Seguridad 101. Daniel

Transcripción

1 Seguridad 101 Daniel

2 Capítulo 2 Tipos y Métodos de Control

3 Tipos de control básicos Modelos de control de Acceso Controles de seguridad física Controles de acceso lógico

4 Entendiendo los tipos de control básicos

5 Riesgo Es la probabilidad de que una amenaza se aproveche de una vulnerabilidad lo cual genera una pérdida. Controles Los controles se refieren a contramedidas o salvaguardas

6 Publicaciones Especiales - series 800 An Introduction to Computer Security: The NIST Handbook - SP Generally Accepted Principles and Practices for Securing Information Technology Systems - SP Guide for Conducting Risk Assessments - SP Guidelines on Securing Public Web Servers - SP Security and Privacy Controls for Federal Information Systems and Organizations - SP Rev. 4

7 Controles Técnicos Un control técnico es en el cual se utiliza la tecnología para reducir vulnerabilidades (Antivirus, Firewalls, ID s, NAC s, etc )

8 Controles de Gestión Son controles generalmente de tipo administrativo como por ejemplo: Gestión de riesgo Gestión de Vulnerabilidades Pruebas de Intrusión

9 Controles Operacionales Los controles operacionales ayudan a asegurar que las operaciones desarrolladas día a día en las organizaciones cumplan con un plan de seguridad como por ejemplo: Entrenamiento en seguridad Gestión de la configuración Planes de contingencia Protección de medios Protección física y del entorno

10 Controles basados en funciones Preventivo Previene que un incidente ocurra Guardias de seguridad Control de cambios Política de desactivación de cuentas Hardening de sistemas Detectivo Detecta cuando una vulnerabilidad ha sido explotada Auditorías de seguridad Vigilancia sistemas de vídeo (CCTV) Correctivo Se maneja el impacto una vez se ha producido un incidente Sistemas de backup y recuperación de desastres Sistemas de detección de intrusos

11 Modelos de control de Acceso

12 Terminología Sujetos: Usuarios o grupos que pueden acceder a un objeto. Objetos: Son elementos como archivos, carpetas, recursos compartidos, los cuales son accedidos por los sujetos.

13 RBAC (Control de acceso basado en Roles / Reglas) Role-based Access Control (RBAC) Usa roles para gestionar los permisos de usuario, generalmente Los usuarios son agrupados en roles Rule-based Access Control (RBAC) Las reglas definen que está permitido Ejemplos: Reglas de Firewall Control Parental Restricciones de tiempo

14 DAC (Control de acceso discrecional) Discretionary Access Control (DAC) En este modelo cada objeto tiene su propietario y el propietario establece los permisos de acceso al objeto Usado en sistemas operativos como Windows, Linux SIDs - Identificadores de seguridad DACLs - Listas de control de acceso discrecionales

15 MAC (Control de acceso Obligatorio) Mandatory Access Control (MAC) Modelo más restrictivo Los sujetos y objetos son clasificados por una alta autoridad: Ultra secreto Secreto Confidencial Un ejemplo de implementación de control MAC es el módulo de seguridad SELinux (Security-Enhanced Linux)

16 Controles de seguridad física

17 Perímetro Edificio Áreas Restringidas Gabinetes de Servidores y redes Hardware

18 Límites Perímetro Edificación Áreas de trabajo seguro Dispositivos de red y servidores

19 Puertas con código de bloqueo Sistemas de Acceso en Puertas Tarjetas de proximidad

20 Tarjetas de Identificación Proveen una confirmación visual de que la persona está autorizada para el ingreso a cierta área. Las tarjetas de identificación normalmente incluyen, el nombre, una fotografía, el cargo e información que describa al sujeto.

21 Piggybacking - Tailgating Piggybacking, es el caso en el que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación tras de el. Tailgating, caso en el que la persona autenticada no sea consciente.

22 Controles Piggybacking / Tailgating Tornos giratorios Puertas dobles Guardias de seguridad Cámaras de vigilancia (CCTV)

23 Listas de Acceso Físico Listas de Acceso Especifica quién tiene permitido el acceso Reforzada por guardias Log Registran quién entra y quién sale Reforzado con video-vigilancia.

24 Cámaras de vigilancia (CCTV) Grabar solo en áreas públicas Notificar a los empleados acerca de las grabaciones No grabar audio Sensores de Movimiento

25 Seguros para hardware Control de menor costo No genera un registro de acceso Generalmente usados para prevenir el robo de portátiles.

26 Barricadas Comunes en bases militares Prohibición de actividades comerciales. Previenen de estacionamiento de vehículos cerca a las puertas (Bolardos)

27 Metodología de Evaluación Alcance de la propiedad a evaluar o proteger Establecer puntos de ingreso y salida Medidas de seguridad existente Evaluación de propiedad física. Evaluación de Riesgos

28 Metodología de Evaluación Alto nivel Centros de datos Oficinas ejecutivas Finanzas y Contabilidad Nivel Medio Entradas y salidas Recepción Ascensores. Bajo Nivel Áreas comunes Puestos de atención

29 Consideraciones Requerimientos del negocio Requerimientos de salud ocupacional / industrial. Requerimientos de cumplimiento

30 Consideraciones Cámaras Campo visual Redundancia Registro Puertas Tipo de cerraduras Multi-Factor de Autenticación Restricciones basadas en tiempo.

31 Diseño Físico Centros de Datos El diseño protege contra amenazas ambientales como inundaciones, terremotos y tormentas? Ante un desastre el datacenter cuenta con personal y elementos para poder seguir operando? Suministro de agua Suministro de energía Comida Telecomunicaciones Accesibilidad Está limitado el acceso físico únicamente a personal autorizado?.

32 Centros de Datos Estándares BICSI Diseño e instalación de cableado IDCA Ubicación de centros de datos, estructuras y aplicación NFPA Asociación del departamento de bomberos. ANSI EIA TIA 942

33 Tier 1 Basic Site Infrastructure Centros de Datos Estándares Tier 2 Redundant Site Infrastructure Capacity Components Tier 3 Concurrently Maintainable Site Infrastructure Tier 4 Tolerant Site Infrastructure

34 El modelo de escalas (Tiered Model)

35 Consideraciones Ambientales Temperatura Mínima 18 C Temperatura Máxima 27 C Humedad Mínima 40% humedad relativa y 5.5 C punto de rocío Humedad Máxima 60% humedad relativa y 15 C punto de rocío.

36 Controles de acceso lógico

37 Menor Privilegio El principio de Menor Privilegio establece que una persona o proceso no debe tener acceso a información que no necesita para desarrollar su trabajo. Incluir en este principio a los administradores Emplear la política Denegar Todo/Permitir por Excepción

38 Listas de control de acceso (ACLs) Las listas de control de acceso son usadas para establecer de forma específica que está permitido y que nó está permitido ya sea basado en permisos o en tráfico. Generalmente se opera usando una política de denegación de forma implicita y con base en ella se crean reglas permisivas según los requerimientos.

39 Políticas de Grupo Las políticas de grupo se encuentran normalmente configuradas en dominios Windows para la gestión de múltiples usuarios y equipos de un dominio, a través de GPO Group Policy Objects. Las políticas de seguridad afectan a todos los objetos Se convierte en un punto central de administración.

40 Política de contraseñas Garantizar el historial de contraseñas Edad máxima de la contraseña Edad mínima de la contraseña Longitud mínima de la contraseña Complejidad de la contraseña Cifrado de la contraseña

41 Política de Dispositivos Deshabilitar autorun Prevenir la conexión o instalación de dispositivos más pequeños como memorias USB, reproductores MP3 Detectar el uso de dispositivos más pequeños

42 Política de Dispositivos

43 Gestión de Cuentas La gestión de cuentas comprende la creación, eliminación y desactivación de cuentas de usuario. Desactivar cuentas inactivas Desactivar cuentas por terminacion contractual Desactivar por ausencia Restricciones por tiempo Monitoreo y auditoría Centralización de gestión de cuentas Todas las cuentas son almacenadas en un repositorio central ej: LDAP Gestión descentralizada de cuentas Credenciales almacenadas en cada estación de trabajo de forma local