Documente Academic
Documente Profesional
Documente Cultură
Manuel Urueña
Introducción
3
“El único ordenador realmente seguro es el que está
apagado, desenchufado, encerrado en una cámara de
titanio, enterrado en un bunker rodeado de gas nervioso y
protegido por guardias bien pagados. Aún así no apostaría
mi vida en ello” - Spaf
https://en.wikipedia.org/wiki/Gene_Spafford
http://blog.jeremiahgrossman.com/
4
5
6
¿Por qué son vulnerables nuestros sistemas?
7
¿Cómo de expuesto estoy?
9
Cuidado con tu vecino…
https://blog.appcanary.com/2016/mirai-botnet-security-broken.html
http://www.pcworld.com/article/3135273/security/fridays-ddos-attack-came-from-100000-infected-devices.html
10
Privacidad e interceptación…
11
The NSA ANT catalog is a 50-page classified document listing technology available to the
United States National Security Agency (NSA) Tailored Access Operations (TAO) by the
Advanced Network Technology (ANT) Division to aid in cyber surveillance. Most devices are
described as already operational and available to US nationals and members of the Five
Eyes alliance. According to Der Spiegel, which released the catalog to the public on
December 30, 2013, "The list reads like a mail-order catalog, one from which other NSA
employees can order technologies from the ANT division for tapping their targets' data.
12
CIA malware targets iPhone, Android, Smart TVs
CIA malware targets Windows, OSx, Linux, routers
CIA 'hoarded' vulnerabilities ("zero days")
Evading forensics and anti-virus
13
14
15
16
Variedad de sistemas operativos…
17
El software no es suficiente… lo siento!!!
18
Seguridad en sistemas operativos
¿Qué tenemos
que hacer para
proteger nuestros
sistemas?
Very basic 101
19
1. Defensa en profundidad
Physical & Environmental Security Protección de activos, Sistemas de Soporte y Seguridad Perimetral
Telecommunications & Network Seguridad en capas OSI, Fundamentos de Red, Elementos de Red y
Security Conectividad
Métodos de cifrado, Cifrado Simétrico, Cifrado Asimétrico, Integridad y Tipos
Cryptography
de Ataque
Business Continuity & Disaster Medidas preventivas, Estrategias de Recuperación, Seguros, Recuperación y
Recovery Planning Pruebas
Legal, Regulations, Investigations &
Privacidad, Propiedad Intelectual, Liability, Investigaciones y Ética
Compliance
Software Development Security Ciclo de Vida, Modelos de desarrollo, Seguridad Web, Malware
Gestión de la configuración, Fuga de Información, Disponibilidad, Verificación
Security Operations
Técnica
20
2. Defensa en profundidad + Gestión de riesgos
Riesgo Inherente
Amenaza
Control
Riesgo Efectivo
21
3. Tener el sistema actualizado = SO +
aplicaciones (navegador, ofimática, codecs, …)
22
5. Política de mínimos privilegios + control de
acceso (clave, permisos, logs, procesos…)
23
¿Qué es el Control de Acceso?
24
Seguridad física
25
https://www.youtube.com/watch?v=hngTacTVT3Y
26
Modelos de seguridad
27
6. “Robustece” el software y acceso a la red
Plug-ins Navegadores, IM...: NoScript, uBlock Origin, HTTPS Everywhere, …
28
El sistema operativo no es suficiente
https://prism-break.org/es/
► Proteger los datos/comunicaciones
► Antivirus & Cortafuegos (SW o HW) → ¿son útiles?
29
Cloud Computing
Cloud Computing permite el acceso bajo demanda a través de la red a un conjunto de recursos IT
de manera configurable (por ejemplo: redes, servidores, almacenamiento, aplicaciones, servicios)
que puede ser aprovisionado rápidamente con un esfuerzo de gestión o una interacción con el
proveedor mínimas.
Características Modelos de Servicio Modelos de
Esenciales Servicios Implantación
Autoservicio bajo Negocio
demanda Servicios Cloud Privada
XaaS
Gestión y Seguridad
Everything as a Service Información
Amplio acceso a la red
SaaS Application Cloud en
Software as a Service Services Comunidad
Pool de recursos
Application
PaaS Cloud Pública
Infrastructure
Rápida elasticidad Platform as a Service
Services
System
IaaS Cloud Híbrida
Medición de Servicio Infrastructure
Infrastructure as a Service
Services
30
www.unir.net