Presentación de PowerPoint - EBG...Caso de Estudio: Target •Implementar un segundo factor de...

Aseguramiento de los Accesos de Usuarios Privilegiados a las

Infraestructuras de Nube y Sitio Alterno

Julio Duarte

Amitego Latinoamérica, Guatemala

Agenda de la Presentación

• Qué es la nube? • Tipos de Nube

• Sitios Alternos

• Seguridad de TI – Errar es de Humanos

• Casos de Estudio • Target

• TeamViewer

• El Balance entre Seguridad de la Información y Privacidad • Controlando y Documentando la Actividad de los Usuarios Privilegiados

Qué es la Nube?

• Definición • “La práctica de usar una red de

servidores remotos localizados en el Internet para almacenar, administrar y procesar datos en lugar de servidores locales o computadoras personales”

Tipos de Nube

• Nubes Privadas

• Nubes Públicas

• Nubes Híbridas

Tipos de Servicios que Prestan las Nubes

Riesgos y Beneficios del Modelo: la Nube

• Beneficios • Menores Costos Operativos

• Menores Inversiones de Capital

• Flexibilidad

• Agilidad

• Escalabilidad

• Arquitecturas de Nueva Generación

Riesgos y Beneficios del Modelo: la Nube

• Riesgos • Seguridad

• Efecto “Hotel California”

• Confiabilidad

• Falta de Control

Mi Sitio Alterno es una Forma de Nube

• Impulsado por las Políticas de Continuidad del Negocio

• Ha evolucionado desde simples respaldos hasta la capacidad de mantener las operaciones de la empresa

• Puede ser privada o híbrida

Seguridad de TI

• Múltiples Riesgos que Mitigar • Virus • Malware • Intrusos • Ramsonware, etc.

• Un riesgo olvidado • Los Accesos remotos de Usuarios

Privilegiados • Vulnerables a malas prácticas • Son el principal objetivo de los

Delincuentes Cibernéticos

Errar es de Humanos

• “Es casi imposible trabajar con una computadora sin cometer errores operativos”

• El problema de las contraseñas simples

• Clicks inadvertidos sobre archivos adjuntos

• Los super usuarios y administradores no son inmunes a estos tipos de errores

• Representan el riesgo más alto

Use

rs

Pri

vile

ges A más privilegios,

mayores los

riesgos

Usuarios de

Aplicaciones

Usuario

Privilegiado

Debemos Mitigar el Riesgo de los Usuarios Privilegiados

• Acciones erróneas cometidas involuntariamente

• Robo de credenciales privilegiadas

• Uso de dispositivos no administrados por la empresa

• Protección sobre contratistas con agendas ocultas

• Balance entre seguridad y flexibilidad

• Registrar y Documentar todas las actividades de los procesos que involucran a los usuarios privilegiados

• Mejorar la productividad

Mitigar Mantener

“Más que usar la estrategia de la ignorancia

del password debemos concentrarnos en las

actividades del usuario privilegiado” Amitego

Qué es más Importante?

• Si el mecánico tiene la llave?

• Puede copiarla

• O lo que hace cuando trabaja?

• Puede cometer un error

• Podría robar repuestos

“Las acciones del usuario privilegiado

deben ser transparentes y reproducibles”

Amitego

Los Usuarios son el Mayor Riesgo de Seguridad

Algunos trabajadores venderían sus credenciales por $55*

“…1 de cada 4 usuarios en USA estaría dispuesto a comprometer la seguridad

corporativa por una oferta monetaria…”

…“27% en Norteamérica estaría dispuesto a vender sus credenciales, la cifra más alta

entre todos los países encuestados, la media es 20% en el resto del mundo…”

“…la cantidad más alta solicitada fue de $82,000; en USA tomaría $50,700 para

traicionar la confianza de sus empleadores, la cifra más baja fue de $55…”

*Fuente: http://time.com/money/4275526/sell-password-for-55-dollars/

Las Soluciones más populares para Accesos Remotos

• VPN • Compartir Escritorio por Internet

El Dilema de la VPN

• El Cliente es parte de la zona de seguridad de la compañía

• VPN protege contra ataques de “man in the middle” y “snooping”

• La encripción del canal evita que la actividad sea transparente, inclusive para los dueños de la Infraestructura

• Malware/Spyware en el dispositivo cliente no administrado podría infectar la red corporativa

Company Security Zone

El Dilema de la VPN

• Se deben dividir las zonas de seguridad (interna y externa)

• Mantener el control de la sesión

• Registar y Documentar la actividad

VIS

ULO

X

Qué Podemos Hacer?

Caso de Estudio: Target

• Robo de 40 millones de tarjetas de crédito

• Sistemas de Punto de Ventas comprometidos por Malware

• Cómo pudo suceder esto?


• La respuesta se encuentra en la nueva arquitectura de Target

• Como parte del refrescamiento de la infraestructura de TI

• Basado en el modelo de 2 servidores por tienda

• Utilizando virtualización

• Nube privada que provee • Hosting de múltiples aplicaciones • Punto de Ventas para 30 registradoras • Manejo de inventarios, infraestructura y BDD


• 1,700 tiendas comparten la arquitectura

• La mayoría de sus sistemas corren en Windows, sólo la farmacia utiliza Linux

• Cada tienda tiene su propio Microsoft System Center que es el punto de distribución de actualizaciones y parches de seguridad

• Dependen de proveedores de servicios de TI externos


• Hackers utilizan las credenciales del administrador del servidor de HVAC

• Fazio Mechanical Services: compañía proveedora de refrigeración y sistemas HVAC

• Fecha de ruptura: Nov. 15, 2013

• Malware/Spyware en la computadora del técnico utiliza sus credenciales y el acceso remoto a la red de Target para infectar los servidores virtualizados


• Del 15/Nov al 28/Nov los Hackers infectan los puntos de venta con malware que roba tarjetas de crédito

• Prueban su funcionamiento y, en 2 días, infectan la mayoría de los puntos de venta de Target

• De Nov 27 a Dic 15, el malware roba 40 millones de registros de tarjetas de crédito y débito


• Implementar un segundo factor de autenticación para los accesos remotos del personal y subcontratistas

• Separar las redes de los puntos de ventas de los demás sistemas. Esto va más allá de lo requerido por PCI.

• Implementar POS que acepten tarjetas con Chip y PIN a un costo de $100 millones

Fuentes: https://www.tripwire.com/state-of-security/vulnerability-management/targets-point-sale-system-compromised/

https://krebsonsecurity.com/2014/02/target-hackers-broke-in-via-hvac-company/

Recomendaciones para que no suceda nuevamente:

https://www.tripwire.com/state-of-security/vulnerability-management/targets-point-sale-system-compromised/
















Caso de Estudio: TeamViewer

• Mar/2016

• Por más de un mes se reportan hackeos de computadoras por medio de TeamViewer

• En muchos casos los ladrones robaron dinero de Paypal y cuentas bancarias


• La fisura de seguridad fue el resultado de:

• Malas prácticas sobre uso de passwords por los usuarios

• La Megaruptura de 642 millones de passwords que fueron hechos públicos


• El orígen del problema: • Ataque DOS a la red de

TeamViewer • DNS Hijacking • No cambiar los passwords

después del anuncio de ruptura de credenciales robadas


• Acciones Correctivas tomadas: • Dispositivos Confiables: el usuario debe

confirmar que confía en el dispositivo que trata de conectarse por primera vez

• Integridad de los Datos: reinicio obligatorio de contraseñas para enforzar la integridad de los datos

Fuente: https://arstechnica.com/security/2016/06/teamviewer-users-are-being-hacked-in-bulk-and-we-still-dont-know-how/

Resultado: Debemos Mejorar la Seguridad

Seguridad Facilidad

El Balance entre Seguridad de la Información y Privacidad

• Una interpretación de los requerimientos emitidos por la Regulación de Protección de los Datos (DSGVO)

• Controlando y Documentando las actividades de los Usuarios Privilegiados


• El componente de la administración del acceso:

• Controlar y Administrar a los usuarios privilegiados

• Revisiones regulares, valoraciones y evaluaciones de la efectividad de las medidas técnicas organizacionales


• Leyes de Protección a los Datos, requisitos:

• Grabación del Trabajo

• Protección del Flujo de Datos y Protección de los mismos

• Trazabilidad de las Actividades a través de la Documentación (Medio de Prueba)

• Control de Acceso y Uso


• Qué debería ofrecer un sistema de Accesos Remotos para Usuarios Privilegiados?

• Separación de la comunicación y zonas de seguridad en confiables y no confiables (S)

• Control de acceso por medio de la arquitectura y habilitado por default (AC)

• Documentación de actividades por medio de la arquitectura y habilitado por default (DOC)

• Manejo de las detecciones (HN)

• Control de flujo de datos, incluyendo copiar y pegar (DF)

• Capacidad de trabajo cooperativo (CO)

• Reportar quién, cuándo y cómo se otorgó el acceso y a quién fue otorgado (R)

• Supervisión obligada y garantizada (4AP)

Implementar una Solución de Acceso Remoto: RAS

• Resumen de tecnologías básicas:

• Facilidad de administración, costo y disponibilidad no se toman en cuenta en la evaluación.


• Análisis: • Las herramientas para compartir

escritorios no ofrecen ninguna de las funciones que proveen evidencia confiable. Adicionalmente, una buena calidad de experiencia en el trabajo muchas veces no está disponible, finalmente, siempre se requiere la interacción de dos usuarios para realizar una tarea.


• Análisis: • La encripción de punto a punto provee

protección sólamente en el caso de ataques de “hombre en el medio”, pero nada más. El uso de VPNs (Virtual Private Networks) con servidores intermedios para saltos proveen una solución que asegura control de acceso pero no guarda evidencia de la interacción de los usuarios con los sistemas y los datos.


• Análisis: • Las soluciones basadas en agentes

proveen mucha información, pero son muy complejas de implementar aún en su metodología más básica.

• Aunque cualquier combinación de estos métodos constituye una buena base para comenzar, también es cierto que la misma es muy compleja de administrar debido a la variedad de productos involucrados.


• Soluciones que ofrecen todos los aspectos necesarios para el acceso de usuarios privilegiados es el objetivo primario de todos los requerimientos contenidos en la Regulación de Protección de los Datos.

La Implementación de Soluciones RAS se ha convertido en una necesidad!

• No debemos permitir que nuestra organización se convierta en el próximo caso de estudio.

• Los costos de no hacer nada son mucho más altos de lo que imaginamos.

Muchas Gracias Visítenos en el Stand CESA-Amitego

Presentación de PowerPoint - EBG...Caso de Estudio: Target •Implementar un segundo factor de...

Documents

Transcript of Presentación de PowerPoint - EBG...Caso de Estudio: Target •Implementar un segundo factor de...