La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Construyendo Servicios de Seguridad Administrados sin Concesiones

Publicada porPancho Sanches Modificado hace 10 años

Presentaciones similares

Presentación del tema: "Construyendo Servicios de Seguridad Administrados sin Concesiones"— Transcripción de la presentación:

1 Construyendo Servicios de Seguridad Administrados sin Concesiones
Ruteadores de Servicios Integrados de Cisco

2 La Importancia de la Seguridad
© 2003 Cisco Systems, Inc. Todos los derechos reservados. 2 2 2

3 Las Amenazas de Hoy "Lo maravilloso de Internet es que usted está conectado a todos los demás. Lo terrible de Internet es que usted está conectado a todos los demás." Vint Cerf, "El Padre de Internet"

4 La Epidemia Code Red del 2001
24 horas después del inicio—341,015 hosts infectados, $2.6 mil millones en daños Los clientes se están preguntando si tienen los recursos para reaccionar a nuevas amenazas.

5 Gusano Zafiro o “Slammer”
Las infecciones se duplicaban cada 8.5 segundos Infectó a 75,000 hosts en los primeros 11 minutos Causó caídas de la redes, canceló vuelos de aerolíneas y creó fallas de ATM En su pico, escaneó a 55 millones de hosts por segundo

6 Los Motores de E-Business Expandieron el Acceso
Valor de Negocios de Internet Comercio Electrónico Cadena de Abastecimientos Servicios a Clientes Optimización de la Fuerza de Trabajo Aprendizaje Electrónico Presencia de Internet ¡¡Explosión en E-Business!! Intranet Corporativa Acceso a Internet Acceso Expandido...Riesgos de Seguridad Elevados

7 Por lo tanto, las amenazas de seguridad se están volviendo más complejas, más penetrantes……
Objetivo y Alcance del Daño Segundos Impacto en la Infraestructura Global Redes Regionales Redes Múltiples Redes Individuales Computadora Individual Siguiente Gen Hacking de infraestructura Amenazas relámpago Negación de servicio distribuída (DDoS) en forma masiva impulsada por gusanos Gusanos que dañan a la carga útil Minutos 3era Gen DoS de la Red Amenaza compuesta (gusano + virus+ Troyano) Gusanos turbo Hacking de sistemas difundido Días Semanas 2nda Gen Macro virus Correo electrónico Negación de Servicio (DoS) Hacking limitado 1era Gen Virus de arranque 1980s 1990s Hoy Futuro

8 ……..y más prevalecientes
El volumen de spam representa el 87% del correo electrónico (Fuente: Front Bridge ) 99% de las violaciones de seguridad se enfocan a vulnerabilidades conocidas para las cuales ya existen medidas defensivas 40% de aumento en los ataques por Internet el año pasado 150,000 + amenazas de seguridad el año pasado causaron $42 mil millones en daños (Fuente: CERT) Un seminario reciente de Current Analysis (Diciembre del 2004) proporcionó estadísticas que demostraron el aumento en la complejidad y en la ubicuidad de las preocupaciones de seguridad.

9 ¡Las Redes Están Bajo Ataque !
InternetWeek El 50% de las Corporaciones han tenido 30 o más penetraciones El 60% perdió hasta $200K/intrusión Federal Computing World Arriba del 50% de las agencias Federales reportaron accesos desautorizados (algunos son números masivos) WarRoom Research Survey El 90% de las empresas de Fortune 500 encuestadas admitieron violaciones de seguridad internas La redes están siendo atacadas Todos sabemos que el mundo es un lugar peligroso y que usted necesita protegerse a sí mismo y a sus activos corporativos – activos duros como equipo de redes y activos suaves como datos, ideas y productividad. Aquí presentamos algunos resultados de una serie de estudios conducidos por diversas organizaciones, los cuales llegan a la misma conclusión – las redes, corporativas o de otra tipo, están siendo atacadas diariamente por usuarios desautorizados.

10 Clases de Ataques Reconocimiento Acceso Negación de Servicio
Descubrimiento desautorizado y mapeo de sistemas, servicios o vulnerabilidades Acceso Manipulación de datos, acceso a sistemas o escalación de privilegios desautorizados Negación de Servicio Deshabilitar o corromper redes, sistemas o servicios

11 Múltiples Avenidas de Ataques
Virus u otro código malicioso Ataque de negación de servicio Generación ilegal de correo spam Acceso desautorizado por un interno o externo "Phishing" Fraude Robo de propiedad intelectual Robo de la identidad de empleados Sabotaje por un interno o externo Encuesta del 2004 de eCrime Watch Conducida por la revista CSO en cooperación con el Servicio Secreto de los Estados Unidos de América y del Centro de Coordinación CERT ®

12 ¿Que requiere ser protegido?
Todo es un punto de ataque Todo debe ser defendido Todo es un blanco Algunos de estos pueden ser convertidos en armas Nueva especie de ataques tienen múltiples vectores que no pueden ser bloqueados por un solo servicio La seguridad de la red es un sistema Se requieren capas de seguridad para evitar daños La administración y los reportes seguros son clave Los ruteadores son blancos Los switches son blancos Los hosts son blancos Las redes son blancos Las aplicaciones son blancos La información es un blanco Las herramientas de administración son blancos

13 La Evolución de la Estrategia de Seguridad en el Mercado
© 2003 Cisco Systems, Inc. Todos los derechos reservados. 13 13 13

14 Evolución de la Estrategia de Seguridad de Cisco
Severidad de las Amenazas de Seguridad Redes Inteligentes Protección de extremo-a-extremo Orientadas a aplicaciones (en base a cada puerto) Elementos conscientes de seguridad Autoprotección Portafolio completo de servicios avanzados Seguridad integrada Ruteadores Switches Dispositivos Puntos Terminales FW + VPN + IDS/IPS Detección de anomalías Software integrado de administración Servicios avanzados en evolución Dispositivos de seguridad Seguridad mejorada de los ruteadores Software de administración separado Redes que se Auto Defienden Seguridad básica de ruteadores Interface de líneas de comando (CLI) 1990s 2000 Hoy Futuro

15 La Red Empresarial Distribuida Amenazas de Múltiples Facetas
Oficina Central Oficina Regional Inspección de paquetes completa Inspección de aplicaciones Cumplimiento Análisis & validación de protocolos Reconocimiento completo de patrones Encriptación Tecnologías Mitigantes Centro de Datos Sucursal Remota Hacking Gusanos Oficina en el Hogar Internet Troyanos Campus Distribución MITM "Snooping" Violación de Acceso Trabajador Móvil "Spoofing" DoS Borde Asociado

16 Problemas Clave Enfrentando a los Sitios de Pequeñas Oficinas Hoy
COSTOS OPERATIVOS TCO reducido Escalar para necesidades actuales y futuras Protección de la inversión PRODUCTIVIDAD Productividad mejorada y acceso a aplicaciones- "anytime, anywhere" Soporte para aplicaciones avanzadas de industria SEGURIDAD y CONFIABILIDAD Evitar amenazas, Robo, Pérdida – tanto interno y externo Disponibilidad de la red consistente y desempeño ¿Existen aspectos para los sitios de Pequeños Negocios que son comunes para Corporativos? Existen cientos de miles de pequeños y medianos negocios en los Estados Unidos solamente. Estas empresas son tan variadas como la geografías en donde operan y las muchas industrias que representan. No necesito decirles que cada una tiene su propio conjunto único de necesidades y desafíos. Sin embargo, existen desafíos y problemas comunes que reaparecen consistentemente: Costos Operativos La capacidad de Escalar las operaciones en forma efectiva en costos conforme su negocio crece La necesidad de simplificar operaciones con personal y recursos limitados La capacidad de agregar nuevas aplicaciones en forma efectiva en costos para responder a los requerimientos crecientes del negocio Productividad Todos están haciendo más con menos Los negocios están buscando formas efectivas en costos para mantener a sus empleados mejor conectados con los clientes y con los recursos de la compañía Confiabilidad y Seguridad El asegurar que los sistemas que están apoyando a su negocio estén disponibles y seguros es clave para el éxito Las compañías necesitan proteger sus recursos de un aumento de amenazas de seguridad cada vez más sofisticadas para evitar la pérdida de datos valiosos Las compañías necesitan garantizar que cumplen con las regulaciones gubernamentales para proteger la información de sus clientes SIMPLICIDAD Administración y servicio simplificación – debe estar soportada con el personal existente

17 La Función de la Red Aprovechar los Activos de la Red para Entregar Valor de Negocios
Red Inteligente de Información Organización Virtual en Red Entrega, confiabilidad, y eficiencia de aplicaciones Priorización del Negocio Facilidad de Despliegue Ventas Convergencia de Aplicaciones Manufactura Desarrollo de Productos y Servicios Convergencia de los Usuarios IP Communications Entrega de Video y Supervisión Valor Incremental de la Red Finanzas RH Las compañías han otorgado una mayor relevancia a la red como nunca antes. Cómo platicamos, el enrutamiento tradicionalmente ha sido solamente acerca de conectividad. En la actualidad, los usuarios esperan mucho mayor servicio de la red – esperan que la conexión sea segura y que esté disponible. Las aplicaciones son la clave de la productividad. La red debe ser capaz de optimizar y facilitar la entrega de aplicaciones para que éstas puedan ser utilizadas como se pensó. De esta manera, la red en sí misma no se convierte en un cuello de botella para la productividad Y finalmente, la convergencia de múltiples redes en una sola está permitiendo que nuevos usuarios accedan a la red. Esto incluye no tan sólo IPT, sino redes móviles, redes de video y de supervisión etc. Esto hace que la red IP sea incrementalmente más valiosa para el negocio y puede ayudar a reducir los gastos operativos generales a la vez que acelera la entrega de aplicaciones y de comunicaciones. Convergencia de los Servicios Distribución Mercadotecnia Servicio y Soporte Conectividad Segura Acceso a Recursos Movilidad Transparente Disponibilidad de la Red Sana y Segura Convergencia de la Red

18 Sistemas de Seguridad Integrados con Autodefensa ¡La seguridad no es una opción!
La seguridad no es un "add-on" ni una opción; es parte del "DNA de la red inteligente de información". Al igual que la seguridad está interconstruida en los coches hoy en día, está integrada para permitir que usted se enfoque en los motivos por los cuales adquirió un coche y no en asegurar el coche. Suponga usted que necesite buscar a un fabricante de bolsas de aire y a un proveedor de ABS y piense como integrar estos componentes. Sí, eso sería una pesadilla y muchos coches inseguros estarían circulando en las calles colocando a todos los automovilistas en un riesgo mayor. Nosotros no deseamos ofrecer redes ni seguridad de esa forma; ¡todo debe ser integrado y parte de un sistema completo! La Seguridad como una Opción La seguridad es un suplemento Integración compleja No es efectiva en costos No se enfoca en la prioridad principal La seguridad como parte de un Sistema La seguridad está interconstruida Colaboración inteligente Seguridad adecuada Enfoque directo en la prioridad principal

19 El Valor de la Seguridad Integrada
Desempeño Escalable Ubiquidad del Servicio Consistencia del Servicio Operación Sistémica Compatibilidad de las Aplicaciones y la Red Menor CAPEX: Aprovechar la Infraestructura Existente Menor OPEX: Administración Completa 6454_10_2002_X © 2002 Cisco Systems, Inc. Todos los derechos reservados. 19 19 19

20 El Paradigma de Seguridad Está Cambiando
La seguridad ya no es una propuesta "a nivel de producto", sino es una propuesta de negocios Administración de servidores y de escritorios Número creciente de vulnerabilidades Debe escalar a miles en las grandes empresas El desafío de TCO de seguridad en los puntos extremos legados Productos reactivos obligan al despliegue de múltiples agentes y de paradigmas de administración para actualizar Daño del "Día Cero" Ataques que se propagan rápidamente (Slammer y Nimda) ocurren demasiado rápido para que los productos reactivos los manejen—Se requiere un sistema de seguridad automatizado

21 Facilitando Servicios Administrados con el Ruteador de Servicios Integrados de Cisco
© 2003 Cisco Systems, Inc. Todos los derechos reservados. 21 21 21

22 La Diferencia Cisco: El Valor de un Enfoque de Sistemas
Beneficios de un Enfoque de Sistemas: PLATAFORMA INTEGRADA ÚNICA: INTEGRACIÓN DE SERVICIOS INTELIGENTES: Inteligencia Simplicidad Mayor Productividad Rentabilidad Más Rápida Protección Máxima de las Inversiones Facilidad de despliegue Facilidad de administración Facilidad de capacitación y de contratación Localización y resolución de fallas más rápidamente Complejidad reducida Menores costos de capital Automatización + inteligencia Seguridad de extremo-a-extremo + voz Mayor calidad del servicio Alcanzar más rápidamente productividad + rentabilidad Uso eficiente del ancho de banda de la red ¿Que es exactamente un enfoque de sistemas? Primero, está la plataforma misma – un único ruteador corriendo el software con las características más completas de la industria y que ofrece la selección de interfases más amplia disponible. Al combinar el mejor software de su clase con las aplicaciones dentro de una única plataforma robusta, los clientes pueden: Desplegar servicios básicos y avanzados en forma más rápida Administrar estos servicios utilizando herramientas e interfaces comunes para simplificar las operaciones Aumentar la seguridad de la red minimizando el número de cajas separadas que requieren ser aseguradas Aprovechar las interfaces y los módulos de red existentes y futuros que aceleran la entrega de datos y liberan hardware para nuevas aplicaciones Localizar y resolver fallas más rápidamente, obtener refacciones más fácilmente, capacitar al personal más rápidamente – factores que afectan la reducción de costos operativos Además, los clientes pueden aprovechar las ventajas de paquetes de servicios y de contratos de servicio para reducir los costos de capital (Ejemplos de una única plataforma: SRST/CME, NAM, Optimización de Aplicaciones - Arquitectura común) Sin embargo, un enfoque de sistemas no es tan sólo cargar software en una única pieza de hardware; es lograr que los servicios contenidos en el software corran juntos en forma más óptima de lo que lo harían en forma separada, ya que así se podrán entregar beneficios y características clave más allá de un enfoque de "todo en una caja". Significa entretejer los servicios de voz, seguridad, enrutamiento y aplicaciones para que los procesos se vuelvan más automatizados y más inteligentes. Es acerca de permitir que la seguridad permee la red y las aplicaciones, proporcionando una mayor calidad de servicios, ya sea en el tráfico de voz, datos o video; acelerar la productividad y hacer mejor uso de los recursos de la red. ¿Cuáles son algunos ejemplos y cómo se benefician los clientes? Demos un vistazo… (Ejemplos de la Integración de Servicios: DMVPN, V3PN, NAC)

23 Portafolio de Ruteadores de Servicios Integrados de Cisco Servicios Integrados sin Concesiones
Aumento en el Valor para Todos los Clientes Entrega rápida y escalable de aplicaciones de negocios de misión crítica Optimizado para la entrega segura, a la velocidad del hilo, de servicios concurrentes de datos, voz y video Desempeño y confiabilidad necesarios para escalar aplicaciones de tiempo real para todos los clientes Agregación WAN Serie 7600 Serie 7200 Ruteadores de Servicios Integrados Amplitud de características y escalación al desempeño más alto Serie 3800 Serie 2800 Cisco posee un Portafolio de Ruteadores Empresariales para implantar la caja correcta para las diferentes aplicaciones y requerimientos de clientes. Desde el trabajador remoto hasta la oficina central de la empresa, existe una plataforma de ruteadores de Cisco que está bien adaptada para responder a las necesidades actuales de los clientes y que puede escalar conforme se agregan servicios como seguridad, voz y contenido. Alta Densidad y Desempeño para Servicios Concurrentes Serie 1800 Desempeño y Densidad de Servicios Serie 800 Servicios de Seguridad Avanzados Interconstruídos de Voz, Datos y Video Seguridad, Inalámbrico y Datos Interconstruídos Oficina Central Sucursal Sucursal Pequeña SMB Oficina Pequeña y Trabajador Remoto

24 Redes Cisco que se Autodefienden y que Operan a la Velocidad del Hilo
Aumento del Desempeño La Innovación de Sistemas Lleva al Liderazgo de Seguridad Servicios Integrados sin Concesiones Redes Cisco que se Autodefienden y que Operan a la Velocidad del Hilo Fusionando 20 Años de Innovación de Enrutamiento con la Mejor Seguridad en su Clase Confianza e Identidad Protección de la Base de la Red Conectividad Segura Defensa contra Amenazas Aproveche la red para proteger los puntos extremos en forma inteligente Proteja la infraestructura de la red de ataques y vulnerabilidades Conectividad de la red segura y escalable Evite y responda a los ataques a la red y a amenazas como gusanos Integrated Security Services Delivered at Wire Speed Los Ruteadores de Servicios Integrados de Cisco entregan una amplia gama de servicios de seguridad como parte de la Red Cisco que se Autodefiende – ¡con desempeño a la velocidad del hilo! Cubriendo los cuatro puntos de la estrategia de seguridad de la Red que se Autodefiende, dicha red contiene la mejor protección completa en su clase: Protección y Control de los Puntos Extremos La seguridad de la red y la seguridad de los puntos extremos de Cisco trabajan juntas para proporcionar la máxima protección de los puntos extremos utilizando FW/IPS/NBAR y el Control de Admisiones a la Red (Network Admission Control - NAC) Para limitar y evitar daños e interrupciones provenientes de las amenazas emergentes de seguridad, incluyendo ataques del Día Cero, Cisco Systems se ha asociado con los proveedores líderes en seguridad: Network Associates, Symantec, y Trend Micro para crear el Control de Admisiones a la Red (NAC). NAC permite que las redes identifiquen sistemas vulnerables y hagan cumplir los controles de admisión a la red permitiendo que únicamente los dispositivos confiables en los puntos extremos que cumplen con las políticas corporativas más actualizadas de antivirus y de parches a los sistemas operativos accedan a la red. Hosts que no cumplen y que son vulnerables son aislados y su acceso a la red es restringido hasta que contengan los parches adecuados y sean asegurados, evitando que sean fuentes o blancos de infecciones de gusanos y de virus. 802.1x : 802.1X es un protocolo de control de acceso a nivel de puerto. Al desplegar aplicaciones 802.1x, los administradores de redes también pueden eliminar en forma efectiva la posibilidad de que los usuarios desplieguen puntos de acceso inalámbricos no asegurados, resolviendo uno de los problemas más grandes relacionados con equipo WLAN fácil de desplegar. La conmutación integrada 4 & 9 Port EtherSwitch HWIC y la 16 & 36 Port NM vigente, soportan la norma 802.1X para seguridad. Adicionalmente, todas soportan Power over Ethernet( POE) Todos los Puertos Ethernet de Ruteadores ahora también soportan 802.1X Servicios de Redes Basados en Identidad, como AAA también se colocan dentro de la categoría de protección de los puntos extremos Protección de Dispositivos de la Red – Protege a la infraestructura de la red de ataques y vulnerabilidades La Supervisión del Plano de Control en el ruteador ayuda a evitar ataques de negación de servicio y evita que la red desperdicie ciclos perdidos en tráfico malicioso. Mantenga la disponibilidad de la red, aún cuando esté bajo ataque, con la Supervisión del Plano de Control del Software Cisco IOS La Supervisión del Plano de Control de Cisco IOS monitorea a los paquetes destinados u originados desde el Plano de Control de los ruteadores y switches de Cisco La Supervisión del Plano de Control aumenta la confiabilidad, seguridad, y disponibilidad de la infraestructura Otras tecnologías incluyen: Netflow Mitiga ataques al identificar flujos sospechosos de paquetes Los ataques pueden ser identificados y clasificados por flujos para proteger a la red El Reconocimiento de Aplicaciones Basado en la Red (Network Based Application Recognition - NBAR) protege a la red a través de una inspección de paquetes profunda y completa Detecta gusanos en base a las firmas de la carga útil Conectividad Segura Cisco proporciona soporte V3PN líder en la industria con una infraestructura capaz de converger voz, video y datos a través de una red IPSec segura que permite que los clientes obtengan el mismo desempeño para las aplicaciones de voz y de video sobre un transporte IP que obtendrían sobre un enlace WAN alterno. A diferencia de muchos dispositivos VPN en el mercado, los dispositivos VPN de Cisco se ajustan a los diversos requerimientos de topologías de red y de tráfico que permiten VPNs IPSec multiservicios, lo cual garantiza que la infraestructura VPN no descomponga las aplicaciones multiservicios desplegadas ahora o en el futuro. Cisco también ofrece inteligencia dentro de los servicios de Voz y Seguridad, entre ellos con VPN Dinámica Multipunto (Dynamic Multipoint VPN - DMVPN), la cual combina túneles GRE, encriptación IPSec y enrutamiento NHRP para proporcionar a los usuarios configuración sencilla a través de perfiles cripto y descubrimiento dinámico de los puntos extremos de los túneles. Protección Dinámica en Colaboración Finalmente, para evitar amenazas a la red y responder a ellas, Cisco ofrece el Firewall IOS® incluido con los Ruteadores de Servicios Integrados para proteger al LAN de ataques a la red, y el Sistema de Protección de Intrusiones. El control de acceso basado en contexto (CBAC) con el firewall IOS proporciona el filtraje dinámico en base a cada aplicación, permitiendo que el tráfico legítimo ingrese al LAN únicamente mientras una sesión esté activa. CBAC se considera esencial para la funcionalidad efectiva del firewall. El Firewall IOS de Cisco también soporta bloqueo Java, detección y prevención de negación de servicio, rastros de auditoría y alertas en tiempo real; y proporciona características de Autentificación, Autorización y Contabilidad (Authentication, Authorization, and Accounting - AAA). El Sistema de Prevención de Intrusiones de Cisco IOS (IPS) es una solución IDS basada en la inspección profunda en línea de paquetes que permite que el software Cisco IOS mitigue los ataques a la red en forma efectiva. IPS IOS proporciona la capacidad de cargar y habilitar en forma dinámica firmas IDS seleccionadas en tiempo real. IPS IOS ahora soporta más de 700 de las firmas soportadas por las plataformas Cisco IDS Sensor. IPS IOS permite que el usuario modifique una firma existente o que cree una nueva firma para responder a las amenazas recién descubiertas. Además de proporcionar la base para una red que se autodefiende y un desempeño rápido y de alta calidad de los servicios de seguridad, los Ruteadores de Servicios Integrados de Cisco también contienen una interfase USB, la cual será configurable para operar con la distribución y almacenamiento fuera de la plataforma de credenciales VPN (Token for Secure). Únicamente Cisco ofrece el rango más amplio de servicios de seguridad líderes de la industria interconstruidos e integrados en sus ruteadores. La seguridad de Cisco IOS protege a los ruteadores, desde el 800 al 7301, para seguridad que permea toda la red

25 ¿Por Qué Considerar un Servicio de Seguridad Administrado?
La seguridad es el corazón del futuro de inter-redes; nos hemos movido de un Internet de confianza implícita a un Internet de desconfianza penetrante No se puede confiar en ningún paquete; todos los paquetes deben ganarse esa confianza mediante la capacidad de un dispositivo de red de inspeccionar y hacer cumplir la política Los consumidores requieren de seguridad para apoyar su uso personal de Internet—Las SMB/grandes empresas requieren de seguridad para mantener la continuidad de sus negocios, los proveedores de servicios requieren de seguridad para garantizar la entrega de servicios Los consumidores y las SMB/grandes empresas pueden ganar tiempo y productividad apoyándose en un proveedor de servicios Los proveedores de servicios pueden proporcionar los altos conocimientos de seguridad y las economías de escala para minimizar proactivamente la exposición de una compañía a las amenazas de seguridad © 2005 Cisco Systems, Inc. Todos los derechos reservados. 25

26 Motores Clave para los Clientes e Inhibidores
Motores para la Seguridad Administrada Extender el acceso a los recursos corporativos a través de recursos no tradicionales Actividad maliciosa creciente de Internet Exposiciones de seguridad internas y externas a la red Inversiones en herramientas/personal requeridos para el monitoreo y análisis de registros completo Requerimientos Regulatorios (GLB, GISRA, HIPAA, PDD-63 etc.) Inhibidores para la Seguridad Administrada Costo - la razón principal que citan los negocios para no utilizar los servicios de seguridad administrados Confianza - los clientes desean mantener el control sobre sus políticas de seguridad, así como la visibilidad y pueden ya contar con un grupo de seguridad de TI interno. Complejidad de la red y de los equipos Incapacidad o enfoque del cliente El monitoreo 24x7 es necesario Costos operativos (24 x 7) Altos conocimientos en múltiples disciplinas requeridos (FW, VPN, IDS) Falta de especialistas calificados en seguridad de TI Hacer lo uno mismo es: Confuso, Costoso, Consume Tiempo Temor: publicidad creciente de fracasos de seguridad Tendencias regulatorias (HIPPA, GLB, GISRA, CSEA) La Ley de Modernización Financiera Gramm-Leach-Bliley (GLB) entró en vigencia el 1 de julio de 2001, que fue la fecha límite para que las instituciones financieras implantaran medidas de seguridad para la información o que de otra manera fueran sujetas a penalizaciones monetarias ilegales sustanciales. Únicamente las compañías financieras que firmaron contratos de servicios de seguridad administrados (MSS) para el 2 de marzo de 2001, fueron elegibles para una cláusula de protección de dos años de dichas disposiciones de seguridad de la información. GLB requiere que las instituciones financieras cubran seis áreas clave de seguridad de la información: evaluar los ambientes de TI y entender los riesgos de seguridad, establecer políticas de seguridad para la información, mantener evaluaciones periódicas independientes, proporcionar programas de capacitación y de concientización de la seguridad para los usuarios, efectuar un escrutinio de las relaciones de negocios, y revisar y actualizar los procedimientos. - La Ley de Reforma a la Seguridad de la Información Gubernamental (GISRA), suscrita como ley en octubre del 2000, es parte de la Ley de Autorización de Defensa del Año Fiscal Esta ley requiere que cada dependencia desarrolle e implemente un plan de seguridad para la información a nivel de toda la dependencia para sus activos y operaciones. También requiere que este plan sea renovado en forma anual por los funcionarios del programa para la dependencia y por auditorias del Inspector General de los programas de seguridad para la información y sus prácticas. Bajo GISRA, las dependencias deben utilizar estas evaluaciones para mejorar sus programas y prácticas de seguridad. Los reportes de las evaluaciones también deben ser entregados a la Oficina de Administración y Presupuesto (OMB), la cual a su vez, proporcionará un resumen del reporte para el Congreso. Una nueva propuesta de ley, introducida por el Representante Tom Davis (R-Virginia), requiere que se establezca en forma permanente un conjunto de normas para proteger en contra de intrusos a todas las redes de cómputo gubernamentales de Estados Unidos. Si se aprueba, la Ley de Seguridad para la Información Federal (FISMA) extendería y ampliaría a GISRA. - La Directiva de Decisión Presidencial 63 (PDD-63) requiere que las dependencias protejan los sistemas de información que apoyan a la infraestructura critica de la nación, incluyendo transportes y banca. También dio instrucciones a la industria de formar centros de análisis y de compartir información (ISACs) para colaborar en incidentes de seguridad y para trabajar con el gobierno. -Las normas de privacidad de la Ley de Portabilidad de Seguros de Salud y Responsabilidades (HIPAA) de entró en efecto el 14 de abril del HIPAA fue diseñada para mejorar la eficiencia y eficacia del sistema de cuidados de la salud estableciendo normas para el intercambio de datos electrónicos para transacciones administrativas y financieras especificadas; fue diseñada para proteger la seguridad y confidencialidad de la información de cuidados de la salud intercambiada electrónicamente. La mayoría de las grandes organizaciones tuvieron hasta el 14 de abril de 2003, para cumplir con la regla de privacidad de pacientes; los planes de salud pequeños tuvieron un año adicional para cumplir con la ley. Penalizaciones financieras significativas serán establecidas por el no cumplimiento con los plazos de tiempo especificados. - La Ley de Protección de Información Personal y de Documentos Electrónicos (la Ley “PIPED”), también conocida como la Propuesta C-6, entró en efecto el primero de enero del La Ley PIPED apoya y promueve el comercio electrónico protegiendo la información personal que es recolectada, utilizada o divulgada en ciertas circunstancias permitiendo el uso de medios electrónicos para comunicar o registrar información o transacciones y enmendando la Ley de Evidencia de Canadá (Canada Evidence Act), la Ley de Instrumentos Legales Statutory Instruments Act), y la Ley de Revisión Legal (Statute Revision Act). - El Acuerdo de Capital de Basilea de 1988 es un acuerdo entre los bancos centrales del G-10 para aplicar normas mínimas de capital comunes a sus industrias bancarias. Casi todas las normas están enfocadas al riesgo de crédito, que es el riesgo principal incurrido por bancos. En la actualidad, el Acuerdo está bajo revisión, con la intención de reforzar la seguridad y la solidez del sistema financiero. Fuente: IDC, Infonetics, Gartner, Cisco

27 Presiones que Enfrentan los Departamentos Empresariales de TI
Complejidad de la red y de los equipos Necesidad de Enfocar al Personal en Aplicaciones de Negocios El monitoreo 24x7 es necesario Costos operativos (24 x 7) Altos conocimientos en múltiples disciplinas requeridos (FW, VPN, IDS) Escalar a través de instalaciones heterogéneas de las sucursales Hacerlo uno mismo es: Confuso, Costoso, Consume Tiempo Temor: publicidad creciente de fracasos de seguridad Tendencias regulatorias (HIPAA, GLB, GISRA, CSEA) Fuente: Mercados de Servicios de Seguridad Administrados en los Estados Unidos, Frost and Sullivan HIPAA: La Ley de Portabilidad y Responsabilidad de los Seguros Médicos, convertida en ley el 21 de agosto de Objetivos para garantizar la protección de los seguros de gastos médicos de los trabajadores durante cambios de trabajos, proteger la privacidad de expedientes de pacientes y promover normas nacionales uniformes para la transmisión electrónica segura de información de salud. Nota: no especifica "como asegurar" y por lo tanto no existe "cumplimiento" actual. GLB: Gramm-Leach-Bliley; conocida como la Ley de Modernización de los Servicios Financieros. Tiene como objetivo el mercado financiero, responde a la privacidad de los datos de los consumidores y de su intercambio. GISRA: Ley de Reformas de Seguridad de la Información Gubernamental, también conocida como "La Ley de Seguridad", enmienda la La Ley de Reducción de Registros en Papel (Paperwork Reduction Act - PRA) de 1995 especificando nuevos requisitos enfocados a instituir un sistema de mejores prácticas y requiere que los programas de las dependencias desarrollen una política formal de seguridad. CSEA: Ley de Mejoras de Seguridad de la Computación (Computer Security Enhancement Act) del 2001; enmienda el Instituto Nacional de Normas y Tecnología (National Institute of Standards and Technology - NIST) para mejorar la seguridad de las computadoras – extiende los esfuerzos para promover el cumplimiento por las dependencias Federales con las directrices Federales de seguridad y privacidad de la información en las computadoras.

28 Definición de la Seguridad Administrada
MSSP SOC Oficinas Centrales con FW/IPS Oficina Central Sucursal con Servicio Integrado FW/IDS Sucursal con FW/IPS Integrado Acceso de oficinas remotas a través de VPN/FW IPSec SOHO Seguridad Mejorada con Servicios de Seguridad Administrados Seguridad de Extremo-a-Extremo con Firewalls Integrados, Prevención de Intrusiones/Detección de Intrusiones y VPN IPSec

29 Servicio VPN Administrado de Sitio-a-Sitio
Responsabilidad del Proveedor de Servicios Red del Proveedor de Servicios Switch LAN Switch LAN Ruteador Administrado Cisco del CPE Ruteador Administrado Cisco del CPE Demarcación Demarcación SP configura las características VPN IPSec de Sitio-a-Sitio en el Ruteador de Servicios Integrados de Cisco Extiende el soporte para Aceleración VPN desde el SP a la instalación del cliente a través de soporte AES wide-key en los Ruteadores Serie 7200/7301 de Servicios Integrados del CPE y del SP Proporciona una base segura para servicios de seguridad adicionales y para el transporte de aplicaciones y datos de misión crítica

30 Servicio de Seguridad Administrado – Firewall, IDS e IPS
Responsabilidad del Proveedor de Servicios Switch LAN Red del Proveedor de Servicios Ruteador Cisco CPE Administrado con el Conjunto de Características de Firewall IOS® Demarcación SP configura el conjunto de características del Firewall IOS en el Ruteador de Cisco a través de la administración remota de la configuración El firewall local permite tuneleo dividido y conexiones dinámicas sitio-a-sitio Las capacidades del firewall de aplicaciones extienden la seguridad para sitios y para la información definiendo y haciendo cumplir las políticas de seguridad del Puerto 80 (HTTP) Detectar (IDS) y evitar (IPS) que las intrusiones interrumpan las operaciones de negocios Las firmas IPS personalizables pueden ser cargadas dinámicamente y habilitadas en el ruteador en tiempo real, y con IPS IOS dentro de la línea, el ruteador puede descartar tráfico, enviar una alarma o reinicializar la conexión.

31 Servicio de Firewall Administrado
Protege las fronteras internas y externas de la red del cliente Restringe el tipo de protocolos permitidos para fluir a través de la red, habilitando a los empleados con acceso seguro al Internet público Ruteador de Servicios Integrados con Firewall IOS ubicado en las instalaciones del cliente o en un centro de hospedaje El Proveedor de Servicios aprovisiona, conjunta, instala, y configura El Proveedor de Servicios administra en forma remota para garantizar el desempeño óptimo El Proveedor de Servicios proporciona análisis y reportes en archivos de la bitácora del firewall y proporciona análisis de tráfico El Proveedor de Servicios administra los cambios en las políticas de seguridad El Proveedor de Servicios facilita escaneos continuos de vulnerabilidades y administra el proceso de escalación de eventos Monitoreo 24x7x365 Reportes Contratos de Nivel de Servicio Respuesta a Incidentes

32 Extendiendo Servicios de Firewall Administrados
El Firewall de Aplicaciones Es Crítico para Negocios Basados en Web Usuarios Internos “…75% de los ataques exitosos en contra de servidores Web están ingresando a través de aplicaciones y no a nivel de la red.” Servicios Web Aplicaciones Web Tráfico IM Media enriquecida Acceso a Internet 43% 55% 98% Esta lámina es el resultado de varios cientos de "Evaluaciones de la Postura de Seguridad", o proyectos de consultoría de Cisco. Los clientes nos piden revisar la seguridad de sus redes desde el exterior y desde el interior. ¿Qué tan difícil es atravesar el firewall desde Internet o aprovecharse de los agujeros en el ambiente de marcación? ¿Qué tan difícil es actuar como un empleado insatisfecho o malicioso para obtener control de un sistema crítico de negocios? Los Ingenieros de Seguridad de Cisco, en promedio, ingresan en la red del cliente desde el exterior, aproximadamente el 75% del tiempo utilizando técnicas directas de explotación. Cuando se utilizan técnicas de explotación secundaria más avanzadas -- esto es, utilizando varias vulnerabilidades combinadas entre si (y esto es representativo de una amenaza estructurada más avanzada) -- la tasa de penetración externa aumenta arriba del 95%. [Construya] Aproximadamente 65% del tiempo, el acceso desautorizado se obtiene a través de medios de marcación -- ya sea con passwords pobres en modems o a través de modems desautorizados con muy poca o ninguna seguridad. [Construya] Finalmente, en la fase de evaluación interna de la Evaluación de la Postura de Seguridad, nuestros ingenieros han obtenido privilegios desautorizados de superusuario o de usuario raíz a máquinas críticas corporativas el 100% del tiempo. ¡Estos no son sistemas insignificantes que estamos atacando! Son operaciones de misión crítica como ATMs y sistemas de transferencias de fondos, sistemas de control de tráfico aéreo o infraestructuras de cuidados intensivos dentro de los hospitales más importantes. Hemos aprendido que los clientes aún continúan muy enfocados en la seguridad externa y requieren concentrarse más en su infraestructura de seguridad interna. Puerto 80 FireWall Internet 80 – HTTP 64% de las empresas han abierto el Puerto 80 en sus firewalls para su tráfico creciente de aplicaciones web Fuente: Encuesta a Profesionales de TI de InfoWorld/Network de agosto del 2002 John Pescatore, VP y Director de Investigaciones, Gartner, junio del 2002. 20

33 Firewall IOS® de Cisco INSPECCIÓN Y CONTROL AVANZADOS DE APLICACIONES
¡Soy tráfico de correo electrónico…en verdad! Carga Útil Puerto 25 Carga Útil Puerto 80 ¡Soy tráfico web de http…en verdad! Oficina Corporativa Granja de Servidores Motor de Inspección HTTP El Puerto 80 (http) es un conducto para ataques incrustados en web y para el uso inapropiado de aplicaciones Proporciona el control a nivel de aplicaciones a través de la inspección del tráfico del puerto 80 tuneleado Convergencia del Firewall IOS de Cisco y de las tecnologías IPS en línea El mal uso del control del puerto 80 por aplicaciones delincuentes que esconden el tráfico dentro de http para evitar escrutinio Ejemplo: Aplicaciones de mensajería instantánea y de par-a-par como Kazaa Administre el consumo de ancho de banda a través de políticas de utilización Motor de Inspección de Correo Electrónico Controle el mal uso de protocolos de correo electrónico SMTP, ESMTP, IMAP, motores de inspección POP Resalte que nosotros recientemente anunciamos nuevas características de seguridad en RSA en Febrero incluyendo la Inspección y Control de Aplicaciones Motores de Inspección Proporcionan Servicios de Detección de Anomalías de Protocolo

34 Sistemas Administrados de Detección/Prevención de Intrusiones
Determina cuando ocurre un acceso desautorizado en la red, o en los sistemas, servicios, aplicaciones o datos Monitoreo, detección y respuesta en tiempo real a amenazas para la red El Proveedor de Servicios constantemente monitorea los flujos de tráfico para cada segmento y filtra alarmas El Proveedor de Servicios clasifica y responde en tiempo real a cada evento en base a la política de seguridad definida por el cliente El Proveedor de Servicios administra el mantenimiento del sistema, la identificación de nuevas amenazas y la aplicación de parches y firmas requeridas Las firmas IPS personalizables pueden ser cargadas dinámicamente y habilitadas en el ruteador en tiempo rea, y con IPS IOS dentro de la línea, el ruteador puede descartar tráfico, enviar una alarma o reinicializar la conexión. El Proveedor de Servicios administra el sistema en forma remota y proporciona reportes completos

35 Servicios de Seguridad Concurrentes Desempeño sin Concesiones
Aumento en Desempeño Servicios de Seguridad Concurrentes Desempeño sin Concesiones FW + IPS + VPN IPSec con 3DES (Tráfico IMIX) Mejora de hasta 150% 3845 3825 Mejora de hasta 200% 2851 Mejora de hasta 840% Excelente lámina para demostrar el aumento general de desempeño 2821 Mejora de hasta 900% 2811 Mejora de hasta 300% 1841 Mejora de hasta 400% AIM-VPN Previo ISR a Bordo ISR con AIM-VPN

36 Puntos Clave para Recordar
La seguridad es un problema de negocios Los servicios básicos de Firewall y IDS/IPS Administrados no son servicios aislados Monitoreo y Administración incluidos Seguridad integrada de extremo-a-extremo La tecnología de punta de Cisco proporciona una solución COMPLETA de seguridad integrada Ruteadores de Servicios Integrados Firewalls IOS de características completas Detección y prevención de intrusiones VPN IPSec

37 Las Redes Cisco Powered le Ayudan a Tener Éxito
El Enfoque de Cisco®: Enlazando a los Proveedores de Servicios y a los Usuarios Finales Corporativos y SMBs Proveedores de Servicios Cisco Systems® DW_Acelerar la Demanda_0304 © 2004 Cisco Systems, Inc. Todos los derechos reservados.

38 38 38 38

Descargar ppt "Construyendo Servicios de Seguridad Administrados sin Concesiones"

Presentaciones similares

Nº © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Solución de Seguridad Administrada.

Nº © 2005 Cisco Systems, Inc. Todos los derechos reservados. Confidencial de Cisco Número de Sesión Presentation_ID Solución de Seguridad Administrada.
ÍNDICE Mission Statement Breve historia Posicionamiento

ÍNDICE Mission Statement Breve historia Posicionamiento
Intranets P. Reyes / Octubre 2004.

Intranets P. Reyes / Octubre 2004.
© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.

© 2006 Cisco Systems, Inc. Todos los derechos reservados. Información pública de Cisco 1 Descripción de cómo la tecnología VPN presta servicios seguros.
Nº © 2003 Cisco Systems, Inc. Todos los derechos reservados. Construyendo una Ventaja Competitiva con una Oferta de Servicios de Seguridad Administrados.

Nº © 2003 Cisco Systems, Inc. Todos los derechos reservados. Construyendo una Ventaja Competitiva con una Oferta de Servicios de Seguridad Administrados.
VIII Congreso Internacional en Innovación Tecnológica Informática

VIII Congreso Internacional en Innovación Tecnológica Informática
Damián Malfatti Coordinador Infraestructura

Damián Malfatti Coordinador Infraestructura
Curso de Actualización

Curso de Actualización
Introducción a servidores

Introducción a servidores
Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta

Red vpn Mayerli Arismendi Edwin Alvarado María Alejandra acosta
© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Prestación de servicios para trabajadores a distancia Acceso a.

© 2006 Cisco Systems, Inc. Todos los derechos reservados.Información pública de Cisco 1 Prestación de servicios para trabajadores a distancia Acceso a.
Telecomunicaciones y Redes

Telecomunicaciones y Redes
Universidad Nacional Autónoma de Honduras

Universidad Nacional Autónoma de Honduras
ESET Endpoint Security y ESET Endpoint Antivirus

ESET Endpoint Security y ESET Endpoint Antivirus
Creación del prototipo de la red del campus

Creación del prototipo de la red del campus
Optimización de Redes de Comunicaciones

Optimización de Redes de Comunicaciones
MODULO DE GESTION DE LA CADENA DE ABASTECIMIENTO

MODULO DE GESTION DE LA CADENA DE ABASTECIMIENTO
Curso de Actualización

Curso de Actualización
ESCUELA POLITÉCNICA DEL EJÉRCITO

ESCUELA POLITÉCNICA DEL EJÉRCITO
Seguridad de redes empresariales

Seguridad de redes empresariales

Presentaciones similares

Anuncios Google