INFORME OFICIAL Seguridad Enero de 2012 Infracciones de seguridad: desafíos y soluciones Sumner Blount Administración de seguridad de CA Technologies agility made possible
tabla de contenido Sección 1: 4 Infracciones de seguridad: un creciente panorama complejo Sección 2: 4 Infracciones de seguridad: desafíos y requisitos Seguridad de la infraestructura en comparación con seguridad de los servicios Zonas de riesgo para las infracciones de seguridad Sección 3: 7 IAM basada en contenido: un enfoque unificado para reducir el riesgo de que se produzcan infracciones de seguridad Autenticación sólida Gobernanza de identidades Administración de usuarios con privilegios Protección de la información Monitoreo de la actividad del usuario Sección 4: 10 Conclusiones Sección 5: 11 Información relacionada Sección 6: 11 Acerca del autor 2
resumen ejecutivo Desafío Las recientes infracciones de seguridad han tenido como consecuencia una importante visibilidad negativa para las empresas involucradas. El daño que provocaron estas infracciones a nivel financiero y de reputación preocupó a los ejecutivos de otras empresas, que sintieron temor porque ellos eran vulnerables al mismo tipo de infracción. Y debían sentir temor. No es fácil protegerse de las infracciones, se necesita un análisis y una planificación cuidadosos, programas constantes de concientización para los empleados, controles de seguridad efectivos que se monitoreen en forma continua y una gobernanza constante de toda la infraestructura. Oportunidad Las organizaciones deben enfrentar la realidad de que las infracciones de seguridad constituyen una amenaza importante y son cada vez más complejas. Ya que la mayor parte de los activos y la información de una organización están en línea y se puede tener acceso a ellos, las organizaciones deben adoptar un enfoque preventivo para defenderse contra estos ataques. Este enfoque preventivo debe incluir una gran variedad de soluciones orientadas a la seguridad de la infraestructura, la administración de identidades y accesos y la protección de la información. Para proteger los activos y la información, es fundamental que se puedan responder preguntas clave tales como Quién tiene acceso a qué? y Qué hicieron?. Nada puede impedir completamente todos los ataques de seguridad, pero quienes adoptan un enfoque agresivo contribuyen a reducir el riesgo, mejorar el cumplimiento y permitir que la organización de TI respalde mejor el crecimiento empresarial. Beneficios Los beneficios de un programa sólido para defenderse contra las infracciones de seguridad son claros. Permite que las organizaciones implementen controles para proteger la integridad y la privacidad de la información confidencial de la empresa y de los clientes. La posibilidad de evitar los daños a la reputación que generalmente implica una infracción es motivo suficiente para justificar el esfuerzo. La reducción del riesgo de una infracción también puede ayudar a simplificar el cumplimiento de las regulaciones relevantes y puede simplificar las auditorías, ya que la implementación de controles de seguridad sólidos contribuye al cumplimiento. Por último, una infraestructura de TI segura aumenta la confianza de los clientes que hacen negocios con usted porque no ponen en riesgo su información privada, de manera que se fortalece la lealtad de los clientes y su crecimiento. 3
Sección 1: Infracciones de seguridad: un creciente panorama complejo La amenaza de sufrir una infracción de seguridad de TI es un temor constantemente presente en los entornos de TI actuales. Las recientes infracciones de seguridad pública han resaltado no sólo la vulnerabilidad de la mayoría de las organizaciones, sino que además han causado grandes daños. La infracción de WikiLeaks fue muy famosa. En este caso, un usuario que tenía acceso válido a una enorme cantidad de documentos militares confidenciales se los entregó a otra persona que los publicó en el sitio WikiLeaks. Una visión en retrospectiva sugeriría que esta persona no debería haber tenido acceso a tantos documentos confidenciales, pero al momento en que ocurrió este hecho se trataba sólo de una violación de la política de uso de la información, no de la política de acceso. Este caso ilustra dos problemas evidentes: la falta de una gobernanza adecuada del acceso de los usuarios y la carencia de controles sobre el uso de los datos. Este caso aún se está develando, pero el daño político ocasionado ya fue importante. Prácticamente todos los días se producen infracciones de algún tipo, en especial, en áreas como los servicios financieros y la atención médica, donde los registros de los clientes pueden ser valiosos. De hecho, en el año y medio que transcurrió desde septiembre de 2009 hasta marzo de 2011, se produjeron 249 infracciones en el sector de la atención médica que afectaron aproximadamente a 8,3 millones de personas. Estas infracciones son una llamada de atención para cualquier organización que almacene información confidencial, fundamentalmente todas las empresas. Este informe tendrá en cuenta algunos enfoques tecnológicos que sirven para protegerse contra estos ataques. Sección 2: Infracciones de seguridad: desafíos y requisitos Seguridad de la infraestructura en comparación con seguridad de los servicios La protección contra los ataques de seguridad exige controles en varios niveles de la infraestructura de TI. Para simplificar un poco esta tarea, se deben tener en cuenta dos áreas (consulte la ilustración 1). La seguridad de la infraestructura implica los controles (como cortafuegos, seguridad perimetral, etc.) relacionados con los aspectos básicos del entorno de red, los cuales ayudarán a proteger dicho entorno de un ataque externo. Entre estos ataques se incluyen las amenazas orientadas a la infraestructura, como los virus y gusanos, además de las que pueden considerarse menos letales, como el correo no deseado. El foco de la seguridad de la infraestructura debe ser la prevención de los desastres; por ese motivo se la suele denominar Seguridad del NO. Este tipo de seguridad es muy importante, pero no es el foco de este informe. 4
Figura 1. Enfoque unificado sobre las infracciones de seguridad La seguridad de los servicios suele ser un área donde se presentan las mayores amenazas. Implica la protección de los sistemas, las aplicaciones y la información clave de acceso indebido y uso no autorizado. Por lo general, la Administración de identidades y accesos (IAM) es el mejor enfoque que se puede adoptar para proteger los servicios y activos clave que proporciona una organización de TI. Mientras el foco de la seguridad de la infraestructura está puesto en mantener a las personas malintencionadas alejadas, el foco de la seguridad de los servicios debe establecerse en permitir que las personas correctas tengan acceso a la información que corresponda en el momento indicado. Por lo tanto, esta capa se denomina Seguridad del CONOCIMIENTO, porque debe permitirle conocer lo que sea necesario para relacionar las identidades, el acceso, los datos y las actividades de los usuarios. Cuanto más sepa sobre los usuarios y sus actividades, mayor eficiencia logrará a la hora de proteger los activos y optimizar las políticas de uso y acceso. Si bien la IAM tradicional contribuye a controlar las identidades de los usuarios y su acceso a los recursos importantes, suele no ser suficiente para protegerse completamente contra las infracciones que existen en la actualidad. En particular, muchas de las infracciones se producen porque los usuarios debidamente autorizados roban información confidencial o la divulgan a otras personas de manera inadecuada. Esta fue la causa principal de la infracción de WikiLeaks. Por lo tanto, esto indica que la IAM tradicional probablemente no hubiera podido impedir la infracción de WikiLeaks por completo, al menos según la información que tenemos hasta el momento. En una de las próximas secciones, analizaremos un enfoque para combatir las infracciones de seguridad más integral que el proporcionado por la IAM tradicional. 5
Zonas de riesgo para las infracciones de seguridad Las infracciones de seguridad pueden tener su causa en una gran variedad de factores, que incluye los siguientes: Vulnerabilidades del SO Cortafuegos mal configurados Políticas de acceso deficientes Políticas débiles de contraseñas Autenticación débil Controles débiles contra software malicioso Programas deficientes de concientización Falta de herramientas de monitoreo de las para los empleados bases de datos Sin tiempos de espera entre las sesiones Seguridad física deficiente Sin comprobaciones de los empleados Falta de políticas de división de obligaciones en segundo plano Administración deficiente de parches Falta de desaprovisionamiento automático Sin embargo, existen distintas áreas de la seguridad que muchas organizaciones de TI suelen pasar por alto y que pueden aumentar significativamente el riesgo de una infracción de seguridad exitosa. Estas condiciones necesitan una atención y corrección explícitas, y entre ellas, se incluyen las siguientes: Autenticación inadecuada de los usuarios: los típicos métodos de autenticación de contraseña y nombre de usuario son extremadamente inadecuados como protección contra las infracciones de seguridad, en especial con los creativos ataques de ingeniería social que se han utilizado recientemente. Se requiere una autenticación sólida y se deben utilizar diferentes métodos de acuerdo con una gran cantidad de factores contextuales. Los tokens de hardware se han utilizado con mucha frecuencia, pero la reciente infracción de los tokens SecurID, como así también el costo y el esfuerzo asociados con los tokens de hardware, los convierten en una opción nada interesante. Validación insuficiente del acceso de usuarios regulares: a medida que un usuario atraviesa cambios de roles, promociones, etc., sus derechos de acceso no se suelen modificar para que sólo reflejen su rol actual, lo que se denomina asignación progresiva de derechos. Aunque muchas empresas validan ocasionalmente los derechos de acceso de los usuarios, este procedimiento debe realizarse periódica y formalmente, y se debe automatizar, preferentemente, para que pueda llevarse a cabo de manera rápida y fácil. La falta de una validación frecuente puede provocar el aumento del riesgo debido a las violaciones de la división de obligaciones (SOD). Falta de controles del sistema de los usuarios con privilegios: una de las principales causas de las infracciones de seguridad es que los usuarios con privilegios suelen tener más acceso del que realmente necesitan para cumplir con sus tareas. Por definición, estos usuarios necesitan numerosos derechos de acceso para realizar su trabajo, pero numerosos no implica ilimitados. Las acciones imprudentes o maliciosas pueden tener efectos devastadores sobre los activos importantes. Falta de control sobre el uso de la información: el control del acceso a la información no es suficiente como protección. También se debe controlar el uso de la información para garantizar que no se divulgue ni sea robada. Este punto débil ha sido una de las causas que contribuyeron a algunas de las más notorias infracciones de seguridad en los últimos tiempos. Falta de monitoreo continuo de los usuarios: aparentemente, en la infracción de WikiLeaks nadie se percató de que alguien estaba copiando miles de documentos confidenciales de los sistemas militares en tan poco tiempo. Muchas de las infracciones de seguridad se podrían detectar si se adoptara un enfoque integral para monitorear la actividad de los usuarios en busca de actividades sospechosas. Como consecuencia, la falta de un monitoreo eficaz y continuo de la actividad de los usuarios también es uno de los factores que aumentan el riesgo de que se produzca una infracción de seguridad. En la siguiente sección, destacaremos un enfoque unificado sobre la seguridad que puede ayudar a la hora de abordar estas áreas de alto riesgo para la seguridad. 6
Sección 3: IAM basada en contenido: un enfoque unificado para reducir el riesgo de que se produzcan infracciones de seguridad En una de las secciones anteriores, observamos cómo la IAM tradicional proporciona una seguridad efectiva a las aplicaciones clave. Pero, ya que no controla qué puede hacer realmente un usuario con los datos, no proporciona una seguridad eficaz contra muchos de los intentos de infracciones de seguridad. Existe un enfoque más sólido denominado IAM basada en contenido, que permite controlar no sólo las identidades y el acceso, sino también el uso de la información. La IAM basada en contenido contribuye a evitar la fuga de información o su divulgación (una capacidad que probablemente habría evitado el caso de WikiLeaks y otras infracciones notorias). La capacidad de controlar todos estos aspectos (identidades, acceso, información) es lo que le da el poder a la IAM basada en contenido y es el principal motivo de que puede proporcionar una seguridad eficaz contra la amenaza de una infracción. La IAM basada en contenido de CA Technologies proporciona capacidades fundamentales para administrar las identidades de los usuarios y controlar su acceso a los sistemas y aplicaciones. Cuando se implementa en el contexto de un enfoque progresivo y bien planificado, puede ayudar a reducir el riesgo de que se produzcan diversas infracciones de seguridad. Consulte la ilustración 2 para obtener un resumen de las capacidades clave proporcionadas en cada categoría. Figura 2. Capacidades clave de la IAM basada en contenido Concentrémonos en las áreas de riesgo enumeradas en la sección anterior, ya que esas suelen ser las áreas débiles que contribuyen a que se produzcan infracciones de seguridad. Dichas áreas están levemente sombreadas en el gráfico que aparece arriba. 7
Autenticación sólida Las contraseñas de los usuarios no proporcionan una seguridad adecuada para la información y las aplicaciones importantes de la actualidad. La autenticación de dos factores ofrece una seguridad más sólida que las contraseñas, pero cuando se la implementa en la forma de token de hardware, genera incomodidad y costos considerables. Una solución de autenticación de múltiples factores basada en software (como CA AuthMinder ) puede ayudar a eliminar estos problemas porque proporciona una autenticación firme de dos factores sin modificar la experiencia de los usuarios y sin generar los problemas administrativos que presentan los tokens de hardware. Las infracciones de seguridad suelen producirse porque una persona obtiene acceso a las contraseñas de otra persona. Sin embargo, cuando los atacantes se autentican en el sistema, existen factores contextuales que, si se reconocen, pueden servir como advertencia acerca de la validez de la autenticación. Por ejemplo, si una persona del Departamento de Finanzas que trabaja en Nueva York de repente inicia sesión en Rusia, o bien, si una persona inicia sesión desde Roma dos horas después de cerrar sesión en Nueva York, es obvio que se está realizando una autenticación fraudulenta. CA RiskMinder es una solución que proporciona una autenticación basada en riesgos que sirve para combatir actividades fraudulentas como éstas. Proporciona una calificación de riesgo para cada intento de autenticación, lo cual ayuda a determinar si se está ejecutando un intento de infracción. En estos casos, se pueden utilizar métodos de autenticación adicionales más potentes, simplemente se puede rechazar el intento o activar una alarma. Además, CA RiskMinder ayuda a detectar y evitar transacciones fraudulentas gracias a la implementación de distintos niveles de autenticación de acuerdo con los parámetros de una transacción determinada. Por ejemplo, las transacciones que implican una cantidad de dinero extrañamente grande pueden estar obligadas a atravesar pasos adicionales en su autenticación, a fin de garantizar la identidad del usuario. Gobernanza de identidades Una causa importante de las infracciones de seguridad es la asignación inadecuada de derechos a determinados usuarios, generalmente internos, aunque los usuarios externos también pueden ser un problema. Esto puede deberse a la configuración incorrecta de los derechos de acceso iniciales, la acumulación de derechos a través del tiempo o incluso la asignación de derechos de acceso intencionalmente incorrecta a un usuario por parte de un administrador colaborador no autorizado. Una solución con las mejores prácticas es el proceso integral y continuo que consiste en comprender qué usuarios deben tener acceso a qué recursos y en validar periódicamente a cada usuario que tenga los derechos de acceso correspondientes. La gobernanza de identidades (dividida en Administración de roles y Cumplimiento de identidad en los niveles altos) implica diversos procesos relacionados con la identidad, incluyendo la limpieza de los derechos de usuario existentes, la construcción de modelos de rol adecuados y la aprobación de políticas y procesos que ayuden a garantizar la asignación apropiada de privilegios a los usuarios. Las soluciones de gobernanza de identidades pueden entregar una gran variedad de beneficios, que incluyen los siguientes: Mayor seguridad mediante la automatización de los procesos necesarios para cumplir con las auditorías y mediante el establecimiento de políticas de seguridad de identidades entre sistemas Menores costos de administración de identidades mediante la simplificación de los pasos incluidos en los proyectos, como la detección de roles, la organización de los privilegios y la certificación Mejor tiempo de posicionamiento en el mercado de la IAM y cumplimiento de la política mediante la entrega más rápida de una base precisa y coherente de seguridad y roles 8
Administración de usuarios con privilegios Una de las áreas de riesgo más importantes de TI se relaciona con los usuarios con privilegios (administradores de TI y seguridad). Ya sea de manera involuntaria o maliciosa, las acciones inadecuadas realizadas por los usuarios con privilegios pueden tener efectos desastrosos en las operaciones de TI y en la seguridad y privacidad generales de la información corporativa. Por lo tanto, es esencial que se permita a los administradores realizar únicamente las acciones necesarias de acuerdo con sus responsabilidades específicas y sólo en los sistemas correspondientes. Además, los administradores suelen compartir sus contraseñas de sistema, lo que aumenta el riesgo de violaciones de las políticas. Y, cuando estos usuarios inician sesión como Raíz o Administrador, sus acciones son esencialmente anónimas, tal como se reporta en el archivo de registro. Estas condiciones no sólo son un gran riesgo para la seguridad, sino que también dificultan el cumplimiento porque no se pueden asociar las acciones inapropiadas con la persona que comete la infracción. La seguridad de los sistemas operativos nativos no proporciona un control de los administradores suficiente como para satisfacer esta necesidad. La IAM basada en contenido de CA proporciona derechos para los administradores más granulares que los proporcionados por los sistemas operativos nativos. Controla quién tiene acceso a determinados sistemas, a los recursos de estos sistemas y a los servicios importantes de los sistemas. Ayuda a reducir los derechos excesivos que pueden ser un gran riesgo de infracciones de la seguridad. La solución de CA Technologies admite también la Administración de contraseñas de usuario con privilegios (PUPM), que ayuda a proporcionar la responsabilidad del acceso con privilegios mediante la emisión de contraseñas temporales de un solo uso o según sean necesarias, al mismo tiempo que proporciona la responsabilidad de los usuarios ante sus acciones a través de una auditoría segura. La PUPM ayuda a mejorar la seguridad y elimina el problema de los administradores anónimos que pueden aumentar el riesgo para la seguridad y obstaculizar la detección. Protección de la información Como se mencionó anteriormente, la IAM tradicional no controla el uso de la información y, por lo tanto, no puede ofrecer una protección adecuada contra el robo o la divulgación de datos confidenciales. Incluso si se copia un archivo a un dispositivo USB o se envía por correo electrónico a un destinatario fuera de la empresa, se puede exponer a los activos de información a un gran riesgo. Además, muchas empresas ni siquiera saben en qué consiste su información confidencial y dónde se almacena actualmente (incluso dentro de la organización). Por lo tanto, el primer paso hacia un control efectivo de la información es descubrir dónde se encuentra y clasificarla de acuerdo con niveles de confidencialidad bien definidos. La solución de CA Technologies para la protección de la información, CA DataMinder, ayuda a controlar enormes cantidades de información y, lo más importante, a proteger los datos confidenciales de un uso o una divulgación inadecuados. Protege datos en movimiento en la red, datos en uso en la terminal y datos en reposo en servidores y repositorios. Permite definir políticas que determinen qué medidas se deben tomar si se detecta un uso inadecuado de los datos. Además, incluye una recolección de políticas predefinidas basadas en casos de uso de negocios reales que facilitan una rápida implementación. 9
La importancia de la prevención efectiva de la fuga de datos reside en que ayuda a detener y retroceder los controles de acceso ineficaces, como así también contribuye a implementar políticas de uso de los datos para los usuarios autorizados. Sin una solución eficaz, las empresas se ven obligadas a depender enteramente de la confianza que les inspiran sus empleados para tratar información confidencial como corresponde. La información más valiosa de su empresa debe estar protegida por mucho más que un poco de confianza. Monitoreo de la actividad del usuario El monitoreo continuo de la actividad del usuario es fundamental para evitar las infracciones de seguridad. La infracción de WikiLeaks y muchas otras infracciones famosas probablemente se hubieran podido identificar y solucionar antes de que los daños sean graves, todo esto si se hubiera implementado un monitoreo efectivo de los usuarios. Incluso los indicadores sencillos pero potencialmente peligrosos (como las excesivas autenticaciones con error, los cambios en los patrones de actividad, los volúmenes inusuales de descarga y los intentos de acceso a datos no autorizados) pueden tener una solución rápida. Se puede establecer perfectamente una relación entre qué sucedió y quién lo hizo mediante la posibilidad de vincular los registros de actividades de los usuarios con los datos integrales de actividades relacionadas con la IAM. Esta integración con los sistemas de IAM permite la generación de reportes multifacéticos sobre la actividad del usuario con privilegios (incluidas las cuentas compartidas). Además, permite la generación de reportes detallados y la investigación de las acciones de los usuarios con respecto a la administración de cuentas, el aprovisionamiento y desaprovisionamiento de usuarios, los cambios en las políticas, etc. La IAM basada en contenido de CA Technologies proporciona una amplia capacidad de generación de reportes y actividades de los usuarios, de manera que los eventos de los usuarios se pueden analizar continuamente en busca de actividades anómalas que ameriten su investigación y posiblemente una solución. También se pueden generar reportes de cumplimiento que identifican las áreas de incumplimiento, además de que simplifican y reducen el costo de las auditorías de cumplimiento. Sección 4: Conclusiones Las infracciones de seguridad de todos los tipos están creciendo en complejidad, sofisticación e impacto. Se necesita un enfoque de varias capas para implementar controles efectivos contra dichas infracciones. Si bien los sistemas de la IAM son fundamentales para reducir el riesgo de que se produzcan infracciones de seguridad, la IAM tradicional no ofrece la protección suficiente. Un enfoque de la IAM basado en contenido puede ayudar a reducir el riesgo de que se produzca una infracción de seguridad, ya que no sólo controla el acceso de los usuarios, sino también el uso de la información después de que se haya tenido acceso a ella. Esto puede evitar o detectar una gran variedad de intentos habituales de infracción de la seguridad, y puede impedir que la información de la empresa y de los clientes caiga en malas manos. Entre las capacidades adicionales importantes se incluyen la autenticación sólida, la gobernanza de identidades, la administración de usuarios con privilegios, la prevención de fugas de datos y las soluciones de generación de reportes y actividad del usuario. Cuando se implementa cautelosamente y de forma integrada, este tipo de soluciones puede servir para reducir el riesgo de que se produzca una infracción de seguridad y, por lo tanto, ayuda a proteger la información importante. 10
Sección 5: Información relacionada IAM basada en contenido del resumen de la solución de CA Technologies ca.com/%7e/media/files/solutionbriefs/content_aware_iam_sb_235298.pdf IAM basada en contenido del resumen de tecnología de CA Technologies ca.com/us/collateral/technology-briefs/na/ca-point-of-view-content-aware-identity--access- Management.aspx Resumen de WikiLeaks: un recordatorio de la amenaza interna ca.com/us/~/media/e115683eae91403ea10f406eae3a51be.pdf Cómo defenderse contra la amenaza interna para reducir el riesgo de la TI ca.com/us/home/lpg/forms/na/sre/12625_15012.aspx Sección 6: Acerca del autor Durante más de 25 años, Sumner Blount ha trabajado en el desarrollo y el marketing de productos de software. Administró el gran grupo de desarrollo de sistemas operativos informáticos de Digital Equipment y Prime Computer, y dirigió el Grupo de Administración de Productos Informáticos Distribuidos en Digital. Recientemente, ocupó una serie de puestos de dirección de productos, incluido el cargo de Gerente de Producto de la familia de productos SiteMinder en Netegrity. Actualmente es Director de Soluciones de Seguridad en CA Technologies. Ha sido orador en varias conferencias del sector y es coautor de dos libros: Cloud Security and Compliance Who s on Your Cloud y Under Control: Governance Across the Enterprise. 11
CA Technologies es una empresa de software y soluciones de administración de TI con experiencia en todos los entornos de TI, desde entornos mainframe y distribuidos, hasta entornos virtuales y de nube. CA Technologies administra y asegura los entornos de TI, y permite que los clientes entreguen servicios de TI más flexibles. Los innovadores productos y servicios de CA Technologies proporcionan la perspectiva y el control esencial para que las organizaciones de TI mejoren la agilidad del negocio. La mayor parte de las empresas de Global Fortune 500 confía en CA Technologies para administrar sus ecosistemas de TI en evolución. Si desea obtener más información, visite CA Technologies en ca.com/ar. Copyright 2012, CA Technologies (CA). Todos los derechos reservados. Todas las marcas registradas, los nombres comerciales, las marcas de servicios y los logotipos mencionados en este documento pertenecen a sus respectivas empresas. El propósito de este documento es meramente informativo. CA no se responsabiliza de la exactitud e integridad de la información. En la medida de lo permitido por la ley vigente, CA proporciona esta documentación tal y como está, sin garantía de ningún tipo, incluidas, a título enunciativo y no taxativo, las garantías implícitas de comercialidad, adecuación a un fin específico o no incumplimiento. En ningún caso CA será responsable por cualquier pérdida o daño, directo o indirecto, derivado del uso del presente documento, incluidos, entre otros, el lucro cesante, la interrupción de la actividad comercial, la pérdida del fondo de comercio o de datos, incluso cuando CA haya recibido notificación acerca de la posibilidad de dichos daños. CS1932_0112