de alta disponibilidad. Permite disponer de cifrado en los datos almacenados (Data at rest) así como auditoria de todos los accesos a la información (auditoría) facilitando el cumplimiento de los esquemas regulatorios.

11 Simple, escalable y rápido. Se instalan agentes (windows, linux, unix) de cifrado sobre el sistema de ficheros de las máquinas virtuales o físicas sobre las que es preciso cumplir las políticas. Nivel adicional de seguridad que permite la separación de roles, los administradores y usuarios privilegiados del sistema onpremise o en la nube no tienen acceso a la información en claro. Escalable hasta servidores. Capacidades del producto Vormetric Cifrado on-premise y en la nube Protección de datos estructurados y no estructurados. Protección de aplicaciones Auditoría de acceso a la información (SIEM integration). Separación de roles. Gestión y almacenamiento de certificados y claves de cifrado de terceros. Arquitectura de la solución Vormetric DSM es la consola central de gestión que establece las políticas y roles y los despliega a los agentes. También realiza el control de las claves y certificados de cifrado de la organización. Accesible a través de un cliente web o de API también permite multi-tenant. Alta disponibilidad, recolección de eventos para su posterior análisis (SIEM: Splunk, Arcsight, etc.). Almacena las políticas de seguridad, las claves de cifrado y los datos de auditoría de una manera segura en un dispositivo seguro. (Federal Information Processing Standard (FIPS) 140-2, Level 2 compliant security appliance (FIPS 140-2, Level 3 Key Management with Hardware Security Module) Escaso impacto en el rendimiento. Sólo el 2% de CPU en un uso al 70%. Use cryptographic hardware (intel, Sparc Niagara) Conclusiones La información (datos) se verá afectada por muchos factores, incidiendo básicamente en los aspectos de confidencialidad, integridad y disponibilidad de la misma. Desde el punto de vista de la empresa, uno de los problema más importantes puede ser el que está relacionado con el delito o crimen informático, por factores externos e internos. Además, debemos pensar que el peor enemigo puede estar dentro de casa... La solución sigue siendo la misma: la puesta en marcha de una adecuada política de seguridad en la empresa

12 Si las comunicaciones han sido a lo largo de la historia un motor para el desarrollo de nuestra sociedad y un medio por el cual los humanos nos relacionamos. El control de las vías y medios de comunicación, también, ha sido una prioridad para los estados, sus instituciones y empresas. Del mismo modo los ataques a los medios que hacen posible las comunicaciones, sean del tipo que sean, han sido una de las prioridades en caso de conflicto. Con los desarrollos tecnológicos que han hecho posible la aparición de la comunicación a través del ciberespacio y la cada vez más frecuente conexión de cualquier sistema o dispositivo a esta nueva vía de comunicación y por tanto relación; el tipo de amenazas sobre la confidencialidad de información transmitida o sobre la integridad, correcto y legal funcionamiento de las infraestructuras conectadas se hace cada vez más impredecible; fundamentalmente por la facilidad en cuanto a medios para realizar ataques y la adquisición de competencias para realizarlos. Cada vez, queda más claro que una vez perpetrado un ataque exitoso, la reacción siempre llegará tarde y que por tanto la prevención y la inversión que se realice a la hora de prevenir, en todos los casos, será inferior al daño producido. En cualquier caso, todo el esfuerzo realizado en este sentido, siempre repercutirá en beneficio del resto de la sociedad ya que la I+D+i derivada de los esfuerzos en la ciberdefensa serán aplicables a avances en las tecnologías y sistemas de comunicación. Conclusiones, en cuanto a la protección de los datos en el Ciberespacio y su protección misma las podemos resumir someramente en: Protección 360º x 365d Gestión contínua de la seguridad. Las soluciones tecnológicas junto con los servicios de monitorización, adaptación específica a nuestro entorno y auditoría, son las piezas fundamentales para disponer de entornos TI más seguros. Cada día crece el numero y la forma de cometer delitos informáticos. Incluso aparecerán nuevos delitos y ataques a los sistemas informáticos y redes que a fecha de hoy no sabemos cómo serán ni qué vulnerabilidad atacarán... Este enfrentamiento entre el bien y el mal es inevitable en un sistema abierto... y las comunicaciones hoy son así.