Seguridad informática Santiago Cavanna. CA Argentina, ISSA Argentina. CISSP – ISC2 GSEC – SANS
[email protected]
Agenda Primera parte ( 30 minutos ) Segunda parte (15 Minutos )
Cuanto necesitamos saber sobre seguridad informática? Hackers-firewalls? Virus-antivirus? Spyware-antispyware? Phishing? Spam-antispam? Control de contenidos/parental? Encripcion, certificados y firmas digitales? Backup, ServicePacks, Hotfix? Test de intrucion y analisis de vulnerabilidades? Autenticacion y control de accesos? VPN, Wireless, Routers, DNS, IP, FQDN? Integridad, Privacidad?
Definiciones mínimas
Redes de comunicación informática Servidores, servicios y aplicaciones Aplicaciones cliente-servidor, Aplicaciones Web. Puesto de trabajo o PC Hogareña. Internet y proveedores de Internet Proveedores de contenido. Datos e Información
Diferencias entre hogar-empresa
Sistemas monousuario Procesamiento y repositorio en el mismo “sistema” Comunicación unidireccional al exterior del sistema Administración de identidades inexistentes o mínimas Sistemas de seguridad internos y de perímetro. Consolidación de todos los roles sobre el mismo usuario
Sistemas multiusuario Sistemas distribuidos Comunicación entre subsistemas + comunicación bidireccional al exterior del sistema. Administración de identidades centralizada. Sistemas de seguridad internos, de relación y perímetro. Segregación de funciones y especialialidades (perfiles y roles).
Bits (datos) < Información
Sistemas de información Personas, Procesos, Tecnologías. Procesamiento, Transporte, Almacenamiento. Dueños, Custodios, Usuarios. Definición de activos de información. Información deducida Información inferida.
Principios de Seguridad de la Información
Integridad Disponibilidad Confidencialidad
Principios complementarios
Autenticación Autorización Auditoria No repudio
Análisis y gestión de riesgo Análisis de riesgo Identificación y clasificación de activos Análisis de vulnerabilidades sobre los activos informáticos Análisis de amenazas (impacto y probabilidad) Análisis de tratamiento del riesgo (actual y futuro deseado en función de niveles de aceptación de riesgo)
Características de los sistemas de información Vulnerabilidades Técnicas, administrativas o de procedimiento.
Amenazas Declaradas o no declaradas.
Incidentes de seguridad. Ataques dirigidos Ataques no dirigidos
Tratamiento del riesgo. Mitigacion del riesgo. Transferencia del riesgo Aceptación del riesgo
Ejemplos de amenazas y su impacto. No Dirigidos Virus - Integridad, Disponibilidad Spyware – Confidencialidad Spam – Disponibilidad Dirigidos: Intrusiones – Disponibilidad, Integridad, Confidencialidad. Abuso de privilegios – Integridad, Confidencialidad. Robo de equipos, repositorios o sistemas de información completos.
Incidentes de seguridad informática Daño directo Perdida de información. Perdida de la capacidad de procesar, comunicar o almacenar información. Impacto sobre la imagen interna o externa sobre confiabilidad. Daño indirecto Consecuencias legales Penales Civiles Comerciales
Costos (regeneración, recuperación y carga, resarcimiento a terceros por daños)
Tratamiento del riesgo: Mitigacion
Contramedidas Administrativas Políticas de seguridad de la información.
De procedimiento Normas, estándares, procedimientos.
Tecnológicas. Gestión de identidades y control de acceso Gestión de amenazas Gestión de información de seguridad.
Mitigacion de riesgo: Tecnológicas organizaciones Amenazas contra la integridad. Controles de acceso basado en perfiles con privilegios limitados, antivirus, IDS, IPS, Firewalls (local y perímetro), sistemas de control de cambios, actualizaciones del fabricante y configuraciones basadas en mejores practicas.
Amenazas contra la Disponibilidad. Redundancia, Respaldo (backup), análisis de integridad (base de datos), capacidad para recuperación de servicios en modo contingente (BCP, DRP).
Amenazas contra la confidencialidad. Controles de acceso basado en perfiles, segregación de funciones, auditoria y análisis de información de seguridad (quien accedió a que y por que?) Antivirus, antispyware, control de contenido (trafico saliente de datos). Firewalls (locales y de perímetro), VPN. IDS, IPS + Análisis e inventario de software presente en los sistemas. Encripcion de la informacion en puestos de trabajo y servidores. Control sobre dispositivos de almacenamiento y respaldo Caja fuerte para los respaldos Control sobre uso de dispositivos y medios de grabación (Discos USB, CDs, DVD, Palms, Tel, Impresoras, etc)
Amenazas mixtas Control de acceso físico a equipos de procesamiento, almacenamiento o comunicaciones. Control sobre la capacidad de inferencia a partir de documentos intercambiados, impresos, desechados, etc
Mitigacion riesgo para usuarios hogareños. Amenazas contra la integridad. Elección de un sistema operativo que exija autenticación de usuarios y acepte múltiples perfiles ( si el equipo es compartido) Antivirus, antispyware y Firewalls (local, configurado para no exponer información a Internet), actualizaciones del fabricante del SO y las aplicaciones.
Amenazas contra la Disponibilidad. Respaldos periódicos (semanales o mensuales) Redundancia, Respaldo (backup), análisis de integridad (base de datos), capacidad para recuperación de servicios en modo contingente (BCP, DRP).
Amenazas contra la confidencialidad. Controles de acceso basado en perfiles, segregación de funciones (usuarios sin privilegio de acceso a información sensible, por ejemplo, familiares, colegas, empleados, etc) Antivirus, antispyware. Firewalls (locales), VPN (si se requiere el acceso a redes confiables sobre las que habra intercambio de información y acceso a sistemas cliente-servidor o aplicaciones web de intranet. Encripcion de información en puesto de trabajo. Control sobre los respaldos (caja fuerte) y los medios de almacenamiento de informacion (CDs, DVDs, Discos USB, Teléfonos, etc.) Control sobre documentos impresos, documentos desechados.
Recomendaciones
Pregunte Cuales son los activos de valor? Para quien tienen valor? Que grado de responsabilidad tiene usted sobre ese activo/valor?
Cuales son las consecuencias de un incidente de perdida de confidencialidad, integridad o disponibilidad? Que tipo de daño directo o indirecto podría derivar de ese incidente.
Cual es el resultado del análisis de riesgo sobre esos activos?
Recomendaciones (cont)
Analice: El riesgo es aceptable? quien es responsable por esa decisión?
Si el riesgo no es aceptable. ¿Cuales son los planes para dar tratamiento a esos riesgos? En que tiempo se implementaran esos planes? Que pasara mientras tanto?
Recomendaciones (final)
Tecnologías recomendadas para usuarios. Antivirus, Antispyware, Antispam (vigentes y actualizados diariamente) Personal firewall. Encriptación de datos. (discos fijos y removibles) Encriptación de la comunicación (transporte y/o contenido) Sistema operativo con perfiles restrictivos Actualizaciones (parches) para Sistema Operativo y todas las aplicaciones.
Backup (y resguardo de los medios de almacenamiento) Control físico sobre los equipos (bajo llave y con precintos) Segregación de funciones y espacios de trabajo (si hay varios usuarios utilizando un mismo sistema) IDS/IPS (para el caso de usuarios de red) + procedimientos de respuesta a incidentes.
Responsabilidades de una organización en relación a la TI-SI.
Existencia de una política de seguridad informática. Donde se indique explícitamente el uso adecuado de los activos de información y los sistemas relacionados. Donde se indique la necesidad, interés y voluntad de identificar y mitigar los riesgos sobre los activos de información, responsabilidades de cada integrante de la organización y penalidades relacionadas. Existencia de mecanismos de identificación y mitigacion de riesgo, control y respuesta frente a incidentes.
Pornografia Infantil Tratamiento desde el Area de Seguridad Informatica
Pornografía Infantil: Seguridad Informática
Aspectos legales. No serán tratados en esta presentación. Capacidad tecnológica. Control de contenido Sobre el intercambio de información. Sobre repositorios de datos.
Análisis “forense” Reconstrucción de una transacción Tratamiento de evidencias.
Control de Acceso Sistemas y repositorios
Control de Identidades Autorización y No repudio.
Control de contenido
Herramientas con capacidad de filtrado de contenido En función de su origen. En función de su categorización. En función de su contenido explicito. Herramientas para empresas. Alineadas con la política de seguridad corporativa Administradas centralizadamente. Herramientas para usuarios hogareños. Alineadas con la necesidad del usuario. Administradas localmente. (perfiles) La pornografía recibe un tratamiento diferencial sobre otros “contenidos” no permitidos dentro de una organización.
Control de acceso y uso
Local Empresas Acceso a redes Acceso a sistemas (Operativos y Aplicaciones)
Hogareños Acceso a sistemas (Operativo y Aplicaciones)
De perímetro Empresas Zonas de seguridad (perímetro externo y perímetros departamentales)
Hogareños Perímetro externo.
Análisis Forense Qué es la Informática Forense? En el sentido mas estricto, y citando la definición brindada por el FBI, la Informática Forense es la “Ciencia de Adquirir, Preservar, Obtener y Presentar datos que han sido procesados electrónicamente y almacenados en un medio computacional”. Desde el punto de vista practico, generalmente la informática forense basa su trabajo en la investigación de un sistema computacional, con el objeto de determinar las causas de un incidente de seguridad ocurrido con anterioridad. Es fundamental remarcar que la “Informática Forense” no aplica sino hasta después de acontecido un incidente.
Metodologia estandar Identificación Adquisición Autenticación Análisis Presentación
Conceptos Importantes Evidencia Cualquier información de valor probatorio. Cualquier tipo de dato digital que pueda ayudar a demostrar que se ha cometido un ilícito, o bien que permita establecer un vínculo entre el ilícito, la víctima y el criminal (Frágil / Volátil) Cadena de Custodia Seguimiento a dar a la evidencia, con el objeto que esta no vaya a ser alterada, cambiada o extraviada. (A tal efecto, los indicios deben ser etiquetados y la persona que lo recibe deberá entregar a cambio una constancia o cargo). Adicionalmente, la cadena de custodia supone que la evidencia se mantiene en un lugar seguro al cual solo tiene acceso personal facultado para ello. Bitácora / Archivo de Hallazgos Documento utilizado a efectos de llevar un historial de todas y cada una de las actividades realizadas durante el proceso de Análisis Forense. (Objetivo: Caso Reproducible) Línea de Tiempo Método de representación gráfica, respecto de los diferentes hechos y eventos relevantes, asociados con la investigación-Reconstrucción de los hechos a partir de los atributos de tiempo de los archivos, de forma tal que los mismos puedan ser correlacionarlos con el objeto de enriquecer la evidencia. Imágenes Imagen o replica exacta de todos los objetos de datos contenidos en los elementos físicos originales. A menudo referida como copia bit a bit. Comprobación de Integridad Proceso por el cual es posible verificar en cualquier momento, la validez de la evidencia digital recogida. (Sumas de Control: MD5/SHA)
Mitos, Prejuicios y suposiciones. Expectativa de confidencialidad y anonimato Eliminación de archivos Control de contenido En transporte En repositorios
Trazabilidad y análisis de causa raíz. Logs de transacción, cache, archivos temporales y repositorios secundarios Hackers y herramientas disponibles en internet. Política de disponibilidad publica.
Control de acceso e identidades Las organizaciones tiene la capacidad de: Implementar controles de acceso y gerenciar las identidades! Guardar registros de accesos y transacciones. Sancionar a quienes no cumplan las políticas de seguridad Las organizaciones tienen obligaciones legales y regulatorias, para gerenciar correctamente estas herramientas y la información resultante de las mismas. Para protegerse de consecuencias legales sobre danos a terceros Para proteger a sus propios empleados Para proteger el “negocio” de la organización.
Conclusiones Finales Actualmente pocas organizaciones alcanzan el nivel de madurez en términos de seguridad de la información. Actualmente pocos usuarios de tecnología son concientes de las amenazas directas o indirectas a las que están expuestos o exponen a terceros. Tecnológicamente existen herramientas y buenas practicas tanto para el análisis de riesgo como para la mitigación del mismo. La tecnología esta tanto al alcance de quienes tienen intenciones Licitas, como de quienes tienen intenciones no licitas. GAP cultural (analfabetismo tecnológico) es uno de los mayores desafíos de nuestra época.
Legislaciones vigentes
11723 - Propiedad Intelectual30-sep-1933 25036 - Propiedad Intelectual (Modifica 11723)14-oct-1998 25326 - Habeas Data02-nov-2000 Decreto 165/1994 - Propiedad Intelectual - Proteccion de Software03-feb-1994 Ley 24624 - Presupuesto General de la Administración Nacional 199629-dic-1995 Decisión Administrativa 43/1996 - Uso de Tecnología. Valor Juridico – Reglamentación 07-may-1996 Ley 24766 - Ley de Confidencialidad30-dic-1996 Ley 25506 - Firma Digital14-dic-2001 Decreto 2628/2002 - Reglamentación Firma Digital20-dic-2002 Disposición 5/2002 - Documentación Técnica de la Autoridad Certificante de la ONTI06may-2002 Artículo 5 - Constitución Nacional24-jul-2006 Proyecto 5864 Delitos Informáticos10-oct-2006 Decisión Administrativa 6/2007 Firma Digital12-feb-2007 Infraestructura de Firma Digital (Anexo I)12-feb-2007 Res. Nº 81/99 - SFPCreación del ArCERT, Coordinación de Emergencias en Redes Teleinformáticas de la Administración Pública Argentina. Dec. Adm. 669/04Política de Seguridad de la Información. Los organismos del Sector Público Nacional comprendidos en los incisos a) y c) del art.8 de la ley N° 24.156 y sus modificatorias deberan dictar o adecuar sus politicas de seguridad. Conformacion de Comités de Seguridad de la Informacion. Disp. 6/05 - ONTI Política de Seguridad de la Información Modelo. Aprobación. Res. 45/05 - SGPPolítica de Seguridad de la Información. Facúltase al Director Nacional de la ONTI a aprobar la Política de Seguridad de la Información Modelo y dictar las normas aclaratorias y complementarias que requiera la aplicación de la Dec. Adm. Nº 669/2004.
Notas y Referencias. La sección de análisis forense, esta basada en la presentación de Hernán Marcelo Racciatti de la 5ta Jornada ISSA Argentina de seguridad de la información. http://www.hernanracciatti.com.ar Fuentes confiables de información sobre legislación y regulaciones.
http://www.segu-info.com.ar/legislacion/ http://infoleg.mecon.gov.ar/basehome/areas_informaticas.htm http://www.alfa-redi.org/privacidad/legislacion.shtml
•Seguridad para todos: Cruzada contra el fraude informático •http://www.segu-info.com.ar/cruzada/