Presentada por: Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados

Tamaño: px

Comenzar la demostración a partir de la página:

Download "Presentada por: Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados"

Magdalena Aguirre Valverde
hace 8 años
Vistas:

2 Presentada por: Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de

4 Agenda Intro Controles Origen Por qué son útiles? Pilares 20 controles críticos Grupos de controles Mitigaciones 5 quick wins Roadmap Conclusiones

5 Intro: Abordaje actual Aplicamos buenas prácticas A veces a medias Hacemos buenas cosas En lugar de hacer las cosas necesarias Muchas veces el árbol no nos deja ver el bosque

6 Intro: Abordaje actual Tenemos demasiadas herramientas disponibles Lo que dificulta decidir cual utilizar 6

7 Intro: Abordaje actual Puede que seamos muy exigentes en algunos puntos 7

8 Intro: Abordaje actual y poco exigentes en otros. 8

9 Origen de los controles Surge del ámbito gubernamental Primero corregir los males conocidos NSA + CIS + SANS consorcio Expansión de miembros a +100 Conocimiento agregado publico/privado Versión 5 (revs. Cada 6/12 meses desde 2008) Gestionado por SANS hasta 2013 (hoy por el Council on CyberSecurity CCS) 9

Conocimiento agregado publico/privado Versión 5 (revs.

10 Por qué son útiles? Aportantes / Consenso Foco en acciones de alta prioridad Casos de éxito Adoptantes Herramientas disponibles Mapeo contra frameworks existentes Mapa de ruta para mejorar la seguridad 10

11 Pilares Ofensa informa a defensa Priorización Métricas Monitoreo continuo Automatización 11

12 20 Controles críticos 12

13 20 Controles críticos 13

14 Grupos de controles Gestión de riesgos en activos CSC1- Inventario de dispositivos autorizados y no autorizados CSC2- Inventario de software autorizado y no autorizado CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers CSC4- Análisis y remediación de vulnerabilidades continua CSC6 - Seguridad en Software de Aplicación CSC7 - Control de dispositivos Wireless 14

de hardware y software en laptops, workstations y servers CSC4- Análisis y remediación de

15 Grupos de controles Gestión de riesgos de usuarios CSC12- Uso controlado de privilegios administrativos CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria CSC15- Acceso controlado basado en el "need to know CSC16- Control y monitoreo de cuentas de usuario 15

monitoreo y análisis de logs de auditoria CSC15- Acceso controlado

16 Grupos de controles CSC3 CSC1 Gestión de riesgos de red CSC10- Configuraciones Seguras para Dispositivos de Red CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red CSC13- Defensa perimetral CSC19 Ingeniería de red segura 16

CSC11- Limitación y Control de Puertos, Protocolos y

17 Grupos de controles Prevención y respuesta a incidentes CSC5 - Defensas contra Malware CSC8 - Capacidad de recupero de datos CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps CSC17 -Data loss prevention CSC18 -Gestión de Respuesta ante Incidentes CSC20 - Pruebas de Penetración y Hacking Ético 17

de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps CSC17 -Data loss

18 Anatomía de un ataque actual Identificar un objetivo Analizar vectores de ataque Explotación Consolidación (upload/exec/persist) Realizar conexiones salientes (C & C) Reconocimiento interno Pivot dentro de la red

19 Mitigación de ataques 19

20 5 Quick Wins 1. App white listing (en CSC2) 2. Standard, secure system configurations (en CSC3) 3. Patchear software de aplicación dentro de las 48 horas (en CSC4) 4. Patchear software de sistemas dentro de las 48 horas (en CSC4) 5. Reducir el Nro. de usuarios con privilegios administrativos (en CSC3 y CSC12) 20

Patchear software de aplicación dentro de las 48 horas (en CSC4) 4.

21 Roadmap 1. Gap analisys inicial 2. Plan de implementación en fases 3. Primer fase 1. Mejorar el uso herramientas existentes 2. Incorporar nuevas herramientas 3. Mejora de procesos / skills 4. Integración de controles en la operación + monitoreo continuo 5. Repetir pasos 3 y 4 para siguientes fases 21

22 Conclusiones Controles prioritarios bien fundados No abarca todos los aspectos de seguridad punto de partida Basado en experiencias de ataques Conceptualización simplificada Focalización de esfuerzos No olvidar: Monitoreo continuo + Automatización 22

23 Gracias por asistir a esta sesión

24 Para mayor información: (Javier Antúnez) Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en

Documentos relacionados

Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática

Presentada por: Ing. Hernán Pacín Consultor de Seguridad Informática Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento