Gestión de Identidad y Acceso de Usuarios:

Por qué el hacker NO es su peor enemigo

Resumen

Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados son responsables de la mayor parte de violaciones de seguridad de la red. Mientras muchos adminstradores de sistemas se preocupan de hackers foráneos, los usuarios internos constituyen la verdadera amenaza de la que debieran preocuparse. Permisos de acceso inapropiados y la falta de una arquitectura de gestión de identidad crean un ambiente donde el hacker no es tema, pero los usuarios internos tienen acceso ilimitado.

El propósito de esta presentación es mostar:

- Cuál es la percepción de la seguridad en la economía interconectada de hoy;

- Cómo identificar soluciones tecnológicas para proteger a su empresa y salvaguardar información de personas, tanto dentro como fuera de la red, y mantener un ambiente laboral abierto.

Agenda

Revisaremos los siguientes temas:

– El ambiente actual de seguridad informática – Identificar las causas de los riesgos reales de

seguridad de información– Olvidar a Kevin Mitnick y darse cuenta del problema

real de abuso interno de los sistemas

Puntos Clave a Recordar

La seguridad no es software o hardware, sino personas, políticas y procesos.

Aunque la mayoría de los ataques proviene del exterior, los más dañinos se originan dentro de la organización.

El Estado Actual de la Seguridad Informática Empresarial

La Tecnología Cambió

Conocemos los riesgos, hemos visto los gráficos y estadísticas – Encuestas y estudios CSI, Gartner, E&Y, PwC, Information Week,

US GAO, etc. reafirman la conclusión que las amenazas están aumentando, y los ataques vienen de adentro.

Internet ha transformado la infraestructura de las TI La gran mayoría de las empresas cuentan con algún tipo

de conexión pública externa La conectividad a través de Internet, intranets, extranets,

WAN y VPN ofrecen múltiples beneficios, pero también conllevan riesgos de seguridad

El lenguaje de Internet es TCP/IP. Pero la seguridad no fue incorporada a TCP/IP hasta la versión 6 <1998>

Considerando que más del 95% de Internet usa TCP/IP v4, fue construido con y corre sobre una infraestructura insegura

El Ambiente Actual de Seguridad Informática

Las redes corporativas son complejas en extremo, y continúan creciendo en complejidad. Consideremos un departamento informático típico y sumemos sus: Proveedores de hardware Topologías y protocolos de red Sistemas operativos; Bases de datos y software estándar Aplicaciones desarrolladas a medida Empleados, consultores, contratistas y socios de negocio

Tratemos de integrarlas en forma segura– Si la seguridad no fue considerada en la arquitectura original del

sistema, ¿cómo esperamos que la seguridad informática sea efectiva?

Se está invertiendo más en seguridad de sistemas informáticos– Pero los sistemas se tornan más complejos, y los sistemas

complejos son mucho más difíciles de asegurar.

La Realidad

Todas las redes corporativas tienen firewalls Algunos firewalls son poco más que un mecanismo para

frenar el desempeño de la red Los cortafuegos son una efectiva herramienta de

seguridad alrededor del perímetro de la red – pero qué pasa con el tráfico dentro de la red, cómo se protege?

El daño significativo es ocasionado por usuarios con acceso a la red– Los externos haquean páginas web y causan daño vandálico; los

internos: Roban secretos industriales, venden información confidencial, I+D,

adquisiciones, info de recursos humanos y demás propiedad intelectual Cuentan con el tiempo y confianza interna para acceder y revisar sistemas

Abuso de Usuarios Internos

La distribución incontrolada de información, combinado con una infraestructura que permite el acceso no gestionado a la información creo múltiples oportunidades para abuso

A veces es más fácil transferir múltiples gigas de información de una red corporativa que obtener un nuevo cartucho de toner para la impresora

La mayoría de los ataques a las redes vienen de afuera

Pero los más dañinos son originados de adentro

Historias de Horror

Tim Lloyd/Omega Engineering– Borró decenas de megabytes de información de producción, ingeniería y

manufactura– Hasta el día de hoy, Omega aún no se ha recuperado de este incidente

ocurrido en 1996– Lecciones aprendidas: Falta de controles y chequeos, separación de roles,

manejo inadecuado de empleado deshonesto.

NetSupport– Gerente de ventas ofreció vender la lista de clientes a dos competidores de la

empresa– Lecciones aprendidas : Control de acceso, monitoreo de acciones de

empleados

Robert Hanssen/FBI– Vendió documentos clasificados, detalles sobre fuentes de inteligencia

americana y operaciones de espionaje electrónico por $1,5 millones– Lecciones aprendidas : Falta de controles y chequeos, separación de roles. La

gerencia del FBI no consideró una amenaza interna hasta que ya se había causado daño importante.

Historias de Horror

Milo Nimori– Director de Seguridad del Barnes Bank of Utah– Miembro del comité de seguridad de la Asociación de

Banqueros de Utah– Asaltó numerosos bancos en Salt Lake City

Como olvidar a Kevin Mitnick

o Dejemos de Vivir en el Pasado

Control de Seguridad #1

Por un punto, ¿cuál es el origen del nombre Giga (Giga Information Group)?– Gideon Gartner

Por 10 puntos, ¿quién es Kevin Mitnick?– Criminal computacional, famoso hacker

Por 100 puntos, nombre un producto de Checkpoint Systems– Checkpoint Systems fabrica productos de protección y

seguimiento para la industria retail. www.checkpointsystems.com NYSE: CKP

– Check Point Software Technologies es una empresa de software de seguridad Internet. www.checkpointsystems.com NASDAQ: CHKP

Control de Seguridad #2

Por 1000 puntos, ¿quiénes son las personas en su organización que representan una amenaza directa a la seguridad, tecnología, relaciones públicas, productividad y utilidades de su empresa? – Si no sabe, o no tiene un perfil del tipo de estos

usuarios, está garantizado que su empresa será víctima de algún tipo de crimen informático

La Obsesión con el Hacker

Los medios, e incluso muchos profesionales de seguridad, están obsesionados con el trístemente célebre hacker Kevin Mitnick. Pero mientras las empresas y los medios están ocupados preocupándose por casos como Mitnick, se vuelven complacientes respecto a la verdadera amenaza a la seguridad de la información: los usuarios internos

Si bien genera más empatía y autoestima pensar en hackers en países lejanos accesando nuestros sistemas en la mitad de la noche, la realidad es que la mayor parte de los compromisos a la información son causados por usuarios internos durante el horario hábil de trabajo.

La Obsesión con el Hacker

Los medios dan una vitrina desmedida a los incidentes de seguridad

Piensan que los hackers son todos genios– La mayoría sabe ejecutar scripts y son genios en bajar cosas de

la red

Ignoran los verdaderos problemas y se concentran en lo glamoroso que genera ratings y vende diarios

Fue el New York Times que hizo de Kevin Mitnick un hacker célebre

Hackers no han causado la muerte de ninguna empresa; los ataques de usuarios internos en cambio sí

Abuso Interno

Abuso Interno

Uno no puede pensar que las amenazas del mundo físico no se traspasan al mundo digital

El robo es un problema gigantesco en la industria del retail– Un problema aún más grande es el hurto por parte de empleados

El espionaje corporativo es un tremendo problema en las industrias farmacéuticas y de manufactura– Un problema mayor es el uso indebido de información propietaria por parte de

empleados

– Tras cada caso de espionaje corporativo hay abuso interno

Como promedio, el usario autorizado a la red puede acceder 20 – 50 veces más recursos de los que requieren para ejecutar su labor. – Este nivel de acceso abierto a las redes, combinado con seguridad no (o mal)

implementada, es la razón por la cual usuarios internos son responsables por la mayoría de incidentes de seguridad en la red

Abuso Interno

El 70 % de los incidentes de seguridad que arrojan pérdidas a la empresa (en contraste a aquellos que “sólo” son molestos) involucran a usuarios internos. Las empresas deben encontrar el punto de equilibrio entre acceso interno libre y una seguridad asfixiante que perjudica el negocio. Este equilibrio se puede lograr implementando políticas basadas en “necesidad de saber”.

Arquitecturas centralizadas de gestión de acceso deben ser usadas para otorgar acceso a servidores y bases de datos sólo a aquellos empleados que lo requieren por motivos legítimos de trabajo.

“Herramientas de auditoría y reporte deben ser usadas para revisar acciones de escalamiento de acceso”

– High – Profile Thefts Show Insiders Do the Most Damage, John Pescatore, Gartner

“Montañas de dinero se gastan en corta-fuegos, software anti-virus y sistemas de detección de intrusos para detener los ataques en la puerta de entrada. Pero son los empleados de las empresas los que representan una amenaza mayor a las empresas, sus datos y bienes.”– CSI: Examining threats from inside the firewall

Abuso Interno

Lectura o copia no autorizada, divulgación de información sensitiva

Ejecución de ataques de denegación de servicio Infección de virus, gusanos u otros programas

malignos en sus sistemas Destrucción o corrupción de data (intencional o por

error) Exposición de información sensitiva debido a mal

etiquetado o manejo de impresiones

¿Por Qué Ocurre Esto?

Reducciones Corporativas/Downsizing– “Ira del Ex –” es un tema candente para psicólogos industriales

Sueldos estancados Promociones no recibidas Discriminación/abuso sexual o NSE ¿Qué ocurre cuando encuentran nuevo trabajo? ¿Qué pasa si el nuevo empleador es competencia?

Todos estos temas deben ser manejandos proactivamente

El Foco

El foco debe estar sobre las verdaderas amenazas:

Prepararse para el 99% del lo real, y no el 1% de lo teórico

Tomar decisiones racionales y prácticas No dejarse influenciar por reportes alarmistas

Análisis de Riesgo

La mayoría de la gente no entiende la naturaleza del riesgo

La seguridad informática funciona en un vacío si no cuenta con análisis de riesgo. Debe ser ejecutada en el contexto de gestión de riesgo– No se puede eliminar el riesgo...sólo se gestiona.– De la misma manera, no se puede eliminar el crimen, sólo se gestiona.

Una evaluación y análisis de riesgo efectivas aseguran que estamos preocupados de los temas importantes

Si bien la mayoría de las amenazas son internas, no olvidar que el personal interno es nuestro mayor aliado

Gestión del Riesgo

Una gestión efectiva de riesgo reduce el riesgo de abuso de sistemas y ayuda en detectar y documentar eventuales casos de fraude

Una estrategia efectiva de gestión de riesgo involucra dos fases:

1. Identificar y resolver debilidades de seguridad:- Monitorear sistemas informáticos en busca de vulnerabilidades- Desarrollar sistemas “duros”- Implantar políticas de uso permitido- Programa contínuos de capacitación

2. Implantar resguardos o detectar ataques:- Controles de Acceso (monitores de control de acceso, políticas de

autorización, etc.) - Filtros (firewalls, filtros web)- Detección de mal uso (logs de auditoría, detección automática, monitoreo de

sistemas, protecciones anti-virus y anti-spyware)

Factores de Riesgo

Comportamiento Humano Limitaciones Técnicas Gestión de seguridad

– Seguridad Informática aún se encuentra en pañales– Falta de experiencia de mundo entre profesionales de

seguridad informática

El Ser Humano como Factor de Riesgo

Ingenuidad – Chat– Active X– La Tecla Delete– Windows Explorer

Negligencia Errores involuntarios Ataques maliciosos de haqueo Venganza

– Riesgo de personas maltratadas

Codicio– Riesgo de aquellos de trabajan demasiado, reciben muy poco y en

general sienten que merecen más

Factores Técnicos de Riesgo

Bugs y puertas traseras Funcionalidad de seguridad insuficiente Seguridad física

– Cada sistema operativo en red: NetWare, Windows NT/2000/XP, Linux, y Unix; el cimiento de la arquitectura de seguridad debe ser el fierro

Factores de Riesgo en Gestión de Seguridad

En general, las empresas adolecen de:

Conocimiento y capacitación técnica Conocimiento y capacitación en seguridad Seguridad como fundamento Awareness Políticas y procedimientos Falta de tiempo y recursos apropiados Información Control y administración centralizados

Gestión de Identidad y Control de Acceso

El pilar de la seguridad informática

Control de Acceso

El derecho de usar o acceder a un objeto en un sistema

Necesitamos control de acceso por las mismas razones que tenemos candados y chapas en nuestras casas y autos

El acceso a menudo se controla mediante un Access Control List (ACL), una tabla que indica al SO que derechos de acceso cada usuario tiene a un objeto determinado– El ACL a menudo tiene diferentes implementaciones en

cada SO El ACL contiene un registro por cada usuario del sistema, con

los privilegios de acceso. Los privilegios más comunes son lectura de un archivo (o directorio), escritura de archivo, y ejecución de archivos.

En general, el administrador del sistema o el dueño del objeto controlan el ACL del objeto.

Gestión de Identidad

Problema – Tantos sistemas y redes, con tantas cuentas de usuarios. Es imposible de controlar sin alguna herramienta de software

Gestión de indentidad es una extensión de autenticación– CA define la gestión de identidad como la administración

de usuarios y su acceso seguro a los sistemas de la corporación

– Se logra a través de provisionamiento, SSO (Single Sign-on), autenticación y directorios

– Por ejemplo: eTrust Identity and Access Control Management Suite

– Otras soluciones: Netegrity, Oblix, Access360/Tivoli

Cambiar el Foco de Seguridad Informática al

Interior de la Empresa

Foco Interno de Seguridad Informática

Considerando todo los factores de riesgo mencionados, para que la seguridad informática sea efectiva debe tener la misma visibilidad y prioridad corporativa que políticas de acoso sexual– Políticas de acoso sexual se definen como consecuencia del

alto nivel de riesgo a la organización en caso de acción judicial

No obsesionarse con hackers remotos, preocuparse de las amenazas locales

Reconocer que la seguridad informática es un proceso– No hay seguridad mágica

Controles

Información confidencial debe ser identificada, priorizada y sus derechos de acceso controlados

Políticas y procedimientos deben ser revisados y actualizados

Tales controles deben ser implentados usando software adecuado– Monitoreo en tiempo real y mecanismos de bloqueo

Definición de política “tolerancia cero” y documentación de violaciones

Apoyo de gerencia general, legal y teconología

Controles

Exigir inducción en seguridad para nuevas contrataciones

Establecer programa de alerta y vigilancia Verificación de antecedentes de empleados con

acceso a información sensitiva Establecer mecanismo confiable para asignar acceso

a información corporativa Determinar, basado en función laboral, quien requiere

acceso a que recursos corporativos, y cual es la justificación de este acceso

Controles

Exigir a empleados y contratistas firmar NDA en su fecha de contratación

Sofware: HIDS, NIDS, Silent Runner Cuentas vencidas deben ser desactivadas y eliminadas Cuando empleados temporeros dejan la empresa,

deshabilitar y eliminar sus cuentas de acceso en forma inmediata

Como parte de la política de seguridad informática, dejar constancia que el uso de los sistemas y red corporativa son sujetos a monitoreo

Nunca suponer que la información detrás del cortafuego está protegida

Referencias

Security Engineering: A Guide to Building Dependable Distributed Systems – Ross Anderson

Secrets and Lies: Digital Security in a Networked World - Bruce Schneider

CERT Guide to System and Network Security Practices – Julia Allen

The Art of Deception: Controlling the Human Element of Security – Kevin Mitnick

The Insider Threat to US Government Information Systems– www.nstissc.gov/Assets/pdf/NSTISSAM_INFOSEC1 -99.pdf

The Insider Threat – Terrance Roebuck– http://abyss.usask.ca/~ roebuck/threats. HTML

Conclusiones y Soluciones

Conclusiones

La gran mayoría del crimen informático se realiza por usuarios internos autorizados

No se deje llevar por la fascinación mediática con los hackers y su “visión” de seguridad

Conozca al enemigo, sus capacidades y debilidades

La única manera de tener éxito es a través de la formulación e implantación de una estrategia defensiva completa de seguridad informática