Seguridad en profundidad

Transcripción

1 Seguridad en profundidad LAD Enterprise Architect Team

2 Presentación Pablo Balbis Enterprise Architect Public Sector LAD Team Oracle Confidential Internal/Restricted/Highly Restricted 2

3 AGENDA Quien es el adversario Como combatirlos Seguridad de la Infraestructura Seguridad de la Base de Datos Gestión de Identidades y Accesos API s, Mobile, Cloud & Social

4 Por qué es importante la Seguridad de los Datos? 20% Programas de Seguridad de IT enfocan Base de Datos. 44% no puede prevenir el bypass de aplicaciones 69% no puede prevenir a los DBAs de acceder a los datos 97% Evitables con Controles Básicos Fuente: Forrester, 2012 and Verizon Data Breach Investigations Report, % no tiene controles para prevenir inyecciones SQL 55% utiliza datos de producción en ambientes no productivos Copyright Fuente: 2014 IOUG Oracle Survey and/or Results its affiliates All rights reserved.

5 Habituales formas de negación del problema Una infiltración de datos es algo que no nos pasa a nosotros. Nuestros datos no son de interes de nadie. Confiamos en nuestro equipo que los usa y administra. Nuestro Firewall de red detiene todos los ataques. Pasamos todas las auditorias. Oracle Public 5

6 DESDE LOS ERRORES AL COMPORTAMIENTO MALICIOSO Borrado accidental Divulgaciones no autorizadas Abuso de Privilegios Curiosidad Fugas Ingenieria Social Caida de Servicio Ataques sofisticados Robo de información Perdidas de dinero Impacto en Reputación Copyright 2014 Oracle and/or its affiliates. Adapted All rights reserved. from Kuppinger Cole Presentation, March 2013

7 TIPOS DE ATAQUE MAS FRECUENTES Robo de Identidad Acceso interno SQL Injection Malware Denial-of-Service Hackeo x Fuerza Bruta Cyber Espionaje Copyright Copyright 2014, 2014 Oracle Oracle and/or and/or its its affiliates. All All rights reserved. Oracle Public 7 reserved.

8 F I L T R A C I O N E S D E D A T O S D E T E C T A D O S P O R A N T I V I R U S o I D S

9 PERFIL DEL ATACANTE 1100 M filtraciones de datos 55% Crimen organizado 24% Espionaje 2% Activistas

10 CRIMEN ORGANIZADO Industria: Financiera y Retail Alcance: Tarjetas de pago, credenciales y cuentas bancarias Metodos: Hacking por fuerza bruta, malware

11 ESPIONAJE Industry: Manufactura, profesional y transporte Alcance: Credenciales, datos internos, secretos de mercado Metodos: Malware, social, command & control

12 ACTIVISTAS Industria: Informacion, publica, otros servicios Target: Información personal, credenciales, datos organizacionales Metodos: SQL injections y robo de credenciales

13 ANATOMIA DE UN ATAQUE ( ESPIONAJE ) ATACANTE ATAQUE X PHISHING EJECUCION DE COMANDOS EN SERVER ATAQUE XSS O SQL INJECTION i i i i i i i i i i i i i MALWARE POR DESCARGA

14 ANATOMIA DE UN ATAQUE ( ESPIONAJE ) ESTABLECIENDO MULTIPLES BACKDOORS DUMPING PASSWORDS DOMAIN CONTROLLER i i i i i i i RECABAMIENTO DE INFORMACION

15 ANATOMIA DE UN ATAQUE ( ESPIONAJE ) INFORMACION ROBADA VENTILACION DE INFORMACION DESDE EL SERVER HACIA CUALQUIER PARTE DEL MUNDO

16 TODA LA INFORMACION A PROTEGER NO ES IGUAL Basada en la sensibilidad de los datos SILVER GOLD PLATINUM BRONZE Non Sensitive Portales Internos, Directorios, Ambientes Test Corporate Internal Transacciones, Ordenes Regulatory Compliance PII, PCI, PHI, SOX Highly Sensitive and Restricted RRHH info, Datos Financieros, Codigo fuente ( + protección ) Oracle Public 16

17 NIVELES DE SEGURIDAD BRONZE SILVER GOLD PLATINUM ESCANEO / PATCHING LOQUEO CONFIGURACION AUDITORIA ACTIVIDADES ENCRIPTACION REDACCION MARSKING ENCRIPTAR TRAFICO AUTENTICACION FUERTE Datos PRVENIR ACCESOS DBA REDUCIR AREA ATAQUE CENTRALIZAR CLAVES Accesos MONITOR/BLOCK SQL COLLECT/AUDIT DATA CONTROL ACCESO BASADO EN LABEL SEGURIDAD NIVEL APP Monitoreo y Control Configuración Oracle Public 17

18 Seguridad en Profundidad Seguridad de la Infraestructura Información Entorno seguro end-to-end Alcance de protección Infraestructura Bases de Datos Aplicaciones Tecnologias de Securizacion Prácticas para la protección Auditoria Seguridad de Bases de Datos Gestión de Identidades y Accesos Extension a APIs, Moviles, Nube y Social

19 Entorno seguro Que debemos poder controlar en una infraestructura segura? Run-Time seguro Arranque seguro Despliegue seguro Manejo de Imagenes seguro Manejo de comunicaciones seguro Manejo de Encryption 19

20 Entorno seguro Que debemos poder controlar en una infraestructura segura? Secure Run-Time Secure Boot Secure Deploy Secure Virtual Images Secure Crea on Zero Overhead Encryp on 20

21 Tecnologías para la securización de INFRA 1 Audit Service 2 Basic Audit Reporting Tool 3 Cryptographic Services 4 File Permissions and Access Control Entries 5 Packet Filtering 6 IP Filter 7 TCP Wrappers 8 Pluggable Authentication Module 9 Privileges 10 Remote Access 11 IPsec and IKE 12 Secure Shell 13 Kerberos Service 14 Role-Based Access Control 15 Service Management Facility 16 ZFS File System 17 Zones 18 Trusted Extensions 19 Network authentication Oracle Confidential Internal/Restricted/Highly Restricted 21

22 Alcance de la protección. Proteger el kernel Protejer el Login Protejer los datos - Kernel daemons y devices estan protegidos por privilegios de accesos y ejecución de ciertos archivos. - Logins require passwords. - Passwords encriptadas - La cuenta root no puede loguearse directamente, solo via puente. - Remote logins limitados a un canal autenticado y encriptado a traves de secure shell. - Data en disco (Files, DB content, Web content) esta protegido por permisos.. Oracle Confidential Internal/Restricted/Highly Restricted 22

23 Practicas para para la la protección del S.O - Gestión de contraseñas Secretas, renovables, monitoreada : Locales, NIS, LDAP - Cifrado de contraseñas Barrera temprana contra un ataque. Ej algoritmos Blowfish, MD5 y SHA. - Cuentas especiales del sistema root daemon bin sys adm lp uucp - Inicios de sesión remotas Supervisar, limitar y deshabilitar Oracle Confidential Internal/Restricted/Highly Restricted 23

24 Auditoria del de S.O. las actividades Inicio y cierre del sistema y de sesión Creación o destrucción de proceso, o creación o destrucción de subproceso Apertura, cierre, creación, destrucción o cambio de nombre de objetos Uso de capacidades de privilegio o control de acceso basado en roles Acciones de identificación y de autenticación Cambios de permiso por un proceso o usuario Acciones administrativas, como la instalación de un paquete Aplicaciones específicas de sitio Los registros de auditoría se generan a partir de tres orígenes: Por una aplicación Como resultado de un evento asíncrono de auditoría

25 Oracle Seguridad en Profundidad Infraestructura Información Bases de Datos Aplicaciones Seguridad en la Infraestructura Seguridad en Bases de Datos Estrategia Tipos de Seguridad Control de acceso de usuarios priv. Auditoría de actividad y acceso a BD Monitoreo tráfico, bloqueo amenazas Ambiente productivo seguro Enmascaramiento de datos Gestión de Identidades y Accesos Extensión a APIs,Moviles, Nube y Social

26 Seguridad de Bases de Datos Cual es el Desafio Ataque SQL Exposición Accidental Abuso de Permisos de DBA Snooping del Equipo de Desarrollo Snooping de Aplicaciones de Usuario Archivo Amenaza Interna Ataque de APT o Malware Ataque de Datos en Reposo Producción Desarrollo y Pruebas Numerosos vectores de ataque requieren una estrategia de Defensa en Profundidad Discos o Cintas Perdidas Llaves Expuestas Dispositivo Perdido o Robado

27 Seguridad de las Bases de Datos Estrategia de Defensa Prevenir acceso desde S.O. Incrementar la certeza de la identidad de los usuarios de la base de datos Controlar el acceso a los datos dentro de la base Data Auditar la actividad de la base Monitorear el trafico de la base y prevenir que los ataque lleguen a la base Asegurar que el ambiente de producción es seguro y con una configuración segura Eliminar informacion sensible de ambientes no productivos

28 Seguridad de Base de Datos PREVENTIVO DETECTIVE ADMINISTRATIVO Encryption Activity Monitoring Privilege Analysis Redaction and Masking Database Firewall Sensitive Data Discovery Privileged User Controls Auditing and Reporting Configuration Management

29 CONTROLES DEL TIPO APPS DATA REDACTION DATABASE VAULT ssn:xxx-xx-4321 dob:xx/xx/xxxx Dev/Test DATA ENCRYPTION PIVILEGE CONTROLS SECURE APP DATA DBA CONTROLS ssn: Insufficient Privilege DATA MASKING ssn: dob: 12/01/1987

30 CONTROLES DEL TIPO Encripción de Datos Encrypted Data Disk Backups Exports Applications Managed Keys Off-Site Facilities Encripta columnas o tablespaces de forma transaparente Proteje direcamente los Datafiles en el disco y backups Maneja de forma segura las claves, usando rotación Compatible con aplicaciones, no require cambios Previene el acceso a los datos en reposo No requiere cambios en la aplicación Con HW el overhead es casi cero

31 CONTROLES DEL TIPO Enmascaramiento de Datos Desafio : Proliferación de Datos sensibles Development Partners Demo Testing Researc h Cloud Analytics Training Oracle Public 31

32 CONTROLES DEL TIPO Seguridad de Base de Datos Enmascaramiento de Datos Reemplaza datos sensibles de la aplicación Detecta y mantiene la integridad referencial Biblioteca de templates y formatos extensibles Templates de Aplicación disponibles Suporta enmascaramiento de datos en bases de datos no-oracle APELLIDO SSN SALARIO AGUILAR ,000 BENSON ,000 Producción Test Desa No-Producción APELLIDO SSN SALARIO ANSKEKSL ,000 BKJHHEIEDK ,000 Production

33 Enmascaramientos comprensibles Enmascaramiento basado en condiciones Cntry Identifier CA US UK JX C Cntry Identifier CA US UK AI D Mezcla de registros Health Records Health Records Generación determinista de salida Emp ID First Name 324 Albert 986 Hussain HR FIN Emp ID First Name 324 Charlie 986 Murali Emp ID First Name 324 Charlie 986 Murali Generar valores al azar preservando el formato Enmascarar archivos como Blobs Company Closing Price IBFG $36.92 XKJU Company Closing Price IBFG $89.57 XKJU BLOB Search : [0-9]{10} Replace : * BLOB ********** ********** Oracle Public 33

34 CONTROLES DEL TIPO Seguridad de Base de Datos Redacción de los Datos Sensibles Mostrados Redacción de datos sensibles en tiempo real basado en el contexto de sessión de la base de datos Bibioteca de políticas de Reducción y definición de políticas en forma simple Aplicación consistente, políticas aplicadas a los datos Transparente a las aplicaciones, usuarios, y actividades operacionales Nros de Tarjeta de Cred, Política de redacción xxxx-xxxx-xxxx Aplicación Call Center Departamento de Facturación

35 CONTROLES DEL TIPO Seguridad de Base de Datos Controles para el Usuario Privilegiado Limita el acceso del DBA a los datos de aplicación Reglas de comando SQL Multi-factor Los Realms crean zonas protectoras Impone gobernabilidad de datos de la empresa,menor privilegio, segregación de funciones Políticas de aplicación Out Of The Box Applications DB Vault Procurement HR Finance Security DBA select * from finance.customers DBA Application DBA

36 CONTROLES DEL TIPO APP S Database Firewall Alerts! Firewall Events Built-in Reports Custom Reports AUDIT DATA Custom Policies AUDIT VAULT

37 CONTROLES DEL TIPO Seguridad para Bases de Datos Monitoreo de Actividad y Firewall de DB Monitorea el tráfico de red, detecta y bloquea actividad no autorizada Análisis altamente eficiente de la gramática SQL Puede detectar/detener ataques de SQL Injection Enfoque de Whitelist para reforzar la actividad Blacklists para gestionar actividad de alto riesgo Appliance de software seguro y escalable Users Apps SQL Analysis DB Audit & Firewall Whitelist Blacklist Allow Log Alert Substitute Block Policy Factors

38 CONTROLES DEL TIPO Seguridad para Bases de Datos Auditoría, Reportes, y Alertas en Tiempo Real Repositorio central seguro entregado como un appliance de sw seguro y escalable Poderoso sistema de alertas Reportes predefinidos y personalizados Datos de Auditoría & Logs de Eventos Oracle Database Firewall Sist. Op.& Almacenamiento Directorios Audit Vault! Alertas SOC Reportes Predefinidos Reportes Personalizados Reportes consolidados de múltiples fuentes Segregación de Funciones granular Bases de Datos Custom Políticas Auditor Analista de Seguridad

39 CONTROLES DEL TIPO Analisis de Privilegios Clasif Información sensible Revisión de configuración Database Vault Lifecycle Management

40 CONTROLES DEL TIPO Descubrir el Uso de Privilegios y Roles Activación del modo de captura de privilegios Reporte sobre privilegios actuales y roles usados en la BD Ayuda a revocar privilegios innecesarios Impone menor privilegio y reduce riesgos Incrementa la seguridad sin interrupciones Análisis de Privilegios Database Vault Create Drop Modify DBA role APPADMIN role

41 Gestión de las Configuraciones Control Administrativo para Bases de datos Database Lifecycle Management Descubre y clasifica las bases de datos Escanea por mejores prácticas, estándares Detecta cambios no autorizados Remediación automatizada Aplicación de patches, aprovisionamiento Escanea & Monitorea Descubre Patch

42 Desafio : Proliferación de Claves & Wallets Management Proliferación de claves encriptadas, secret & wallets Habilitacion, retencion y recupero de claves Compatirmiento de claves y credenciales autorizadas. Regulaciones Separación física de claves de datos cifradas Rotaciones de clave periódicas Monitoreo y auditoría de usos y cambios de clave Retención a largo plazo de claves y los datos cifrados Oracle Public 42

43 Arquitectura recomendada para el Manejo de claves Middleware Standby Databases Administration Console, Alerts, Reports Servers Secure Backups = Oracle Wallet = Java Keystore = Certificate = Server Password = Credential File 43

44 Seguridad de Bases de Datos Cual son las soluciones Snooping de Aplicaciones de Usuario Ataque de Datos en Reposo Ataque SQL Detección y Bloqueo de Amenazas Redacción de Datos en Tiempo Real Ataque de APT o Malware Seguridad basada en Etiquetas Administración de Configuración Exposición Accidental Pistas de Auditoría Consolidadas Abuso de Permisos de DBA Controles de DBA y Segregación de Funciones Una Defensa en Profundidad requiere de numerosas capacidades Enmascaramiento y Segmentación de Datos Administración de Llaves de Encripción Snooping del Equipo de Desarrollo Descubrimiento de Datos Sensibles Encripción Transparente de Datos Amenaza Interna Discos o Cintas Perdidas Llaves Expuestas Dispositivo Perdido o Robado

45 Oracle Seguridad en Profundidad Infraestructura Bases de Datos Información Aplicaciones Seguridad en la Infraestructura Seguridad en Bases de Datos Gestión de Identidades y Accesos Identidad única y Virtualizada Híbrido roles, permisos, reglas Arquitectura de seguridad orientada a servicios Autenticación basada en riesgo Solicitudes de acceso centralizadas Arquitectura abierta y basada en estándares Extension a APIs, Moviles, Nube y Social

46 Tipica administración de Identidades Empleado Ingresa / Sale Sistema RRHH OTORGAR REVOCAR OTORGAR REVOCAR OTORGAR REVOCAR Procesos de Aprobación Aplicaciones MS AD MS Exchange SAP OID DB Users DB App Tables UNIX Aprovisionamiento y desaprovisionamiento automático Otorgamiento de accesos basado en Roles Identificación de cuentas huérfanas Reportes sobre Quién tiene acceso a qué Autoservicio, Solicitudes, Administración Delegada

47 Panorama de economia en cambio Accesos por cualquier persona desde cualquier lugar y dispositivo Digital Devices To Smart Devices Enterprise Resources To Cloud & Mobile Resources Channel Market to Social Market IDENTIDAD como HABILITADOR 47

48 QUE provoca esta carrera acelerada de cambios Tomando en cuenta rapidamente las oportunidades en negocios y sociedad 80% DEL ACCESO SERA MOBILE EN % DE LAS ORG YA PLANEA APLICACIONES SOCIAL ENABLE CLOUD COMPUTING IRA CONVIRTIENDO EN ACTOR DE PESO A PARTIR DE 2016 HABRAN MILLONES DEVICES CONECTADOS PARA 2020

49 DONDE se notan estos desafios Extender la empresa con la Nube, Moviles y Redes Sociales Access Management Controles Politicas de seguridad inconsistentes, procesos de compliance y certifificación. Complejidad Soluciones de Identidad dispares y Silos atraves de toda la empresa, Nube y Moviles Costos Despliegues, Adminsitracion y Experiencia de Usuario Alcance Administracion completa con cobertura para Apps, Mobile, Cloud y Social Administracion del acceso via Cloud (Identity-as-a-Service) Soporte para Applicaciones de Empresa heterogeneas 49

50 Fragmentacion de la Identidad Soluciones desconectadas de Identidad crean riesgos, complejidad y costos App Embedded Identities Basic SSO & Provisioning Access Certification Federated Cloud Apps Mobile Apps SSO User Mgt SSO User Mgt SSO User Mgt Access Cert Federation LDAP LDAP LDAP Integraciones personalizadas

51 Manejo de la Identidad unificada Reduce Riesgos + Costs e incrementa la agilidad App Embedded Identities Basic SSO & Provisioning Access Certification Federated Cloud Apps Mobile Apps 48% EN AHORROS 46% MAS RESPONSIVE SSO User Mgt SSO User Mgt 35% MENOS ISSUES EN AUDITORIAS SSO User Mgt Access Cert Federation LDAP LDAP LDAP Manejo de la Identidad Source: Aberdeen Analyzing Point Solutions vs. Platform

52 Federación de Identidades Beneficios Integración segura con otros organismos o entidades Costo de administración reducido Experiencia mejorada del usuario final

53 Enterprise Single Sign-On Simplificando la experiencia del usuario final Características: Única contraseña a recordar Diversos mecanismos de autenticación Autoservicio para reinicio de contraseña MSAD No requiere modificar las aplicaciones Rápida implementación Beneficios: Reducción de llamados mesa de ayuda Reducción de costos de administración Mejora en la productividad del usuario Mejoras en la Seguridad Mejoras de Cumplimiento: Quién accedió a qué?

54 Gobierno de la Identidad Plataforma Altas Otorgamiento de derechos Connectors Bajas Monitoreo de accesos Access Request Privileged Account Request Role Lifecycle Management Check-in/ Checkout Identity Certifications IT Audit Monitoring Rogue Detection & Reconciliation Reporting & Privileged Access Monitoring Access Roles Catalog Entitlements Glossaries Accounts Ownership, Risk & Audit Catalog Management

55 Oracle Seguridad en Profundidad Seguridad en la Infraestructura Seguridad en Bases de Datos Gestión de Identidades y Accesos Moviles Nube Socilal Extensión a APIs, Moviles, Nube y Social Contexto Estrategia API s / WS Middleware Seguridad Dispositivos Nubes

56 La más significativa en

57 MALWARE Y FRAUDE EN EL MOVIL 31% Fuente: Norton Cybercrime Report 2012 Reportó llamados apócrifos y estafas de phishing en dispositivos móviles 155% CUENTA TOTAL DE AMENAZAS 149 familias + variantes nuevas familias (+ variantes distintas) 95 nuevas variantes de familias existentes Fuente: Mobile Threat Report % 2013 CRECIMIENTO DEL MALWARE MOVIL Fuente: Unisys Security Index Acuity Market Intelligence MeMD.me Infographic

58 Sistemas actuales no estan diseñados para Mobile A menudo orientados para usar con la red internarna solamente Con poco y a menudo control hardcodeado sobre transacciones e información sensibles. El Mercado esta convergiendo rapidamente hacia REST APIs & Web Services Los sistemas expuestos a traves de una variedad de protocolos y tockens que no encajan con los clients Mobile. Su reforma se volveria costosa y de larga implementacion, si acaso es possible. La seguridad es la primera barrera para la adopción

59 Estrategia de Seguridad Mobile Información y accesos seguros Experiencia de usuario simplificada Control del Contexto Admin Dispositivo Admin de Aplicaciones Contenedor seguro Communicacion segura Web y App nativa SSO App Corporativa Productividad apps Consola unificada Gobierno y cumplimiento Autenticacion Fuerte Seguridad API Servicio de Identidad REST 59

60 Seguridad Basada en Dispositivo Información de Dispositivo Móvil (OS, Carrier, Jailbroken, IP/MAC) Registración de Dispositivo / Fingerprint Blacklist/ Whitelist Seguridad Basada en Dispositivo Autenticación Fuerte(KBA, OTP, etc)

61 Autorización Basada en Contexto Redacción de Datos Selectivo Transacciones de Negocio Basado en Contexto Basado en Estándares Trazabilidad Completa de Auditoría No Requiere Cambios de Código

62 Seguridad de APIs / Web Services Permite a las organizaciones la securización en contextos Cloud, Mobile y SOA cerrando los gaps y manejando las integraciones a nivel seguridad entre los sistemas interactuantes. APIs seguras para deployment en contextos Mobile y Cloud Web Services securizados e implementaciones SOA Extender AuthN, AuthZ, and politicas sobre riesgos para mobile, cloud y aplicaciones internas con bajo impacto de cambios en las apliciones backend Proveer administracion de datos seguras

63 Seguridad de API s y Web Services 1er Linea de defensa Servicio compartidos Seguridad End Point OWSM Agent HTTP, SOAP, REST, XML, JMS OES PDP OWSM Agent Service Bus HTTP, SOAP, REST, XML, JMS OWSM Agent OWSM Agent WS-Security, Basic Auth, Digest, X509, UNT, SAML, Kerberos Sign & Encrypt API Gateway WS-Security, Basic Auth, Digest, X509, UNT, SAML, Kerberos Sign & Encrypt Extranet Counter External Threat DMZ Common Policy Model Intranet Counter Internal Threats

64 Seguridad de APIs y Web Services SOAP / REST/ HTML Validated message Web Service Browser and API Clients API Gateway DOS Attacks Injection & Malicious Code Confidentiality Integrity Reconnaissance Attacks Privilege Escalation Attacks Flooding Recursive Payloads Oversized Payloads Memory Leak SQL Injection XPath Injection Cross-site scripting Malformed content Logic bombs Sniffing Parameter Tampering Schema Poisoning External Entity Canonicalization Code templates Forceful browsing Directory Reversal WSDL scanning Registry Disclosure Dictionary Format String Buffer Overflow Race Conditions Symlink Unprotected interfaces

65 Conectividad Organismo -> Nube On Premise OAuth SWT Organismo REST Basic Auth Kerberos + SOAP SOAP + OAuth - JWT REST + Session ID API Gateway

66 Conectividad Organismo -> Red Social Corporate DMZ OAuth SAML f 3 rd Party IDPs Corporate Network API/Web Request with Required Token (SAML, OAM, Kerberos, OAuth etc.) API Request App/Device/User Credential Web SSO API Gateway SOAP/REST and Legacy Web Services HTTP/REST/SOAP/OAuth Clients Oracle Access Manager CA Siteminder

67 Gracias!

68

69