curso bÁsico de ciberdefensa material de autopreparación
TRANSCRIPT
Prof. Lic. Marisa Andrea Malvaso 1
CURSO BÁSICO DE CIBERDEFENSA
Material de Autopreparación
▪ Conceptos básicos de Seguridad de la Información (SI)
▪ Historia y Actualidad
▪ Vulnerabilidades
Contenido
Prof. Lic. Marisa Andrea Malvaso
Conceptos básicos de Seguridad de la Información
Definiciones y GeneralidadesControl de Accesos
Prof. Lic. Marisa Andrea Malvaso
C I A
¿Cómo garantizar la seguridad de un sistema?– DESCONECTÁNDOLO DE LA RED
Objetivos de seguridad en un entorno de información:– CIA
▪ Confidencialidad
▪ Integridad
▪ Disponibilidad
– Resiliencia
Seguridad de la Información:– Se logra implementando los controles adecuados
– Considerar los requerimientos de seguridad
– Factor tiempo
Prof. Lic. Marisa Andrea Malvaso 4
Seguridad Informática
Prof. Lic. Marisa Andrea Malvaso 5
Identificación y Autenticación
Identificación: ¿quién soy?– Características de las identidades digitales
– Concepto de identidades federadas
Autenticación: soy quien digo ser– Factores:
▪ Algo que sé
▪ Algo que tengo
▪ Algo que soy
▪ Por contraseñas
▪ Por contraseñas de única vez (OTP)
▪ Claves criptográficas
▪ Biometría
Prof. Lic. Marisa Andrea Malvaso 6
Autenticación
▪ Seguridad limitada: usuario, administrador, sistema
▪ Parámetros de seguridad a considerar
▪ Almacenamiento seguro
▪ Ataques a las contraseñas:– Monitoreo electrónico
– Acceso a los archivos de contraseñas
– Ataques de fuerza bruta
– Ataques de diccionario
– Ingeniería social
– Tablas rainbow
Prof. Lic. Marisa Andrea Malvaso 7
Autenticación: contraseñas
▪ One-time passwords (OTP)
▪ Utilización de Tokens:– Dispositivos sincrónicos vs. asincrónicos
Prof. Lic. Marisa Andrea Malvaso 8
Autenticación: contraseñas de única vez
Token sincrónico
Token asincrónico
▪ Concepto de clave pública y clave privada
▪ Firma digital adjunta a un mensaje– Cifrar el hash de un mensaje con una clave privada
Prof. Lic. Marisa Andrea Malvaso 9
Autenticación: claves criptográficas
TEXTO PLANOTEXTO CIFRADO
TEXTO PLANO
CRIPTOSISTEMA CRIPTOSISTEMA
CLAVE PÚBLICACLAVE PRIVADA
CIFRADO
TEXTO PLANOTEXTO PLANO +FIRMA DIGITAL
TEXTO PLANOCRIPTOSISTEMA CRIPTOSISTEMA
CLAVE PRIVADA CLAVE PÚBLICA
HASH DEL TEXTO PLANO
HASH DEL TEXTO PLANO
HASH DEL TEXTO PLANO
FIRMA DIGITAL
Autenticación: biometría
▪ Tipos– Huellas dactilares
– Exploración de palma
– Geometría de mano
– Exploración de retina
– Exploración de iris
– Dinámica de la firma (velocidad y escritura)
– Dinámica de tipeo en el teclado
– Impresión de voz
– Exploración facial
– Topología de mano
▪ CER (Crossover Error Rate)– Errores de TIPO I
– Errores de TIPO II
Prof. Lic. Marisa Andrea Malvaso 10
▪ Utilización de dos o más factores– Desventajas de cada factor
Prof. Lic. Marisa Andrea Malvaso 11
Autenticación fuerte
ALGO QUE SE
ALGO QUE TENGO
CREDENCIAL
ALGO QUE SE
ALGO QUE SOY
CREDENCIAL
▪ Autorización: ¿qué puedo hacer?– Por defecto: nada
– Matriz de Control de Accesos
– Criterios de accesos reforzados a través de:
▪ Roles
▪ Grupos
▪ Ubicación
▪ Tiempo
▪ Tipo de transacción
– Principios importantes:
▪ Segregación de Funciones
▪ Necesidad de Conocer (menor privilegio)
Prof. Lic. Marisa Andrea Malvaso 12
Autorización
▪ Registro de eventos: ¿qué hice mientras estuve dentro del sistema?– Trazabilidad de transacciones
– Registros de Auditoría
– Herramientas a utilizar en diferentes sistemas:
▪ Sistemas operativos
▪ Equipos de conectividad de red
▪ Bases de Datos
▪ Dispositivos de seguridad
▪ Aplicaciones
– Sincronización de eventos
– Correlación de eventos
Prof. Lic. Marisa Andrea Malvaso 13
Registro de Eventos
▪ Desafíos a considerar: – Identificar unívocamente a cada persona
– Otorgar, modificar y revocar accesos
– Múltiples identificadores vs. SSO
– Ciclo de vida de las identidades digitales
– Auditoría y monitoreo de identidades digitales
Prof. Lic. Marisa Andrea Malvaso 14
Gestión de Identidades
▪ Primer línea de defensa
▪ Modelos de control de acceso:– Discrecional (DAC)
– Mandatorio (MAC)
– Basado en Roles (RBAC)
Prof. Lic. Marisa Andrea Malvaso 15
Proceso de Control de Acceso
Identificación•Nombre de
usuario
•DNI
Autenticación
•Contraseña
•OTP
•Clave criptográfica
•Biometría
Autorización
•Matriz de roles
•Grupos
•Permisos individuales
Registro de Eventos
Historia y Actualidad
HackersIngeniería Social
Prof. Lic. Marisa Andrea Malvaso
▪ Originalmente:– Experto técnico apasionado que ignora las reglas
▪ Evolución de la terminología:– Experto técnico apasionado que descubre y explota vulnerabilidades en un
sistema de cómputo o red
Prof. Lic. Marisa Andrea Malvaso 17
Hackers
WHITE HAT
BLACK HAT
Ethical hacking…
▪ Nos tomamos unos 10 minutos para ver lo que se viene en acción…– Mr Robot – Cap 5 - minuto: 4:45
Prof. Lic. Marisa Andrea Malvaso 18
Actualidad
Se define Ingeniería Social de varias formas.
Interesa en este caso en el contexto de reducir la explotación de las brechas de seguridad.
La seguridad de la información es sólo tan fuertecomo el lugar más débil donde la misma se guarda o se utiliza.
Si alguien gasta todos sus esfuerzos por ingresar a los sistemas, o vulnerar un perímetro de seguridad, y no puede porque utilizan fuertes medidas de seguridad tecnológica, atacará a los individuos que usan los sistemas para escalar privilegios y llegar a los sistemas objetivo.
Prof. Lic. Marisa Andrea Malvaso 19
Ingeniería Social
▪ Explota vulnerabilidades de naturaleza humana: técnicas de manipulación.
▪ Se obtiene la mayor cantidad de información posible de diferentes medios.
▪ Explota las siguientes características:– Ausencia de conocimiento de clasificación de información
– No aplicación de “necesidad de conocer”
– Privilegios excesivos (control de accesos)
– Mala gestión de identidades digitales
– Ausencia de entrenamiento y conciencia de seguridad
Prof. Lic. Marisa Andrea Malvaso 20
Características
Haciendo foco en aquellas que extienden los métodos tecnológicos:
▪ Intervención en procedimientos de reseteo contraseñas
▪ Encuestas sobre normas técnicas y productos utilizados
▪ Perfiles falsos de redes sociales
▪ Ataques de phishing extendidos (spear phishing)
▪ Enfocarse en organizaciones externas al foco de ataque (caso RSA)
Prof. Lic. Marisa Andrea Malvaso 21
Estrategias de ataque de SI
▪ Políticas de Seguridad– La importancia de las políticas de seguridad
– La importancia de la comunicación de las mismas
– Políticas de seguridad fuertes
▪ Desde el punto de vista de especificaciones técnicas
▪ Seguir estándares:– ISO/IEC 27002:2013
▪ Cláusula 7: Seguridad de los Recursos Humanos (programas de concientización)
▪ Cláusula 11: Seguridad física y ambiental
▪ Cláusula 12: Seguridad de las operaciones (backup, antimalwares,…)
▪ Cláusula 15: Relación con los proveedores
Prof. Lic. Marisa Andrea Malvaso 22
Algunas Estrategias de Protección para SI
Tres objetivos:
1. Medir la postura de seguridad de la organización y cuán simple es ganar acceso no autorizado a los recursos.
2. Medir la efectividad de la ejecución de un plan de concientización de usuarios u otras intervenciones que se hayan realizado para mejorar la seguridad.
3. Mejorar el conocimiento técnico del personal de TI de la organización que haya sido designado para realizar la evaluación.
Prof. Lic. Marisa Andrea Malvaso 23
Evaluación Interna de SI
Vulnerabilidades
Definiciones y Gestión de RiesgosMalwaresAPTs
Prof. Lic. Marisa Andrea Malvaso
RIESGO
Términos clave:
– Vulnerabilidades
– Amenazas
– Factor de amenaza
– Factor de Exposición
– Impacto
Prof. Lic. Marisa Andrea Malvaso 25
Definiciones
Amenazas y Vulnerabilidades
AMENAZAS
▪ Naturales:– inundaciones, incendios del entorno, ciclones,
lluvia/granizo, plagas, terremotos.
▪ Accidentales: – incendios provocados por el hombre, agua,
daño/derrumbe de edificio, pérdida de servicios públicos, fallo en los equipos.
▪ Físicas Premeditadas: – bombas, incendios premeditados, agua, robo.
▪ Intangibles premeditadas: – fraude, espionaje, intrusos (hackers), robo de
identidad, código malicioso, ingeniería social, ataques por phishing, ataques de negación de servicios.
VULNERABILIDADES
Prof. Lic. Marisa Andrea Malvaso 26
▪ Software defectuoso
▪ Equipo configurado de forma defectuosa
▪ Equipo configurado de forma inapropiada
▪ Supervisión de cumplimiento inadecuada
▪ Diseño deficiente de redes
▪ Procesos defectuosos o incontrolados
▪ Gestión inadecuada
▪ Personal insuficiente
▪ Falta de conocimiento para brindar soporte a usuarios o ejecutar procesos
▪ Falta de funcionalidad en la seguridad
▪ Falta de mantenimiento apropiado
▪ Elección ineficiente de contraseñas
▪ Tecnología no probada
▪ Transmisión de comunicaciones no protegidas
▪ Falta de redundancia
▪ Comunicaciones gerenciales deficientes
DEFINICIÓN
▪ Software malicioso (incluyendo virus, troyanos y gusanos) que han sido desarrollados para atacar, quebrantar y/o comprometer otras computadoras o redes.
▪ Generalmente tienen un payload de instrucciones que le dicen al sistema qué hacer luego de haber sido comprometido
▪ Los exploits son componentes de los malwares, ya que son piezas de software que permiten abusar de vulnerabilidades específicas con una finalidad posterior.
Prof. Lic. Marisa Andrea Malvaso 27
MALWARES
APT: grupo de actores hostiles que realizan campañas coordinadas y extendidas en el tiempo para alcanzar un objetivo que satisface un propósito ofensivo– No es un malware– No es un conjunto de malwares– No es una actividad única...
▪ Múltiples fases:– Objetivo / orientación– Acceso / compromiso– Reconocimiento (descubrimiento)– Movimiento lateral– Recolección de datos y exflitración– Administración y mantenimiento
Prof. Lic. Marisa Andrea Malvaso 28
APTs
Sin prevención no hay seguridad…
Prof. Lic. Marisa Andrea Malvaso 29
Consultas:
Información adicional:
Material para estudio -guia (1.1.4 y 1.1.5)
Prof. Lic. Marisa Andrea Malvaso 30