El Foco de la Seguridad, en el Dato. De la seguridad del continente, a la seguridad del contenido. Blas Simarro Director Técnico para España y Portugal McAfee, Inc. Blas_simarro@mcafee.com 2008 McAfee, Inc.
El error conceptual de las soluciones actuales I 2 Firewall Perimetral Protección de Red Pasarelas de email y WEB Network IPS Firewall de aplicación Host IPS Protección de Sistemas Network Access Control Anti-Virus, Anti-Spyware Activos de Información: Datos de clientes, Propiedad Intelectual, etc...
Productos para la Seguridad TI 3 Históricamente orientados a la protección del dispositivo: endpoints, servidores, routers, laptops, etc... en lugar de protegar la información en si misma Mas datos manejados por mas usuarios Las fugas de datos aumentan; las consecuencias son cada vez mas visibles y costosas
El entorno Móvil / VOIP Social / IM Web / Commerce Gadgets Virtualización Almacenamiento Software de empresa 4
El Malware cibercrimen is growing exponentially está alterando el entorno 5 1,500,000 Nª Amenazas 900,000-800,000-700,000-600,000-500,000-400,000-300,000-200,000-100,000-0 - 78,381 2006 271,197 2007 2008 (Estimación) 246% crecimiento de 2006 a 2007 Se estimó un crecimiento del 400% en el periodo 2007-2008 1.25M a fecha de hoy Fuente: McAfee Avert Labs
El cibercrimen está alterando el entorno (II) Ecosistema del cibercrimen Usuarios finales = Datos Robo Identidad Descubridores de vulnerabilidades Redes de Bots Cambio en la motivaciónel objetivo es monetario, no la fama Spammers El malware tradicional se usa para el robo de datos El 80% de los ataques tienen motivación financiera, frente al 50% de hace dos años Desarrolladores Malware Desarrolladores herramientas 6
El valor de tu información en el mercado 7 $980-$4,900 Desarrollo de un troyano high-end Certificado nacimiento $147 $490 Tarjeta Crédito con PIN $78-$294 Datos Facturación $98 Nº Seguridad Social $6-$24 Tarjeta de Crédito Carnets $147 $6 Cuenta PayPal (login y password)
La especialización... 8 Una cuenta del Washington Mutual Bank en USA con un balance de $14,400 vale $924, mientras que otra en el Citibank de UKcon un balance de 10,044 libras cuesta $1,310 Podría parecer que es menos peligroso revender el acceso al dinero en vez de acceder directamente al mismo Fuente: McAfee Avert Labs (May 2008)
El DATO El Nuevo Vector de Riesgo 2007 McAfee, Inc.
Fuga de Datos Encuesta a clientes; Abril 07 10 1,400 Empresas entrevistadas Paises: UK EEUU Francia Alemania Australia >1,000 Empleados 75% 250-1,000 Empleados 25%
Fuga de Datos Experiencias y Riesgos 11 100% 80% 60% 60% 70% 40% 33% 20% 0% Sufrió una fuga de datos en el año en curso Cree que una fuga dañaría su imagen Cree que una fuga severa podría comprometer su empresa
Fuga de datos Coste por Incidente Severo 12 Cuanto cuesta un incidente? Incidentes no identificados77% Trazados 23% $2.0M $1.6M $1.2M $.8M $1.82M $.4M $0 Fuente: Infonetics 2008
13 Las Mayores Amenazas Para Su Información 1 Pérdida o robo de dispositivos móviles Transferencias de 2 datos no autorizadas a dispositivos extraibles 4 3 Distribución inintencionada e-mail, web, etc. Usuarios con privilegios inadecuados 6 Hacking de aplicaciones 5 Impresoras, CDROM, DVD, etc. 7 Troyanos / key loggers / malware
Fuga de datos Cómo y Porqué 14 Email accidental, impresoras públicas, pérdida de CD s, etc. Malicioso 23% Robo de datos secretos, datos de clientes, ofertas, I+D, etc... Inintencionada 45% Intencionado No malicioso 32% Copia de datos a USB, emails a casa para seguir trabajando...
La Securización del Dato Requiere una Nueva Aproximación al Problema 15 1 La información está en movimiento Seguridad PERSISTENTE Al DATO 2 Si la información se mueve, la seguridad NO puede ser estática Autenticación Robusta Cifrado de Dispositivos Cifrado de Móviles Bloqueo selectivo de dispositivos Monitorización y securización de canales
Cifrado de Dispositivos 16 Data Loss Prevention Endpoint Encryption Device Control Encrypted USB Cifrado de laptops, desktops, dispositivos móviles A nivel de discos completos, carpetas o ficheros Confianza en la confidencialidad de los datos cuando un dispositivo es robado o se pierde La pérdida de los datos no supone el riesgo de hacer público un incidente Algoritmos de cifrado robustos Controles de cumplimiento y auditoría Certificaciones: FIPS 140-2, Common Criteria Level 4
Bloqueo Selectivo de Dispositivos 17 Data Loss Prevention Endpoint Encryption Device Control Encrypted USB Monitorización y autorización de dispositivos confiables. Bloqueo del resto. Restricción y bloqueo genérico de dispositivos no autorizados Forzar control sobre los tipos de datos que pueden ser copiados a dispositivos con/sin cifrado Políticas por usuario, grupo o departamento Log detallado por usuario y dispositivo. Gestión de evidencias.
Control de Canales de Comunicación. (DLP) Data Loss Prevention Device Control Endpoint Encryption Encrypted USB Copy & Paste Printer Prevenir que usuarios con acceso a información confidencial puedan hacer un uso inadecuado de la misma, maliciosamente o de modo accidental Visibilidad completa y control del uso y movimiento de la información confidencial Protección contra las fugas accidentales via actividades del dia a dia como impresión y copy/paste Espectro completo de respuestas de reacción a vulneraciones de la política de confidencialidad Log detallado y evidencias forenses Prevención y bloqueo en tiempo real Notificación al usuario y/o administrador(es) Cuarentena de la información confidencial Print Screen USB USB Copy Copy Monitor 18
People we Trust with our Data 19
2007 McAfee, Inc. Basic Data Leakage
Conclusiones 1. Creciente presión regulatoria 2. Las fugas de información ocurren cada día 3. Una fuga es una fuga, no importa el tamaño, ponen a la organización en un riesgo significativo 4. Siete vectores de fuga de información 5. La aproximación tradicional a la seguridad de la información no es suficiente. Necesidad de cambio hacia una estrategia orientada al dato, no a la infraestructura 6. La adquisición táctica de tecnología no es buena idea 7. Personas, Procesos, Herramientas 21
2007 McAfee, Inc. Gracias.