Seguridad 101 - Dvirus Infosec Class · Sistemas de backup y recuperación de desastres Sistemas de...
Transcript of Seguridad 101 - Dvirus Infosec Class · Sistemas de backup y recuperación de desastres Sistemas de...
| Seguridad 101
Tipos de control básicosModelos de control de AccesoControles de seguridad físicaControles de acceso lógico
Riesgo
Controles
● Es la probabilidad de que una amenaza se aproveche de una vulnerabilidad lo cual genera una pérdida.
● Los controles se refieren a contramedidas o salvaguardas
| Seguridad 101
● Publicaciones Especiales - series 800● An Introduction to Computer Security: The NIST Handbook
- SP 800-12● Generally Accepted Principles and Practices for Securing
Information Technology Systems - SP 800-14● Guide for Conducting Risk Assessments - SP 800-30● Guidelines on Securing Public Web Servers - SP 800-44 ● Security and Privacy Controls for Federal Information
Systems and Organizations - SP 800-53 Rev. 4
| Seguridad 101
http://csrc.nist.gov/publications/PubsSPs.html
Controles Técnicos● Un control técnico es en el cual se utiliza la tecnología
para reducir vulnerabilidades (Antivirus, Firewalls, ID’s, NAC’s, etc…)
| Seguridad 101
Controles de Gestión● Son controles generalmente de tipo administrativo como
por ejemplo:○ Gestión de riesgo○ Gestión de Vulnerabilidades○ Pruebas de Intrusión
| Seguridad 101
Controles Operacionales
● Los controles operacionales ayudan a asegurar que las operaciones desarrolladas día a día en las organizaciones cumplan con un plan de seguridad como por ejemplo:
○ Entrenamiento en seguridad○ Gestión de la configuración○ Planes de contingencia○ Protección de medios○ Protección física y del entorno
| Seguridad 101
Controles basados en funciones
● Preventivo○ Previene que un incidente ocurra
■ Guardias de seguridad■ Control de cambios■ Política de desactivación de cuentas■ Hardening de sistemas
● Detectivo○ Detecta cuando una vulnerabilidad ha sido explotada
■ Auditorías de seguridad■ Vigilancia sistemas de vídeo (CCTV)
● Correctivo○ Se maneja el impacto una vez se ha producido un
incidente■ Sistemas de backup y recuperación de
desastres■ Sistemas de detección de intrusos
| Seguridad 101
Terminología● Sujetos:
○ Usuarios o grupos que pueden acceder a un objeto.● Objetos:
○ Son elementos como archivos, carpetas, recursos compartidos, los cuales son accedidos por los sujetos.
| Seguridad 101
RBAC(Control de acceso basado
en Roles / Reglas)
● Role-based Access Control (RBAC)○ Usa roles para gestionar los permisos de usuario,
generalmente ○ Los usuarios son agrupados en roles
● Rule-based Access Control (RBAC)○ Las reglas definen que está permitido○ Ejemplos:
■ Reglas de Firewall■ Control Parental■ Restricciones de tiempo
| Seguridad 101
DAC(Control de acceso
discrecional)
● Discretionary Access Control (DAC)○ En este modelo cada objeto tiene su propietario y el
propietario establece los permisos de acceso al objeto
○ Usado en sistemas operativos como Windows, Linux
SIDs - Identificadores de seguridad DACLs - Listas de control de acceso discrecionales
| Seguridad 101
MAC(Control de acceso
Obligatorio)
● Mandatory Access Control (MAC)○ Modelo más restrictivo ○ Los sujetos y objetos son clasificados por una alta
autoridad:■ Ultra secreto■ Secreto■ Confidencial
Un ejemplo de implementación de control MAC es el módulo de seguridad SELinux (Security-Enhanced Linux)
| Seguridad 101
Límites● Perímetro
● Edificación
● Áreas de trabajo seguro
● Dispositivos de red y servidores
| Seguridad 101
Sistemas de Acceso en Puertas
● Puertas con código de bloqueo
● Tarjetas de proximidad
| Seguridad 101
Tarjetas de Identificación ● Proveen una confirmación visual de que la persona está
autorizada para el ingreso a cierta área.● Las tarjetas de identificación normalmente incluyen, el
nombre, una fotografía, el cargo e información que describa al sujeto.
| Seguridad 101
Piggybacking - Tailgating
● Piggybacking, es el caso en el que la persona con credenciales válidas es consciente de que está entrando otra persona con su autenticación tras de el.
● Tailgating, caso en el que la persona autenticada no sea consciente.
| Seguridad 101
ControlesPiggybacking /
Tailgating
● Tornos giratorios
● Puertas dobles
● Guardias de seguridad
● Cámaras de vigilancia (CCTV)
| Seguridad 101
Listas de Acceso Físico
● Listas de Acceso○ Especifica quién tiene permitido el acceso○ Reforzada por guardias
● Log○ Registran quién entra y quién sale○ Reforzado con video-vigilancia.
| Seguridad 101
Cámaras de vigilancia (CCTV)
● Grabar solo en áreas públicas
● Notificar a los empleados acerca de las grabaciones
● No grabar audio
● Sensores de Movimiento
| Seguridad 101
Seguros para hardware
● Control de menor costo
● No genera un registro de acceso
● Generalmente usados para prevenir el robo de portátiles.
| Seguridad 101
Barricadas
● Comunes en bases militares
● Prohibición de actividades comerciales
● Previenen de estacionamiento de vehículos cerca a las puertas (Bolardos)
.
| Seguridad 101
Metodología deEvaluación
● Alcance de la propiedad a evaluar o proteger
● Establecer puntos de ingreso y salida
● Medidas de seguridad existente
● Evaluación de propiedad física
● Evaluación de Riesgos.
| Seguridad 101
Metodología deEvaluación
● Alto nivel○ Centros de datos○ Oficinas ejecutivas○ Finanzas y Contabilidad
● Nivel Medio○ Entradas y salidas○ Recepción ○ Ascensores
● Bajo Nivel○ Áreas comunes○ Puestos de atención
.
| Seguridad 101
Consideraciones
● Requerimientos del negocio
● Requerimientos de salud ocupacional / industrial
● Requerimientos de cumplimiento.
| Seguridad 101
Consideraciones
● Cámaras○ Campo visual○ Redundancia○ Registro
● Puertas○ Tipo de cerraduras○ Multi-Factor de Autenticación○ Restricciones basadas en tiempo
.
| Seguridad 101
Diseño FísicoCentros de Datos
● El diseño protege contra amenazas ambientales como inundaciones, terremotos y tormentas?
● Ante un desastre el datacenter cuenta con personal y elementos para poder seguir operando?
○ Suministro de agua○ Suministro de energía○ Comida○ Telecomunicaciones○ Accesibilidad
● Está limitado el acceso físico únicamente a personal autorizado?
.
| Seguridad 101
Centros de DatosEstándares
● BICSI ○ Diseño e instalación de cableado
● IDCA○ Ubicación de centros de datos, estructuras y
aplicación
● NFPA○ Asociación del departamento de bomberos
● ANSI EIA TIA 942.
| Seguridad 101
Centros de DatosEstándares
| Seguridad 101
Tier 1 Basic Site Infrastructure
Tier 2 Redundant Site Infrastructure Capacity
Components
Tier 3Concurrently Maintainable Site
Infrastructure
Tier 4Tolerant Site Infrastructure
Consideraciones Ambientales
Temperatura Mínima 18° C
Temperatura Máxima 27° C
Humedad Mínima 40% humedad relativa y 5.5°C punto de rocío
Humedad Máxima 60% humedad relativa y 15°C punto de rocío.
| Seguridad 101
Menor Privilegio
● El principio de Menor Privilegio establece que una persona o proceso no debe tener acceso a información que no necesita para desarrollar su trabajo.
● Incluir en este principio a los administradores
● Emplear la política Denegar Todo/Permitir por Excepción
| Seguridad 101
Listas de control de acceso (ACLs)
● Las listas de control de acceso son usadas para establecer de forma específica que está permitido y que nó está permitido ya sea basado en permisos o en tráfico.
● Generalmente se opera usando una política de denegación de forma implicita y con base en ella se crean reglas permisivas según los requerimientos.
| Seguridad 101
Políticas de Grupo
● Las políticas de grupo se encuentran normalmente configuradas en dominios Windows para la gestión de múltiples usuarios y equipos de un dominio, a través de GPO Group Policy Objects .
● Las políticas de seguridad afectan a todos los objetos● Se convierte en un punto central de administración.
| Seguridad 101
Política de contraseñas
● Garantizar el historial de contraseñas● Edad máxima de la contraseña● Edad mínima de la contraseña● Longitud mínima de la contraseña● Complejidad de la contraseña● Cifrado de la contraseña
| Seguridad 101
Política de Dispositivos ● Deshabilitar autorun
● Prevenir la conexión o instalación de dispositivos más pequeños como memorias USB, reproductores MP3
● Detectar el uso de dispositivos más pequeños
| Seguridad 101
Gestión de Cuentas
| Seguridad 101
● La gestión de cuentas comprende la creación, eliminación y desactivación de cuentas de usuario.
○ Desactivar cuentas inactivas○ Desactivar cuentas por terminacion contractual○ Desactivar por ausencia○ Restricciones por tiempo○ Monitoreo y auditoría
● Centralización de gestión de cuentas○ Todas las cuentas son almacenadas en un
repositorio central ej: LDAP
● Gestión descentralizada de cuentas○ Credenciales almacenadas en cada estación de
trabajo de forma local