La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security Security.

Presentaciones similares


Presentación del tema: "Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security Security."— Transcripción de la presentación:

1 Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security Security Consultant Microsoft Security Center of Excellence, SCoE

2 Agenda Conceptos básicos de seguridad Triada de Seguridad CIA Seguridad en Aplicaciones: Más que un problema Tecnológico Componentes básicos para de Seguridad Arquitectura Administración de Riesgo Defensa en profundidad Seguridad en Aplicaciones Modelo de Amenazas (Threat Modeling) y STRIDE Herramientas: FXCop Caso de Estudio DJ Hell Defacement

3 Triada de Seguridad CID Confidencialidad Integridad Disponibilidad Seguridad Confidencialidad IntegridadDisponibilidad

4 Seguridad de Aplicaciones: Más que un problema Tecnológico Procesos Operaciones Tecnologías

5 Modelo de Infraestructura Tecnológico y WSSRA

6 El Problema Tecnológico Crecimiento informal Administración lenta y Compleja de los componentes

7 Ambiente de Infraestructura

8 Arquitectura de Referencia

9 Zonas de Seguridad

10 Segmentación de Redes

11 Almacenamiento

12 Componentes básicos de Servicios de Red

13 Servicios de Aplicación

14 Servicios de Administración

15 Servicios Públicos y Clientes

16 Análisis de Riesgo

17 Administración de Riesgos y soporte para decisiones Riesgo NO Aceptable Riesgo Aceptable El equipo de Seguridad de información define la probabilidad Ejecución de la vulnerabilidad Impacto al negocio BajoAlto Alto El equipo de negocios define el impacto La administración de riesgo define un nivel aceptable del mismo

18 Ambiente de Seguridad Ambiente Dispositivos Clientes Servidores FísicoRedServidor AppsDatos Defensa en profundidad Amenazas de Seguridad de TI Amenazas

19 Análisis de Riesgo Ambiente de Seguridad Seguridad Dispositivos Clientes Servidores FísicoRedServidor Apps Datos Defensa en Profundidad Evaluación de riesgo en cada capa Evaluación de riesgo en cada capa Mejor visión de la situación actual Mejor visión de la situación actual Cada sección tiene una clasificación de riesgo y un plan de mitigación Cada sección tiene una clasificación de riesgo y un plan de mitigación No Aceptable Control en Progreso Aceptable

20 Resultado de Análisis de Riesgo Ambiente de Seguridad Seguridad Dispositivos Clientes Servidores FísicoRedServidor Apps Datos Defensa en Profundidad

21 Ambiente de Seguridad Seguridad Dispositivos Clientes Servidores FísicoRedservidor Apps Datos Defensa en Profundidad Implementación de Soluciones Solución

22 Plan de Evaluación de Resultados Ambiente de Seguridad Seguridad Dispositivos Clientes Servidores FísicaRedServidor Apps Datos Defensa en Profundidad

23

24 Medidas de control segmentadas en capas de protección Aplica medidas de control en cada capa de cada componente que interactúa en una solución, desde la capa de perímetro hasta la capa de datos Reduce la posibilidad de un único punto de vulnerabilidades cuando el sistema es atacado Reducción del riesgo por: Análisis de vulnerabilidades presentes en los sistemas Análisis de amenazas presentes que pueden tomar ventaja de esas vulnerabilidades Implementación de los medidas de control apropiadas en cada capa

25 Defensa en Profundidad Políticas, procedimientos, Concientización Seguridad Física Perímetro Red Servidor Aplicación Datos

26 Como minimizar la superficie de ataque? Aseguramiento del SO, Autenticación, Actualizaciones de OS, Detector de Intrusos local Muros de fuego, Control de acceso de Cuarentena Guardas, Cerrojos, Dispositivos de monitoreo Segmentación de Red, IPSec, Detector de Intrusos dered Aseguramiento de App, Antivirus Listas de Acceso, Encriptación, EFS Documentación de Seguridad, Educación al Usuario Políticas, Procedimientos, Concientización Seguridad Física Perímetro Red Interna Servidor Aplicación Datos

27 Seguridad en aplicaciones

28 Amenazas de Seguridad más comunes

29 Vulnerabilidades por Años Data Source: Secunia (

30 Seguridad en la arquitectura Seguridad en el modelo de desarrollo Estrategia SD 3 Seguridad en el diseño por capas Holística de la seguridad Seguridad en el modelo de desarrollo Estrategia SD 3 Seguridad en el diseño por capas Holística de la seguridad

31 Seguridad en el modelo de desarrollo Planes de pruebas completados Diseñoscompletados Concepto Códigocompletado Entrega Después de la entrega Security push Preguntas durante las entrevistas Determinar los criterios de validación de la seguridad Revisión externa Analizar amenazas Aprender y refinar Revisión del equipo de seguridad Entrenar a los miembros del equipo Pruebas de mutación de datos y mínimos privilegios Revisar defectos anteriores, comprobar registros directrices de programación segura, usar herramientas =continuo

32 Modelo de análisis de Riesgos Entender las amenazas hacia las aplicaciones/sistema Uso de modelo de riesgo para identificar riesgos Diferente a la fase de pruebas y servicios Consideraciones de diseño de alto nivel Permite una mitigación proactiva de la mitigación de amenazas

33 Proceso para el Modelo de analisis de riesgo Crear un modelo de la aplicación (UML, DFD, etc.) Utilizar STRIDE para categorizar los tipos de amenazas Para cada destino de ataque S poofing, T ampering, R epudiation, I nformation disclosure, D oS, E levation of privilege Construcción de un arbol de amenazas Categorizar las amenazas con DREAD D amage potential, R eproducibility, E xploitability, A ffected users, D iscoverability

34 Árbol de Amenazas

35 Para cada proceso en el Modelo Es el proceso susceptible a spoofing? Puede ser el proceso alterado? Existe la posibilidad de manejar no repudio en la aplicación? Pueden un ataque resultar en la vista no autorizada de los datos? Puede un ataque de DoS deshabilitar el proceso? Puede ser ejecutado la elevación de privilegios si un proceso ha sido atacado?

36 Aplicando STRIDE Procesos Afectados Afecta datos almacenados Afecta en interacció n Afecta el flujo de datos S T R I D E

37 Mitigación de Amenazas Técnicas de Mitigación S Autenticación, Almacenamiento de credenciales seguras T Autorización, firmas digitales R Autenticación, autorización, firmas digitales, bitácoras I Autorización, Encriptación D Filtrado, Autenticación, Autorización E No utilizar identidades las cuales tienen altos niveles de privilegios

38 Priorización de Amenazas Utilización del modelo de análisis de riesgo (DREAD) para asignar las prioridades a las áreas mas criticas basado en sus amenazas Priorizar mitigaciones de seguridad Priorizar revisiones periódicas Estrategias de reutilización

39 Pruebas de los planes de mitigación a amenazas Necesidad plan de prueba para cada amenaza Pruebas básicas de acceso y funcionalidad Pruebas intrusivas El modelo de amenazas dirige el plan de pruebas Proceso de fin a fin

40 Probando el plan de mitigación de amenazas S poofing Autenticación Intento de cracking, replay, ver datos en la red física Almacenamiento seguro de las credenciales Intentar compromiso de acceso a información T ampering Intentar ingresar sin autenticacion Intentar de invalidar/modificar hashes firmas

41 Probando el plan de mitigación de amenazas R epudiation Intentar de eludir la autenticación/autorización Intentar Evitar firmas Intento de evitar bitácoras, o bien escribir bitácoras falsas I nformation Disclosure Intento de acceso a información no autorizada Intentar de ver el dato en la red ( eavesdropping ) Eliminar un proceso, mirar datos sensitivos Intento de causar errores de condición, mirar las bitácoras

42 Pruebas de mitigación de amenaza D enial of Service Filtrado Envío de datos mal formados Consumo de recursos E levation of Privilege No poseer acceso a procesos ejecutándose con altos privilegios

43 Desarrollo de objetivos de seguridad Elevar el nivel de seguridad de la aplicación Identificar cuando y como se requiere autenticación o autorización Identificar donde y como usted necesita para asegurar la comunicación de ambos para su aplicación (desde usuarios finales) y entre aplicaciones de terceros Identificar dificultadas comunes y como evitarlas Identificar riesgos principales y su mitigación relacionada a la autenticación y a la autorización Evitar minimizar la seguridad de hacer cosas para trabajar Identificar no solamente como y donde, pero también cuando usar varias características de seguridad Eliminar el miedo, duda e incertidumbre Promover mejores practicas y obtener resultados predecibles

44 Desarrollo de Principios básicos de Seguridad Adoptar el principio del mínimo privilegio Utilizar defensa en profundidad No confiar en el ingreso de datos de los usuarios Utilice siempre la seguridad como base de todo proceso de configuración inicial No confiar en la seguridad por oscuridad Reducir la superficie de ataque SI existe una falla que se redirija a un modo seguro

45 Ataque de DJ Hell

46 Defensas de Perímetro Policies, Procedures, and Awareness Physical Security Perimeter Internal Network Host Application Data

47 Defensas de Red Policies, Procedures, and Awareness Physical Security Perimeter Internal Network Host Application Data

48 Defensa de Host Policies, Procedures, and Awareness Physical Security Perimeter Internal Network Host Application Data

49 Defensa de Aplicación Policies, Procedures, and Awareness Physical Security Perimeter Internal Network Host Application Data

50 Defensa de Datos Policies, Procedures, and Awareness Physical Security Perimeter Internal Network Host Application Data

51 Ataque de Sitio Web: DJ Hell Compromiso de sitio web Problemas en algunas capas de Seguridad Los servidores web no estaban debidamente actualizado (parches) Claves de administrador no actualizadas Métodos de acceso: Capa de Aplicación 1 aplicación de consulta no utilizaba estándar de autenticación para consulta de datos. Capa de Datos Concepto de mínimo privilegio no utilizado SysAdmin

52 INTENTO ACCESO :40:24 SERVERIP GET /msib21/APPHACKED/Capitulo.asp cod=02update%20IS_AREST%20set%20EST_Descripcion%20=%20%27Hacked%20By%20DjHell %27-- |32|80040e14|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]Line_1:_Incorrect_syntax_near_ 'Hacked'. 80 – IPATTACKER libwww-perl/ INTENTO ACCESO :40:24 SERVERIP GET /msib21/APPHACKED/Capitulo.asp cod=02update%20IS_AREST%20set%20EST_Descripcion%20=%20%27Hacked%20By%20DjHell %27-- |32|80040e14|[Microsoft][ODBC_SQL_Server_Driver][SQL_Server]Line_1:_Incorrect_syntax_near_ 'Hacked'. 80 – IPATTACKER libwww-perl/ MODIFICACION DE CODIGO : :37:25 SERVERIP GET /msib21/APPHACKED/NotasCapitulo.asp cod=01update%20IS_AREST%20set%20EST_Descripcion%20=%20%27Hacked%20By%20DjHell % SERVERIP libwww-perl/ :25 SERVERIP GET /msib21/APPHACKED/NotasCapitulo.asp cod=01update%20IS_AREST%20set%20EST_Descripcion%20=%20%27Hacked%20By%20DjHell % libwww-perl/ MODIFICACION DE CODIGO : :37:25 SERVERIP GET /msib21/APPHACKED/NotasCapitulo.asp cod=01update%20IS_AREST%20set%20EST_Descripcion%20=%20%27Hacked%20By%20DjHell % SERVERIP libwww-perl/ :25 SERVERIP GET /msib21/APPHACKED/NotasCapitulo.asp cod=01update%20IS_AREST%20set%20EST_Descripcion%20=%20%27Hacked%20By%20DjHell % libwww-perl/ SQL Code Injection Ataque de Sitio Web: DJ Hell

53 Code Review of ASP pages from customer's server: ========================================= line 7 of /_Conexi.asp: conn.Open = "DSN=APPHACKED;UID=adminAPP;PWD=XXXXX" line 2 of /NotasCapitulo.asp line 11 of /Capitulo.asp sql = "select EST_DATA1, EST_Notas from IS_AREST where EST_DATA = " & cod Line 11 allows for SQL Injection...making the following request will cause the exact same behavior the customer originally reported: UPDATE IS_AREST SET EST_Descripcion = 'Hacked By SQLInjection' Code Review of ASP pages from customer's server: ========================================= line 7 of /_Conexi.asp: conn.Open = "DSN=APPHACKED;UID=adminAPP;PWD=XXXXX" line 2 of /NotasCapitulo.asp line 11 of /Capitulo.asp sql = "select EST_DATA1, EST_Notas from IS_AREST where EST_DATA = " & cod Line 11 allows for SQL Injection...making the following request will cause the exact same behavior the customer originally reported: UPDATE IS_AREST SET EST_Descripcion = 'Hacked By SQLInjection' SQL Code Injection Ataque de Sitio Web: DJ Hell

54 Herramienta FXCop

55 FXCop Herramienta FXCop Diseño de librerías Localización Convención de Nombres Desempeño Seguridad

56 Referencias Herramienta FXCop Modelo de an á lisis de Amenazas (Threat Modeling) ault.aspx ault.aspx Pagina General de Seguridad Sitio para Seguridad de desarrollo Sitio de seguridad de MSDN para desarrolladores Guías de mejores practicas Gu í as Patterns & Practices Ejemplos de programaci ó n seguro Writing Secure Code, 2nd edition Howard, Leblanc. MS Press, 2003

57 © 2003 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. MICROSOFT MAKES NO WARRANTIES, EXPRESS OR IMPLIED, IN THIS SUMMARY.


Descargar ppt "Implementación de Sistemas de Información Seguros Cristian Mora Aguilar, CISSP, CISM, MCSE+Security Security."

Presentaciones similares


Anuncios Google