ccs - sans 20 critical security controls asegure su empresa en 20 controles - segurinfo 2014 -...
Post on 06-Jul-2015
281 Views
Preview:
DESCRIPTION
TRANSCRIPT
Antúnez Javier Director, Porto,Trentalance, Antúnez y Asociados
Presentada por:
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
Agenda
Intro
Controles
Conclusiones
Origen
¿Por qué son útiles?
Pilares
20 controles críticos
Grupos de controles
Mitigaciones
5 quick wins
Roadmap
Intro: Abordaje actual
Aplicamos buenas prácticas
A veces a medias…
Hacemos buenas cosas
En lugar de hacer las cosas necesarias…
Muchas veces el árbol no nos deja
ver el bosque…
Intro: Abordaje actual
Tenemos demasiadas herramientas
disponibles
Lo que dificulta decidir cual utilizar 6
Intro: Abordaje actual
Puede que seamos muy exigentes en
algunos puntos…
7
Intro: Abordaje actual
… y poco exigentes en otros.
8
Origen de los controles
Surge del ámbito gubernamental
Primero corregir los males conocidos
NSA + CIS + SANS consorcio
Expansión de miembros a +100
Conocimiento agregado publico/privado
Versión 5 (revs. Cada 6/12 meses desde 2008)
Gestionado por SANS hasta 2013 (hoy por el
Council on CyberSecurity – CCS)
9
¿Por qué son útiles?
Aportantes / Consenso
Foco en acciones de alta prioridad
Casos de éxito
Adoptantes
Herramientas disponibles
Mapeo contra frameworks existentes
Mapa de ruta para mejorar la seguridad
10
Pilares
Ofensa informa a defensa
Priorización
Métricas
Monitoreo continuo
Automatización
11
20 Controles críticos
12
20 Controles críticos
13
Grupos de controles
Gestión de riesgos en activos CSC1- Inventario de dispositivos autorizados y no
autorizados
CSC2- Inventario de software autorizado y no autorizado
CSC3- Configuraciones seguras de hardware y software en laptops, workstations y servers
CSC4- Análisis y remediación de vulnerabilidades continua
CSC6 - Seguridad en Software de Aplicación
CSC7 - Control de dispositivos Wireless
14
Grupos de controles
Gestión de riesgos de usuarios CSC12- Uso controlado de privilegios
administrativos
CSC14- Mantenimiento, monitoreo y análisis de logs de auditoria
CSC15- Acceso controlado basado en el "need to know“
CSC16- Control y monitoreo de cuentas de usuario
15
Grupos de controles
Gestión de riesgos de red CSC10- Configuraciones Seguras para
Dispositivos de Red
CSC11- Limitación y Control de Puertos, Protocolos y Servicios de Red
CSC13- Defensa perimetral
CSC19 Ingeniería de red segura
16
CSC3
CSC1
Grupos de controles
Prevención y respuesta a incidentes CSC5 - Defensas contra Malware
CSC8 - Capacidad de recupero de datos
CSC9 - Evaluación de las Competencias de Seguridad y Entrenamiento Apropiado para Cubrir los Gaps
CSC17 -Data loss prevention
CSC18 -Gestión de Respuesta ante Incidentes
CSC20 - Pruebas de Penetración y Hacking Ético
17
Anatomía de un ataque actual
Identificar un objetivo
Analizar vectores de ataque
Explotación
Consolidación (upload/exec/persist)
Realizar conexiones salientes (C & C)
Reconocimiento interno
Pivot dentro de la red
Mitigación de ataques
19
5 Quick Wins
1. App white listing (en CSC2)
2. Standard, secure system configurations (en
CSC3)
3. Patchear software de aplicación dentro de las
48 horas (en CSC4)
4. Patchear software de sistemas dentro de las
48 horas (en CSC4)
5. Reducir el Nro. de usuarios con privilegios
administrativos (en CSC3 y CSC12)
20
Roadmap
1. Gap analisys inicial
2. Plan de implementación en fases
3. Primer fase
1. Mejorar el uso herramientas existentes
2. Incorporar nuevas herramientas
3. Mejora de procesos / skills
4. Integración de controles en la operación +
monitoreo continuo
5. Repetir pasos 3 y 4 para siguientes fases
21
Conclusiones
Controles prioritarios bien fundados
No abarca todos los aspectos de
seguridad punto de partida
Basado en experiencias de ataques
Conceptualización simplificada
Focalización de esfuerzos
No olvidar: Monitoreo continuo +
Automatización
22
Gracias por asistir a esta sesión…
Para mayor información:
(Javier Antúnez)
(jantunez@portoyasociados.com.ar)
Para descargar esta presentación visite
www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en
top related