Documente Academic
Documente Profesional
Documente Cultură
Seguridad y Conformidad
163
Sesión 1:
Aspectos de la Seguridad y
Conformidad
164
La conectividad nos rodea… y la seguridad también
…
Aspectos de la Seguridad
Seguridad como servicio
En el entorno de la nube, la seguridad es provista por
los proveedores. Se pueden distinguir dos métodos: El
primer método, es que cualquiera puede cambiar sus
métodos de entrega incluidos en los servicios de la
nube. El segundo método es que los proveedores de
servicio de la nube proveen seguridad solo como
servicio en la nube, con información de seguridad de
las compañías.
166
Aspectos de la Seguridad
Seguridad del Explorador
En el entorno de la nube, los servidores remotos son usados
para la computación. Los nodos del cliente se usan solo
para entrada/salida de operaciones, y para la autorización y
autenticación de la información en la nube. Un navegador
web estándar es una plataforma normalmente utilizada
para todos los usuarios del mundo. Esto puede ser
catalogado en dos tipos diferentes: Software como servicio
(SaaS), Aplicaciones Web, o Web 2.0. Transport Layer
Security (TLS), se suele emplear para la encriptación de
datos y la autentificación del host.
167
Aspectos de la Seguridad
Autenticación
En el entorno de la nube, la base para el control de
acceso es la autenticación, el control de acceso es más
importante que nunca desde que la nube y todos sus
datos son accesibles para todo el mundo a través de
internet.
168
Aspectos de la Seguridad
Autenticación
Trusted Platform Module (TPM) es extensamente
utilizado y un sistema de autenticación más fuerte que
el nombre de usuario y la contraseña. Trusted
Computing Groups (TCG’s) es un estándar sobre la
autorización de usuarios y otras herramientas de
seguridad de comunicación en tiempo real entre el
proveedor y el cliente.
169
Aspectos de la Seguridad
Pérdida de Gobernanza
En las infraestructuras de la nube, el cliente
necesariamente cede el control al proveedor (Cloud
Provider) en un número de asuntos, los cuáles afectan
a la seguridad. Al mismo tiempo, el acuerdo de nivel de
servicio no suele tener el cometido de surtir este tipo
de servicios en la parte del proveedor de la nube,
dejando una brecha en las defensas de seguridad.
170
Aspectos de la Seguridad
Lock-In
Esta es una pequeña oferta en este tipo de
herramientas, los procedimientos o estándares de
formatos de datos o interfaces de servicios que podrían
garantizar los datos, las aplicaciones y el servicio de
portabilidad.
171
Aspectos de la Seguridad
Lock-In
Esto puede hacer difícil para el cliente migrar de un
proveedor a otro, o migrar los datos y servicios de
nuevo a otro entorno informático. Esto introduce una
particular dependencia en el proveedor de la nube para
la provisión del servicio, especialmente a la
portabilidad de los datos, el aspecto más fundamental.
172
Aspectos de la Seguridad
Protección de los Datos
La computación en la nube pone en riesgo la
protección de datos para los usuarios de la nube y sus
proveedores. En muchos casos, ocasiona dificultades
para el proveedor (en el rol del controlador de la
información) para asegurar la efectividad práctica del
manejo de los datos del proveedor de la nube y para
cerciorar que los datos van por el camino correcto.
173
Aspectos de la Seguridad
Protección de los Datos
Este problema se suele agravar en casos de múltiples
transferencias de datos, por ejemplo entre sistemas
federados. Por otra parte, algunos proveedores de la
nube, proporcionan información de sus prácticas de
cercenamiento de datos.
174
Aspectos de la Seguridad
Protección de los Datos
También hay algunas ofertas de certificaciones en el
procesamiento de datos, las actividades de seguridad, y
los controles de datos que tienen lugar; ejemplo, la
certificación SAS70. Las corrientes de datos de internet,
están unidas al malware y de paquetes señuelo para
meter al usuario en una desconocida participación en
actividades delictivas.
175
Seguridad y Conformidad
Todos los huevos en una sola canasta
De los peligros más grandes que nos presenta la nube
es el equivalente a aquella vieja frase de “poner todos
los huevos en una sola canasta”. Dejar toda la
información en un solo repositorio representa una de
las debilidades de la excesiva confianza que tenemos
en los servicios de Cloud computing.
176
Seguridad y Conformidad
Exceso de confianza
El contenido generado por usuarios puede ser descrito
en una sola palabra: RIESGOSO. Lo normal es que las
personas utilicen máquinas y protocolos creados por
alguien más, muchas de las imágenes (o demás
instancias en otros servicios, pero igualmente creados
por usuarios) dejan muchas puertas traseras para la
fuga de información.
177
Seguridad y Conformidad
El asunto de las contraseñas en Cloud computing
Otro asunto preocupante de los servicios de
computación en nube es que, a pesar de las medidas
de protección que implementan todas las empresas,
TODA CUENTA de TODO USUARIO es sólo TAN SEGURA
COMO EL PASSWORD QUE LE CONCEDE ACCESO A
ELLA.
178
Seguridad y Conformidad
Datos Encriptados en la nube
Otra de las flaquezas (poco conocidas) de la
computación en nube es que pocas máquinas tienen
acceso a los números generados al azar que se
necesitan para cifrar información. El resultado es que la
mera naturaleza de la computación virtual hace mucho
más simple la tarea a los hackers porque les permite
adivinar con facilidad los números utilizados para
generar las llaves de cifrado.
179
Seguridad y Conformidad
Usar adecuadamente los servicios de la nube
Los servicios que funcionan a través de la nube no son
como deberían ser actualmente, pero en poco tiempo
podrán competir fácilmente con cualquier otra
plataforma. En efecto, podría llegar el día donde sean
consideradas incluso más seguras. Hasta entonces, los
usuarios deben proceder con precaución cuando se
muden a la nube. Al menos, deben hacerlo conscientes
de las capacidades Y LOS RIESGOS que ello implica.
180
Sesión 2:
Gestión de Identidades en la
Nube
181
Gestión de Identidad
Seguridad de
Servicios Web
Autorización
182
Gestión de Identidad - Retos
• Demasiados repositorios de usuarios
• Aprovisionamiento manual
• Impacto en la productividad de los usuarios
• Incremento en los costes de operaciones
183
¿Qué es Gestión de Identidad?
Sistema de procedimientos y políticas para la gestión del ciclo de
vida y los privilegios de las credenciales electrónicas
Pasaporte
Usuario/Contraseña
Foto
Smartcards
Identidad
Dirección IP
Parámetros Biométricos
184
El problema de la integración
•Autenticación
•Autorización Herramienta
Ficheros •Información
RRHH
de Identidad
•Autenticación
•Autorización Herramienta
•Información
de Identidad
Contratistas
•Autenticación
•Autorización Aplicaciones
•Información
de Identidad
Lotus
•Autenticación
Directorio Empresarial •Autorización Aplicación
•Información Infraestruc.
de Identidad
•Autenticación
•Autorización
Aplicación
•Información LDAP
de Identidad
•Autenticación Aplicación
•Autorización
•Información
Interna
de Identidad
•Autenticación Aplicación
•Autorización
•Información
Interna
de Identidad
185
Oportunidad de Mejora
•Autenticación
•Autorización
Herramienta
•Inf. Identidad RRHH
•Autenticación
Herramienta
186
Gestión de Identidad
Repositorios de almacenamiento de cuentas,
Servicios de información de identidad y credenciales de
Directorio seguridad
187
Gestión de Identidad
Aplicaciones
188
Directorio Activo
Base para la Gestión de Identidad
Usuarios deWindows Servidores Windows Clientes Windows
• Informacion de cuentas • Recursos de red • Configuración
• Privilegios • Recursos compartidos • Seguridad
• Perfiles • Impresoras • Quarentena
• Politicas • Politicas • Politicas
• Single Sign-On
Dispositivos de Red
Productos Microsoft
• Configuración
• Información de producto • QoS
• Privilegios Directorio Activo • Políticas de Seguridad
• Perfiles • Eficiencia operativa • Single Sign-On
• Politicas • Seguridad mejorada
• Implementacion automatizada • Mejoras en Productividad
• Interoperabilidad
189
Directorio Activo…
Repositorio central de usuarios, servidores y puestos
Gestión de Permite identificar de forma unívoca a cualquier
Identidad persona de la organización
Establece políticas de seguridad, validación y
autorización
Automatiza el bloqueo de sistemas Windows
Seguridad Refuerza el uso de contraseñas y credenciales
fuertes
Punto central y homogéneo de administración
190
Gestión del Ciclo de Vida
Integración y Sincronización de
Directorios
- Vista unificada del usuario
- Sincronización a nivel de propiedades
Facilidad de Despliegue
- Sistema sin Agentes
- Modo de Vista Previa
191
Federación de Identidades
192
Federación de Identidades
A. Datum Trey Research
Account Forest Resource Forest
Federation Trust
193
Unificación de Servicios
Directorio Activo
194
Resumen
• Retos:
• Demasiados repositorios de usuarios
• Aprovisionamiento manual
• Impacto en la productividad de los usuarios
• Incremento en los costes de operaciones
• Gestión de Identidad
• Sistema de procedimientos y políticas para la
gestión del ciclo de vida y los privilegios de las
credenciales electrónicas.
195
Sesión 3:
Seguridad como Servicio
196
Seguridad como Servicio
ElLa85% de del
motivación losmalware
ataques tienen
ha evolucionado
motivaciones financieras,
del reto intelectual y la protesta hace 2
a los fines económicos
años era el 50% de los ataques.
197 197
Seguridad como Servicio
CADA VEZ HAY MÁS DELITOS:
Los Hackers intentan acceder a los PCs de las empresas para robar
información confidencial y sensible o dinero.
Las nuevas amenazas como bots, phishing y contenidos maliciosos
atacan a los usuarios mientras usan internet o el correo
electrónico, y en consecuencia infecta la red corporativa.
198
Seguridad como Servicio
SITUACIÓN DEL MERCADO 60 millones
CADA VEZ HAY MÁS DELITOS
40 millones
15 Mil
X2 X10
31,05%
Malware detectado en 2009
59,53% Adware Troyano Otros
Spyware Gusano
2,93%
200
Seguridad como Servicio
LA SEGURIDAD Y LA CONTINUIDAD DEL NEGOCIO
Complejidad y gestión costosa del antimalware y antispam en el endpoint, email y tráfico web
XX
X X
X
X X X
X X
X X
X Servers
Email Servers Admin
Database Servers
201
Seguridad como Servicio
Los nuevos retos de las EMPRESAS:
La distribución de los empleados agrava los problemas de seguridad por la
ausencia de control centralizado
Las oficinas remotas requieres soluciones adicionales que provoca
un descentralización y añadir costes y mantenimiento extra
202
Seguridad como Servicio
Robo de información
Accesos
Intrusiones
desconocidos
Malware Spam
Contenidos Web
inadecuados
203
Seguridad como Servicio
CUANTO NOS CUESTA EL SPAM:
pérdida de productividad: el coste del spam, en las empresas americanas,
supone anualmente US$ 1000 por empleado
Latencia en la entrega del correo; caídas de
servidores; indisponibilidad de la red
204
Seguridad como Servicio
TIEMPO
Los antivirus tradicionales requieren mucho
tiempo y esfuerzo para las pequeñas y medianas
empresas.
COSTES
Se necesitan estructura de hardware y software
adicional, mientras que el presupuesto para IT
es ajustado.
COMPLEJIDAD
Gestión compleja que requiere de personal
dedicado y especializado, que no puede
centrarse en el negocio.
205
Seguridad como Servicio
Empresa Problemas
-Control exhaustivo de la
GRANDES seguridad y aplicación de
CUENTAS regulaciones (LOPD, PCI,
etc)
206
Seguridad como Servicio
¿QUÉ ES SaaS? Principales BENEFIOS de SaaS:
SaaS (Seguridad como Servicio)
significa entregar al cliente
aplicaciones de seguridad como
servicios on-line.
Grafico de Marketing
com definiciónServicio
de lospor Suscripción Bajo Coste
módulos Servicio hospedado Siempre actualizado
Disponibilidad 24x7 Puesta en marcha
Interfaz Web inmediata
Disponible desde
cualquier lugar, 24 x 7
207
Seguridad como Servicio
Usuarios
móviles
Oficina 2
Administrador
Oficina 1
208 208
Seguridad como Servicio
Aplicaciones SaaS en la empresa
209
Seguridad como Servicio
SaaS en seguridad
210
Seguridad como Servicio
211
Seguridad como Servicio
ADOPCIÓN DE LOS SERVICIOS GESTIONADO EN SEGURIDAD
Los servicios de seguridad gestionados (MSS), genera anualmente 4,6 billones de dólares
Forrester Noviembre 2009, Teleconference The Managed Security Services Market Landscape
Se estima que el % de la
Un 18% de los VARs, indican que
facturación de los VARs la estrategia de go-to-market para Esta evolución a un modelo orientado a
asociados a servicios el 2010 son los servicios basado en servicios se ve soportada por una mayor
gestionados pasará a ser un modelo de facturación
11,4% este año, frente al adopción de los servicios gestionado
recurrente, seguido de la mejora
8,6% del 2008 de los procesos de negocio del de seguridad por parte de las empresas.
cliente. Esto indica una cara Un 13% de su presupuesto en seguridad se
evolución hacia un modelo dedicado a estos servicios de valor añadido
Fuente: CRN 2010 State of the Market orientado a servicios Fuente: Forrester. Enterprise And SMB Security Survey, North America
And Europe, Q3 2009
212
Seguridad como Servicio
ADOPCIÓN DE SaaS EN LOS SERVICIOS GESTIONADO EN SEGURIDAD
El 78% de los principales proveedores de servicio han
adaptado ya este modelo, y ofrecen servicios de seguridad
basado en SaaS.
June 2010 Nine Lives Media Inc. MSPMentor
2008–2013
Year 2008 2009 2010 2011 2012 2013 CAGR (%)
Software 6.196,80 6.433,20 6.819,50 7.369,30 8.077,60 8.807,60 7,30
Hardware 6,40 7,30 9,20 12,30 15,40 19,20 24,60
Virtualized 3,20 10,00 23,40 38,60 85,80 191,70 126,80
SaaS 178,80 199,50 233,80 293,10 403,40 565,40 25,90
Total 6.385,20 6.650,00 7.085,90 7.713,30 8.582,30 9.583,90 8,50
Source: IDC - Worldwide Endpoint Security Revenue by Platform 2008-2013 ($M)
213
Seguridad como Servicio
ADOPCIÓN DE LOS SERVICIOS GESTIONADO EN SEGURIDAD EN ENDPOINT,
EMAIL y WEB FILTERING
Source: Forrester - The State Of SMB IT Security And Emerging Trends: 2009 To 2010
214
Seguridad como Servicio
BENEFICIOS PARA EL PARTNER
215
Seguridad como Servicio
Flexibilidad en +Adaptación inmediata al cliente tanto en licencia como en
la oferta protección
Flexibilidad
+Aprovisionamiento automático +Suscripción mensual
en facturación
216
Seguridad como Servicio
BENEFICIOS PARA EL CLIENTE
Protección robusta para tráfico email con 4 módulos
Protección anti-spam 99,9% efectividad en modo
garantizado
217
Seguridad como Servicio
+Antimalware proactivo basado +Filtrado de contendos con
Protección en la Inteligencia Colectiva variedad de reglas y opciones
Segura +Protección Anti-spam +Encriptación TLS
218
Seguridad como Servicio
Tendencia del mercado
219
Sesión 4:
Clean Pipes o Redes Limpias y
Percepción de Internet
220
Están nuestras redes limpias?
TROJANS
PHISHING BOTNETS
MALWARE
Port
DNS Scanning
ATTACKS
221
Esta es la realidad…
222
Nuevas Tendencias y Temores
Vivimos en un tiempo que nos permite estar conectados
continuamente desde casi cualquier sitio y a través de casi
cualquier dispositivo.
En el ámbito personal/residencial ha supuesto un
auténtico boom y una nueva forma de comunicación.
En el ámbito corporativo nos ha permitido ganar en eficacia, en
conciliación laboral-personal, en ahorro de costes y agilidad. Sin
embargo, también nos ha hecho estar mucho más expuestos,
provocando pesadillas nocturnas a más de un responsable de TI.
223
Nuevas Tendencias y Temores
Y es que al igual que este mundo interconectado avanza a un
ritmo vertiginoso, lo hacen las amenazas que nos acechan. Por
eso se hace imprescindible contar con soluciones que nos
permitan garantizar la seguridad de nuestra empresa en la red
de una forma sencilla.
224
Nuevas Tendencias y Temores
Por ello resulta imprescindible contar con un modelo de
Seguridad como Servicio (SaaS) que permita a las empresas
delegar en un tercero una parte de la seguridad lógica basada en
los principios cloud más puros:
• Sin inversión inicial (modelo Opex vs. Capex).
• Sin necesidad de instalación.
• De forma transparente.
• Compartiendo con otros clientes una tecnología líder
(reduciendo el coste).
• Gestionable a través de un portal web.
225
Clean Pipes
Intrusiones
Accesos
desconocidos
Robo de
información
Contenidos Web
inadecuados
Malware
Spam
226
Clean Pipes
Intrusiones
IPS
Accesos
desconocidos
Firewall
Robo de
VPN
información
Filtrado
Contenidos Web
Tráfico web
inadecuados
Antimalware
Malware
Filtrado Tráfico
Spam correo
227
Percepción de Internet
Intrusiones
Accesos
desconocidos
Robo de
información
Contenidos Web
inadecuados
Malware
Spam
228
Tipos de Ataques
Pasivos: Basados en escuchar el tráfico que circula por la red con la
intención de obtener cierta información.
• Intercepción: Se logra el acceso a una parte del sistema a la que
no está autorizado.
229
Técnicas de Ataques
230
Sniffing
El sniffing o fisgoneo se basa en escuchar los paquetes que
circulan por la red con el fin da averiguar las contraseñas de los
usuarios, o cualquier otra información transferida.
Los mecanismos para protegerse son:
• La criptografía
• Impedir que cualquier usuario no autorizado conecte un
nuevo nodo a la red
231
Spoffing
Se basa en hacerse pasar por otro para acceder a sus
privilegios. Hay varios métodos de suplantación:
Obtener la contraseña de algún usuario autorizado y hacerse
pasar por él para entrar en alguna máquina.
Suplantación de IP. En este caso se hace creer al nodo que nos
estamos conectando desde una máquina con un IP
perteneciente a otra.
Otro tipo de suplantación bastante extendido se basa en el
uso del protocolo STMP utilizado para la transferencia de
correo electrónico.
232
Rootkits
Las RootKits son un conjunto de utilidades que son de
frecuentes uso cuando un pirata ha invadido un sistema,
básicamente estas 'utilidades' le permiten controlar el
sistema sin que el administrador lo sepa, debido a que
estas utilidades sustituyen binarios originales del sistema
por otros modificados por el pirata.
Ataques de Timing
El tiempo exacto que utiliza un algoritmo para su
operación puede depender de la clave y en este sentido
brindar información sobre la clave utilizada.
233
Denegación de Servicio
(DoS, DDoS)
Un método de denegación de servicio denominado
flooding consiste en inundar la red con una enorme
cantidad de mensajes inútiles, saturando así los recursos
del servidor
234
Hijacking
El hijacking o secuestro consiste en tomar el control de una
conexión ya establecida de forma que el secuestrador
suplanta la identidad del usuario autorizado, mientras este
parece quedar “colgado”.
235
Ataques de Diccionario
Es un ataque contra las palabras de paso de usuario, ya que
muchos de ellos escogen palabras fáciles de memorizar
Ataques de Replay
En este ataque, se reenvían paquetes de información ya
encriptados y sin la necesidad de conocer la clave que se
utilizó. Si el mensaje original era pagar mil pesetas, y yo
repito este mensaje otra vez, el resultado será que la
instrucción se ejecute dos veces.
236
Medidas a tomar contra los
ataques
237