Estado del arte de la seguridad de la información Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina
Agenda Incidentes de seguridad El rol del CISO Presión de las regulaciones Vulnerabilidades Outsourcing de la seguridad Seguridad de las redes industriales La nube segura Herramientas de seguridad Seguridad en dispositivos móviles 2
Incidentes de seguridad 3
Incidentes de seguridad Incidentes de seguridad Incidentes públicos vs. incidentes privados - Fraudes - Amenazas - Sabotaje - Robo de información - Phishing masivos - Ataques de DOS 4
Incidentes de seguridad Incidentes de seguridad Cantidad de incidentes graves manejados por CYBSEC 18 16 14 12 10 8 6 4 2 0 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 2014* 5
Incidentes de seguridad Tendencia Actual - Aumento de incidentes de seguridad (mayoría de los casos insiders) - Aumento exponencial de ataques de phishing contra entidades financieras argentinas (Disparador: transferencias inmediatas Abril 2011) - Ataques de phishing más sofisticados (incluyendo explotación de vulnerabilidades) - Hacktivismo (Sector 404 Argentina y Anonymous Argentina) - Origen de ataques: Redes Wifi abiertas o redes TOR 6
Incidentes de seguridad Manejo de Incidentes La pregunta hoy no es si voy a tener un incidente de seguridad, sino: Cuándo lo voy a tener? Madurez del Manejo de Incidentes de Seguridad Interno - No poseen (85%) - Manejo de incidentes desorganizado (8%) - Manejo de incidentes formal para la foto (compliance) (4%) - Manejo de incidentes formal real (2%) - CSIRT interno (<1%) 7
El Rol del CISO 8
Rol del CISO CISO: Chief Information Security Officer Encargado de seguridad de la Información dentro de una Organización El nivel de reporte depende del grado de maduración de la empresa Seguridad Informática Tareas técnicas y operativas Seguridad de la Información Rol de Management Antes Hoy Seguridad Informática Tareas técnicas, operativas, regulaciones, soporte a áreas de sistemas 9
Rol del CISO La evolución de las áreas de Seguridad (grados de madurez) - Nivel Estratégico CISO - Nivel de Negocio Gerente de Seguridad - Nivel Gerencial Jefe de Seguridad Informática - Nivel Técnico Administrador de Seguridad Estructura del área de seguridad - Tipo de Compañía - Tamaño de la Compañía - Regulaciones que aplican - Presupuesto - Cultura organizacional - Rol del CSO - Grado de madurez de la Compañía 10
Rol del CISO El CSO debe: - Tener visibilidad hacia la organización. - Dar valor agregado en seguridad. - Moverse en un plano estratégico y de negocios (y no solamente en un plano técnico). - Ser proactivo y ayudar al negocio. - Aprovechar las oportunidades (reuniones, incidentes, etc.) y mostrar las capacidades de su equipo y gestión. - Moverse políticamente en la organización. - Tener la habilidad de presentar resultados para que el resto de la organización pueda entender claramente cuales son los riesgos y cómo estamos trabajando para mitigarlos. 11
Presión de las regulaciones 12
Presión de las regulaciones Evolución de la madurez y estado de implementación de las normativas relacionadas con seguridad en Argentina Normativa SOX BCRA 4609 BCRA 5374 Protección de datos personales Madurez 5 4 2 2 Protección de datos de salud PCI-DSS 3 1 Las normativas llegaron para quedarse La mayoría de las mismas impactan en el sector de SI Se debe tomarlas como oportunidades 13
Presión de las regulaciones PCI-DSS - Nueva versión del estándar PCI-DSS versión 3.0 desde 1 de enero de 2015 - Principales procesadores, gateways de pago y grandes comercios certificados - Comienzo de utilización de tecnología chip en tarjetas de crédito BCRA 5374 - Los Bancos están implementando la normativa de seguridad en canales electrónicos Concientización - Uso de doble factor de autenticación para transacciones críticas Protección de datos personales - La DNPDP está realizando inspecciones - Manual de seguridad Clasificación de información - Está comenzando la protección de datos de salud (Estándar HL7 - IRAM- ISO 27.799) 14
Vulnerabilidades 15
Vulnerabilidades Vulnerabilidades de seguridad - Un nuevo trabajo: Vulnerability Researcher - Valor de la vulnerabilidad: Afectación + Origen + Ejecución de código + Conocimiento de la misma en el mercado = Hasta U$S 100.000 - Maduración del mercado de compra/venta de vulns - Players: Tippingpoint ZDI - Verisign idefense VCP - Netragard's Exploit Acquisition Program, etc - Mercado oficial negro gris 16
Vulnerabilidades Vulnerabilidades de seguridad - Aparecerán nuevas vulnerabilidades críticas y es clave la rapidez para aplicar la solución a la misma. Ejemplos: Heartbleed, Shellshock, POODLE: SSLv3 vulnerability, etc. Patch Management - Desarrollar estrategia de patch management - Clasificar el nivel de riesgo de la vulnerabilidad. - Aplicación de patch / workaround: SO AP DB Desarrollo. - Ventanas de tiempo pre-acordadas entre Seguridad y Tecnología. 17
Vulnerabilidades Tendencias en vulnerabilidades de seguridad - Más gente buscando nuevas vulnerabilidades!!! - Intentos por regular la actividad (Alemania, EEUU, etc.) - Acercamiento al tema de las áreas de inteligencia de algunos países - Incremento de nuevos virus/troyanos/botnets utilizando Zero-days - Aumento de los Toolkits para Cybercrimen (Phishing Botnets Etc.) 18
Outsourcing de la seguridad 19
Outsourcing de seguridad Situación actual Las áreas de seguridad de la información en las Organizaciones están realizando outsourcing de las siguientes tareas: - Gestión de FW, AV, IDS, IPS, etc. (Gestión de herramientas) - PenTest - Gestión de vulnerabilidades (scannings) - Gestión de accesos (ABM Users y Permisos) - Respuesta a incidentes - Soporte a proyectos internos - Desarrollo de Documentación 20
Outsourcing de seguridad Tendencias - Madurez en los servicios de outsourcing de seguridad - Establecimiento de SLA s. - Acompañamiento de la estrategia de la Organización Recurso on-site especializado Horas de Soporte Sector de Seguridad de la Información 21
Seguridad de las redes industriales 22
Seguridad de las redes industriales Situación actual Alcance de las Infraestructuras Críticas: Administración, Espacio, Industria Nuclear, Industria Química, Instalaciones de Investigación, Agua, Energía, Salud, Tecnologías de la Información y las Comunicaciones (TIC), Transporte, Alimentación y Sistema Financiero y Tributario. En las Organizaciones, el sinónimo es protección de redes industriales (SCADA) La red SCADA era manejada por ingenieros y proveedores. Seguridad Corporativa se está metiendo en el tema. - Integración con la red corporativa - Aplicación de estándares - Actualización / Patches 23
Seguridad de las redes industriales 24
Seguridad de las redes industriales Tendencias - Los gobiernos están involucrándose en el tema. En Argentina, en 2011 se creó el Programa Nacional de Infraestructuras Críticas de Información y Ciberseguridad (ICIC). - Las Organizaciones que poseen este tipo de redes industriales están avanzando en la aplicación de medidas de seguridad. 25
La nube segura 26
La nube segura Situación actual - Beneficio de los servicios cloud: Empresas chicas - Cultura empresarial - SLA (la base de todo) Acuerdos predefinidos y no negociables Son los estándares en los modelos cloud ya que permiten la economía de escala. Acuerdos negociables Similares a los contratos tradicionales de outsourcing (complejos!). - Modelos y seguridad 27
La nube segura Aspectos de seguridad a tener en cuenta NIST 800-144 - Guidelines on Security and Privacy in Public Cloud Computing 1. Gobierno 2. Cumplimiento 3. Confianza 4. Arquitectura 5. Identity y Access Management 6. Aislamiento de software 7. Protección de información 8. Disponibilidad 9. Respuesta ante Incidentes 28
Herramientas de seguridad de la información 29
Herramientas de seguridad de la información Madurez en el uso de herramientas de seguridad Madurez Antivirus (Correo Navegación Workstations) 5 AntiSpam 4 Filtro de contenido (Protección en la navegación) 3 Firewalls 5 Sistemas de Detección de Intrusiones 4 Sistemas de Prevención de Intrusiones 3 Web Application Firewalls 2 Herramientas Anti-DDOS 1 30
Herramientas de seguridad de la información Madurez en el uso de herramientas de seguridad Madurez Firewall de Base de Datos 2 Identity Management 2 DLP (Data Loss Prevention) 1 NAC (Network Access Control) 1 Correlación de eventos 2 MDM (Mobile Device Management) 3 Encryption Tools 2 31
Seguridad en dispositivos móviles 32
Seguridad en dispositivos móviles Dispositivos móviles (teléfonos y tablets) Uso Personal (BYOD) Mejores prácticas de seguridad. Password encripción de información Guía de recomendaciones. Uso Corporativo Mayor posibilidad de control Password encripción de información wipe remoto control de aplicaciones antivirus Actualizaciones Monitoreo - Etc. 33
Seguridad en dispositivos móviles Uso de MDM (Mobile Device Management) Respuesta a la necesidad empresarial de poder gestionar de forma centralizada los dispositivos móviles (principalmente tablets y smartphones) 34
Seguridad en dispositivos móviles Características de MDM Gestión de Hardware y software Inventario de dispositivos Catálogo de software Distribución de aplicaciones Actualizaciones Listado de Apps permitidas Aseguramiento del dispositivo Control de dispositivos Bloqueo remoto Borrado remoto Encripción Política de contraseñas Administración de perfiles Configuraciones de correo Configuraciones Wifi Configuraciones VPN Política de Backup 35
Muchas gracias! Julio César Ardita jardita@cybsec.com 21 de Octubre de 2014 Buenos Aires - Argentina