Protección de la Información: Una necesidad en los tiempos modernos
-
Upload
cristian-rojas -
Category
Technology
-
view
58 -
download
2
Transcript of Protección de la Información: Una necesidad en los tiempos modernos
Target: Cronología
● Atacantes engañan a un proveedor HVAC de Target
● Usan sus credenciales para acceder al sistema de control de aire
● Doble ataque:– Infectan servidores de archivos Windows
– Infectan terminales POS (no parchados)
● POS infectados envían datos de tarjetas de crédito a servidores Windows infectados, quienes los transmiten a servidores externos
Target: ¿Qué falló?
● Excesiva confianza en proveedores● No hubo una real preocupación por la seguridad
– No habían oficiales de seguridad ni CISO
– Los terminales POS eran Windows XP no actualizados y sin medidas anti-malware
● “Pero si están en una red aislada. ¿Quién podría atacarnos?”
● Hubo alertas tempranas, pero fueron ignoradas
Target: ¿Qué falló?
● Mal manejo posterior al incidente– CEO despedido
– Preocupados más por “comprar cajitas” que de entrenar a sus empleados
– Información mal dada al público● Incompleta al principio: Dijeron que fueron 40 y no 70
millones de registros de clientes los afectados● Tardía: El ataque se realizó un mes antes, y recién cuando
un investigador la reveló públicamente la reconocieron
Protección de la InformaciónUna necesidad en los tiempos modernos
Cristián Rojas, CSSLPConsultor independiente en Seguridad de la InformaciónProfesor de Seguridad de la Información, MTIG PUC
Foto: perspec_photo88 / CC BY-SA 2.0
En esta sesión
1. ¿Qué es la seguridad?
2. ¿Quiénes son los enemigos?
3. ¿Cuáles son las consecuencias de un ataque?
4. ¿Es importante la seguridad?
5. ¿Qué hacemos para proteger nuestra información?
Seguridad de la Información
● Capacidad de un sistema de operar en un ambiente hostil– Por ejemplo, Internet
– ¿Hay algún otro?
● CIA
¿ ?
CIA: Confidencialidad
● La información sólo puede ser mostrada a quién corresponde– Controles de acceso
– Encriptación
– Esteganografía
CIA: Integridad
● La información no debe ser alterada por terceros– Los datos transmitidos, procesados y almacenados
deben ser tan precisos como quien los originó quiso
– El software debe desempeñarse en forma confiable
● Aspectos:– Hashing
– Autenticidad (Certificados Digitales, etc.)
– No-repudiación
CIA: Disponibilidad (Availability)
● La información debe estar disponible– ¿Cuándo?
– ¿Para quién?
● Aspectos:– Uptime
– Redundancia
– SLA's
– DoS
Me han contado que los mejores crackers del mundo hacen esta
pega en 60 minutos...Lamentablemente yo necesito a
alguien que la haga en 60 segundos.
"Swordfish", Warner Bros, 2001.
Howard, Lipner: “The Security Development Lifecycle”
El modelo STRIDE● Spoofing● Tampering● Repudiation● Information Disclosure● Denial of Service● Elevation of Privilege
Requisitos Diseño Implementación Pruebas Operación
1X 1X7X
15X
100X
IBM Systems Sciences Institute, “Implementing Software Inspections”
generando a los atacantes ganancias por
USD 53.7millones
De las cuales entre
1-3 millonesya han sido vendidas en el
mercado negro
Target: Los números
40millones
de tarjetas de crédito robadas
70millones
de registros de clientes robados
46%de caída en las ganancias de Target respecto al año
anterior
0oficiales de seguridad en
Target
200Millones (USD)
costará a bancos comunitarios y cooperativas reemitir
la mitadde las tarjetas de crédito robadas
Krebs on Security: “The Target Breach, By the Numbers”
¿Qué información tenemos y quién puede acceder a ella?
Multipass!
“The Fifth Element”, Gaumont, 1997.
El eslabón más débil: La password
● Usar buenas passwords– Largas, que combinen
números, mayúsculas, minúsculas y símbolos
– Que no tengan información relacionable (ej. fecha de cumpleaños, nombres...) http//xkcd.com/936
El eslabón más débil: La password
● No usar una sóla password para todo. Usar compartimentalización– ¿Y cómo recordamos tantas passwords?
● Protegerlas tanto durante el transporte como al almacenarlas
● No usar passwords cognitivas
Otras formas de autentificación
● Factores de Autentificación:– Conocimiento
– Propiedad
– Característica
● 2FA: El uso de 2 de éstos es considerado seguro
● “Algo que eres” es delicado
purpleslog@flickr (CC BY 2.0)
Herramientas de seguridad
● Criptografía– Simétrica
– Asimétrica
– Hashing
● Anti-malware● Gestión de identidades
● Detección de intrusos (IDS)
● Protección contra pérdida de datos (DLP)
● Firewalls● Scanners de seguridad● Security Information and
Event Management (SIEM)
Desarrollar aplicaciones seguras
● Hacer el software seguro desde el principio
● Adentrarse en conceptos de seguridad para programación
● Auditar código, configuraciones, servicios, ejecutables...
Developers!
“No seas un idiota”*
● Puedes saber sólo lo que el usuario te dice
● Puedes compartir sólo lo que el usuario te diga
● ... y con quién te lo diga● ... y sólo si él quiere
hacer algo que lo requiera
* Graham Lee, “Don't be a dick”
En resumen
● Las amenazas a la información pueden venir de fuera, pero también quienes manejan la información pueden constituir una amenaza a ésta
● El valor de la seguridad no puede verse en términos de ROI, sino en el evitar perder el valor ganado con el uso de sistemas de información
● La seguridad es algo que se debe pensar desde el principio, no “pegar con cinta de embalaje” después de la implementación de sistemas de información
Bibliografía interesante
● Verizon, “2014 Data Breach Investigations Report”● Counsil on Cybersecurity, “The Critical Security Controls
for Effective Cyber Defense” (ver. 5.0)● Imperva: “The Anatomy of an Anonymous Attack”● Adam Shostack, “Threat Modeling: Designing for Security”● OWASP Top 10 2013● Ross Anderson, “Security Engineering”● NIST, SP 800-100, “Information Security Handbook: A
Guide for Managers”● NIST, SP 800-61 rev. 2, “Computer Security Incident
Handling Guide”
Sitios web interesantes
● SOPHOS, “Naked Security” y “60 Second Security”https://nakedsecurity.sophos.com
● ESET, “We Live Security”http://www.welivesecurity.com/la-es/
● Ars Technica, Risk Assessment – Security & Hacktivismhttp://arstechnica.com/security/