SlideShare ist ein Scribd-Unternehmen logo

Seguridad En Profundidad, Defense in Depth (DiD)

Als PPTX, PDF herunterladen
M
Melvin Jáquez

Seguridad En Profundidad

Bildung
1 von 56
Seguridad en Profundidad Defense in Depth (DiD)
Seguridad en Profundidad • Uno de los términos más utilizados en seguridad informática es "Seguridad en profundidad", por otra parte, cuando revisas la implementación de esa seguridad se observan distintos errores de concepto. • La aplicación de varias líneas de defensa para el mismo recurso es conocida desde hace tiempo en entornos bélicos.
• En la Edad Media se construían enormes Castillos con muros altos y resistentes para proteger a los habitantes de una zona. • Para evitar la aproximación de maquinas que pudieran derribar los muros y las puertas o utilizar escaleras de asalto, sumaban una segunda línea de defensa, El Foso, inundado de agua o aceite (para poder incendiarlo). • Esto constituía una barrera difícil de traspasar para el enemigo, esta táctica se emplea hoy en día en seguridad informática y se denomina Seguridad Perimetral.
Defensa en Profundidad • Defensa en profundidad no es un concepto nuevo. Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una. Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos.
Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.
De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha.
Defensa en profundidad es la estrategia práctica para lograr seguridad de la información en entornos altamente conectados. Se basa en la aplicación inteligente de las técnicas y tecnologías que existen hoy en día. La estrategia se recomienda un equilibrio entre la capacidad de protección y costo, rendimiento y consideraciones operativas.
Seguridad en Profundidad • Uno de los puntos débiles de la seguridad perimetral, es que si el ataque se produce en el interior, o si traspasa la línea de defensa, seguramente habrás perdido la batalla. • Muchos ataques informáticos o robo de datos, se produce desde el interior de la propia empresa, bien por la colaboración de algún empleado, muchas veces de forma no intencionada, o bien porque el acceso a equipos del interior es posible.
• La Redundancia de Sistemas de Defensa, por ejemplo dos Firewall, es útil solo cuando es diferente, es decir, si un cortafuegos o un antivirus tiene una vulnerabilidad, de nada nos puede servir instalar dos, volviendo al ejemplo del castillo, tenían un muro y un foso, obstáculos diferentes que se complementaban a la hora de mantener la defensa.
Los adversarios, motivaciones, tipos de ataque • Para resistir con eficacia los ataques en contra de su información y sistemas de información, una organización necesita para caracterizar a sus adversarios, sus motivaciones potenciales, y sus clases de ataque. • Los adversarios potenciales podrían ser: los Estados nacionales, los terroristas, los criminales, piratas informáticos o competidores corporativos. • Sus motivaciones pueden incluir: recogida de información, robo de propiedad intelectual, denegación de servicio, la vergüenza, el orgullo o sólo en la explotación de un blanco notable.
• Sus clases de ataque pueden incluir: monitoreo pasivo de las comunicaciones, ataques activos de red, ataques de cerca en la explotación de información privilegiada, y los ataques a través de los proveedores de la industria de los propios recursos de tecnología de la información. • También es importante para resistir los efectos perjudiciales de no maliciosos eventos tales como incendios, inundaciones, apagones y errores del usuario.
Seguridad de la Información • Seguridad de la información se logra cuando los sistemas de información y la información están protegidos contra este tipo de ataques a través de la aplicación de los servicios de seguridad, tales como: disponibilidad, integridad, autenticación, confidencialidad y no repudio.
Defender las redes e Infraestructura • Proteger los locales y de área amplia (por ejemplo, las redes de comunicación de ataques de denegación de servicio) • Proporcionar confidencialidad y la protección de la integridad de los datos transmitidos a través de estas redes (por ejemplo, uso de encriptación y medidas de seguridad de flujo de tráfico para resistir el monitoreo pasivo) • Defender los límites Enclave (por ejemplo, cortafuegos y detección de intrusiones despliegan para resistir los ataques de red activos) • Defender el entorno informático (por ejemplo, proporcionar controles de acceso en los hosts y servidores para resistir privilegiada, cerca del in-, y los ataques de distribución).
Defensas en capas. Incluso los mejores productos disponibles de aseguramiento de la información tienen debilidades inherentes. Por lo tanto, es sólo una cuestión de tiempo antes de que un adversario encuentra un explotable.
Capa 1, Políticas, procedimientos y educación Es una capa “humana”. Dirigida a las personas. No habla de tecnología, sino de cómo lograr que las personas cuiden de los activos de información con responsabilidad. Rodeando todas las capas del modelo de seguridad se encuentran las directivas y procedimientos que la organización necesita establecer a fin de cumplir y admitir los requisitos de cada nivel. En muchos casos, el desconocimiento de un riesgo puede llevar consigo infracciones en la seguridad, por lo que el aprendizaje también debe formar parte integrante de cualquier modelo de seguridad
Capa 2, Seguridad Física ¿De qué vale el mejor firewall, la detección de intrusión en nuestro acceso a Internet, y un antivirus de host fantástico, si nuestro Centro de Cómputos no tiene llave? Los riesgos se encuentran en el acceso físico de un atacante a un activo físico. Esta capa integra todas las anteriores, puesto que el acceso físico a un activo puede permitir el acceso a las demás capas del modelo de defensa en profundidad. Aquí, la preocupación principal para las organizaciones que utilizan sistemas antivirus es impedir que los archivos infectados salten las defensas de las redes perimetral e interna.
Capa 3, Perímetro La primera línea de defensa lógica. Firewalls, detección de intrusos, cuarentena para nuestros usuarios remotos (VPN), etc. Los riesgos de la capa de red perimetral (también denominada zona desmilitarizada, DMZ o subred protegida) tienen su origen en el posible acceso por parte de un atacante a las redes de área extensa (WAN) y los niveles de red que conectan. Los principales problemas se centran en los puertos TCP (protocolo de control de transmisión) y UDP (protocolo de datagrama de usuario) disponibles que utiliza la red.
• Capa 4, Red Se refiere a nuestra red interna. IPSec, ocultando el tráfico entre mis hosts, es un mecanismo propio de esta capa. Las VLANs, aunque no son específicamente utilizadas por motivos de seguridad, también pueden servirnos para aislar servicios, aplicar ACLs, etc. Los riesgos para las redes internas de las organizaciones están relacionados con los datos confidenciales que se transmiten a través ellas. Los requisitos de conectividad para las estaciones de trabajo clientes en estas redes internas, también suponen algunos riesgos asociados.
• Capa 5, Host La defensa del host, de nuestras laptops o servidores, se basa en firewalls (incluido en los sistemas operativos modernos), antivirus, parcheo, hardening, etc. Mucho mejor, si estas tecnologías reportan a una consola central, que maneja a la vez, mecanismos de otras capas del modelo. Por ejemplo, en el mundo Microsoft™, los servicios de cuarentena provistos por NAC (Control de Acceso a la Red) pueden, como respuesta a un malware detectado por el antivirus de host, desconectar al equipo de la red local, y forzar medidas de remediación, como un escaneo de disco.
Capa 5, Host Esta es la capa en la que se centran los proveedores que ofrecen Service Packs y revisiones con el objetivo de tratar las amenazas de software malintencionado. En ella, el riesgo proviene de los atacantes que se aprovechan de las vulnerabilidades en los servicios que ofrecen el host o el dispositivo. Un buen ejemplo. En este caso, en lo que las organizaciones ponen más empeño es en impedir el acceso a los archivos binarios que componen el sistema operativo, así como el acceso al host a través de vulnerabilidades en los servicios de escucha.
• Capa 6, Aplicación Software seguro por diseño, no por accidente. Debe usarse metodología de código seguro para desarrollar. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podría aprovechar para obtener acceso a las aplicaciones en ejecución. Todo código ejecutable que un autor de software malintencionado pueda reunir fuera de un sistema operativo se puede utilizar para atacar un sistema. Las principales preocupaciones de la organización en esta capa son el acceso a los archivos binarios que componen las aplicaciones, el acceso al host.
• Capa 7, Data La capa “de adentro” del Modelo. La última frontera. La forma más efectiva de proteger la data, independientemente de donde se encuentre, es cifrándola, ocultándola de quienes no tienen necesidad de conocerla o usarla. El uso de certificados digitales nos asegura la integridad y confidencialidad de la data, a un costo muy razonable. Comprar un antivirus no es hacer seguridad. El acercamiento multicapa es la clave del éxito. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podría aprovechar para obtener acceso a los datos de configuración y organización, o cualquier dato que sea exclusivo de un dispositivo que utiliza la empresa. Por ejemplo, los datos empresariales confidenciales, los datos de los usuarios o la información privada de los clientes se incluirían en esta capa. Lo que más preocupa a una organización en esta capa del modelo son los problemas legales y empresariales que se pueden derivar de la pérdida o el robo de datos, así como los problemas operativos que las vulnerabilidades pueden descubrirán el host o en las aplicaciones.
Defensa en profundidad • Modelo de seguridad por capas : o Aumenta las opciones de detección de intrusos o Disminuye el riesgo de que los intrusos logren su propósito Directivas, procedimientos y concienciación Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Firewalls, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios Seguridad física Perímetro Red interna Host Aplicación Datos
Importancia de la seguridad en las aplicaciones • Las defensas perimetrales proporcionan una protección limitada • Muchas defensas basadas en hosts no son especificas de las aplicaciones • En la actualidad, la mayor parte de los ataques se producen en la capa de aplicación
Importancia de la seguridad en la información • Proteja la información como última línea de defensa • Configure los permisos de archivo • Configure el cifrado de los datos o Protege la confidencialidad de la información cuando la seguridad física se ve comprometida
Recomendaciones para los servidores de aplicaciones Configure el sistema operativo básico para que sea seguro Aplique los Service Packs y revisiones del sistema operativo y de las aplicaciones Instale o habilite únicamente los servicios necesarios Asigne los permisos mínimos a las cuentas de las aplicaciones Aplique los principios de defensa en profundidad para aumentar la protección Asigne únicamente aquellos permisos necesarios para realizar las tareas requeridas
Dependencias de seguridad de Exchange • La seguridad de Exchange depende de: o La seguridad del sistema operativo o La seguridad de la red o La seguridad de IIS (si se utiliza OWA) o La seguridad del cliente (Outlook) o La seguridad de Active Directory Recuerde: defensa en profundidad
Seguridad en los servidores Exchange • Servidores Back-End de Exchange 2000 o Aplique la plantilla de seguridad básica y la plantilla incremental para Back-End de Exchange • Servidores Front-End de Exchange 2000 o Aplique la plantilla de seguridad básica y la plantilla incremental para Front-End de Exchange o Desmonte los almacenes privados y públicos • Servidor OWA de Exchange 2000 o Aplique Bloqueo de seguridad de IIS, incluido URLScan • Servidor Back-End de Exchange 2003 o Aplique plantillas de seguridad de protocolo • Servidor Front-End y de OWA de Exchange 2003 o Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0 o Utilice el modo de aislamiento de aplicaciones
Aspectos de seguridad en los servidores Exchange • Seguridad del acceso a los servidores Exchange o Bloqueo del acceso no autorizado • Seguridad en las comunicaciones o Bloqueo y cifrado de las comunicaciones • Bloqueo del correo no deseado o Filtrado del correo entrante o Restricciones de reenvío: no ayude a los sistemas de envío de correo no deseado • Bloqueo de los mensajes de correo electrónico no seguros o Detección de virus o Bloqueo de los archivos adjuntos
Configuración de la autenticación, parte 1 • Proteja la autenticación de los clientes Outlook • Configure Exchange y Outlook 2003 para utilizar RPC sobre HTTPS • Configure SPA para cifrar la autenticación de los clientes de protocolos Internet Recuerde: una autenticación segura no equivale a cifrar los datos
Configuración de la autenticación, parte 2 Método de autenticación Consideraciones Autenticación básica  No segura, a menos que requiera SSL Autenticación integrada  Compatibilidad limitada en los clientes, problemas con servidores de seguridad Autenticación Digest  Compatibilidad limitada en los clientes Autenticación basada en formularios  Capacidad de personalizar la autenticación  Amplia compatibilidad con clientes  Disponible con Exchange Server 2003  OWA admite varios métodos de autenticación:
Cifrado de un mensaje Active Directory Controlador de dominio Cliente 1 Cliente 2 SMTP VS1 SMTP VS 2 Se busca la clave pública del cliente 2 El mensaje se envía con S/MIME El mensaje se cifra con una clave compartida Mensaje nuevo 1 2 3 4 El mensaje llega cifrado 5 La clave privada del cliente 2 se utiliza para descifrar la clave compartida que, a su vez, se emplea para descifrar el mensaje 6 SMTP (Simple Mail Transfer Protocol) S/MIME (Secure/Multipurpose Internet Mail Extensions)
Bloqueo de correo no deseado en Exchange 2000 • Cierre de reenvíos • Protéjase de la suplantación de direcciones • Impida que Exchange resuelva los nombres de destinatario en cuentas GAL • Configure búsquedas DNS inversas
Bloqueo de correo no deseado en Exchange 2003 • Utilice características adicionales en Exchange Server 2003 o Soporte para listas de bloqueo en tiempo real o Listas globales de direcciones rechazadas y aceptadas o Filtrado de destinatarios y remitentes o Mejoras en la protección contra el reenvío o Integración con Outlook 2003 y filtrado de correo no deseado de terceros
Configuración de la protección contra el correo no deseado de Exchange Protección contra el reenvío
Bloqueo de mensajes no seguros • Implemente gateways antivirus o Supervisión de los mensajes entrantes y salientes o Actualización frecuente de las firmas • Configure la seguridad en los archivos adjuntos de Outlook o La seguridad del explorador Web determina si los archivos adjuntos se pueden abrir en OWA • Implemente ISA Server o Message Screener puede bloquear los mensajes entrantes
Uso de permisos para proteger Exchange Modelos de administración Centralizada Descentralizada  Delegación de permisos  Creación de grupos administrativos  Uso de roles administrativos  Delegación del control administrativo
Mejoras en Exchange Server 2003 • Muchas configuraciones son seguras de forma predeterminada • Permisos más restrictivos • Nuevas características de transporte de correo • Nuevo Asistente para conexión a Internet • Soporte para autenticación entre forest
Defensa en profundidad Eficiencia Continuidad Ajuste del rendimiento Sistema Exchange Políticas Gestión de capacidad Seguridad Almacenamiento Administración Actualizaciones de hardware Rendimiento Monitorización Recuperación ante desastres Soporte técnico Antivirus Monitorización de eventos Administración de cambios Directivas de seguridad Aspectos relativos a firewalls Políticas del sistema Exchange Pertenencia a grupos de Active Directory UPS Pruebas de recuperación Monitorización de disponibilidad Gestión de disponibilidad Políticas de grupo Copia de seguridad
Diez principios fundamentales para proteger Exchange Instale los Service Pack más recientes Instale todas las revisiones de seguridad aplicables Ejecute MBSA (Microsoft Baseline Security Analyzer) Compruebe de la configuración de reenvío Deshabilite o proteja las cuentas conocidas Utilice una solución antivirus por capas Utilice un firewall Evalúe ISA (Internet Security and Acceleration) Server Proteja OWA (Outlook Web Access) Implemente una estrategia de copia de seguridad 1 2 3 4 5 6 7 8 9 10
Configuración básica de seguridad • Aplique Service Packs y revisiones o Utilice MBSA (Microsoft Baseline Security Analyzer) para detectar las actualizaciones de SQL no aplicadas • Deshabilite los servicios que no se utilicen o MSSQLSERVER (obligatorio) o SQLSERVERAGENT o MSSQLServerADHelper o Microsoft Search o Microsoft DTC
Amenazas comunes para los servidores de bases de datos y medidas preventivas Servidor SQL Explorador Aplicación Web Acceso externo no autorizado Inserción de SQL “Crackear“ contraseñas Espionaje de red Puntos vulnerables de la red No se bloquean los puertos SQL Puntos vulnerables de la configuración Cuenta de servicio con demasiados privilegios Permisos poco restringidos No se utilizan certificados Puntos vulnerables de las aplicaciones Web Cuentas con demasiados privilegios Validación semanal de las entradas Firewall internoFirewall perimetral
Seguridad del SO • Configure la cuenta de servicio de SQL Server con los mínimos permisos posibles • Elimine o deshabilite las cuentas que no se utilicen • Proteja el tráfico de autenticación Seguridad de la red • Limite SQL Server para que utilice TCP/IP • Refuerce la pila TCP/IP • Restrinja los puertos
Logins, usuarios y funciones • Utilice una contraseña segura para la cuenta de administrador del sistema (sa) • Elimine la cuenta de usuario invitado (guest) de SQL • Elimine el login BUILTINAdministradores • No conceda permisos para el rol público
Archivos, directorios y recursos compartidos • Compruebe los permisos de los directorios de instalación de SQL Server • Compruebe que el grupo Everyone no tiene permisos para los archivos de SQL Server • Proteja los ficheros de log de la instalación • Proteja o elimine las herramientas, utilidades y SDK • Elimine los recursos compartidos innecesarios • Restrinja el acceso a los recursos compartidos necesarios • Proteja las claves del Registro con ACL
Seguridad de SQL • Establezca la autenticación como Sólo Windows • Si debe utilizar la autenticación de SQL Server, compruebe que se cifra el tráfico de autenticación
Auditoría de SQL • Registre todos los intentos erróneos de iniciar sesión en Windows • Registre las acciones erróneas y correctas en el sistema de archivos • Habilite la auditoría de inicios de sesión de SQL Server • Habilite la auditoría general de SQL Server
Seguridad de los objetos de base de datos • Elimine las bases de datos de ejemplo • Proteja los procedimientos almacenados • Proteja los procedimientos almacenados extendidos • Limite el acceso de cmdExec a la función sysadmin • Las consultas SQL pueden contener información confidencial o Utilice procedimientos almacenados siempre que sea posible o Utilice vistas en lugar de permitir el acceso directo a las tablas • Implemente las recomendaciones de seguridad para las aplicaciones basadas en Web Uso de vistas y procedimientos almacenados
Seguridad de las aplicaciones Web • Valide todos los datos de entrada • Proteja la autenticación y la autorización • Proteja los datos confidenciales • Utilice cuentas de servicio y proceso con los privilegios mínimos • Configure la auditoría y el registro • Utilice métodos estructurados de tratamiento de excepciones
Diez principios básicos para proteger SQL Server Instale los Service Packs más recientes Ejecute MBSA Configure la autenticación de Windows Aísle el servidor y realice copias de seguridad de su contenido Compruebe la contraseña del usuario sa Limite los privilegios de los servicios de SQL Server Bloquee los puertos en el servidor de seguridad Utilice NTFS Elimine los archivos de configuración y las bases de datos de ejemplo Audite las conexiones 1 2 3 4 5 6 7 8 9 10 Instale los Service Packs más recientes Ejecute MBSA Configure la autenticación de Windows Aísle el servidor y realice copias de seguridad de su contenido Compruebe la contraseña del usuario sa Limite los privilegios de los servicios de SQL Server Bloquee los puertos en el servidor de seguridad Utilice NTFS
• La idea de este modelo es muy sencilla: si es posible proteger a un activo de la organización con más de una medida de seguridad, hágalo. • El objetivo del modelo también es claro: para que un atacante llegue a un dato o información, debe poder vulnerar más de una medida de seguridad. Seguridad en Profundidad
Seguridad en Profundidad • Obviamente que aplicar un control de seguridad tiene un costo asociado, y por lo tanto será necesario evaluar si el valor de la información a proteger justifica una, dos, tres, o las capas de seguridad que sean necesarias. Pero mientras los costos lo justifiquen, el modelo pretende proteger la información sensible de forma tal que un atacante si llegara a sortear algún mecanismo de seguridad, esto no sea suficiente para llegar a la información corporativa.
Gracias

Empfohlen

Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades
cyberleon95
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?
btpsec
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Al Cougar
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 

Empfohlen

Modulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad InformáticaModulo I: Arquitectura de Seguridad Informática
Modulo I: Arquitectura de Seguridad Informática
Juan Manuel García
 
Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades Análisis de riesgos y vulnerabilidades
Análisis de riesgos y vulnerabilidades
cyberleon95
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
Xavier
 
Seguridad de la Informacion
Seguridad de la InformacionSeguridad de la Informacion
Seguridad de la Informacion
Angel Ricardo Marchan Collazos
 
What is Penetration Testing?
What is Penetration Testing?What is Penetration Testing?
What is Penetration Testing?
btpsec
 
Seguridad de la información
Seguridad de la informaciónSeguridad de la información
Seguridad de la información
Al Cougar
 
Ciberseguridad
Ciberseguridad Ciberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
INGENIERIA SOCIAL
INGENIERIA SOCIALINGENIERIA SOCIAL
INGENIERIA SOCIAL
Enmer Genaro Leandro Ricra
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDAD
Miguel Cabrera
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
Carlos Cardenas Fernandez
 
Trend Micro Solutions Overview
Trend Micro Solutions OverviewTrend Micro Solutions Overview
Trend Micro Solutions Overview
John D. Haden
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023
Panel Sistemas
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
Fernando Alfonso Casas De la Torre
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
Paulo Colomés
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
Medialab en Matadero
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
CincoC
 
Cifrado
CifradoCifrado
Cifrado
sindiguevarad
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
Jaime Abraham Rivera
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
Francisco Medina
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
vektormrtnz
 
Esteganografía
EsteganografíaEsteganografía
Esteganografía
Yoli Borja López
 
Datacenter
DatacenterDatacenter
Datacenter
iloveyoubebe
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
Walter Edison Alanya Flores
 
Politicas de cuentas de usuario
Politicas de cuentas de usuarioPoliticas de cuentas de usuario
Politicas de cuentas de usuario
Ariannys Romero Parra
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
UNIVERSIDAD PERUANA DE INVESTIGACIÓN Y NEGOCIOS
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
Shawn Croswell
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu25
 
SSL/TLS Introduction with Practical Examples Including Wireshark Captures
SSL/TLS Introduction with Practical Examples Including Wireshark CapturesSSL/TLS Introduction with Practical Examples Including Wireshark Captures
SSL/TLS Introduction with Practical Examples Including Wireshark Captures
JaroslavChmurny
 
Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informática
jose kumul
 
ISUMMIT Loxa 2010
ISUMMIT Loxa 2010ISUMMIT Loxa 2010
ISUMMIT Loxa 2010
Diego Torres
 

Weitere ähnliche Inhalte

Was ist angesagt?

21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
CincoC
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
Shawn Croswell
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
edu25
 

Was ist angesagt? (20)

INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDAD
 
Gestion de Seguridad informatica
Gestion de Seguridad informaticaGestion de Seguridad informatica
Gestion de Seguridad informatica
 
Trend Micro Solutions Overview
Trend Micro Solutions OverviewTrend Micro Solutions Overview
Trend Micro Solutions Overview
 
Curso SGSI 2023
Curso SGSI 2023Curso SGSI 2023
Curso SGSI 2023
 
Plan de Contingencia Informatico
Plan de Contingencia InformaticoPlan de Contingencia Informatico
Plan de Contingencia Informatico
 
Hacking ético
Hacking éticoHacking ético
Hacking ético
 
Presentación sobre criptografía
Presentación sobre criptografíaPresentación sobre criptografía
Presentación sobre criptografía
 
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
21 riesgos-de-tecnologia-de-informacion-implicaciones-y-retos-para-la-auditoria
 
Cifrado
CifradoCifrado
Cifrado
 
Seguridad en redes
Seguridad en redesSeguridad en redes
Seguridad en redes
 
Tema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad InformáticaTema 1. Introducción a la Seguridad Informática
Tema 1. Introducción a la Seguridad Informática
 
Power Point de la seguridad informática
Power Point de la seguridad informáticaPower Point de la seguridad informática
Power Point de la seguridad informática
 
Esteganografía
EsteganografíaEsteganografía
Esteganografía
 
Datacenter
DatacenterDatacenter
Datacenter
 
SEGURIDAD INFORMATICA
SEGURIDAD INFORMATICASEGURIDAD INFORMATICA
SEGURIDAD INFORMATICA
 
Politicas de cuentas de usuario
Politicas de cuentas de usuarioPoliticas de cuentas de usuario
Politicas de cuentas de usuario
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
kill-chain-presentation-v3
kill-chain-presentation-v3kill-chain-presentation-v3
kill-chain-presentation-v3
 
Sample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanishSample exam information_security_foundation_latin_american_spanish
Sample exam information_security_foundation_latin_american_spanish
 
SSL/TLS Introduction with Practical Examples Including Wireshark Captures
SSL/TLS Introduction with Practical Examples Including Wireshark CapturesSSL/TLS Introduction with Practical Examples Including Wireshark Captures
SSL/TLS Introduction with Practical Examples Including Wireshark Captures
 

Ähnlich wie Seguridad En Profundidad, Defense in Depth (DiD)

Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
Laura Luna
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-español
isidro luna beltran
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03
svaclaro
 

Ähnlich wie Seguridad En Profundidad, Defense in Depth (DiD) (20)

Seguridad de la informática
Seguridad de la informáticaSeguridad de la informática
Seguridad de la informática
 
ISUMMIT Loxa 2010
ISUMMIT Loxa 2010ISUMMIT Loxa 2010
ISUMMIT Loxa 2010
 
Seguridad en la red
Seguridad en la redSeguridad en la red
Seguridad en la red
 
Marco
MarcoMarco
Marco
 
Marco
Marco Marco
Marco
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
Seguridad en informática
Seguridad en informáticaSeguridad en informática
Seguridad en informática
 
SEMANA.02.pdf
SEMANA.02.pdfSEMANA.02.pdf
SEMANA.02.pdf
 
Marco
MarcoMarco
Marco
 
Marco
MarcoMarco
Marco
 
Seg. info tp. 3
Seg. info tp. 3Seg. info tp. 3
Seg. info tp. 3
 
Diapositivas
DiapositivasDiapositivas
Diapositivas
 
Seguridad de la informatica
Seguridad de la informaticaSeguridad de la informatica
Seguridad de la informatica
 
Seguridad Informatica
Seguridad InformaticaSeguridad Informatica
Seguridad Informatica
 
Informatica slideshare
Informatica slideshareInformatica slideshare
Informatica slideshare
 
Seguridad informatica
Seguridad informaticaSeguridad informatica
Seguridad informatica
 
Seguridad web -articulo completo-español
Seguridad web -articulo completo-españolSeguridad web -articulo completo-español
Seguridad web -articulo completo-español
 
Fase ii sesion03
Fase ii sesion03Fase ii sesion03
Fase ii sesion03
 
Webinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad GestionadaWebinar Cloud: Servicios de Seguridad Gestionada
Webinar Cloud: Servicios de Seguridad Gestionada
 
Practica 1
Practica 1 Practica 1
Practica 1
 

Mehr von Melvin Jáquez

Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de Información
Melvin Jáquez
 
Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5
Melvin Jáquez
 
Contact Center Grupo #5
Contact Center Grupo #5Contact Center Grupo #5
Contact Center Grupo #5
Melvin Jáquez
 

Mehr von Melvin Jáquez (7)

ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del NegocioISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
ISO 22301, SGCN, BCMS, Sistema de Gestión de la Continuidad del Negocio
 
ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005ISO 22301, ISO 31000, TIA 942 e ISO 27005
ISO 22301, ISO 31000, TIA 942 e ISO 27005
 
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, AnonymousMcAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
McAfee Threats Report, Cyber Crime, Hacktivism, Anonymous
 
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, AnonymousCyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
Cyber Crime, Norton Cybercrime Report 2011, Hacktivism, Anonymous
 
Control de Cambios de Sistema de Información
Control de Cambios de Sistema de InformaciónControl de Cambios de Sistema de Información
Control de Cambios de Sistema de Información
 
Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5Capitulo 9 & 10 del pmbok grupo #5
Capitulo 9 & 10 del pmbok grupo #5
 
Contact Center Grupo #5
Contact Center Grupo #5Contact Center Grupo #5
Contact Center Grupo #5
 

Kürzlich hochgeladen

🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
EliaHernndez7
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
patriciaines1993
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Fernando Solis
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Francisco158360
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
MiNeyi1
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
lupitavic
 

Kürzlich hochgeladen (20)

PIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonablesPIAR v 015. 2024 Plan Individual de ajustes razonables
PIAR v 015. 2024 Plan Individual de ajustes razonables
 
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
 
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
Procedimientos para la planificación en los Centros Educativos tipo V ( multi...
 
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICABIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
BIOMETANO SÍ, PERO NO ASÍ. LA NUEVA BURBUJA ENERGÉTICA
 
Medición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptxMedición del Movimiento Online 2024.pptx
Medición del Movimiento Online 2024.pptx
 
Power Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptxPower Point: Fe contra todo pronóstico.pptx
Power Point: Fe contra todo pronóstico.pptx
 
Proyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdfProyecto de aprendizaje dia de la madre MINT.pdf
Proyecto de aprendizaje dia de la madre MINT.pdf
 
Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024Tema 11. Dinámica de la hidrosfera 2024
Tema 11. Dinámica de la hidrosfera 2024
 
Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024Interpretación de cortes geológicos 2024
Interpretación de cortes geológicos 2024
 
Estrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcciónEstrategia de prompts, primeras ideas para su construcción
Estrategia de prompts, primeras ideas para su construcción
 
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docxPLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
PLAN DE REFUERZO ESCOLAR MERC 2024-2.docx
 
Concepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptxConcepto y definición de tipos de Datos Abstractos en c++.pptx
Concepto y definición de tipos de Datos Abstractos en c++.pptx
 
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VSSEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
SEPTIMO SEGUNDO PERIODO EMPRENDIMIENTO VS
 
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdfCurso = Metodos Tecnicas y Modelos de Enseñanza.pdf
Curso = Metodos Tecnicas y Modelos de Enseñanza.pdf
 
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLAACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
ACERTIJO DE POSICIÓN DE CORREDORES EN LA OLIMPIADA. Por JAVIER SOLIS NOYOLA
 
Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024Tema 10. Dinámica y funciones de la Atmosfera 2024
Tema 10. Dinámica y funciones de la Atmosfera 2024
 
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA IIAFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
AFICHE EL MANIERISMO HISTORIA DE LA ARQUITECTURA II
 
Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024Tema 17. Biología de los microorganismos 2024
Tema 17. Biología de los microorganismos 2024
 
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
6.-Como-Atraer-El-Amor-01-Lain-Garcia-Calvo.pdf
 
PLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docxPLAN DE REFUERZO ESCOLAR primaria (1).docx
PLAN DE REFUERZO ESCOLAR primaria (1).docx
 

Seguridad En Profundidad, Defense in Depth (DiD)

  • 1.
  • 3. Seguridad en Profundidad • Uno de los términos más utilizados en seguridad informática es "Seguridad en profundidad", por otra parte, cuando revisas la implementación de esa seguridad se observan distintos errores de concepto. • La aplicación de varias líneas de defensa para el mismo recurso es conocida desde hace tiempo en entornos bélicos.
  • 4. • En la Edad Media se construían enormes Castillos con muros altos y resistentes para proteger a los habitantes de una zona. • Para evitar la aproximación de maquinas que pudieran derribar los muros y las puertas o utilizar escaleras de asalto, sumaban una segunda línea de defensa, El Foso, inundado de agua o aceite (para poder incendiarlo). • Esto constituía una barrera difícil de traspasar para el enemigo, esta táctica se emplea hoy en día en seguridad informática y se denomina Seguridad Perimetral.
  • 5. Defensa en Profundidad • Defensa en profundidad no es un concepto nuevo. Se refiere a una estrategia militar que tiene por objetivo hacer que el atacante pierda el empuje inicial y se vea detenido en sus intentos al requerirle superar varias barreras en lugar de una. Al igual que un campo de batalla, nuestras infraestructuras de tecnología son una compleja formación de elementos que en conjunto albergan uno de los activos más valiosos para las empresas: los datos.
  • 6. Podemos visualizar esta infraestructura como una serie de capas donde los datos ocupan el último nivel, precedidos de contenedores como lo son las localidades físicas, el perímetro, la red, los servidores y las aplicaciones.
  • 7.
  • 8. De esta forma, cada capa de nuestra infraestructura representa una barrera para el atacante en su camino hacia el objetivo final de acceder a los datos confidenciales, de manera que si falla cualquiera de los controles en una capa haya defensas adicionales que contengan la amenaza y minimicen las probabilidades de una brecha.
  • 9.
  • 10. Defensa en profundidad es la estrategia práctica para lograr seguridad de la información en entornos altamente conectados. Se basa en la aplicación inteligente de las técnicas y tecnologías que existen hoy en día. La estrategia se recomienda un equilibrio entre la capacidad de protección y costo, rendimiento y consideraciones operativas.
  • 11. Seguridad en Profundidad • Uno de los puntos débiles de la seguridad perimetral, es que si el ataque se produce en el interior, o si traspasa la línea de defensa, seguramente habrás perdido la batalla. • Muchos ataques informáticos o robo de datos, se produce desde el interior de la propia empresa, bien por la colaboración de algún empleado, muchas veces de forma no intencionada, o bien porque el acceso a equipos del interior es posible.
  • 12. • La Redundancia de Sistemas de Defensa, por ejemplo dos Firewall, es útil solo cuando es diferente, es decir, si un cortafuegos o un antivirus tiene una vulnerabilidad, de nada nos puede servir instalar dos, volviendo al ejemplo del castillo, tenían un muro y un foso, obstáculos diferentes que se complementaban a la hora de mantener la defensa.
  • 13. Los adversarios, motivaciones, tipos de ataque • Para resistir con eficacia los ataques en contra de su información y sistemas de información, una organización necesita para caracterizar a sus adversarios, sus motivaciones potenciales, y sus clases de ataque. • Los adversarios potenciales podrían ser: los Estados nacionales, los terroristas, los criminales, piratas informáticos o competidores corporativos. • Sus motivaciones pueden incluir: recogida de información, robo de propiedad intelectual, denegación de servicio, la vergüenza, el orgullo o sólo en la explotación de un blanco notable.
  • 14. • Sus clases de ataque pueden incluir: monitoreo pasivo de las comunicaciones, ataques activos de red, ataques de cerca en la explotación de información privilegiada, y los ataques a través de los proveedores de la industria de los propios recursos de tecnología de la información. • También es importante para resistir los efectos perjudiciales de no maliciosos eventos tales como incendios, inundaciones, apagones y errores del usuario.
  • 15. Seguridad de la Información • Seguridad de la información se logra cuando los sistemas de información y la información están protegidos contra este tipo de ataques a través de la aplicación de los servicios de seguridad, tales como: disponibilidad, integridad, autenticación, confidencialidad y no repudio.
  • 16. Defender las redes e Infraestructura • Proteger los locales y de área amplia (por ejemplo, las redes de comunicación de ataques de denegación de servicio) • Proporcionar confidencialidad y la protección de la integridad de los datos transmitidos a través de estas redes (por ejemplo, uso de encriptación y medidas de seguridad de flujo de tráfico para resistir el monitoreo pasivo) • Defender los límites Enclave (por ejemplo, cortafuegos y detección de intrusiones despliegan para resistir los ataques de red activos) • Defender el entorno informático (por ejemplo, proporcionar controles de acceso en los hosts y servidores para resistir privilegiada, cerca del in-, y los ataques de distribución).
  • 17. Defensas en capas. Incluso los mejores productos disponibles de aseguramiento de la información tienen debilidades inherentes. Por lo tanto, es sólo una cuestión de tiempo antes de que un adversario encuentra un explotable.
  • 18. Capa 1, Políticas, procedimientos y educación Es una capa “humana”. Dirigida a las personas. No habla de tecnología, sino de cómo lograr que las personas cuiden de los activos de información con responsabilidad. Rodeando todas las capas del modelo de seguridad se encuentran las directivas y procedimientos que la organización necesita establecer a fin de cumplir y admitir los requisitos de cada nivel. En muchos casos, el desconocimiento de un riesgo puede llevar consigo infracciones en la seguridad, por lo que el aprendizaje también debe formar parte integrante de cualquier modelo de seguridad
  • 19. Capa 2, Seguridad Física ¿De qué vale el mejor firewall, la detección de intrusión en nuestro acceso a Internet, y un antivirus de host fantástico, si nuestro Centro de Cómputos no tiene llave? Los riesgos se encuentran en el acceso físico de un atacante a un activo físico. Esta capa integra todas las anteriores, puesto que el acceso físico a un activo puede permitir el acceso a las demás capas del modelo de defensa en profundidad. Aquí, la preocupación principal para las organizaciones que utilizan sistemas antivirus es impedir que los archivos infectados salten las defensas de las redes perimetral e interna.
  • 20. Capa 3, Perímetro La primera línea de defensa lógica. Firewalls, detección de intrusos, cuarentena para nuestros usuarios remotos (VPN), etc. Los riesgos de la capa de red perimetral (también denominada zona desmilitarizada, DMZ o subred protegida) tienen su origen en el posible acceso por parte de un atacante a las redes de área extensa (WAN) y los niveles de red que conectan. Los principales problemas se centran en los puertos TCP (protocolo de control de transmisión) y UDP (protocolo de datagrama de usuario) disponibles que utiliza la red.
  • 21. • Capa 4, Red Se refiere a nuestra red interna. IPSec, ocultando el tráfico entre mis hosts, es un mecanismo propio de esta capa. Las VLANs, aunque no son específicamente utilizadas por motivos de seguridad, también pueden servirnos para aislar servicios, aplicar ACLs, etc. Los riesgos para las redes internas de las organizaciones están relacionados con los datos confidenciales que se transmiten a través ellas. Los requisitos de conectividad para las estaciones de trabajo clientes en estas redes internas, también suponen algunos riesgos asociados.
  • 22. • Capa 5, Host La defensa del host, de nuestras laptops o servidores, se basa en firewalls (incluido en los sistemas operativos modernos), antivirus, parcheo, hardening, etc. Mucho mejor, si estas tecnologías reportan a una consola central, que maneja a la vez, mecanismos de otras capas del modelo. Por ejemplo, en el mundo Microsoft™, los servicios de cuarentena provistos por NAC (Control de Acceso a la Red) pueden, como respuesta a un malware detectado por el antivirus de host, desconectar al equipo de la red local, y forzar medidas de remediación, como un escaneo de disco.
  • 23. Capa 5, Host Esta es la capa en la que se centran los proveedores que ofrecen Service Packs y revisiones con el objetivo de tratar las amenazas de software malintencionado. En ella, el riesgo proviene de los atacantes que se aprovechan de las vulnerabilidades en los servicios que ofrecen el host o el dispositivo. Un buen ejemplo. En este caso, en lo que las organizaciones ponen más empeño es en impedir el acceso a los archivos binarios que componen el sistema operativo, así como el acceso al host a través de vulnerabilidades en los servicios de escucha.
  • 24. • Capa 6, Aplicación Software seguro por diseño, no por accidente. Debe usarse metodología de código seguro para desarrollar. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podría aprovechar para obtener acceso a las aplicaciones en ejecución. Todo código ejecutable que un autor de software malintencionado pueda reunir fuera de un sistema operativo se puede utilizar para atacar un sistema. Las principales preocupaciones de la organización en esta capa son el acceso a los archivos binarios que componen las aplicaciones, el acceso al host.
  • 25. • Capa 7, Data La capa “de adentro” del Modelo. La última frontera. La forma más efectiva de proteger la data, independientemente de donde se encuentre, es cifrándola, ocultándola de quienes no tienen necesidad de conocerla o usarla. El uso de certificados digitales nos asegura la integridad y confidencialidad de la data, a un costo muy razonable. Comprar un antivirus no es hacer seguridad. El acercamiento multicapa es la clave del éxito. El riesgo en esta capa se debe a las vulnerabilidades que un atacante podría aprovechar para obtener acceso a los datos de configuración y organización, o cualquier dato que sea exclusivo de un dispositivo que utiliza la empresa. Por ejemplo, los datos empresariales confidenciales, los datos de los usuarios o la información privada de los clientes se incluirían en esta capa. Lo que más preocupa a una organización en esta capa del modelo son los problemas legales y empresariales que se pueden derivar de la pérdida o el robo de datos, así como los problemas operativos que las vulnerabilidades pueden descubrirán el host o en las aplicaciones.
  • 26. Defensa en profundidad • Modelo de seguridad por capas : o Aumenta las opciones de detección de intrusos o Disminuye el riesgo de que los intrusos logren su propósito Directivas, procedimientos y concienciación Refuerzo del sistema operativo, administración de actualizaciones, autenticación, HIDS Firewalls, sistemas de cuarentena en VPN Guardias de seguridad, bloqueos, dispositivos de seguimiento Segmentos de red, IPSec, NIDS Refuerzo de las aplicaciones, antivirus ACL, cifrado Programas de aprendizaje para los usuarios Seguridad física Perímetro Red interna Host Aplicación Datos
  • 27. Importancia de la seguridad en las aplicaciones • Las defensas perimetrales proporcionan una protección limitada • Muchas defensas basadas en hosts no son especificas de las aplicaciones • En la actualidad, la mayor parte de los ataques se producen en la capa de aplicación
  • 28. Importancia de la seguridad en la información • Proteja la información como última línea de defensa • Configure los permisos de archivo • Configure el cifrado de los datos o Protege la confidencialidad de la información cuando la seguridad física se ve comprometida
  • 29. Recomendaciones para los servidores de aplicaciones Configure el sistema operativo básico para que sea seguro Aplique los Service Packs y revisiones del sistema operativo y de las aplicaciones Instale o habilite únicamente los servicios necesarios Asigne los permisos mínimos a las cuentas de las aplicaciones Aplique los principios de defensa en profundidad para aumentar la protección Asigne únicamente aquellos permisos necesarios para realizar las tareas requeridas
  • 30. Dependencias de seguridad de Exchange • La seguridad de Exchange depende de: o La seguridad del sistema operativo o La seguridad de la red o La seguridad de IIS (si se utiliza OWA) o La seguridad del cliente (Outlook) o La seguridad de Active Directory Recuerde: defensa en profundidad
  • 31. Seguridad en los servidores Exchange • Servidores Back-End de Exchange 2000 o Aplique la plantilla de seguridad básica y la plantilla incremental para Back-End de Exchange • Servidores Front-End de Exchange 2000 o Aplique la plantilla de seguridad básica y la plantilla incremental para Front-End de Exchange o Desmonte los almacenes privados y públicos • Servidor OWA de Exchange 2000 o Aplique Bloqueo de seguridad de IIS, incluido URLScan • Servidor Back-End de Exchange 2003 o Aplique plantillas de seguridad de protocolo • Servidor Front-End y de OWA de Exchange 2003 o Bloqueo de seguridad de IIS y URLScan integrados con IIS 6.0 o Utilice el modo de aislamiento de aplicaciones
  • 32. Aspectos de seguridad en los servidores Exchange • Seguridad del acceso a los servidores Exchange o Bloqueo del acceso no autorizado • Seguridad en las comunicaciones o Bloqueo y cifrado de las comunicaciones • Bloqueo del correo no deseado o Filtrado del correo entrante o Restricciones de reenvío: no ayude a los sistemas de envío de correo no deseado • Bloqueo de los mensajes de correo electrónico no seguros o Detección de virus o Bloqueo de los archivos adjuntos
  • 33. Configuración de la autenticación, parte 1 • Proteja la autenticación de los clientes Outlook • Configure Exchange y Outlook 2003 para utilizar RPC sobre HTTPS • Configure SPA para cifrar la autenticación de los clientes de protocolos Internet Recuerde: una autenticación segura no equivale a cifrar los datos
  • 34. Configuración de la autenticación, parte 2 Método de autenticación Consideraciones Autenticación básica  No segura, a menos que requiera SSL Autenticación integrada  Compatibilidad limitada en los clientes, problemas con servidores de seguridad Autenticación Digest  Compatibilidad limitada en los clientes Autenticación basada en formularios  Capacidad de personalizar la autenticación  Amplia compatibilidad con clientes  Disponible con Exchange Server 2003  OWA admite varios métodos de autenticación:
  • 35. Cifrado de un mensaje Active Directory Controlador de dominio Cliente 1 Cliente 2 SMTP VS1 SMTP VS 2 Se busca la clave pública del cliente 2 El mensaje se envía con S/MIME El mensaje se cifra con una clave compartida Mensaje nuevo 1 2 3 4 El mensaje llega cifrado 5 La clave privada del cliente 2 se utiliza para descifrar la clave compartida que, a su vez, se emplea para descifrar el mensaje 6 SMTP (Simple Mail Transfer Protocol) S/MIME (Secure/Multipurpose Internet Mail Extensions)
  • 36. Bloqueo de correo no deseado en Exchange 2000 • Cierre de reenvíos • Protéjase de la suplantación de direcciones • Impida que Exchange resuelva los nombres de destinatario en cuentas GAL • Configure búsquedas DNS inversas
  • 37. Bloqueo de correo no deseado en Exchange 2003 • Utilice características adicionales en Exchange Server 2003 o Soporte para listas de bloqueo en tiempo real o Listas globales de direcciones rechazadas y aceptadas o Filtrado de destinatarios y remitentes o Mejoras en la protección contra el reenvío o Integración con Outlook 2003 y filtrado de correo no deseado de terceros
  • 38. Configuración de la protección contra el correo no deseado de Exchange Protección contra el reenvío
  • 39. Bloqueo de mensajes no seguros • Implemente gateways antivirus o Supervisión de los mensajes entrantes y salientes o Actualización frecuente de las firmas • Configure la seguridad en los archivos adjuntos de Outlook o La seguridad del explorador Web determina si los archivos adjuntos se pueden abrir en OWA • Implemente ISA Server o Message Screener puede bloquear los mensajes entrantes
  • 40. Uso de permisos para proteger Exchange Modelos de administración Centralizada Descentralizada  Delegación de permisos  Creación de grupos administrativos  Uso de roles administrativos  Delegación del control administrativo
  • 41. Mejoras en Exchange Server 2003 • Muchas configuraciones son seguras de forma predeterminada • Permisos más restrictivos • Nuevas características de transporte de correo • Nuevo Asistente para conexión a Internet • Soporte para autenticación entre forest
  • 42. Defensa en profundidad Eficiencia Continuidad Ajuste del rendimiento Sistema Exchange Políticas Gestión de capacidad Seguridad Almacenamiento Administración Actualizaciones de hardware Rendimiento Monitorización Recuperación ante desastres Soporte técnico Antivirus Monitorización de eventos Administración de cambios Directivas de seguridad Aspectos relativos a firewalls Políticas del sistema Exchange Pertenencia a grupos de Active Directory UPS Pruebas de recuperación Monitorización de disponibilidad Gestión de disponibilidad Políticas de grupo Copia de seguridad
  • 43. Diez principios fundamentales para proteger Exchange Instale los Service Pack más recientes Instale todas las revisiones de seguridad aplicables Ejecute MBSA (Microsoft Baseline Security Analyzer) Compruebe de la configuración de reenvío Deshabilite o proteja las cuentas conocidas Utilice una solución antivirus por capas Utilice un firewall Evalúe ISA (Internet Security and Acceleration) Server Proteja OWA (Outlook Web Access) Implemente una estrategia de copia de seguridad 1 2 3 4 5 6 7 8 9 10
  • 44. Configuración básica de seguridad • Aplique Service Packs y revisiones o Utilice MBSA (Microsoft Baseline Security Analyzer) para detectar las actualizaciones de SQL no aplicadas • Deshabilite los servicios que no se utilicen o MSSQLSERVER (obligatorio) o SQLSERVERAGENT o MSSQLServerADHelper o Microsoft Search o Microsoft DTC
  • 45. Amenazas comunes para los servidores de bases de datos y medidas preventivas Servidor SQL Explorador Aplicación Web Acceso externo no autorizado Inserción de SQL “Crackear“ contraseñas Espionaje de red Puntos vulnerables de la red No se bloquean los puertos SQL Puntos vulnerables de la configuración Cuenta de servicio con demasiados privilegios Permisos poco restringidos No se utilizan certificados Puntos vulnerables de las aplicaciones Web Cuentas con demasiados privilegios Validación semanal de las entradas Firewall internoFirewall perimetral
  • 46. Seguridad del SO • Configure la cuenta de servicio de SQL Server con los mínimos permisos posibles • Elimine o deshabilite las cuentas que no se utilicen • Proteja el tráfico de autenticación Seguridad de la red • Limite SQL Server para que utilice TCP/IP • Refuerce la pila TCP/IP • Restrinja los puertos
  • 47. Logins, usuarios y funciones • Utilice una contraseña segura para la cuenta de administrador del sistema (sa) • Elimine la cuenta de usuario invitado (guest) de SQL • Elimine el login BUILTINAdministradores • No conceda permisos para el rol público
  • 48. Archivos, directorios y recursos compartidos • Compruebe los permisos de los directorios de instalación de SQL Server • Compruebe que el grupo Everyone no tiene permisos para los archivos de SQL Server • Proteja los ficheros de log de la instalación • Proteja o elimine las herramientas, utilidades y SDK • Elimine los recursos compartidos innecesarios • Restrinja el acceso a los recursos compartidos necesarios • Proteja las claves del Registro con ACL
  • 49. Seguridad de SQL • Establezca la autenticación como Sólo Windows • Si debe utilizar la autenticación de SQL Server, compruebe que se cifra el tráfico de autenticación
  • 50. Auditoría de SQL • Registre todos los intentos erróneos de iniciar sesión en Windows • Registre las acciones erróneas y correctas en el sistema de archivos • Habilite la auditoría de inicios de sesión de SQL Server • Habilite la auditoría general de SQL Server
  • 51. Seguridad de los objetos de base de datos • Elimine las bases de datos de ejemplo • Proteja los procedimientos almacenados • Proteja los procedimientos almacenados extendidos • Limite el acceso de cmdExec a la función sysadmin • Las consultas SQL pueden contener información confidencial o Utilice procedimientos almacenados siempre que sea posible o Utilice vistas en lugar de permitir el acceso directo a las tablas • Implemente las recomendaciones de seguridad para las aplicaciones basadas en Web Uso de vistas y procedimientos almacenados
  • 52. Seguridad de las aplicaciones Web • Valide todos los datos de entrada • Proteja la autenticación y la autorización • Proteja los datos confidenciales • Utilice cuentas de servicio y proceso con los privilegios mínimos • Configure la auditoría y el registro • Utilice métodos estructurados de tratamiento de excepciones
  • 53. Diez principios básicos para proteger SQL Server Instale los Service Packs más recientes Ejecute MBSA Configure la autenticación de Windows Aísle el servidor y realice copias de seguridad de su contenido Compruebe la contraseña del usuario sa Limite los privilegios de los servicios de SQL Server Bloquee los puertos en el servidor de seguridad Utilice NTFS Elimine los archivos de configuración y las bases de datos de ejemplo Audite las conexiones 1 2 3 4 5 6 7 8 9 10 Instale los Service Packs más recientes Ejecute MBSA Configure la autenticación de Windows Aísle el servidor y realice copias de seguridad de su contenido Compruebe la contraseña del usuario sa Limite los privilegios de los servicios de SQL Server Bloquee los puertos en el servidor de seguridad Utilice NTFS
  • 54. • La idea de este modelo es muy sencilla: si es posible proteger a un activo de la organización con más de una medida de seguridad, hágalo. • El objetivo del modelo también es claro: para que un atacante llegue a un dato o información, debe poder vulnerar más de una medida de seguridad. Seguridad en Profundidad
  • 55. Seguridad en Profundidad • Obviamente que aplicar un control de seguridad tiene un costo asociado, y por lo tanto será necesario evaluar si el valor de la información a proteger justifica una, dos, tres, o las capas de seguridad que sean necesarias. Pero mientras los costos lo justifiquen, el modelo pretende proteger la información sensible de forma tal que un atacante si llegara a sortear algún mecanismo de seguridad, esto no sea suficiente para llegar a la información corporativa.