segurinfo 2010 - defensa en profundidad
TRANSCRIPT
![Page 1: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/1.jpg)
organizado por:
1
VII Congreso Internacional de Seguridad de la Información“LA SEGURIDAD AGREGA VALOR”
10 Y 11 DE MARZO DE 2010 – SHERATON HOTEL - BUENOS AIRES - ARGENTINA
Estrategias de defensa en profundidad para ISPs y Datacenters
![Page 2: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/2.jpg)
Gabriel MarcosDatacenter, Security & Outsourcing
Product ManagerGlobal Crossing LATAM
2
Presentada por:
LOGOde la
EMPRESA
VII Congreso Internacional de Seguridad de la Información“LA SEGURIDAD AGREGA VALOR”
10 Y 11 DE MARZO DE 2010 – SHERATON HOTEL – BUENOS AIRES - ARGENTINA
![Page 3: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/3.jpg)
Aclaración:
© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.
![Page 4: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/4.jpg)
Agenda
El punto de vista del ISP / Datacenter
Modelo general del ISP/Datacenter
Complejidad, Riesgos, Desafíos Qué es “defensa en
profundidad”? Ventajas / Implementación Mitos falsos y verdaderos Recomendaciones
4
![Page 5: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/5.jpg)
Punto de vista del ISP/Datacenter
Tantos los ISP como los Datacenters son casos particulares:
En general, los modelos están orientados a una organización “stand-alone”
Prestar servicios implica complejidad adicional
Algunos fabricantes de tecnología tampoco consideran estos requerimientos
Hay mucho know-how en el mercado pero está orientado a las empresas
5
![Page 6: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/6.jpg)
Punto de vista del ISP/Datacenter
Ejemplos (mediciones propias): 300.000 eventos críticos por día
(IDS/IPS) 80 Tbytes de logs por año (¡sólo
FWs!) SPAM: 100% CAGR (2006 – 2009)
Base: 4.000.000 por mes Virus: 200% CAGR (2006 – 2009)
Base: 2.500.000 por mes POPs: 600 (¡sólo los propios!)
6
![Page 7: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/7.jpg)
Modelo general de ISP/Datacenter(solamente redes, sin seguridad)
7
Internet ISP
Datacenter
Cliente A Cliente BISP(Red Interna)
Datacenter(Red Interna)
Backbone
Perímetro
Red Interna
Servidores en DatacenterPublicación de serviciosDisaster recoverySistemas críticos
SucursalesUsuariosServidores internosIntranet
Empleado
Externo
Desconocido
![Page 8: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/8.jpg)
Punto de vista del ISP/Datacenter
Complejidad: Múltiples perímetros Simultaneidad de políticas y
regulaciones Protección “todos contra todos” Gestión centralizada Distribución de la arquitectura Integración con terceros
8
![Page 9: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/9.jpg)
Punto de vista del ISP/Datacenter
Riesgos: Gran ancho de banda +
interconexión: alcance de los ataques
Economía de escala para el atacante Compliance por cliente Sin estandarización en las topologías Falta de visibilidad y control
9
![Page 10: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/10.jpg)
Punto de vista del ISP/Datacenter
Desafíos:Plataforma de base no intrusiva
Servicios escalablesFlexibilidad en complianceGranularidad por cliente
Concientización Múltiples tecnologías
Service Level Agreements10
![Page 11: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/11.jpg)
Qué es “defensa en profundidad”?
Defensa en profundidad: Es un modelo conceptual para
diseñar un sistema de seguridad. La infraestructura está formada por
capas interconectadas. Cada capa o “layer” utiliza controles
y medidas de seguridad específicas.
11
![Page 12: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/12.jpg)
Qué es “defensa en profundidad”?
12
Políticas y procedimientos
Seguridad física
Perímetro
Redes
Hosts
Aplicaciones
Datos
De
talle
téc
nic
oC
om
ple
jida
d
![Page 13: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/13.jpg)
Qué es “defensa en profundidad”?
Ventajas: Múltiples barreras: disuasión Reducción del alcance del ataque Medidas y controles específicos Implementación a partir de políticas Análisis de riesgo por capa Certificación
13
![Page 14: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/14.jpg)
Políticas y procedimientos
Referencia normativa: ISO 27001
Referencia metodológica: ITIL Definición de objetivos
medibles ROSI (Return on Security
Investments) Tablero de control Compromiso de la Dirección Análisis de riesgos
14
![Page 15: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/15.jpg)
Políticas y procedimientos
Ejemplos: Política Corporativa Políticas del Datacenter Políticas de Uso Aceptable Leyes y regulaciones nacionales Leyes aplicables a Clientes
Corporativos Normativas aplicables al Gobierno
15
![Page 16: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/16.jpg)
Mitos falsos
Implementar ITIL requiere contratar más de 40 personas
(FALSO) Los roles no representan personas, sino responsabilidades.
La mejor forma de controlar, es filtrar (FALSO) Seguridad es Disponibilidad!
Hay que guardar todos los logs (FALSO) El análisis es más importante que la
conservación.
16
![Page 17: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/17.jpg)
Mitos falsos
La seguridad requiere muchísima inversión
(FALSO) La inversión está en función del riesgo. ¿Quién nos va a querer atacar, si no somos
un banco? (FALSO) La marca tiene un valor económico, y es lo
más importante! Hasta ahora no sufrimos ningún ataque…
(FALSO) Los ataques modernos están pensados para no ser detectados y perdurar en el tiempo.
Ya dimos una capacitación a los técnicos (FALSO) La concientización incluye la capacitación,
dentro de un proceso continuo, para toda la organización.
17
![Page 18: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/18.jpg)
Seguridad física
Definición de perímetros Controles de acceso
biométricos Manejo de inventarios:
Software Hardware Licencias Personas Información
18
![Page 19: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/19.jpg)
Perímetro
Filtrado por etapas: Mayor volumen -> menor precisión “del Router al UTM”
Balance de tecnologías: Más servicios -> menos detalle Más especialización -> menor ROI
19
![Page 20: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/20.jpg)
Redes
SIEM (Security Information Event Mgmt):
Almacenamiento Correlación Análisis Decisión Acción
Seguridad para redes Wi-fi
20
![Page 21: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/21.jpg)
Hosts
Protección de accesos remotos: SSL VPN Client-to-site
Endpoint protection: Remotos Red interna PDAs Terceros
21
![Page 22: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/22.jpg)
Aplicaciones
Seguridad desde el desarrollo! Quality Assurance Análisis técnicos:
Vulnerability assessment: Por tecnología Por aplicación
Penetration test Hardening
22
![Page 23: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/23.jpg)
Datos
Asignación de responsabilidades por la información:
Confidencialidad Integridad Disponibilidad
Registros (¡no logs!) Auditorias
23
![Page 24: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/24.jpg)
Mitos verdaderos
Para implementar seguridad es imprescindible el apoyo de la dirección
(VERDADERO) La mejor forma de controlar, es conseguir
compromiso del usuario (VERDADERO)
La seguridad es una ventaja competitiva (VERDADERO)
Se habla de seguridad, pero se trabaja sobre el riesgo
(VERDADERO)
24
![Page 25: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/25.jpg)
RecomendacionesISO 27001
25
A5 / A14 / A16
A7 / A9
A11
A10
A10
A12
A6 / A8 / A13
Cláusulas:4, 5, 6, 7, 8
(Information Security
Management System)
![Page 26: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/26.jpg)
Recomendaciones
Pensar en seguridad desde el inicio de cualquier proyecto (CIO + CISO)
Agregar componentes solamente si se los puede monitorear
Primero medir el riesgo, para después invertir, y verificar la efectividad
Aplicar las normas y metodologías disponibles
26
![Page 27: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/27.jpg)
Gracias por asistir a esta sesión…
27
Preguntas yRespuestas…
![Page 28: Segurinfo 2010 - Defensa en profundidad](https://reader035.vdocuments.net/reader035/viewer/2022062514/559134c31a28abae628b4800/html5/thumbnails/28.jpg)
Para mayor información:
Gabriel [email protected]
http://blogs.globalcrossing.com
Para descargar esta presentación visite www.segurinfo.org
28Los invitamos a sumarse al grupo “Segurinfo” en