Seguridad en entornos universitarios: los retos de la hiperconec4vdad Pablo E. Romo
Antecedentes Los avances en tecnología han permi4do que las arquitecturas de seguridad computacional evolucionen de tal forma que podamos: Implantar un sistema automa4zado de seguridad que iden4fique amenazas aun desconocidas ( day zero ). Los modelos de seguridad actuales deben ser aplicados al sistema en múl4ples niveles, protegiendo las amenazas y defendiendo contra todas las posibilidades de ataque. Todos los elementos de un sistema de seguridad computacional deben de ser integrados para iniciar una respuesta coordinada en caso de ataque. Un modelo de referencia de seguridad computacional engloba mucho mas que elementos de hardware y somware.
Evolución de los ataques de seguridad 1. Organizaciones y personas son dependientes de la tecnología 2. Los ataques ahora son más enfocados y efec4vos 3. El 4empo transcurrido entre la publicación de una vulnerabilidad y su ataque se ha reducido Los nuevos atacantes: ü Organizaciones cibercriminales ü Mafia ü Hackers profesionales ü Personal interno Perpetuado por: ü Tecnología obsoleta ü Cambios continuos en la seguridad ü Control limitado ü Factores Humanos
Definición de Seguridad El único sistema seguro es aquel que está apagado, desconectado, dentro de una caja de 4tanio, enterrado en un bunker de concreto, rodeado de gas tóxico y vigilado por guardias bien armados y muy bien pagados. Y aun así, no apostaría mi vida a que es seguro. Gene Spafford
Entorno actual de seguridad El número de incidentes de seguridad continua creciendo de manera exponencial La complejidad y sofisticación de los ataques y vulnerabilidades continua creciendo El impacto potencial a la operación de la organización es cada vez mayor
Conocimiento del atacante Alto Cada vez mas sencillo. Stealth /Advanced Scanning Techniques Denial of Service Malicious Code Morphing Zombies BOTS Bajo Network Management Diagnostics Disabling Audits Back Doors Sweepers Password Cracking Self-Replicating Code Password Guessing Sniffers Hijacking Sessions Exploiting Known Vulnerabilities WWW Attacks Automated Probes/Scans GUI Packet Spoofing Intruders Distributed Attack Tools Complejidad ataque 1980 1985 1990 1995 2000 2005 2010
Seguridad Vs Usabilidad Alta Seguridad Bajo Desconexión de la red Criptografía Acceso controlado Políticas Corporativas De Seguridad Acceso universal Protección basada en contraseñas Bajo Acceso Alto
Esquema tradicional de seguridad
La eliminación de fronteras
El mundo hiperconectado
Seguridad: un concepto integral SEGURIDAD Un concepto integral Seguridad Computacional Seguridad en el Centro de datos Seguridad en la red MPLS Seguridad en los Campus Seguridad Física Control de acceso Sistemas de video vigilancia Seguridad Personal Medidas de prevención Antivirus Cultura de seguridad
35% del Mundo está en línea Se Más estiman personas 1.2 navegan B de personas en con internet celulares mientras el caminan. mundo Las Redes Sociales El Si consejo facebook de fuese las personas un País es más Sería aceptado el 3ro más que grande las del recomendaciones Mundo de los expertos como fuente de 2.7 B celulares Mundo 88 M celulares México Del Debemos 80 al 85% aceptar de la que población el en celular mundo es usan dispositivo celular de interacción para vivir Interacción por Internet 1 Las de personas cada 8 parejas prefieren que usar se casaron internet para en 2011 interactuar se cada conocieron vez más y es en 24x7x365 línea Se pueden enviar mensajes de texto globalmente Pero La cantidad además de los mensajes teléfonos hoy de texto pueden enviados mostrar imágenes, diariamente y excede video y la tomar fotos población mundial Se confía más en consejos persona a persona en línea y en sus comparaciones Las nuevas generaciones tienen diferentes premisas sobre quién les aconseja y sobre la privacidad.
La realidad de nuestros usuarios Apps & Data Everywhere Diverse Access Points Windows Legacy Apps Universal App Catalog and Workflow Browser Windows SaaS Services Broker Mac Mobile Apps ios Data Services Entitlements, Policies and Reporting Android
El factor humano en la seguridad Por lo general, el empleado se convierte en un cómplice involuntario: Personal IM Games Streaming Media MP3s P2P File Sharing DVDs Illegal Software Hacking Tools None Types of non work-related applications 4% 10% 14% 16% 21% 29% 44% 47% 54% 0% 10% 20% 30% 40% 50% 60% Actividades no relacionadas con el trabajo 30% a 40% del uso de Internet no está relacionado con el trabajo 80 Millones de personas en USA o e 27% de la población utiliza IM* 55% de los usuarios han sido infectados por spyware * Los problemas de seguridad de la mensajería instantánea se duplican cada 6 meses *Intl Data Corp * Consumer Affairs *Bigfoot Interactive *Gartner
Pérdida de datos
.. Las redes sociales Los sitios de redes sociales alcanzan una utilización cercana al 70% del tiempo total la audiencia utilizando sistemas en línea. Son los destinos más populares en la red Representan una población de más de 1.8 billones de usuarios Mas de 477 millones de Facebook Mas de 123 millones de MySpace Mas de 105 millones en twitter
Una mirada al futuro
2019: Internet de las Cosas llega a la Casa y a la Educación Cómo se hacen inteligentes Las cosas para conectarse? El internet de las cosas (IoT)
El reto actual en la universidad Diversidad de disposi4vos móviles integrándose en la operación de las organizaciones Celulares (nokia, samsung, apple) Tablets U4lización de las redes sociales Tecnología obsoleta sobre la red inalámbrica Existe hoy día una gran facilidad para que los usuarios con una mínima búsqueda en Internet obtenga herramientas para escuchar todo lo que esta pasando a través de la red Facilidad para que exista robo de passwords Creación de servicios 4po Phishing para robo de información Casos como la clonación de la pagina de Chase, PayPal Publicación de si4os con contenido indebido (pornográfico)
Sistema Tecnológico de Monterrey 104,000 students 8,600 teachers +23,000 employees (inc. teachers) 30 campus + 23 sites and foreing offices 38,000 students 4,000 teachers 1,000 employees 30 campus + 10 sites 1,400 employees 2 Hospitals 11 Research Ins4tutes 300 beds 22,000 students 13,500 Postgraduate programs +150,000 Con4nuous Educa4on 14,000 Social programs
El salón de clases: ayer y hoy 21
La educación: ayer y hoy * Material desarrollado por David Garza 22
Los Milenians: la generación de hoy Quieren marcar una diferencia en el Mundo! os d a c i n Comu s e l i b ó con m e ub N a l n e r Abie io! b m Ca l a s to Quieren Sentirse escuchados y que Contribuyen! Conf iado s! 2 3
El estudiante 1960+ 1985+ 2005+ # conexiones 20 80 200+ Estilo de trabajo 8am a 5pm Balance trabajo-vida Siempre conectado Trabajo De por vida Varios trabajos Qué me ofreces? Jerarquía Formal Sin barreras Mundo Plano Donde trabajar Corporativo Banca Google Comunicacion 1-1 1-n n-n Conocimiento es poder colaboración compartir Tecnología para conectarse Tolerancia de atención Email, telefono, video XING, blog, skype SMS, twitter, Facebook Este mes Esta semana Los siguientes cinco minutos
En la actualidad.. Para todo tenemos un app La información copora4va debe debe estar disponible para todos en cualquier momento, desde cualquier parte, en cualquier disposi4vo
Regulaciones El marco en el cumplimiento de regulaciones empieza a verse presentes en las Universidades Reglas de Seguridad de la Información en México (RSIM) Ley Federal de Protección de Datos Personal en Posesión de Par4culares ISO 27001
La verdad no deseada 50% 1-de-cada-10 Demora 29.5 días de los datos de la organización residen en equipos de cómputo desprotegidos laptop será perdida o robada dentro de los primeros 12 de meses de haber sido comprada En promedio eliminar la mitad de las vulnerabilidades criticas conocidas en las redes corporativason Asegurar las redes coportaivas se ha convertido en un reto muy complicado de lograr. 28
Los datos Big Data Volu- men Veloci dad Varie- dad
Marco evolu4vo de seguridad Recopilación y Análisis de Información Actual Iden4ficación de áreas de oportunidad y solución preliminar Ejecución de mi4gación básica y generación de solución final Ejecución de recomendaciones finales de seguridad Ac4vida des Entrevistas con Responsable de redes de cada campus Puesta en marcha de colecta de datos para análisis de ciclo de vida Entendimiento de la situación actual de la r`ed inalámbrica, VPN e Internet Agrupación de áreas de oportunidad en seguridad y obsolescencia de red (Wireless, LAN y WAN) Iden4ficación de evolución natural para sus4tución de equipo por ciclo de vida. Definición de planes de acción para mi4gar áreas de oportunidad en seguridad y ciclo de vida Ejecutar acciones inmediatas de mitigación de problemas de seguridad ** Validación de hallazgos y recomendaciones Identificación de requerimientos futuros (visión) Preparación de plan de evolución tecnológica y procesal con iniciativas clave por campus Detalle de programas de acción para iniciativas Definición de métricas de progreso Arranque de inicia4vas Entrega ble Detalle de evidencias de situación actual Plan de acción preliminar con acciones de seguridad priorizadas Evaluación de impacto por ciclo de vida Plan de acción final con iniciativas claves de seguridad y evolución tecnológica Implementación de iniciativas claves
Nuestro marco de seguridad Seguridad Básica Seguridad en ruteador Interfaces de línea de comando Productos Específicos Dispositivos de seguridad Mejoras en el ruteador Software de control y administración Defensa en Profundidad Múltiples technologías Múltiples ubicaciones Múltiples dispositivos Poca o nula integración Seguridad Integral Seguridad integral Ruteadores Switches Appliances Endpoints FW + VPN + IDS. Software integrado de administración Evolución de mejores servicios Redes de Autodefensa Fortalecimiento a los End-point Protección de recursos de red Conectividad segura y dinámica Comunicación entre los elementos Respuesta automática a las amenazas 1990s 2000-2003 2004-2007 2008-2011 2011
Fase I: ü Σεγυριδαδ Β σιχα ü Σερϖιδορεσ, Εθυιποσ δε ρεδεσ ü Πολ τχασ δε Σεγυριδαδ ü Χαρτα Χονφιδενχιαλιδαδ ü Βαϕα δε χυεντασ δε χορρεο ελεχτρ νιχο ü Αυδιτορια δε σιστεµασ ü Βαννερ ü Ινσχριπχινεσ CONCLUIDO Fase II: ü Προτεχχι ν αντιϖιρυσ ü Φιρεωαλλ εν ελ χεντρο δε δατοσ ü Αχχεσο σεγυρο α λα ςπν ü Αδµινιστραχι ν δε βιτ χορασ ü Χορρελαχιον δε εϖενοσ ü Ροβυστεχιµιεντο δε βασεσ δε δατοσ ¹ Ιδεντιφιχαχι ν Βιοµ τριχα ¹ Αδµινιστραχι ν πασσωορδσ Marco general de seguridad Fase III: ¹ Ιντεγραχι ν δε λα αρθυιτεχτυρα δε σεγυριδαδ ¹ Ρεχυπεραχι ν δε δεσαστρεσ ü Αδµινιστραχι ν δελ χαµβιο ¹ Ρετενχι ν δε δατοσ ¹ Ρεσπυεστα α ινχιδεντεσ ¹ Χονσολα υνιφιχαδα δε σεγυριδαδ Fase IV: EN IMPLANTACION EN IMPLANTACION META. Δεσαρρολλο εµπλεανδο χ διγο σεγυρο. Σεγυριδαδ περσοναλιζαδα (Φιρεωαλλσ) ü Αδµινιστραχι ν δε λα ιδεντιδαδ. Μεχανισµοσ ροβυστοσ δε πασσωορδσ. Ρεδεσ δε Αυτοδεφενσα. Οπεραχι ν βασαδα εν εστ νδαρεσ ΣΟΑ- Los costos están prácticamente incluidos en la operación Esfuerzos formales en la administración del modelo general de seguridad Generación de procesos para la puesta en producción de sistemas Implementación del Programa de Seguridad Tecnológico de Monterrey: Programa de Seguridad
Hay que entender el riesgo 1.0 1.7 1.0 1.5 2.4 2.1 1.5 1.5 1.0 2.5 1.5 2.0 0- Inexistente. Falta del proceso. No se reconoce el tema. 1- Inicial / Ad hoc. Se reconoce el tema, pero se resuelve caso por caso. 2- RepeSble, Se 4enen prác4cas, pero sin documentación, ni entrenamiento. Responsabilidades no claras. 3- Definido Procedimientos documentados y comunicados, pero con posibles desviaciones. 4- Administrado y medido La administración monitorea y mide el cumplimiento. Herramientas automa4zadas. 5- OpSmizado Mejora con4nua, iden4ficación de debilidades
Modelo de Seguridad Para poder implantar un modelo de seguridad debemos considerar: GENERAR POLITICAS PONERLAS EN OPERACIÓN (CUMPLIMIENTO) PROCESOS PROCESOS QUE CONSIDEREN POLITICAS DE SEGURIDAD (CONGRUENCIA) P ACEPTAR RESPONSABILIDAD ANTE POLITICAS (CULTURA DE SEGURIDAD) GENTE TECNOLOGIA SISTEMAS CONSTRUIDOS BAJO POLITICAS (SOPORTE)
La cadena de seguridad visualización y captura de actividad en pc usuario (sniffing): cuentas y passwords mensajes instantáneos correo archivos transferidos cuidado uso password prácticas virus actualizar s.o. ingeniería social Laptop casa Sistema operativo Browser Hardware Modem INTERNET Infraestructura ISP Infraestructura ISP para la casa spyware virus rastreo spyware virus rastreo cuidado uso password prácticas virus actualizar s.o. ingeniería social PC Campus Sistema Operativo Browser Hardware Tarjeta red Switch edificio Backbone campus Energía eléctrica prácticas operativas manejo de cuentas y passwords convenio confidencialidad software acceso seguro conexión segura Ruteador VPN Infraestructura Telmex Alestra Ruteador VPN VPN ITESM Salida Internet Switch balanceo Arreglo de discos Appserver/Webserver Hardware Sistema Operativo Base de datos Software appserver actualizacion S.O. huecos seguridad (parches) control de acceso monitoreo Servidor de base de datos Hardware Sistema Operativo Configuración BD Respaldos actualizaciones huecos seguridad (parches) control de acceso monitoreo cuentas genéricas Base de datos Espacios Datos Discos HW Configuración Energía eléctrica y planta física
Conceptos erróneos de seguridad El firewall protrege el servidor de web y base de datos Acceder el servidor usando los puertos 80 y 443 crea una red de defensa perimetral Las vulnerabilidades en el servidor de web (como producto) o sus aplicaciones permiten acceso a los recursos internos de la organización El detector de intrusos (IDS) protégé el servidor de web y base de datos El IDS se configura para detectar patrones de los ataques previamente documentados La información de los ataques (firmas) no incluyen referencia para las aplicaciones SSL le da seguridad al site SSL establece seguridad entre el servidor de web y navegador del usuario SSL no protégé contra ataques al servidor o a las aplicaciones SSL es el mejor aliado de los hackers por el falso sensmiento de seguridad que genera
Reflexiones sobre seguridad Security is not an end, it enables end La seguridad es un requerimiento a una necesidad de protección La seguridad no debe ser considerada como una moda Una arquitectura de seguridad, una vez en producción no es piloto Por úl4mo, pero no menos importante, la seguridad también se opera!
GRACIAS!!