La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Jornadas de Seguridad Informática Lic. Julio C. Ardita CYBSEC S.A. Security Systems Río Gallegos – Santa Cruz Argentina.

Presentaciones similares


Presentación del tema: "Jornadas de Seguridad Informática Lic. Julio C. Ardita CYBSEC S.A. Security Systems Río Gallegos – Santa Cruz Argentina."— Transcripción de la presentación:

1 Jornadas de Seguridad Informática Lic. Julio C. Ardita CYBSEC S.A. Security Systems Río Gallegos – Santa Cruz Argentina

2 2 Jornadas de Seguridad Informática Agenda - Situación actual en la Argentina y en el mundo - Incidentes de seguridad informática reales - Conociendo al enemigo - Ingeniería Social - Medidas de Protección - Seguridad de la red de la Gobernación de Santa Cruz

3 3 Jornadas de Seguridad Informática Situación actual en la Argentina y en el mundo

4 4 Jornadas de Seguridad Informática ¿Qué es la Seguridad Informática? La seguridad informática concierne a la protección de la información que se encuentra en un dispositivo informático (computadora, red, etc) y también a la protección del acceso no autorizado a todos los recursos del sistema.

5 5 Jornadas de Seguridad Informática El objetivo de la seguridad de la información es garantizar:

6 6 Jornadas de Seguridad Informática Durante la ultima década se incorpora con una importancia creciente el concepto de la Seguridad Informática a la vez que este mismo concepto inicial se transforma en el concepto de Seguridad de la Información, permitiendo una mejor definición del problema que afecta a las Organizaciones.

7 7 Jornadas de Seguridad Informática Antes: La seguridad informática no era un gran problema. Centros de cómputos pequeños y pocas terminales. Redes aisladas de computadoras pequeñas y sólo usuarios internos. Hoy: La seguridad Informática es un tema prioritario. Los sistemas informáticos están dispersos e interconectados en toda la Organización. Tenemos grandes redes; Internet; diversidad de plataformas; múltiples sistemas operativos; usuarios internos, externos e invitados; computadoras móviles, etc.

8 8 Jornadas de Seguridad Informática Realidad - Los mismos problemas de seguridad - Mayores responsabilidades - Pocos recursos - Masificación del problema

9 9 Jornadas de Seguridad Informática Realidad Sofisticación de los ataques informáticos

10 10 Jornadas de Seguridad Informática Durante abril de 2007 hubo más de 700 ataques exitosos a páginas Web en Argentina. Fuente:

11 11 Jornadas de Seguridad Informática Cantidad de vulnerabilidades informáticas Cantidad de vulnerabilidades informáticas © CERT/CC

12 12 Jornadas de Seguridad Informática Incidentes de seguridad informática reales

13 13 Jornadas de Seguridad Informática CASO 1: Denegación de servicio Descripción del incidente: El viernes 23 de diciembre de 2004 una Empresa de Retail fue atacada por un intruso que impidió la continuidad del negocio en sus casi 120 sucursales. En un análisis preliminar de la situación determinó que un intruso había dejado un programa que se ejecutó el día viernes a las 19:00hs horas y que bloqueaba el acceso al sistema de Ventas. Se comenzó a trabajar en dos líneas: - Volver a la operación normal. - Detección, análisis y rastreo del intruso.

14 14 Jornadas de Seguridad Informática CASO 1: Denegación de servicio Metodología de Investigación: En relación a la vuelta a la operación normal: 1. Análisis forense inmediato de los equipos afectados. 2. Detección de programas que impedían el normal funcionamiento del Sistema de Ventas. 3. Análisis de programas y modificaciones realizadas por el intruso. 4. Planteo de soluciones. 5. Pruebas sobre una sucursal de los cambios. 6. Aplicación masiva de cambios y vuelta a la operación normal.

15 15 Jornadas de Seguridad Informática CASO 1: Denegación de servicio Metodología de Investigación: En relación a la detección, análisis y rastreo del intruso: 1. Ingeniería reversa de los programas que dejó el intruso 2. Determinación de las actividades que realizó el intruso. 3. Detección de rastros de pruebas 4 días antes. 4. Determinación de pruebas que podrían indicar el perfil del intruso. 5. Análisis de los sistemas de acceso remoto. 6. Evaluación de las computadoras personales de los potenciales sospechosos.

16 16 Jornadas de Seguridad Informática CASO 1: Denegación de servicio Metodología de Investigación: 7. En el equipo de José se detectaron varios elementos (repetición del patrón de comportamiento del intruso por la forma en que ejecutaba los comandos). 8. Se detectó que otra computadora que contenía evidencia y se encontraba al lado del equipo de José misteriosamente fue formateada y re-instalada dos días después del incidente y en la misma se detectó el patrón de comportamiento del intruso.

17 17 Jornadas de Seguridad Informática CASO 1: Denegación de servicio Resultados obtenidos : Se logró detectar la intrusión y se volvió la operación normal en el plazo inmediato. De acuerdo a las características detectadas del patrón de comportamiento, información encontrada, re-instalación de un equipo, conocimiento de las claves de acceso necesarias, existe una gran probabilidad de que el intruso fuera José.

18 18 Jornadas de Seguridad Informática CASO 2: Extorsión Descripción del incidente: Un intruso extorsionaba a una Empresa exigiendo dinero a cambio de no hacer circular entre los Clientes de la misma información confidencial que había obtenido. El intruso se comunicaba a través de mensajes de correo electrónico y en dos oportunidades envió dos documentos de Word escritos por el.

19 19 Jornadas de Seguridad Informática CASO 2: Extorsión Metodología de Investigación: 1. Se investigaron los mensajes de correo electrónico enviados por el intruso y se determinaron que venían de Locutorios y/o Cybercafes. 2. En dos oportunidades el intruso realizó envíos de mensajes de correo electrónico conteniendo documentos de Word. 3. Se analizaron los documentos de Word con herramientas para análisis a nivel binario y se obtuvo información sobre nombres de archivos internos, fechas de creación, unidades donde fue copiado (aparecía una unidad A:) y aparecía el directorio donde fue almacenado.

20 20 Jornadas de Seguridad Informática CASO 2: Extorsión Metodología de Investigación: 4. El usuario que aparecía como Autor del documento en el análisis era x y la Organización x, eso implicaba que el archivo fue generado con un Microsoft Word registrado a ese nombre. 5. Se analizó el nombre del directorio y apareció lo siguiente: C:\Documents and Settings\oalvarez\Mis documentos\ 6. Una de las personas que habían desvinculado de mala manera unos meses antes era Omar Alvarez.

21 21 Jornadas de Seguridad Informática CASO 2: Extorsión Resultados obtenidos: Se logró determinar que el intruso fue Omar Alvarez, ya que escribió los documentos con su computadora personal.

22 22 Jornadas de Seguridad Informática CASO 3: Modificación de información Descripción del incidente: Un intruso ingresó en la Base de Datos de personal y ejecutó un script SQL que aumentó el sueldo en un 70% a todo el personal el día 26 de julio de Un día después, el sistema de liquidación generó los pagos causando graves problemas a la Organización. Se comenzó la investigación analizando el Servidor de Producción de Personal.

23 23 Jornadas de Seguridad Informática CASO 3: Modificación de información Metodología de Investigación: 1. Análisis del Servidor UNIX de Producción que contiene la Base de Datos. 2. Detección en el directorio principal del usuario Maria lo que parecía ser el script SQL que se había ejecutado. 3. Restricción de las PCs de los usuarios que accedieron en ese momento. 4. Evaluación de 9 PCs de los usuarios buscando archivos creados, modificados y accedidos el día del incidente.

24 24 Jornadas de Seguridad Informática CASO 3: Modificación de información Metodología de Investigación: 5. Se detectó un solo equipo que tenía archivos relevantes, el del usuario Pedro. Se detectó dentro del directorio C:\temp, un archivo que contenía parte del script detectado en el directorio del usuario Maria. Ese archivo fue generado por la herramienta SQLPlus. 6. Se analizaron las conexiones al Servidor UNIX de Producción el día del incidente y se detectó que el usuario Maria había entrado desde el Servidor de Desarrollo y tuvo una sesión abierta de 3 horas. 7. Se investigó el Servidor de Desarrollo y se detectó que unos minutos antes de conectarse el usuario Maria al UNIX de Producción, el usuario Pedro había entrado a Desarrollo desde su PC.

25 25 Jornadas de Seguridad Informática CASO 3: Modificación de información Metodología de Investigación: - Se buscó los registros de la cámara de vigilancia de la entrada del edificio y Maria se había retirado 1 hora antes del incidente. PC Maria PC Pedro - Parte del script en un archivo temporal del SQLPlus. Servidor BD Producción - Script en directorio Maria Servidor BD Desarrollo 1. Entra como Pedro 2. Entra como María 3. Ejecuta el Script

26 26 Jornadas de Seguridad Informática CASO 3: Modificación de información Resultados obtenidos: Se determinó que el intruso fue Pedro y que trato de incriminar al usuario Maria.

27 27 Jornadas de Seguridad Informática Conociendo al enemigo

28 28 Jornadas de Seguridad Informática ¿De quiénes nos protegemos...? - Intrusos informáticos. - Extorsionadores. - Espías Industriales. - Usuarios del sistema. - Ex-empleados. - Crackers. - Veinte millones de adolescentes.

29 29 Jornadas de Seguridad Informática ¿De qué nos protegemos...? Objetivos de los intrusos sobre un Sistema Informático - Robo de información confidencial. - Fraude financiero. - Daño a la imagen. - Modificación de archivos. - Indisponibilidad de servicios críticos. - Destrucción del Sistema Informático. - Sabotaje Corporativo.

30 30 Jornadas de Seguridad Informática % 60%30%25% 20%EXTERNOS 30% 40%70%75% 80%INTERNOS Origen de los Ataques Origen de los Ataques

31 31 Jornadas de Seguridad Informática Metodología de un ataque Los ataques pueden ser Externos o Internos Los ataques externos son más fáciles de detectar y repeler que los ataques internos. El atacante interno ya tiene acceso a la red interna o incluso al mismo Server que quiere atacar. Servers Internos Intruso Interno Intruso Externo Barreras

32 32 Jornadas de Seguridad Informática Ingeniería Social

33 33 Jornadas de Seguridad Informática Ingeniería Social Ingeniería Social La ingeniería social consiste en la manipulación de las personas para que voluntariamente realicen actos que normalmente no harían. Un intruso normalmente utiliza esta técnica con el fin de conseguir información (usuarios y claves de acceso) para ingresar a un sistema de una Empresa.

34 34 Jornadas de Seguridad Informática Formas de Ingeniería Social Formas de Ingeniería Social Existen tres grandes formas de ingeniería social: La más común es la telefónica, donde el intruso tratará de obtener información a través de un llamado. Otra forma es la del , donde nos pedirán información vía un mensaje de correo electrónico y finalmente la personal, donde el intruso se hace presente de forma física y pide información.

35 35 Jornadas de Seguridad Informática Situación en la Empresa ACME Situación en la Empresa ACME Se realizó una Prueba de Ingeniería Social sobre los siguientes objetivos: Planta ACME1.Site Central. Planta ACME2.Sucursal 1. Para la muestra se tomaron 43 casos. El resultado fue que 39 personas brindaron información crítica (usuarios y claves de acceso).

36 36 Jornadas de Seguridad Informática Situación en la Empresa ACME Situación en la Empresa ACME El 90% del personal entregó información crítica. Tres personas además entregaron información crítica de otros empleados. No hubo ningún tipo de alertas o avisos al área de Sistemas durante, antes o después de la Prueba. Las claves de acceso utilizadas son triviales.

37 37 Jornadas de Seguridad Informática Estrategias de Defensa ante Ataques de Ingeniería Social Educación y concientización. Políticas de Seguridad Informática. Sanciones duras y concretas.

38 38 Jornadas de Seguridad Informática Medidas de Protección

39 39 Jornadas de Seguridad Informática Firewalls Firewalls Un sistema que permite cumplir con una política de acceso. Se utiliza para proteger una red de computadoras segura conectada a una red insegura (Internet). Firewall Red Interna INTERNET

40 40 Jornadas de Seguridad Informática Sistemas de detección de intrusiones Sistemas de detección de intrusiones - Un sistema que intenta detectar cuando un intruso trata de ingresar en forma no autorizada o trata de realizar una acción peligrosa. - Los IDS funcionan las 24 horas, los 365 días del año. - Detectan intrusiones en tiempo real tomando acciones pre- establecidas.

41 41 Jornadas de Seguridad Informática Sistemas de detección de intrusiones Sistemas de detección de intrusiones IDS de Red - Analizar el tráfico de una red. - Deben poder visualizar el tráfico a monitorear. - Se basan en firmas de ataques pre-establecidas que se actualizan. - Los más utilizados son: SNORT, RealSecure, NFR y el IDS de CISCO.

42 42 Jornadas de Seguridad Informática Sistemas de detección de intrusiones Sistemas de detección de intrusiones IDS de Host - Analizar el comportamiento del equipo sobre el cual se encuentran instalados. - Evalúan procesos, conexiones de red, analizan logs, etc. - Se basan en firmas de ataques pre-establecidas que se actualizan. - Los más utilizados son: RealSecure y NetIQ Vigilent.

43 43 Jornadas de Seguridad Informática Sistemas de Prevención de Intrusiones (IPS) Sistemas de Prevención de Intrusiones (IPS) Los IPS actualmente se utilizan en los enlaces WAN para frenar los worms internos o en la conexión con Internet. Depende la ubicación, necesitan un tunning muy avanzado para ser altamente efectivos. Se basan en los IDS, pero bloquean el tráfico considerado intrusivo. Requiere de un Administrador con conocimientos avanzados.

44 44 Jornadas de Seguridad Informática Seguridad en redes inalámbricas Seguridad en redes inalámbricas - Implementar aspectos de seguridad de la tecnología. - No utilizar WEP Estático. - Utilizar WPA/WPA2. - La red Wireless debe ir a una DMZ.

45 45 Jornadas de Seguridad Informática Seguridad en aplicaciones WEB Las nuevas aplicaciones que se desarrollan son Web-enable. Esto permite a una organización desarrollar aplicaciones internas y que rápidamente puedan ser utilizadas en Extranet y/o Internet. Programación segura de aplicaciones web (impedir buffer- overflow, cross-site scripting, path transversal y sql injection, entre otras). - Medidas anti-phishing. - OWASP

46 46 Jornadas de Seguridad Informática Certificados digitales Elevan el nivel de seguridad en el Sistema Informático, ya que el Usuario sabe que opera en un Site seguro. Permiten autenticar personas y equipos informáticos. Permiten además activar la encriptación de la información que se transmite.

47 47 Jornadas de Seguridad Informática Encriptación de las comunicaciones Encriptación de las comunicaciones Las comunicaciones que se transmiten entre los Sistemas Informáticos deben ir encriptadas con algoritmos fuertes cuando los datos viajen por redes públicas no seguras. El protocolo de encriptación más utilizando para el Comercio SSL Electrónico es el SSL, que es muy fuerte y se encuentra presente en la mayoría de los Browsers. Otros protocolos utilizados son: AES y 3DES.

48 48 Jornadas de Seguridad Informática Filtrado de redes a través de VLANs Filtrado de redes a través de VLANs En redes internas, se deben utilizar las VLANs (Virtual LANs) para separar lógicamente las redes e implementar mecanismos de filtrado de seguridad entre las distintas VLANS con ACLs. En una red interna se utiliza para separar las redes de Servidores y Estaciones de Trabajo.

49 49 Jornadas de Seguridad Informática VPN - Virtual Private Networks Una VPN utiliza mecanismos de tunneling, encriptación, autenticación y control de acceso para conectar usuarios o Empresas a través de redes públicas como Internet. Interconexión de un usuario

50 50 Jornadas de Seguridad Informática VPN - Virtual Private Networks VPN - Virtual Private Networks También se utiliza para interconectar dos sucursales de una Empresa a través de redes públicas como Internet.

51 51 Jornadas de Seguridad Informática Mantenimiento de la seguridad - La seguridad informática es DINÁMICA y por eso requiere indefectiblemente de un mantenimiento permanente. - Establecimiento de una Política de Mantenimiento de la Seguridad en los sistemas informáticos (Dispositivos, Servidores, Estaciones de Trabajo y Aplicaciones), que incluya: Corrección de Vulnerabilidades. Aplicación de Patches de Seguridad. Monitoreo de LOGS.

52 52 Jornadas de Seguridad Informática Proyectos informáticos en un entorno seguro La tendencia es incorporar la seguridad informática desde el nacimiento del proyecto. - Lineamientos de seguridad. - Desarrollo de aplicaciones. - Instalación y configuración. - Prueba pre-producción. - Mantenimiento y soporte técnico.

53 53 Jornadas de Seguridad Informática Anti-virus/spyware/spam Anti-virus/spyware/spam - Apoyarse en herramientas conocidas - Problemática de los Anti-virus (Actualización – Distribución – Monitoreo centralizado). - Problemática de los anti-spyware (Actualización – Distribución – Monitoreo centralizado). - Problemática de los Anti-spam (Metodología de filtrado – Mensajes en cuarentena – Filtros avanzados).

54 54 Jornadas de Seguridad Informática No dejar información sensible sobre el escritorio, cajones, post-it, etc. Bloquear siempre la estación de trabajo antes de alejarse de la misma. Respetar las normas de seguridad definidas. Asegurar las notebooks y encriptar la información sensible. No abrir mensajes de correo no confiables, no esperados, o de remitentes desconocidos. No utilizar contraseñas triviales. Pensar que escribir o no en un mail o en papel. Prevención a nivel Personal

55 55 Jornadas de Seguridad Informática No acceder a sitios web no confiables. Destruir documentos importantes, antes de desecharlos. Guardar información sensible bajo llave. No divulgar a nadie datos sensibles como nombres de usuario, contraseñas, etc. Reportar toda actividad sospechosa a la mesa de ayuda. Prevención a nivel Personal

56 56 Jornadas de Seguridad Informática Seguridad de la red de la Gobernación de Santa Cruz

57 57 Jornadas de Seguridad Informática Proyecto de asegurar la red de la Gobernación de Santa Cruz. Etapas: 1. Análisis de la situación actual 2. Diseño 3. Implementación de soluciones Seguridad de la Red

58 58 Jornadas de Seguridad Informática Topología de la red propuesta - Capa Internet - Capa Servidores - Capa Interna

59 59 Jornadas de Seguridad Informática Capa de Internet

60 60 Jornadas de Seguridad Informática Capa de Servidores, Testing y enlaces

61 61 Jornadas de Seguridad Informática Capa interna

62 62 Jornadas de Seguridad Informática Estrategias de Gestión de la SI - Establecer una gestión centralizada de la Seguridad Informática. - Establecer un organigrama formal para la gestión de la Seguridad Informática que cubra las responsabilidades necesarias. - Formar un staff de personal idóneo, capacitado y correctamente dimensionado para las tareas de seguridad.

63 63 Jornadas de Seguridad Informática Estrategias de Gestión de la SI - Hosting centralizado de servidores, aplicaciones y conexión a Internet. - Data Center Provincial. - Clasificación de Organismos y Dependencias conectados a la red provincial y gestión de seguridad.

64 64 Jornadas de Seguridad Informática Recomendaciones Tecnológicas Autenticación centralizada Se recomienda converger hacia un esquema de autenticación centralizada para optimizar la seguridad y la facilidad de administración de accesos en los sistemas internos. Se recomienda implementar soluciones Active Directory o LDAP y adaptar la mayor cantidad de sistemas para que autentiquen usuarios contra estos. Hoy en día existe una gran interoperabilidad entre diferentes plataformas para este tipo de soluciones.

65 65 Jornadas de Seguridad Informática Recomendaciones Tecnológicas Sistemas operativos modernos Se recomienda utilizar versiones de sistemas operativos modernos y con soporte por parte del Proveedor. Windows NT 4.0 ya no se encuentra más soportado por MS.

66 66 Jornadas de Seguridad Informática Recomendaciones Tecnológicas Acceso a Internet y navegación controlada Se recomienda la implementación de un único Proxy de navegación web y salida de otros protocolos. La solución ideal sería ubicar un Proxy que realice autenticación de usuarios, filtro de contenido, cache y logging. Se recomienda para mejorar la gestión del filtro de contenidos y protocolos organizar diferentes perfiles de usuarios.

67 67 Jornadas de Seguridad Informática Recomendaciones Tecnológicas Administración de parches Se recomienda actualizar periódicamente los parches de seguridad de todos los sistemas. También se recomienda utilizar servidores de prueba para testear la confiabilidad de los parches antes de implementarlos en el entorno de producción.

68 68 Jornadas de Seguridad Informática Recomendaciones Tecnológicas Protocolos encriptados Se recomienda la no utilización de protocolos que no implementan encriptación para la comunicación de pares de usuario/password. Algunos de los protocolos vulnerables son: Telnet, FTP, HTTP, SMTP y POP. Actualmente existen alternativas seguras para cualquier plataforma. Por ejemplo: SSH, SFTP,HTTPS, S/SMTP, IMAP, SSL, entre otros.

69 ¿Preguntas? Lic. Julio C. Ardita CYBSEC S.A. Security Systems

70 Gracias por acompañarnos Lic. Julio C. Ardita CYBSEC S.A. Security Systems


Descargar ppt "Jornadas de Seguridad Informática Lic. Julio C. Ardita CYBSEC S.A. Security Systems Río Gallegos – Santa Cruz Argentina."

Presentaciones similares


Anuncios Google