Seguridad de los Recursos de Información – GSI732 Carmen R. Cintrón Ferrer © Derechos Reservados

Módulos  Introducción  Principios de seguridad  Tecnologías de seguridad  Redes inalámbricas y usuarios móviles  Entorno del comercio-e  Implantación de programas de seguridad  Perspectivas sociales y futuras  Referencias

Módulo Introducción  ¿Por qué un curso de Seguridad?  Definiciones  Principios generales de seguridad  Objetivos de seguridad  Etapas o niveles

Módulo Introducción  ¿Por qué un curso de Seguridad? Frecuencia de incidentes en escalada Todos somos vulnerables a ataques Ataques más sofisticados y automatizados Incremento en malicia de los atacantes

Módulo Introducción - Tipos de ataques Físicos:  Vandalismo  Robo  Interceptación Comunicación:  Impostura  Adulteración de tráfico, mensajes  Fisgonear (“Eavesdropping”) Penetración:  Escáners  Negación de Servicios (DoS)  Código malicioso (virus) Ingeniería social:  Robo de claves (“passwords”)  Robo de información  Abrir documentos (“attachments”)

Módulo Introducción - Tipo de atacantes “ Hackers”:  Intencionales  Técnicos excepcionales  Empleo de rutinas (“scripts”)  “Crackers”  “White hackers”  Agrupaciones Virus:  Codificadores  Distribuidores  “Script Kiddies” Criminales:  Robo de identidad  Extorsión  Robo de propiedad: intelectual industrial Empleados:  Sabotaje  Oportunidad (valores)  Consultores y contratistas Terrorismo cibernético:  Ataca infraestructuras  Actuación concertada (gob/ind)

Módulo Introducción - Respuesta  Compromiso Gerencial: Alta gerencia debe asignar alta prioridad Asignar recursos requeridos Integrar a las operaciones diarias Poner en vigor (“enforce”) medidas  Enfoque integral: Considerar todas las áreas de riesgo Identificar todas las vulnerabilidades posibles Establecer múltiples niveles de protección Auditar y fiscalizar continuamente

Módulo Introducción – Respuesta (Cont.)  Trabajar con los objetivos de Seguridad (CIA): Confidencialidad -(“Confidentiality”) Integridad -(“Integrity”) Disponibilidad -(“Availability”)

Módulo Introducción – Respuesta (Cont.)  Implantar el ciclo de Seguridad (PPR): Planificar - (“Planning”) Proteger -(“Protecting”) Responder - (“Responding”)

Módulo Introducción – Respuesta (Cont.) Implantar el ciclo de Seguridad (PPR)  Planificar: Plan Integral (sin brechas) Análisis de riesgos:  Enumerar  Determinar severidad  Determinar impacto $  Priorizar Adopción de políticas:  Tecnologías  Procedimientos  Proteger: Implantar mecanismos:  Firewalls  Detección de intrusos  Fortalecer servidores y otros Actualizar:  Versiones y parchos  Ajustar ante nuevos riesgos Validar:  Pruebas y auditorías

Módulo Introducción – Respuesta (Cont.) Implantar el ciclo de Seguridad (PPR)  Responder: Planificar proceso (CERT) Detección y atención de incidentes:  Proceso a seguir (IDS)  Determinación ataque/incidente  Descripción/documentación Contención y recuperación:  Detener ataque/incidente  Recuperar del impacto/daño(s) Medidas correctivas y preventivas:  Forenses (“Computer forensics”)  Procesamiento criminal  Medidas disciplinarias a empleados  Corregir la vulnerabilidad o áreas de exposición

Módulo Introducción – Certificación Profesional Computer Technology Industry Association:  CompTIA’s Security +  CompTIA’s Networking + International Information Systems Security Certification Consortium (ISC 2 ):  Systems Security Certified Practitioner (SSCP)  Certified Information Systems Security Professional (CISSP) SysAdm, Audit, Network and Security Institute (SANS):  Global Information Assurance Certification (GIAC) CISCO:  CISCO Certified Security Profesional (CCSP)

Conceptos básicos  Recursos de información (def) (def)  Seguridad (def) (def)  Riesgos (clasif) (clasif)  Arquitectura de seguridad (modelo) (modelo)

Recursos de Información (Definición)  Recursos de información comprende: Personal técnico y su conocimiento Equipo de tecnología informática – HW/SW Depósitos de datos, información o conocimiento Procedimientos apoyados mediante tecnología Infraestructura de comunicación y conexión Otra tecnología asociada**

Seguridad de los Recursos de información (Definición)  Conjunto de medidas  Adoptadas para prevenir o limitar: el uso o acceso indebido la adulteración, eliminación o divulgación  De los activos informáticos críticos  De una organización

Seguridad de los Recursos de información (Objetivos)  Confidencialidad Impedir el acceso no autorizado  Integridad Evitar la contaminación o modificación indebida  Disponibilidad Permitir el acceso autorizado  Validación (“Non Repudiation”) Evitar el que se repudien mensajes o actos Asegurar que éstos se mantengan íntegros

Seguridad de los Recursos de información (Etapas o Niveles)  Física  Comunicación (interceptación)  Tecnología informática (“reliable”)  Perfil del usuario (criterios para acceso)  Redes (confiabilidad)  Recursos de Información

Módulo Principios de Seguridad  Reseña de riesgos  Políticas de seguridad  Acceso – AAA *

Seguridad de los Recursos de información (Riesgos típicos)  Uso indebido Uso indebido  Amenazas internas Amenazas internas  Amenazas externas Amenazas externas  Fallas en la infraestructura: Hardware Software Network Conexión al exterior**

Riesgos de seguridad Uso indebido  Abuso de privilegios  Acceder y/o adulterar: Datos Documentos/información Procesos  Modificar privilegios de acceso o seguridad  Intentos de lograr acceso a: Servicios Servidores Aplicaciones Bancos de datos no disponibles**

Riesgos de seguridad Amenazas internas  Empleados: Involuntariamente (error o negligencia) Intencionalmente (disgustados, despedidos) Empleados comprometidos (informantes)  Ex- empleados  Contratistas, temporeros, otros  Asociados: Clientes Proveedores o “business partners”**

Riesgos de seguridad Amenazas externas  Código maligno (“Virus, worms, logic bombs …”)  Violadores cibernéticos (“Hackers/Crackers”)  Ingeniería social (“Social engineering”)  Pérdida de credibilidad (“Brand equity”)  Adulterar la sede virtual (“Graffiti”)  Interrupción de servicios (“Denial of service”): Dummy transactions that overload target server Packet flooding Distributed DoS**

Ejercicio: Ponderar amenazas  Amenazas internas  Amenazas externas  Fallas en la infraestructura  Uso indebido

Manejo de riesgos de seguridad  Identificar y valorar activos informáticos  Identificar posibles riesgos  Identificar áreas de vulnerabilidad  Estimar riesgos reales  Calcular posible impacto  Identificar medidas de protección  Estimar posible reducción en impacto  Determinar riesgos a cubrir y riesgos asumir  Revisar las medidas de protección según respuesta a incidentes acaecidos

Ejercicio: Clasificar y estimar impacto de posibles riesgos FactoresRiesgo ARiesgo BRiesgo CRiesgo D Costo de ataque exitoso$500K$10K$100K$10K Probabilidad ocurra80%20%5%70% Severidad del impacto$400K$2K$5K$7K Costo medida correctiva$100K$3K$2K$20K Valor de proteger$300K($1K)$3K($13K) ¿Aplico medida? Prioridad Tomado de: Panko, Corporate and Computer Security, Fig. 1-9, p.36

Seguridad de los Recursos de información (Validación de acceso) “Validación intenta asegurar que logran acceso quienes deben tener derecho para las funciones o los procesos autorizados.”  Autenticar Autenticar  Autorizar Autorizar  Acceder Acceder

Seguridad de los Recursos de información (Autenticar) “Autenticar implica asegurar que identificamos correctamente a quién solicita acceso, o sea verificar que realmente es quien asevera ser.”  Kerberos  Tokens  Biometrics  Certificates**

Seguridad de los Recursos de información (Autorizar) “Autorizar regula para qué se nos permite el acceso. Depende de la(s) función(es) o rol(es) y del nivel de confianza en la conexión.”  Centralización (“Web single sign-on”)  Role based access control  Proxies**

Seguridad de los Recursos de información (Acceder) “Acceder es permitir llegar hasta los recursos de información protegidos en la confianza que el autorizado hará un buen uso.”  Balance delicado de riesgos  Bitácora de transacciones  Fiscalización de uso autorizado

Ejercicio AAA  Integren el grupo y distribuyan roles  Seleccionen la organización a evaluar  Utilicen las listas de cotejo I-IV  Añadan preguntas necesarias para cubrir los tres criterios (AAA), conforme el rol asignado  Resuman sus hallazgos

Seguridad de los Recursos de información (Herramientas de control) “Administrar el uso adecuado.”  Políticas de acceso y seguridad Políticas de acceso y seguridad  Tecnología para implantar controles Tecnología para implantar controles  Tecnología para operaciones Tecnología para operaciones  Servicios de seguridad Servicios de seguridad

Políticas de seguridad  Clasificación de la información: Pública Privada (organización) Particular (privada de clientes o terceros) Confidencial  Políticas para segmentar grupos  Políticas para autenticar usuarios  Procedimientos para manejo de: Configuración y control Medidas aseguren cumplimiento Amenazas o incidentes de riesgo

Políticas de seguridad  Importancia de las políticas de seguridad  Necesidad de agrupar tipos de usuarios  Contenido de las políticas de seguridad  Formato de las políticas de seguridad  Implantación y cumplimiento  Responsabilidad

Ejercicio Políticas de seguridad  Bosquejo de contenido  Grupos afecta  Plan de divulgación  Plan de implantación  Plan de actualización

Ejercicio Políticas de seguridad Ejercicio *

Seguridad de los Recursos de información (Tecnología para implantar controles) “Control complementa los actos bien intencionados del personal técnico que considera los recursos informáticos seguros.”  Firewalls  Virtual private networks  Secure sockets layer (SSL/TLS)  Public key infrastructure (PKI)**

Seguridad de los Recursos de información (Tecnología para operaciones) “Fiscalización complementa las herramientas de control en la protección de los recursos informáticos.”  Administración de usuarios  Detección de intrusos  Control de propagación de virus  Escudriñar vulnerabilidades**

Seguridad de los Recursos de información (Servicios de seguridad) “Control complementa los actos bien intencionados del personal técnico que considera los recursos informáticos seguros.”  Administración de riesgos  Arquitectura de seguridad  Configuración e implantación  Administrar servicios y tecnología (24x7x365)  Acción(es) de respuesta**

Arquitectura de Seguridad

Integración: Políticas, tecnologías de seguridad y fiscalización (auditoría)  Políticas de seguridad (1) Uso de correo electrónico Protección contra virus Control del spam  Procedimientos (2): Configuración servidor Control acceso a cambios Configuración cuentas  Tecnología (3): Servidor seguro Reglas en Firewall Reglas en Proxy Programación antivirus/antispam  Pruebas de seguridad (4) Políticas correo electrónico Pruebas Procedimientos 3 Tecnologías Sistema seguro Intento de violentar política de e-correo

Seguridad de los Recursos de información (Requerimientos de Seguridad Militar)  Seguridad por niveles: Clasificación de los documentos y datos:  “Unclassified”  “Secret”  “Top Secret”  “For your eyes only”  “Burn before reading” Segregación de redes:  “Non-secure”  “Highly secure”  “Non connected Black (secret) computer – air gap”  Seguridad Nacional: Alta inversión de recursos frente a riesgos poco probables

Referencias  Panko, Corporate Computer and Network Security, Prentice Hall, 2004  Tanenbaum, Computer Networks  Maiwald, Network Security, Osborne, 2001  Proctor & Byrnes, The secure enterprise  Schenk, Wireless LAN Deployment  Gast, Seven security problems of Wireless  Bolles, Wireless (In)security: Are your networks snoop-proof? (CIO Insight July 2002)  Trilling, How to tighten loose security in wireless networks? (Computerworld Feb.12,2003)  daCruz, Safe networking computing (Columbia U., Sep 2001)  McHugh,Christie & Allen, The role of intrusion detection systems (IEEE Software, Sep/Oct 2000)  Allen, et als., Improving the security of Networked systems (STSC Crosstalk Oct, 2000)  Wireless Privacy: An Oxymoron (April 26, 2001)

Referencias  SANS Institute - various  EDUCAUSE Evolving Technologies Committee: Overview of Security (Oct 2002)  EDUCAUSE Mid-Atlantic Regional Conference: Measuring the success of wireless  CERT: Internet Security Issues (May 2000)  CERT: Security of the Internet (1997)  CERT: Home computing security (2002)  CERT: Organized crime and cyber-crime (2002)

Glosario de términos Tecnología inalámbrica  Access point (AP/WAP)  Bluetooth (Personal wireless LAN)  Dynamic frecuency selection/dynamic channel selection (DFS/DCS)  Extensible authentication protocol (EAP)  Global system for mobile communications (GSM)  Wireless Access Protocol (WAP)  Wireless LAN (WLAN – x)  Wireless Transport layer security (WTLS)  Wired equivalent privacy (WEP)  Wireless Ethernet compatibility alliance (WECA)

Glosario de términos Tecnología inalámbrica (2)  “Spoofing”  “Hijacking session”  Basic Service Set (BSS)  Open systems authentication (OSA)  Service set identifier (SSID)  Shared key authentication (SKA)  Virtual private network (VPN)  High Performance Radio LAN (HIPERLAN)  Integrity Check Vector (ICV)  Initialization Vector (IV)  Medium Access Control (MAC)