Do you #WannaCry? La importancia de defender los datos críticos del negocio Roman Baudrit Thales e-security LATAM www.thales-esecurity.com
Grupo Thales Liderazgo mundial # 1 mundial Cargas para satélites de comunicación Manejo de tráfico aéreo Sonares Seguridad para transacciones de pago # 2 mundial # 3 mundial Señalización de trenes Entretenimiento aviones Comunicación militar Aviónica Satélites civiles Radares de superficie $15.8 B Ventas 63,000 Empleados 56 Países 2
Agenda WannaCry Seis recomendaciones para proteger los datos criticos del negocio Casos de uso Conclusión Enfoque en seguridad de datos 3
Ataque más reciente WannaCry Ransomware Attack (WannCrypt) Ransomware / phishing con alto nivel de infección Aprovechamiento de vulnerabilidad MS Conocida y aparentemente utilizada por (NSA) $300 en bitcoins para recuperar la información 150 países Evitable con actualización disponible meses atrás 4
Ataque más reciente Contagio con varias particularidades Contagio de escala relativamente reducida (200.000 endpoints) 1.5 millones de endpoints con puerto 445 abierto Lanzado un día viernes usualmente domingo Con capacidad de ser controlado con conexión a website primer gusano Interacción entre Nation State y Crimen Organizado Cybercriminales Brad Smith - Microsoft Dejar salir la información de la vulnerabilidad es comparable a perder los planos de los misiles Tomahawk Se debe tomar un enfoque distinto y aplicar las mismas reglas del armamento físico al ciberespacio. Los gobiernos deben considerar el daño que causan a los ciudadanos por almacenar vulnerabilidades y les explotaciones posteriores 5
Algunas reflexiones sobre el ataque El ataque no pudo evitarse con tecnologías de protección convencionales Se mantiene el objetivo económico Muchas empresas de muchas industrias fueron afectadas (100K) Seguimos utilizando una estrategia reactiva... El factor humano sigue siendo un eslabón débil 6
Recomendaciones de seguridad de la información y cifrado 1. Identificar y clasificar los datos 2. Priorizar los objetivos de control 3. Establecer políticas consistentes 4. Generar inventario de actividades de cifrado 5. Seleccionar, desplegar y reemplazar soluciones de cifrado 6. Automatizar las políticas de aplicación 7
Paso 1: Identificar y clasificar los datos Confidencialidad Integridad - Disponibilidad Aplicación o proceso siendo soportado Naturaleza del dato: Estructurados o no Objetivo Definir proteccion segun el perfil de riesgo Entregar el valor de negocio adecuado 8
Los datos son ubicuos Datos no estructurados Archivos v office, PDF, Vision, Audio & otros Fax/Print Servers File Servers Sistemas y ubicaciones remotas Sistemas de aplicaciones de negocio (SAP, PeopleSoft, Oracle Financials, In-house, CRM, ecomm/ebiz, etc.) Servidores de aplicacion Seguridad y sistemas (Event logs, Error logs Cache, llaves de cifrado, & otros) Sistemas de Seguridad Almacenamient o y sistemas de backup SAN/NAS Data Communications VoIP Systems FTP/Dropbox Server Email Servers! Los datos existen en diferentes formatos, estados, e ubicaciones. Los controles tradicionales no fueron diseñados para este escenario.. Datos estructurados (SQL, Oracle, DB2, Informix, MySQL) Servidores de BD Nube y virtual 9
Paso 2: Priorizar los objetivos de control Mapa de riesgo, auditoria y cumplimiento Separación de roles y funciones Auditar actividades existentes Objetivos No hace sentido proteger todos los datos Establecer prioridades del proyecto 10
Paso 3: Establecer políticas consistentes Servidores y equipos terminales Ambientes heterogéneos S. O.: Linux/Unix/Windows/Mainframes Bases de datos - IBM DB2, Microsoft SQL Server, Oracle, Informix, Sybase, My SQL Ambientes físicos, virtuales y en la nube Datos en movimiento y en reposo 11
Paso 4: Generar inventario de actividades de cifrado Cifrado base de datos Tablas Columnas Cifrado de almacenamiento SAN Backups Cifrado de archivos Cifrado de equipo terminal Cifrado de correo Manejo de llaves 12
Paso 5: Seleccionar, desplegar y reemplazar soluciones de cifrado Criterios de selección de la solución por implementar o mantener Transparente Evita el cambio de aplicaciones Eficiente El impacto en el rendimiento debe ser mínimo Fuerte Control de acceso, criptografía y separacion de roles Fácil para desplegar, mantener y administrar Nuevos despliegues para cumplir normatividad (PCI, GDPR) Prioritizar y reemplazar soluciones heredadas o antiguas Reducir silos, cargas administrativas y costos 13
Paso 6: Automatizar las políticas de aplicación Minimizar la cantidad de soluciones Estandarizar los procesos de auditoria, análisis e informes Reforzar las divulgación de políticas y expectativas de comportamiento Precaución: Evitar fricciones con las áreas de negocio 14
Casos de uso en el negocio w w w. V o r m e t r i c. com 15
Casos de uso mas comunes en LATAM Cifrado de la base de datos Protección de servidores publicados Protección de contenedores Protección de datos en la nube 16
Aplicación de criptografía para bases de datos Cifrado nativo de BD Cifrado nativo + transparente Cifrado transparente Servidores de BD y archivos Vormetric Data Security Manager Vormetric Data Security Manager Vormetric Data Security Manager 1 2 3 Almacenar, proteger y controlar las llaves de TDE Protect, control the TDE Keys & config, system, report files Protect, control the TDE Keys & config, system, report files and retire Oracle TDE costs 17
Recordemos que es cifrado transparente Texto claro Dato cifrado Metadata del Sistema de archivos Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 Name: Jsmith.doc Created: 6/4/99 Modified: 8/15/02 Archivo de datos Name: J Smith Credit Card #: 6011579389213 Bal: $5,145,789 Social Sec No: 514-73-8970 Bloque-Escribe Bloque - Lee dfjdnk%(amg 8nGmwlNskd 9f Sk9ineo93o2n*&*^ xiu2ks0bksjd Nac0&6mKcoS qcio9m*sdopf Los sistemas de archivos siempre leen y escriben en bloques de tamaño fijo El cifrado ocurre en el bloque del IO para un archivo protegido El agente de cifrado simplemente cifra y descifra, el bloque de IO lee y escribe 18
Cuáles son las funciones que ofrece el cifrado transparente Cifrar los datos Control de acceso aun de los usuarios privilegiados Generar bitácoras e inteligencia sobre el acceso a los archivos. 19
Protección de servidores publicados Amenazas comunes Servidores web Inyección de SQL Malware Acceso no autorizado Exfiltración de datos Modificación de código Explotación del SO Acceso privilegiado Amenazas comunes Servidores BD Acceso privilegiado Acceso no autorizado Exfiltración de datos Acceso a bitácoras Integridad de datos Monitoreo de datos Acceso a respaldos Amenazas comunes Servidores de Archivo Acceso privilegiado Acceso no autorizado Exfiltración de datos Monitoreo de archivos Control de acceso archivos Destrucción de datos Inoculación de código 20
Protección de aplicaciones: Firma de código para prevenir modificaciones 21
Cifrado o control de acceso de carpetas de aplicaciones DSM Server 22
Cifrado o control de acceso de carpetas de aplicaciones Vormetric Security Intelligence Logs to SIEM DSM Vormetric Data Security Manager virtual or physical appliance Server 23
Desafío de segurida de Docker: Más riesgo y complejidad App1 Bins/Libs App2 Bins/Libs Docker Engine App3 Bins/Libs Riesgo de la capa aplicativa Las imágenes del contenedor pueden ser accesadas y alteradas No hay aislamiento entre aplicaciones todas corren como root Operating System Network and Storage Infrastructure SAN NAS DAS Docker opera bajo privilegios de Root Los administradores de Docker (todos) tienen acceso a todas las imágenes y todos los datos del ambiente Falta de control de imágenes Control muy básico de las imágenes lo que permite hacer copias y ediciones muy fácilmente Almacenamiento compartido con poco control 24
Seguridad en Docker: Control de los contenedores App4 App5 App6 Bins/Libs Bins/Libs Bins/Libs App1 Bins/Libs App2 Bins/Libs App3 Bins/Libs Docker Engine Operating System Vormetric Transparent Encryption Aplicar cifrado transparente a los ambientes Docker Cifrado Control de acceso Generación de bitácoras e inteligencia por contenedor Network and Storage Infrastructure SAN NAS DAS Aislamiento de las áreas para cumplimiento y ser ambientes Multitenant Políticas separadas e individuales para cada contenedor o grupo de contenedores 25
Protección de datos en la Nube BYOK nshield Edge nshield Connect HSMs Llave maestra es generada del lado del cliente El HSM local almacena una copia de las llaves Azure Key Vault Amazon KMS Reciben la llave del cliente La llave se almacena localmente en la nube Los datos Permanecen cifrados en la nube Usan las llaves privadas del cliente No pueden ser accesados por el proveedor de nube sin autorización 26
Proteccion de datos en la nube MS Azure Hold Your Own Key 27 Requerimiento de empresas altamente reguladas (ie CNBV Cap. X) para proteger sus datos más sensibles
Seguridad de datos como servicio en la nube: Cifrado escalable con manejo de llaves y monitoreo DATOS ACCESIBLES BASADO EN LA POLITICA APT y usuarios maliciosos Usuario autorizado Administrador del sistema (usuario privilegiado) Políticas y bitácoras Llaves DSM Vormetric Data Security Manager Empresa NO TIENE ACCESO A LOS DATOS DEBIDO A LA POLITICA Administrador de sistema del proveedor de nube GRUPO #1 GRUPO #2 Virtual machine Layer Compute/Hypervisor Multi-Tenant storage Layer Administrador del storage Bitácoras y auditoría de acceso Integración con SIEM para inteligencia de seguridad Las llaves y políticas son manejadas por la empresa, NO el proveedor de nube Permite el cambio de proveedor de nube 28 Los datos sensibles están cifrados el el storage
Que pasaría si tomamos la ofensiva? 29
30 Es hora de cambiar hacia la seguridad proactiva de los datos Los riesgos en la actualidad son múltiples y tienden a incrementarse y ser mas complejos (IoT) El factor humano sigue siendo un riesgo difícil de mitigar La evolución hacia la digitalización va más rápido que la seguridad de TI Si se destruye el valor económico de la información, se rompe la cadena de valor del mercado
Gracias www.thales-esecurity.com w w w. V o r m e t r i c. com 31