VER, ENTENDER Y PROTEGER

Transcripción

1 VER, ENTENDER Y PROTEGER

2 Presentada por: Paul Cisneros Caicedo Gerente de Ingeniería, VILSOL Ecuador

3 Aclaración: Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

4 Agenda Riesgo y Procesos de negocios HP Enterprise Security Products

5 Riesgo y Procesos de negocios El Cyber Crimen crece Las amenazas y el riesgo aumentan en frecuencia e intensidad

6 Tendencias que marcan la inversión en seguridad A new market adversary 1 Naturaleza & Motivacion (Fama fortuna, competencia) Investiga Infiltra Descubre Captura Exfiltra 2 Transformacion de IT Empresarial Traditional DC Private Cloud Managed Cloud Public Cloud Network Storag e Server s Delivery Consumption Virtual Desktops Notebooks Tablets Smart phones 3 Regulaciones (aumento de costo y complejidad) Policies and regulations Basel III DoD

7 Riesgo y Procesos de negocios Prioridades en Seguridad Empresarial Administración del RIESGO de INFORMACION en la era de: Movilidad, Cloud, Consumo TI, Social Media. Proteger contra CYBER AMENZAS mas sofisticadas. Mejorar el TIEMPO de REACCION de los incidentes de seguridad. Reducir costos e INVERTIR EN FORMA INTELIGENTE. Lograr CUMPLIMIENTOS REGULATORIOS en una forma predecible y con costo eficiente.

8 HP Enterprise Security Collect Consolidate Correlate SaaS Hybrid Cloud Finance PaaS APP IaaS Public Cloud Division A Division A Private Cloud Division B - Vulnerability Awareness - Vulnerability Scanning - SourceCode Analysis - Software Security Assurance - Proactive Defense - Flexible Security-Zone Segmentation - Well-Known- and Zero-Day-Exploit Protection - Adaptive Network Defense - Visibility - Security-Information and Event Management System - Event Correlation - Context-Visibility 8

9 HP ArcSight ofrece visibilidad completa Colecta, almacena y analiza: - Logs de cualquier sistema - Actividad de usuarios y aplicaciones - Contexto de cumplimiento, seguridad y del negocio

10 Normalización UNIX Failed Login Event Oracle Failed Login Event Windows Failed Login Event Follows NIST Guidelines

11 Por qué HP TippingPoint? Next Gen IPS VM/Cloud Security DVLabs Enterprise Mgmt Prof Services Next gen IPS DVLabs research NextGen Network Security Reputation feeds Next gen mgmt Adaptive protection and policy deployment Enterprise-class architecture Unrivaled efficacy and performance Flexible deployment form factors Superior network threat research

12 Investigación de Seguridad DVLabs La Defensa en la Red es buena solamente cuando se cuenta con la inteligencia de Seguridad 1,600+ Independent Researchers DV Labs Research & QA TippingPoint NIPS Platform 2,000+ Customers Participating 30+ Investigadores dedicados Partners SANS, CERT, NIST, OSVDB, etc. Software & Reputation Vendors Servicios de DV Labs Digital Vaccine App DV ThreatLinQ Web App DV Reputation DV Custom DV Lighthouse Program

13 Software Runs the World

14 de los ataques 84% exitosos han ocurrido en la capa aplicativa

15 La Realidad: El costo de un hackeo Los costos van en aumento 80% de los ataques son al nivel de vulnerabilidades del codigo(gartner) 85% de las aplicaciones corren en peligro Web App Security Consortium estudió pruebas de seguridad en aplicaciones 13% de las aplicaciones podrían ser comprometidos de forma totalmente automática 85% tenían vulnerabilidades de gravedad media o alta encontradas en escaneos completamente automatizados USD214 El costo total promedio de un robo de datos por registro comprometido * No. Promedio de registros comprometidos por ataque * USD7,2 M Costo total promedio por ataque* *MainStay Research 2010 Enterprise Security HP Confidential

16 Las aplicaciones son el objetivo Aplicaciones Servidores Red Aplicaciones: Desprotegidas o ignoradas Servidores: protegidos por la prevención de intrusos Red: seguras por firewall De sitios escaneados, más del 85 % mostraron una vulnerabilidad que puede darle a los hackers la capacidad de leer, modificar y transmitir datos sensibles para la organización -- Web Application Security Consortium

17 Como trabaja el Hacker? Las Aplicaciones son el punto de entrada Software Applications are the Entry Point Intellectual Property Hardware Customer Data Attacks Business Processes Network Trade Secrets

18 El reto en la seguridad del software Desarrollo In-House Asegurar las aplicaciones existentes Corregir Encontrar y remediar las vulnerabilidades en el software ya desarrollado Outsourced Compliance SOX, PCI, etc Certificar las aplicaciones de externos Commercial Certificar la seguridad en nuevas aplicaciones Prevenir Lograr que la seguridad sea consistente en los procesos de desarrollo de nuevo software Open source

19 HP Fortify Application Defense Identifica y elimina el riesgo en aplicaciones existentes y previene la introducción de riesgos durante el proceso de desarrollo de aplicaciones, inhouse o de proveedores comerciales. Protección de aplicaciones criticas del negocio de ataques avanzados a través de disminuir vulnerabilidades de seguridad de software. IN-HOUSE COMMERCIAL OUTSOURCED OPEN SOURCE Aceleración del valor de entrega al negocio mediante la entrega de aplicaciones seguras. Incremento de la productividad del área de desarrollo a través de la inclusión de aspectos de seguridad en al construcción de software en lugar de añadir componentes de seguridad después de su implementación. Entrega inteligencia de riesgos dentro del ciclo de vida del desarrollo de aplicaciones y el incremento de la seguridad operacional

20 La solución Copyright 2012 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice.

21 HP Fortify Software Security Assurance (SSA) Framework Alineado con el modelo de madurez de seguridad en el software (SAMM Modelo sistemático para organizar, implementar y medir las capacidades de seguridad aplicativa Consta de cuatro disciplinas y doce áreas funcionales que cubren todos los aspectos de seguridad en el software Integra la experiencia de HP Fortify con alrededor de 500 implementaciones a nivel global

22 Portafolio de Soluciones Construcción Fortify Static Code Analyzer (SCA) Fortify on Demand Pruebas WebInspect, QAInspect,WI Enterprise Fortify on Demand Fortify Runtime Producción Remediación y Prevención IDE Plugins Audit Workbench Scan Wizard Administración de Vulnerabilidades (Estático, Dinámico, Runtime) HP Fortify Software Security Center Governance Fortify Governance Module (SSC Server Add- On) Desarrolladores y Especialistas de Seguridad Auditores y Gerentes de Seguridad, Líderes de Proyecto Project, Security, and Management Stakeholders

23 HP Fortify Software Security Center server Administración, seguimiento y remediación a los riesgos en el software Características: Especificación, comunicación y seguimiento a las actividades de seguridad realizadas en el desarrollo de software Plataforma de administración de la seguridad en el desarrollo de software bajo un enfoque orientado a procesos y roles Centralización de resultados y psobilidad de exportarlos a diferentes formatos para conocer en todo momento el estado de las aplicaciones, sus tendencias,histórico y nivel de cumplimiento Problemas que resuelve: La falta de visibilidad entre las áreas participantes en el proceso de desarrollo de software de punta a punta Beneficios: Contar con una vista clara y precisa del riesgo en el software que se desarrolla para la organización Reducción en el costo de remediación de vulnerabilidades Acelerar la reducción de riesgos y costos en el desarrollo de software

24 HP Fortify Static Code Analyzer (SCA) Aegurar el código de las aplicaciones durante su construcción Características: Automatización de las pruebas de seguridad para identificar vulnerabilidades en el código fuente durante la etapa de construcción Identificación de la causa raíz de las vulnerabilidades a nivel línea de código con detalles del problema y recomendaciones para corregirlo Priorización de las vulnerabilidades por grado de severidad e importancia Problemas que resuelve: La falta de identificación de problemas de seguridad al inicio del ciclo de desarrollo Beneficios: Reducir el costo inherente a la identificación y corrección de vulnerabilidades Reducir el riesgo de que una vulnerabilidad se infiltre y se convierta en un problema en producción Calidad de vida para el equipo de desarrollo

25 HP WebInspect Accelerate security through more actionable information Características: Automatizacion de las pruebas en tiempo de ejecución de aplicaciones web y web services Independencia del lenguaje de programación en que se desarrolló la aplicación Priorización de los problemas de seguridad detectados Complementar las pruebas de seguridad en el código fuente dentro del ciclo de desarrollo Problemas que resuelve: El desconocimiento del nivel actual de riesgo en las aplicaciones web o web services ya construidos y hasta puestos en producción Beneficios: Identificación rápida de riesgos de seguridad en aplicaciones ya construidas Reducción de costos asocioados la búsqueda y corrección de vulnerabilidades Reducción de costos asociados a auditorías

26 Seguridad en Producción Fortify Runtime Solución orientada a proteger aplicaciones Java y.net mediante reglas de seguridad (rulepacks) predefinidos para los ataques más comunes en la industria, con la posibilidad de crear reglas personalizadas de acuerdo a las necesidades de cada organización. Cada regla define, para las aplicaciones que se protegen, un monitor que verifica diferentes puntos de seguridad. Si se detecta un comportamiento acorde a los definido en las reglas, este genera un evento que contiene información relativa al problema, como su categoría, y el código e donde fue detectado. Con los manejadores de eventos se define el comportamiento de respuesta ante el problema detectado para ejecutar acciones que den visibilidad y protección Fortify Runtime es sugerido para utilizarse en ambientes de producción

27 HP Fortify OnDemand Quickstart Security Testing Source Code Security Tests in 24 hrs WebApps/WebServices Tests in 7 days 21 programming languages Hosted in a Datacenter Tier IV in Sacramento, CA Results published in Fortify On Demand Portal Unlimited Users and diferent Roles Dedicated Technical Account Manager No HW/SW needed to operate Eventually, you can migrate to On Premise

28 Seguridad en Aplicaciones Móviles Soportamos: Cliente Network Servidor Objective-C (Apple ipad/ iphone) Android Windows Blackberry Análisis de Caja Gris en: Código Fuente Aplicaciones corriendo Aplicación Móvil = 3 capas Credentials in memory Credentials on file system Data stored on file system Poor cert mgmt. Cleartext credentials Cleartext data Backdoor data Data leakage SQLi XSS LFI Authenticatio n Session Management Logic Flaws

29 Visitar y probar

30 Visitar OpenSAMM, OWASP y HP Vulncat

31 Gracias por asistir a esta sesión

32 Para mayor información: Paul Cisneros Caicedo Para descargar esta presentación visite Los invitamos a sumarse al grupo Segurinfo en