Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Gestión de Seguridad en canales electrónicos. Ing. Jorge O Higgins, CISSP"

José María Gallego López
hace 8 años
Vistas:

1 Gestión de Seguridad en canales electrónicos Ing. Jorge O Higgins, CISSP

2 Contenido 1. Objetivos de seguridad en el ambiente financiero 2. Definición de requerimientos de seguridad 3. Seguridad como proceso 4. Conclusiones

3 Objetivos de seguridad en el ambiente financiero

4 Objetivos Cumplir con regulaciones, estándares y mejores prácticas Leyes (Habeas Data, Firma Digital) Normas del ente regulador (BCRA A 4609) Estándares internacionales (ISO27001 / PCI DSS) Auditorías internas y externas (SAS70) Desarrollar características de seguridad innovadoras en pos de la protección de los clientes Minimizar el impacto en la usabilidad de los clientes Gestionar las restricciones económicas y tecnológicas

y externas (SAS70) Desarrollar características de seguridad innovadoras en pos de la protección de los

5 Definición de requerimientos de seguridad

6 Conceptos básicos a tener en cuenta: Confidencialidad Mantener protegida información sensible Disponibilidad Integridad Mantener la información disponible y accesible Mantener intacta y válida la información

7 Infraestructura de IT Conceptos básicos a tener en cuenta: Seguridad por oscuridad Seguridad en profundidad Segregación de funciones Mínimo privilegio y necesidad de saber Control cruzado Qué pasa si falla? Tecnología, personas y procesos Pensando la seguridad de una canal electrónico: Infraestructura de IT Desarrollo seguro

necesidad de saber Control cruzado Qué pasa si falla?

8 Definición de requerimiento de seguridad: Infraestructura de IT

9 Infraestructura de IT Hasta el primer lustro de los 90: niveles básicos de segregación (NAT o filtrado de paquetes)

10 Infraestructura de IT En el segundo lustro se expande el concepto de segregación: Filtrado de paquetes(router/ipchains) Stateful Circuit Level- (PIX/FW-1/IPTables) Aplicación (Gauntlet)

11 Infraestructura de IT Fines de los 90: Interconexión de redes a través de VPN y aparición de IDS

12 Infraestructura de IT Aparición de ataques más sofisticados: Ataques Web (Owasp top ten) SQL Injection XSS Manipulación de cookies Ejecución remota de código Ataques a servicios (BoF) By pass de IDS (encoding) Cifrado de canales Herramientas sofisticadas accesibles (Metasploit / Canvas /Core Impact)

de código Ataques a servicios (BoF) By pass de IDS (encoding) Cifrado de

13 Infraestructura de IT

14 Infraestructura de IT Resumiendo, se puede diseñar una arquitectura segura con soluciones Open Source: Firewalls Stateful (IPTables/PF con Stateful tracking options) Web Application (Apache Mod Security) IDS/IPS NIDS (Snort) HIDS (OSSEC) Honeypots Baja interacción (Honeyd) Centralización y monitoreo de eventos Syslog (Syslog-ng) SIM (OSSIM)

options) Web Application (Apache Mod Security) IDS/IPS NIDS (Snort) HIDS (OSSEC)

15 Definición de requerimiento de seguridad: Desarrollo seguro

16 Desarrollo seguro Frameworks de seguridad en los procesos de desarrollo: Open Web Application Security Project (OWASP) SDLC con foco en seguridad Mejores prácticas de desarrollo seguro Herramientas y metodologías de testing de seguridad National Institute of Standards and Technology (NIST) Mejores prácticas de desarrollo, gestión de claves de cifrado y hardening Common Vulnerability Scoring System

Herramientas y metodologías de testing de seguridad National Institute of Standards and Technology

17 Desarrollo seguro

18 Desarrollo seguro Frameworks de seguridad en aplicativos Spring MVC y Spring security - Autenticación - Autorización por URL/invocación de métodos - Seguridad en el canal - Captcha - Web Service security HTTP Data Integrity Validator (HDIV) - Prevención de vulnerabilidades comunes (OWASP Top Ten) - Integridad (ataques de Tampering) - Validacion de datos editables (XSS y SQL Injection)

Web Service security HTTP Data Integrity Validator (HDIV) - Prevención de vulnerabilidades

19 Desarrollo seguro Participación en aspectos técnicos: Pruebas de caja negra (pentesting) durante el desarrollo del aplicativo Pruebas de caja negra (pentesting) y caja blanca (revisión de código) previo a la puesta en producción del aplicativo Metodología: 1. Recopilación de Información 2. Análisis y Descubrimiento 3. Análisis de Código 4. Explotación 2 Etapas (con y sin credenciales) Pruebas de implementación del aplicativo

la puesta en producción del aplicativo Metodología: 1. Recopilación de Información 2.

20 Desarrollo seguro Herramientas: W3af (Web Application Attack and Audit Framework) Herramienta que automatiza las técnicas de auditoría y explotación de vulnerabilidades web. Burp Proxy Proxy man in the middle, sirve para atacar y analizar aplicaciones web, con la posibilidad de interceptar, modificar e inspeccionar el tráfico entre el navegador y el sitio. Acunetix Escáner de detección y explotación de vulnerabilidades Web.

Burp Proxy Proxy man in the middle, sirve para atacar y analizar aplicaciones web, con la posibilidad de

21 Seguridad como proceso

22 Seguridad como proceso Análisis de riesgo No desproteger No sobreproteger Valor del activo (CIA) Identificación de vulnerabilidades, amenazas e impacto Metodologías: Octave (SEI) y Magerit por citar algunas

23 Seguridad como proceso P Análisis de riesgo D Implementar controles C A Evaluación de efectividad Acciones correctivas

24 Conclusiones

25 Conclusiones Existen marcos regulatorios y otros factores externos que deben ser tenidos en cuenta Existen soluciones Open Source que brindan una alternativa viable a las soluciones comerciales Seguridad por oscuridad no es el camino La seguridad es un proceso y no un producto No existe el Riesgo cero (el mundo ideal tampoco!) Cuanto antes participe seguridad en un proyecto, mejor será la calidad de la solución y menor el impacto en la organización

26 ? Muchas Gracias!

Documentos relacionados

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS

INTRODUCCIÓN A LA SEGURIDAD EN SISTEMAS Y WEBS Marco A. Lozano Merino Mayo 2012 Índice 1.Seguridad a nivel de usuario 1.Amenazas y protección 2.La realidad de la seguridad: hackers 3.Seguridad en redes