Security Management. Control identity access information

(1)

Security Management

Control identity | access | information

El poder de los usuarios

privilegiados, como gestionar,

controlar su actividad y

cumplir con las exigencias

regulatorias

(2)

¿Qué representan estos números en el ámbito de la

seguridad informática?

Costo promedio de una brecha de seguridad,

por registro comprometido (2010), siendo la

negligencia la causa principal

Porcentaje de compañias comprometidas que

perdieron clientes o negocios como resultado de

una fuga de datos o brecha de seguridad

Porcentaje de todas las brechas que involucran

un mal uso de parte de usuarios privilegiados

Porcentaje de las compañías que han

experimentado fuga de datos

—Ponemon Institute

— Verizon report, 2010

— IT Compliance Institute

48%

74%

$202

87%

(3)

Los cambios de prioridad del CIO

Source: IDC IT Investment Trends 2H 2010

$268 $88 $31 $4 16.2% 19.7% 13.9% 10.5%

Secure Content and Threat Management

Identity and Access Management

Security and Vulnerability Management Software

Other Security Software Total Revenue (US$M) Growth Rate

(4)

¿Qué están haciendo los Usuarios

Privilegiados con la infraestructura y la

información de su organización?

(5)

¿Cómo aseguras lo que no puedes ver?

(6)

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

Contexto

Usuarios Privilegiados

(7)

> ¿Qué es y Porqué importa?

PRIVILEGIO

Privilegio

(8)

¿Por qué importa?

Administrador de empresa roba información

(9)

¿Por qué importa?

Errores humanos

(10)

¿Por qué importa?

Malicia, Maluso o Intención de Daño

48% of internal breaches

are from privileged user

misuse; a 26% increase

from the prior year

Source: Verizon 2010 Data Breach Report

(11)

¿Qué es el concepto de “Mal Uso” o “Malicia”?

Convención Europea de Ciber-crimen

— Ofensas contra la confidencialidad,

integridad y disponibilidad de los

sistemas de cómputo sus datos

sensitivos

− Artículo 2 – Acceso Ilegal

− Artículo 3 – Intercepción ilegal

− Artículo 4 – Interferencia de Datos

− Artículo 5 – Interferencia a los Sistemas

— Incluye acceso no autorizado a los

sistemas a nivel Administrator (root) o

nivel usuario

(12)

¿Qué son los usuarios privilegiados?

Usuario Normal

 Usuario

Normal

Es

claramente

identificado

Es

controlado

Seguridad de

la Aplicación

Seguridad

del SO

Usuario Normal

Datos,

archivos y

bitácoras

críticos

(13)

¿Qué son los usuarios privilegiados?

Root, DBA, sa, appAdmin….

>

Administrator ‘root’

 Es anónimo

 Puede

“saltarse” la seguridad aplicativa

 Puede ver y alterar datos de bases de

datos aplicativos

 Puede generar incidentes de

indisponibilidad

 Puede cambiar archivos de sistema

 Puede cambiar configuraciones al

sistema

 Puede alterar bitácoras

 Puede borrar evidencia de sus

actividades

Usuario Privilegiado

Seguridad de

la Aplicación

Seguridad

del SO

Datos,

archivos y

bitácoras

críticos

(14)

¿Qué son los usuarios privilegiados?

Virtualización: hypervisor access

La Virtualización

amplifica el problema!

Usuario Privilegiado

(15)

— ACCESO IRRESTRICTO a los

recursos

— Tipicamente por CUENTAS

COMPARTIDAS

– dificulta la

aplicación de

RESPONSABILIDADES

— AUSENCIA DE SEGREGACIÓN

de funciones

— Dificulta la INTEGRIDAD DE

TRAZAS DE AUDITORIA

— FALTA DE TRANSPARENCIA de

acesso

— VIRTUALIZACIÓN y la NUBE

amplia los problemas

— Complica el proceso de

TROUBLESHOOTING

Desafíos

(16)

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

La parte normativa y

regulatoria

Usuarios Privilegiados

(17)

Administrando el privilegio

Estándares, normas y mejores prácticas

 COBIT

 ITIL



ISO 27002 “Code of practice

for information security

management“

 Payment Card Industry (PCI

DSS)

 SOX

 Ley Federal de Protección de

Datos en Posesión de

Particulares (LFPDPD)

(18)

ISO 27002 Control de Acesos

11.2.2 Administración o Gestión de Privilegios

— Control: La asignación de privilegios de uso debe ser restringido y controlado.

— Guía de Implementación:

− Los privilegios debe ser asignados a los usuarios bajo el concepto “need-to-use”

− El proceso de autorización y registro de privilegios debe ser operado y mantenido en

todo momento

− El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar

privilegios a los usuarios debe ser promovido

− Los privilegios deben ser asignados a un “userID” distinto al usado para necesidades

normales de operación

(19)

Artículo 19 – “Todo responsable que lleve a cabo

tratamiento de datos personales deberá establecer y

mantener medidas de seguridad administrativas,

técnicas y físicas que permitan proteger los datos

personales contra daño, pérdida, alteración,

destrucción o el uso, acceso o tratamiento no

autorizado”.

Ley Federal de Protección de Datos Personales en

Posesión de los Particulares estipula:

(20)

Crear/mantener una red

segura

1. Instalar/mantener

configuraciones seguras a

los Firewalls

2. Cambiar los parámetros

default del fabricante

Proteger los datos del

tarjetahabiente

3. Proteger los datos

almacenados

4. Encriptar la información

transmitida

Mantener un programa de

Vulnerabilidades

5. Usar y tener actualizado

software anti virus

6. Desarollar/mantener

aplicaciones con sistemas de

seg.

Implementar medidas de

control

7. Restringir el acceso a los

datos bajo la premisa del

“need to know” del

negocio

8. Asignar UserIds únicos

9. Restringir accesos físicos

Monitorear y probar la red

10. Rastrear/monitorear los

accesos a la red y a los

datos de los

tarjetahabientes

11. Probar regularmente los

sistemas y procesos de

seguridad

Mantener una Política de

Seguridad de la

Información

12. Mantener una política

que atienda a la seguridad de

la información

Requerimientos específicos de la norma PCI

PCI DSS

Requerimientos específicos

7. Restringir el acceso a los

datos bajo la premisa del

“need to know” del

negocio

8. Asignar UserIds únicos

10. Rastrear/monitorear los

accesos a la red y a los

datos de los

tarjetahabientes

(21)

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

¿Qué debemos buscar

en el mercado?

(22)

“El problema es como

administrar el acceso

a los usuarios privilegiados.

No hay

“accountability"

en como es el acceso

otorgado o cuando los roles cambian dentro

de la organización. Necesitamos

automatizar

las tareas de borrado de

cambios

innecesarios e

identificar

quien autorizó los cambios.”

Los clientes declaran el siguiente problema a

resolver

(23)

Controlar el Acceso Privilegiado

23

Evaluar herramientas que

provean un control

granular de acceso de

usuarios privilegiados

lo que resulta en la

protección de servidores,

recursos de sistemas

operativos; aplicaciones

e infraestructura en

ambientes físicos o

virtualizados.

(24)

Admin de

cuentas con

password

compartido

Monitoreo,

trazabilidad y

reporteo de

actividad

privilegiada

Controles

de acceso

granulares

Admin de

passwords de

aplicativos

Autenticación

de acceso

privilegiado

Admin de

usuarios

privilegiados

en

ambientes

virtuales

Solución de

Admin de

Usuarios

Privilegiados

… una completa solución de administración de usuarios

privilegiados….

(25)

Control

Auditar

Governar

¿Qué debe contemplar una solución de este tipo?

– Force el principio del “menor de los

privilegios”

– Force el proceso de acceso

– Protega passwords compartidos y admin sus

políticas

– Soporte a plataformas heterogéneas

– Registe usuarios por su ID orginal al elevarse

sus privilegios

– Correlacione la actividad de cuentas

privilegiadas a los individuos que la usan

– Grabe y reproduzca las sesiones

– Modelado y Administración central

– Habilite a dueños de cuentas compartidas a

aprobar esos accesos privilegiados

– Cumplimiento regulatorio y normativo

(26)

Información

Protección de Recursos Identity Lifecycle Management (ILM) Admin de Cambio y Configuraciones Protección de Fuga de Información Sensitiva Seguridad aplicaciones Web

Administrando estrategicamente los riesgos de los

usuarios privilegiados

Administración de Riegos y “Compliance”

Trazabilidad y Toma de Decisiones

Auditores

LFPDPP

PCI

Auditoria

Interna

SOX

IT

Service

Management

Seguridad

Control de Accesos

(27)

Ambientes Virtuales

Administración completa de privilegios

>

Los usuarios privilegiados son

identificados

>

Los accesos privilegiados son

restringidos

>

Todos los accesos son

monitoreados en línea

proactivamente

>

Bitácoras son aseguradas y no

pueden ser alteradas

(Compliance y Auditorías)

Usuario Privilegiado

Protección de recursos del Server

(28)

Extender la seguridad a ambientes virtualizados

con capacidades muy directas

Multi-Tenancy seguro

Monitoreo de actividad de los usuarios

Segregación de Funciones

Hypervisor Hardening

Automatización de Controles: “Virtualization-Aware”

Administración de Passwords Privilegiados

(29)

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

WHEN TITLE

IS

NOT

A QUESTION

N

O

‘WE

CAN’

Casos de uso

Usuarios Privilegiados

(30)

Caso de uso 1: Control del

Login

Asegurar la apropiada autenticación y

administración de passwords de los usuarios en

todos los sistemas

— Controles aplicables:

− Todos los usuarios deben ser

identificados

− Controles de tiempo

− Host fuente identificados

− Políticas de Passwords

− Bloqueo de cuentas

(31)

Caso de uso 2: Control de Privilegios

Restringir acceso a la información sensitiva

bajo el precepto de «need-to-know»

— Controles aplicables:

− Controlar quien puede cambiar su

identidad de usuario a la de root u

otra cuenta privilegiad (su)

− Controlar que programas puede ser

ejecutados bajo una cuenta

diferente (sudo)

(32)

Caso de uso 3: Controles a directorios y archivos

Restringir acceso a la información sensible bajo el

precepto «need-to-know»

— Controles aplicables:

− Programa permitido (Allowed)

• Ejemplo: solo la aplicación de nómina puede

abrir archivos de la nómina

− Derechos de acceso condicionales

• Permite el acceso de 8 a 5, solo de Lun a

Vie

• Permite el acceso solo vía “vi”- no con

“more”

• Permite el acceso a Juan unicamente – no

con “root”

• Uso de Calendario

(33)

Caso de uso 4: Controles a directorios y archivos

Monitoreo de la integridad de archivos críticos para

alertar en línea de cualquier modificación no

autorizada sobre sistemas, directorios o archivos

críticos.

— Controles aplicables:

− Detección, en tiempo real, de cualquier

modificación a un archivo

• Incluyendo atributos extendidos del

archivo attributes

− Deshabilita permiso de ejecución de

archivos “no confiables” o desconocidos

− Prevenir cambios a bitácoras

− Envió de alertas a sistemas de Mesa de

Ayuda, SMS, email

(34)

Caso de uso 5: Control de procesos

Asegurar trazas de auditoría para que no

sean alteradas

— Controles aplicables:

− Restringir quien puede detener o parar

un proceso daemon

• Ejemplo: para un Web server, solo las

cuentas sysadmin y webmaster tienen

acceso, root no

(35)

Caso de uso 6: Análisis y consolidación de eventos

de seguridad

Registrar y monitorear todos los accesos a los

recursos críticos

— Controles aplicables:

− Recolección de eventos “Cross-Platform”

− Análisis inteligente de Datos y sistema de

alertamiento

− Repositorio centralizado de reportes para

cumplimiento regulatorio

(36)

Concluyendo

¡control donde lo necesitas!

Controles

Especializados

Controles

Estandard

High Risk

UNIX/Linux

High Risk

Windows

Low Risk

Servers

Routers

Switches

Amplitud de cobertura de infraestructura de TI

Databases Aplicacion

es

Apoyarse de herramientas que

proveean control granular de los

accesos de los usuarios

privilegiados para proteger los

servidores, su SO y sus

recursos, aplicativos e

infraestructura ya sea en

ambientes físicos o virtuales.

Reporte de

Accesos

Admin de

Usuarios

Privilegiados

Autenticación

Linux/Unix

Control de

Acceso a Host

s

(37)

Security Management

Control identity | access | information

Gracias

Ernesto Pérez, CISSP,

CISM

Sr Solution Strategist

[email protected]

Ca Technologies