Gestión de Identidad y Acceso de Usuarios: Por qué el hacker NO es su peor enemigo

Resumen Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados son responsables de la mayor parte de violaciones de seguridad de la red. Mientras muchos adminstradores de sistemas se preocupan de hackers foráneos, los usuarios internos constituyen la verdadera amenaza de la que debieran preocuparse. Permisos de acceso inapropiados y la falta de una arquitectura de gestión de identidad crean un ambiente donde el hacker no es tema, pero los usuarios internos tienen acceso ilimitado. El propósito de esta presentación es mostar: - Cuál es la percepción de la seguridad en la economía interconectada de hoy; - Cómo identificar soluciones tecnológicas para proteger a su empresa y salvaguardar información de personas, tanto dentro como fuera de la red, y mantener un ambiente laboral abierto.

Agenda Revisaremos los siguientes temas: El ambiente actual de seguridad informática Identificar las causas de los riesgos reales de seguridad de información Olvidar a Kevin Mitnick y darse cuenta del problema real de abuso interno de los sistemas

Puntos Clave a Recordar La seguridad no es software o hardware, sino personas, políticas y procesos. Aunque la mayoría de los ataques proviene del exterior, los más dañinos se originan dentro de la organización.

El Estado Actual de la Seguridad Informática Empresarial

La Tecnología Cambió Conocemos los riesgos, hemos visto los gráficos y estadísticas Encuestas y estudios CSI, Gartner, E&Y, PwC, Information Week, US GAO, etc. reafirman la conclusión que las amenazas están aumentando, y los ataques vienen de adentro. Internet ha transformado la infraestructura de las TI La gran mayoría de las empresas cuentan con algún tipo de conexión pública externa La conectividad a través de Internet, intranets, extranets, WAN y VPN ofrecen múltiples beneficios, pero también conllevan riesgos de seguridad El lenguaje de Internet es TCP/IP. Pero la seguridad no fue incorporada a TCP/IP hasta la versión 6 <1998> Considerando que más del 95% de Internet usa TCP/IP v4, fue construido con y corre sobre una infraestructura insegura

El Ambiente Actual de Seguridad Informática Las redes corporativas son complejas en extremo, y continúan creciendo en complejidad. Consideremos un departamento informático típico y sumemos sus: Proveedores de hardware Topologías y protocolos de red Sistemas operativos; Bases de datos y software estándar Aplicaciones desarrolladas a medida Empleados, consultores, contratistas y socios de negocio Tratemos de integrarlas en forma segura Si la seguridad no fue considerada en la arquitectura original del sistema, ¿cómo esperamos que la seguridad informática sea efectiva? Se está invertiendo más en seguridad de sistemas informáticos Pero los sistemas se tornan más complejos, y los sistemas complejos son mucho más difíciles de asegurar.

La Realidad Todas las redes corporativas tienen firewalls Algunos firewalls son poco más que un mecanismo para frenar el desempeño de la red Los cortafuegos son una efectiva herramienta de seguridad alrededor del perímetro de la red – pero qué pasa con el tráfico dentro de la red, cómo se protege? El daño significativo es ocasionado por usuarios con acceso a la red Los externos haquean páginas web y causan daño vandálico; los internos: Roban secretos industriales, venden información confidencial, I+D, adquisiciones, info de recursos humanos y demás propiedad intelectual Cuentan con el tiempo y confianza interna para acceder y revisar sistemas

Abuso de Usuarios Internos La distribución incontrolada de información, combinado con una infraestructura que permite el acceso no gestionado a la información creo múltiples oportunidades para abuso A veces es más fácil transferir múltiples gigas de información de una red corporativa que obtener un nuevo cartucho de toner para la impresora La mayoría de los ataques a las redes vienen de afuera Pero los más dañinos son originados de adentro

Tim Lloyd/Omega Engineering Historias de Horror Tim Lloyd/Omega Engineering Borró decenas de megabytes de información de producción, ingeniería y manufactura Hasta el día de hoy, Omega aún no se ha recuperado de este incidente ocurrido en 1996 Lecciones aprendidas: Falta de controles y chequeos, separación de roles, manejo inadecuado de empleado deshonesto. NetSupport Gerente de ventas ofreció vender la lista de clientes a dos competidores de la empresa Lecciones aprendidas : Control de acceso, monitoreo de acciones de empleados Robert Hanssen/FBI Vendió documentos clasificados, detalles sobre fuentes de inteligencia americana y operaciones de espionaje electrónico por $1,5 millones Lecciones aprendidas : Falta de controles y chequeos, separación de roles. La gerencia del FBI no consideró una amenaza interna hasta que ya se había causado daño importante.

Historias de Horror Milo Nimori Director de Seguridad del Barnes Bank of Utah Miembro del comité de seguridad de la Asociación de Banqueros de Utah Asaltó numerosos bancos en Salt Lake City

Como olvidar a Kevin Mitnick o Dejemos de Vivir en el Pasado

Por 10 puntos, ¿quién es Kevin Mitnick? Control de Seguridad #1 Por un punto, ¿cuál es el origen del nombre Giga (Giga Information Group)? Gideon Gartner Por 10 puntos, ¿quién es Kevin Mitnick? Criminal computacional, famoso hacker Por 100 puntos, nombre un producto de Checkpoint Systems Checkpoint Systems fabrica productos de protección y seguimiento para la industria retail. www.checkpointsystems.com NYSE: CKP Check Point Software Technologies es una empresa de software de seguridad Internet. www.checkpointsystems.com NASDAQ: CHKP

Control de Seguridad #2 Por 1000 puntos, ¿quiénes son las personas en su organización que representan una amenaza directa a la seguridad, tecnología, relaciones públicas, productividad y utilidades de su empresa? Si no sabe, o no tiene un perfil del tipo de estos usuarios, está garantizado que su empresa será víctima de algún tipo de crimen informático

La Obsesión con el Hacker Los medios, e incluso muchos profesionales de seguridad, están obsesionados con el trístemente célebre hacker Kevin Mitnick. Pero mientras las empresas y los medios están ocupados preocupándose por casos como Mitnick, se vuelven complacientes respecto a la verdadera amenaza a la seguridad de la información: los usuarios internos Si bien genera más empatía y autoestima pensar en hackers en países lejanos accesando nuestros sistemas en la mitad de la noche, la realidad es que la mayor parte de los compromisos a la información son causados por usuarios internos durante el horario hábil de trabajo.

La Obsesión con el Hacker Los medios dan una vitrina desmedida a los incidentes de seguridad Piensan que los hackers son todos genios La mayoría sabe ejecutar scripts y son genios en bajar cosas de la red Ignoran los verdaderos problemas y se concentran en lo glamoroso que genera ratings y vende diarios Fue el New York Times que hizo de Kevin Mitnick un hacker célebre Hackers no han causado la muerte de ninguna empresa; los ataques de usuarios internos en cambio sí

Abuso Interno

Abuso Interno Uno no puede pensar que las amenazas del mundo físico no se traspasan al mundo digital El robo es un problema gigantesco en la industria del retail Un problema aún más grande es el hurto por parte de empleados El espionaje corporativo es un tremendo problema en las industrias farmacéuticas y de manufactura Un problema mayor es el uso indebido de información propietaria por parte de empleados Tras cada caso de espionaje corporativo hay abuso interno Como promedio, el usario autorizado a la red puede acceder 20 – 50 veces más recursos de los que requieren para ejecutar su labor. Este nivel de acceso abierto a las redes, combinado con seguridad no (o mal) implementada, es la razón por la cual usuarios internos son responsables por la mayoría de incidentes de seguridad en la red

Abuso Interno El 70 % de los incidentes de seguridad que arrojan pérdidas a la empresa (en contraste a aquellos que “sólo” son molestos) involucran a usuarios internos. Las empresas deben encontrar el punto de equilibrio entre acceso interno libre y una seguridad asfixiante que perjudica el negocio. Este equilibrio se puede lograr implementando políticas basadas en “necesidad de saber”. Arquitecturas centralizadas de gestión de acceso deben ser usadas para otorgar acceso a servidores y bases de datos sólo a aquellos empleados que lo requieren por motivos legítimos de trabajo. “Herramientas de auditoría y reporte deben ser usadas para revisar acciones de escalamiento de acceso” High – Profile Thefts Show Insiders Do the Most Damage, John Pescatore, Gartner “Montañas de dinero se gastan en corta-fuegos, software anti-virus y sistemas de detección de intrusos para detener los ataques en la puerta de entrada. Pero son los empleados de las empresas los que representan una amenaza mayor a las empresas, sus datos y bienes.” CSI: Examining threats from inside the firewall

Abuso Interno Lectura o copia no autorizada, divulgación de información sensitiva Ejecución de ataques de denegación de servicio Infección de virus, gusanos u otros programas malignos en sus sistemas Destrucción o corrupción de data (intencional o por error) Exposición de información sensitiva debido a mal etiquetado o manejo de impresiones

Todos estos temas deben ser manejandos proactivamente ¿Por Qué Ocurre Esto? Reducciones Corporativas/Downsizing “Ira del Ex –” es un tema candente para psicólogos industriales Sueldos estancados Promociones no recibidas Discriminación/abuso sexual o NSE ¿Qué ocurre cuando encuentran nuevo trabajo? ¿Qué pasa si el nuevo empleador es competencia? Todos estos temas deben ser manejandos proactivamente

El Foco El foco debe estar sobre las verdaderas amenazas: Prepararse para el 99% del lo real, y no el 1% de lo teórico Tomar decisiones racionales y prácticas No dejarse influenciar por reportes alarmistas

La mayoría de la gente no entiende la naturaleza del riesgo Análisis de Riesgo La mayoría de la gente no entiende la naturaleza del riesgo La seguridad informática funciona en un vacío si no cuenta con análisis de riesgo. Debe ser ejecutada en el contexto de gestión de riesgo No se puede eliminar el riesgo...sólo se gestiona. De la misma manera, no se puede eliminar el crimen, sólo se gestiona. Una evaluación y análisis de riesgo efectivas aseguran que estamos preocupados de los temas importantes Si bien la mayoría de las amenazas son internas, no olvidar que el personal interno es nuestro mayor aliado

Una estrategia efectiva de gestión de riesgo involucra dos fases: Gestión del Riesgo Una gestión efectiva de riesgo reduce el riesgo de abuso de sistemas y ayuda en detectar y documentar eventuales casos de fraude Una estrategia efectiva de gestión de riesgo involucra dos fases: Identificar y resolver debilidades de seguridad: Monitorear sistemas informáticos en busca de vulnerabilidades Desarrollar sistemas “duros” Implantar políticas de uso permitido Programa contínuos de capacitación Implantar resguardos o detectar ataques: Controles de Acceso (monitores de control de acceso, políticas de autorización, etc.) Filtros (firewalls, filtros web) Detección de mal uso (logs de auditoría, detección automática, monitoreo de sistemas, protecciones anti-virus y anti-spyware)

Comportamiento Humano Limitaciones Técnicas Gestión de seguridad Factores de Riesgo Comportamiento Humano Limitaciones Técnicas Gestión de seguridad Seguridad Informática aún se encuentra en pañales Falta de experiencia de mundo entre profesionales de seguridad informática

El Ser Humano como Factor de Riesgo Ingenuidad Chat Active X La Tecla Delete Windows Explorer Negligencia Errores involuntarios Ataques maliciosos de haqueo Venganza Riesgo de personas maltratadas Codicio Riesgo de aquellos de trabajan demasiado, reciben muy poco y en general sienten que merecen más

Factores Técnicos de Riesgo Bugs y puertas traseras Funcionalidad de seguridad insuficiente Seguridad física Cada sistema operativo en red: NetWare, Windows NT/2000/XP, Linux, y Unix; el cimiento de la arquitectura de seguridad debe ser el fierro

Factores de Riesgo en Gestión de Seguridad En general, las empresas adolecen de: Conocimiento y capacitación técnica Conocimiento y capacitación en seguridad Seguridad como fundamento Awareness Políticas y procedimientos Falta de tiempo y recursos apropiados Información Control y administración centralizados

Gestión de Identidad y Control de Acceso El pilar de la seguridad informática

El derecho de usar o acceder a un objeto en un sistema Control de Acceso El derecho de usar o acceder a un objeto en un sistema Necesitamos control de acceso por las mismas razones que tenemos candados y chapas en nuestras casas y autos El acceso a menudo se controla mediante un Access Control List (ACL), una tabla que indica al SO que derechos de acceso cada usuario tiene a un objeto determinado El ACL a menudo tiene diferentes implementaciones en cada SO El ACL contiene un registro por cada usuario del sistema, con los privilegios de acceso. Los privilegios más comunes son lectura de un archivo (o directorio), escritura de archivo, y ejecución de archivos. En general, el administrador del sistema o el dueño del objeto controlan el ACL del objeto.

Gestión de indentidad es una extensión de autenticación Gestión de Identidad Problema – Tantos sistemas y redes, con tantas cuentas de usuarios. Es imposible de controlar sin alguna herramienta de software Gestión de indentidad es una extensión de autenticación CA define la gestión de identidad como la administración de usuarios y su acceso seguro a los sistemas de la corporación Se logra a través de provisionamiento, SSO (Single Sign-on), autenticación y directorios Por ejemplo: eTrust Identity and Access Control Management Suite Otras soluciones: Netegrity, Oblix, Access360/Tivoli

Cambiar el Foco de Seguridad Informática al Interior de la Empresa

Foco Interno de Seguridad Informática Considerando todo los factores de riesgo mencionados, para que la seguridad informática sea efectiva debe tener la misma visibilidad y prioridad corporativa que políticas de acoso sexual Políticas de acoso sexual se definen como consecuencia del alto nivel de riesgo a la organización en caso de acción judicial No obsesionarse con hackers remotos, preocuparse de las amenazas locales Reconocer que la seguridad informática es un proceso No hay seguridad mágica

Políticas y procedimientos deben ser revisados y actualizados Controles Información confidencial debe ser identificada, priorizada y sus derechos de acceso controlados Políticas y procedimientos deben ser revisados y actualizados Tales controles deben ser implentados usando software adecuado Monitoreo en tiempo real y mecanismos de bloqueo Definición de política “tolerancia cero” y documentación de violaciones Apoyo de gerencia general, legal y teconología

Controles Exigir inducción en seguridad para nuevas contrataciones Establecer programa de alerta y vigilancia Verificación de antecedentes de empleados con acceso a información sensitiva Establecer mecanismo confiable para asignar acceso a información corporativa Determinar, basado en función laboral, quien requiere acceso a que recursos corporativos, y cual es la justificación de este acceso

Controles Exigir a empleados y contratistas firmar NDA en su fecha de contratación Sofware: HIDS, NIDS, Silent Runner Cuentas vencidas deben ser desactivadas y eliminadas Cuando empleados temporeros dejan la empresa, deshabilitar y eliminar sus cuentas de acceso en forma inmediata Como parte de la política de seguridad informática, dejar constancia que el uso de los sistemas y red corporativa son sujetos a monitoreo Nunca suponer que la información detrás del cortafuego está protegida

CERT Guide to System and Network Security Practices – Julia Allen Referencias Security Engineering: A Guide to Building Dependable Distributed Systems – Ross Anderson Secrets and Lies: Digital Security in a Networked World - Bruce Schneider CERT Guide to System and Network Security Practices – Julia Allen The Art of Deception: Controlling the Human Element of Security – Kevin Mitnick The Insider Threat to US Government Information Systems www.nstissc.gov/Assets/pdf/NSTISSAM_INFOSEC1 -99.pdf The Insider Threat – Terrance Roebuck http://abyss.usask.ca/~ roebuck/threats. HTML

Conclusiones y Soluciones

Conclusiones La gran mayoría del crimen informático se realiza por usuarios internos autorizados No se deje llevar por la fascinación mediática con los hackers y su “visión” de seguridad Conozca al enemigo, sus capacidades y debilidades La única manera de tener éxito es a través de la formulación e implantación de una estrategia defensiva completa de seguridad informática