🦄💫4° SEM32 WORD PLANEACIÓN PROYECTOS DARUKEL 23-24.docx
Tema 3. Arquitectura y diseño de seguridad
1. Seguridad Informática
Tema 3. Arquitectura y diseño de seguridad
Francisco Medina López – paco.medina@comunidad.unam.mx
Facultad de Contadurı́a y Administración
Universidad Nacional Autónoma de México
2022-1
2. Temario
1 Arquitectura de Computadoras
2 Mecanismos de protección
3 Modelos formales de seguridad
4 Guı́as de Evaluación
5 Certificación y Acreditación
3. Temario
1 Arquitectura de Computadoras
2 Mecanismos de protección
3 Modelos formales de seguridad
4 Guı́as de Evaluación
5 Certificación y Acreditación
4. Arquitectura
El estándar TOGAF define a la arquitecture como:
Definición
La estructura de los componentes, sus interrelaciones y los
principios y directrices que rigen su diseño y evolución en el tiempo.
Dominios:
1 Arquitectura de negocio: define la estrategia empresarial, la
gobernanza, la organización y los procesos empresariales clave.
2 Arquitectura de datos: describe la estructura de los activos
de datos lógicos y fı́sicos de una organización y los recursos de
gestión de datos.
3 Arquitectura de aplicación: proporciona las directrices para
el desarrollo e implementación de las aplicaciones.
4 Arquitectura tecnológica: describe al software y hardware
que se requiere para respaldar la implementación de servicios y
aplicaciones; esto incluye infraestructura de TI, middleware,
redes, comunicaciones, procesamiento, estándares, etc.
5. Arquitectura de seguridad
Definición
Diseño de alto nivel de un sistema desde una perspectiva de
seguridad, es decir, cómo los controles de seguridad fueron
seleccionados e implementados dentro del sistema.
Considera:
• Ciclo de vida de un sistema, desde su concepción hasta su
retiro.
• Cómo se organizan los usuarios, los datos y los servicios para
garantizar que las interacciones potenciales de mayor riesgo
estén protegidas por los mecanismos de seguridad simples y
autónomos.
6. Pasos para el diseño de la arquitectura de seguridad
1 Revisar el uso propuesto del sitema.
• Identificar las interacciones entre los usuarios, los datos y los
servicios del sistema.
• Gestionar el riesgo.
• Identificar requisitos externos tales como el cumplimiento
(compliance) y obligaciones contractuales.
2 Agrupar a los usuarios y los datos en categorı́as amplias
utilizando los requisitos de acceso a los roles, junto con la
clasificación formal de los datos y la autorización del usuario.
7. Principios de Arquitectura de Seguridad I
1 Economia del mecanismo. El diseño de los controles de
seguridad debe ser lo más simple posible para garantizar una
alta seguridad.
2 Fail-safe defaults. Los controles de seguridad deben permitir
operar el sistema de acuerdo a la polı́tica de seguridad y
rechazar cualquier otra operación.
3 Mediación completa. Todas las operaciones en todos los
objetos de un sistema deben verificarse para asegurarse que
cumplen con la polı́tica de seguridad.
4 Diseño abierto. La seguridad del control no debe depender
del secreto de su funcionamiento, sino únicamente de
contraseñas o secretos bien especificados.
8. Principios de Arquitectura de Seguridad II
5 Seperación de privilegio. Los controles de seguridad que
dependen de varios sujetos para autorizar una operación,
brindan mayor seguridad que aquellos que dependen de un
solo sujeto.
6 Mı́nimo privilegio. Los sujetos y las operaciones que realizan
en un sistema deben realizarse con el mı́nimo privilegio posible.
7 Least common mechanism. Es preferible minimizar el uso
compartido de recursos y sistemas entre diferentes partes.
8 Psicológicamente aceptable. El control de seguridad debe
ser utilizable de forma natural para que los usuarios los
utilicen ”de forma rutinaria y automática”.
11. Temario
1 Arquitectura de Computadoras
2 Mecanismos de protección
3 Modelos formales de seguridad
4 Guı́as de Evaluación
5 Certificación y Acreditación
12. Mecanismos de protección
Definición
Cualquier tipo de elemento tecnológico que permita identificar,
proteger, detectar, responder o minimizar el riesgo asociado con
la ocurrencia de una amenaza especı́fica.
Objetivo:
• Reducir los efectos producidos por las amenazas de seguridad
(threats) y vulnerabilidades (vulnerabilities) a un nivel
tolerable para una organización.
16. ICS + OT
Definición
Sistema de control industrial (ICS) es un término general que
abarca varios tipos de sistemas de control e instrumentos asociados
utilizados para el control de procesos industriales.
Definición
La tecnologı́a operativa (OT) se refiere a los sistemas
informáticos que se utilizan para gestionar las operaciones
industriales, incluyen gestión de la lı́nea de producción, control de
operaciones mineras, monitoreo de petróleo y gas, . . . [8]
18. Control de aceso a la red (NAC)
Definición
Network Access Control (NAC) es una tecnologı́a que permite
controlar de forma muy granular qué dispositivos pueden acceder a
la red, permitiendo establecer polı́ticas de gestión de los
dispositivos, tanto fijos como móviles, e integrar polı́ticas BYOD.
20. Redes definidas por software (SDN)
Definición
Las redes definidas por software (SDN) representan un enfoque
en el que las redes utilizan controladores basados en software o
interfaces de programación de aplicaciones (API) para dirigir el
tráfico en la red y comunicarse con la infraestructura de hardware
subyacente. [9]
1 Este enfoque es distinto al de las redes tradicionales, que
utilizan dispositivos de hardware dedicados (enrutadores y
conmutadores) para controlar el tráfico de la red.
2 Una SDN puede crear y controlar una red virtual o controlar
una red de hardware tradicional mediante el software.
23. Scrubbing center
Definición
Cento de datos centralizado donde se analiza y elimina el tráfico
malicioso (ddos, vulnerabilidades conocidas y exploits). Enlace .
• Utilizados por grandes empresas, como ISP y proveedores de
nube.
• Cuando una organización está bajo ataque, el tráfico se
redirige (normalmente mediante DNS o BGP) al centro de
depuración, donde un sistema de mitigación de ataques elmina
el tráfico malicioso y devuelve tráfico limpio a la red para su
entrega.
24. Firewall de Red
Definición
Un firewall de red es un sistema o una combinación de sistemas
que impone una barrera entre dos o más redes que por lo regular
forman una división entre un ambiente seguro y una abierto, como
Internet.
Figura: El Firewall y los ambientes de seguridad
Moraes, Alexandre M. S. P. Cisco Firewalls, Cisco Press, P 6.
26. Secure Access Service Edge (SASE)
Definición
Un perı́metro de servicio de acceso seguro (SASE) es una
arquitectura de red que combina capacidades de VPN y SD-WAN
con funciones de seguridad nativas de la nube, como puertas de
enlace web seguras, agentes de seguridad de acceso a la nube,
firewall y acceso a la red de confianza cero. Enlace
• Estas funciones se entregan desde la nube y el proveedor de
SASE las proporciona como un servicio.
29. Engaño (Deception)
Definición
Tecnologı́as que permiten desplegar múltiples trampas y señuelos
en una red, utilizando un camuflaje que aparenta equipos o
recursos reales, con el fin de que los atacantes los rastreen,
ataquen, e incluso los vulneren, pensando que están logrando
comprometer a la organización.
Los objetivos que se buscan son:
1 Obtener información valiosa acerca de las técnicas y artefactos
que están utilizando los atacantes, ası́ como de sus posibles
objetivos y métodos, proporcionando inteligencia accionable a
los equipos de ciberseguridad para actuar de manera más
oportuna y eficiente.
2 Retrasar, distraer o frustrar las actividades de los atacantes,
sobre todas aquellas asociadas con el reconocimiento y los
movimientos laterales.
33. Temario
1 Arquitectura de Computadoras
2 Mecanismos de protección
3 Modelos formales de seguridad
4 Guı́as de Evaluación
5 Certificación y Acreditación
34. Modelos formales de Seguridad
“Los modelos de seguridad son un concepto importante en el
análisis y diseño de sistemas de cómputo seguro”
.
• Provee un marco de refrencia dentro del cual puede ser
implementada una polı́tica de seguridad.
• Define los lineamientos necesarios para implementar y
soportar la polı́tica de seguridad.
• Provee los lineamientos y directivas que deben cumplir los
desarrollos de hardware y software, motivo por el cual solemos
referirnos a estos como la representación simbólica de una
polı́tica de seguridad en un conjunto de reglas que pueden ser
seguidas por una computadora.
35. Polı́tica vs Modelo de Seguridad
Mientras que una polı́tica de seguridad es generalmente un
conjunto de directivas o intenciones abstractas, un modelo de
seguridad representa exactamente el modo en el cual la polı́tica
deberı́a ser implementada.
Las polı́ticas de seguridad proveen los objetivos abstractos y el
modelo de seguridad provee las reglas necesarias para cumplir con
dichos objetivos.
36. Implementación
En la actualidad, los modelos formales de seguridad han quedado
algo relegados respecto de la cambiante dinámica de negocios con
la cual convivimos a diario.
Siendo rigoristas, si bien los mismos aún permiten establecer
parámetros generales, a nivel práctico solo pueden ser
implementados parcialmente.
Conceptos tales como: Firewall, Troyanos o Worms, no se
encuentran contemplados en los denominados modelos formales
37. Bell-Lapadula
Definición
• Orientado a mantener la confidencialidad.
• Reglas de Operación:
• simple-rule (no read up) = espionaje
• *-rule (no write down) = divulgación
• strong-*-rule : si se posee la capacidad de read y write sólo se
pueden realizar estas funciones en el mismo nivel.
39. Caracterı́sticas
• El modelo define un estado seguro (secure state)
• El acceso entre sujetos y objetos respeta una polı́tica de
seguridad especı́fica.
• TCSEC es una implantación de Bell-LaPadula
• Solo aplica a la sensibilizad (nivel de confidencialidad/secreto)
de la información.
• Es el modelo mas representativo en ambientes militares.
40. Biba
• El modelo Biba cubre niveles de integridad, los cuales son
análogos a los niveles de sensitividad del modelo
Bell-LaPadula.
• Los niveles de integridad cubren la modificación impropia de
datos.
• Tal vez el modelo mas representativo respecto de
ambientes comerciales.
• Previene que usuarios no autorizados realicen modificaciones
(1er objetivo de integridad)
• Modelo Read Up, Write Down
• Los sujetos no pueden leer objetos de integridad inferior, y no
pueden escribir objetos de integridad superior.
42. Resumen
Biba
• Orientado a asegurar la Integridad
• Reglas de Operación:
• simple-rule: no read down = evitar las fuentes dudosas.
• *-rule: no write up = no contaminar otros documentos.
43. Clark & Wilson
• Al igual que Biba, este modelo se encuentra orientado a
proteger la integridad de la información.
• Cumple con los principales objetivos de un modelo de
integridad:
• Previene las modificaciones por parte de usuarios no
autorizados. (T – Tamper).
• Previene que usuarios autorizados realicen modificaciones
impropias.
• Mantiene la consistencia interna y externa. (C – Consistencia)
• Refuerza el concepto de auditoria.
• Todas las las modificaciones deben ser registradas (L - Logged)
44. Well Formed Transactions
• Propone “Well Formed Transactions”
• Una WFT no es mas que una serie de operaciones que
permiten la transferencia de datos de un estado seguro a otro
estado seguro.
• Algunos de los principios relacionados con WFT son:
• Ejecución de tareas en forma ordenada.
• Ejecución exacta de las tareas definidas.
• Autenticación de los individuos que ejecutan las tareas.
• El modelo Clark & Wilson, incorpora la separación de tareas
(separation of duties) dentro de la arquitectura de una
aplicación. Es decir, provee las reglas que los desarrolladores
deben seguir a efectos de reforzar este principio a través de
procedimientos de software.
46. Resumen
Biba
• Orientado a asegurar la Integridad
• Conceptos Clave:
• Access Triple = Subject -> Application (SW)-> Object
• Auditing = Aplicación logueando accesos
• Separation of Duties = Separación de tareas.
47. Modelo de máquina de estados
Definición
Modelo matemático abstracto que se compone de variables de
estado y funciones de transición entre estados.
• La mayorı́a de los modelos formales de seguridad, incluyendo
Bell-LaPadula y Biba, se consideran derivados de este
modelo.
48. Modelo de flujo de información
Definición
Simplifica el análisis de covert channels. Cuando Information Flow
Model es utilizado, un sistema es seguro si todo flujo de
información ilegal no es permitido.
• Bell-LaPadula es un modelo de IF que asegura que la
información no pueda fluir de un compartimiento a otro en
forma que afecte la confidencialidad. Biba define
compartimientos de datos basado en niveles de integridad,
implementando de este modo, un modelo de IF que proteja la
integridad de la información mas confiable.
49. Modelo de no-interferencia
Definición
Cubre aquellos casos en los que se necesita prevenir que sujetos
que operan en un determinado dominio puedan afectarse entre sı́
violando la polı́tica de seguridad (Actividades realizadas sobre un
nivel de seguridad no deberı́an afectar o ser vistas, por sujetos u
objetos en un nivel de seguridad diferente).
• De utilización tı́pica en sistemas multi-nivel.
• Su principal propósito no es otro que el de combatir ataques
de inferencia y de covert channels.
50. Modelo de Matriz de Accesos(Access Matrix Model)
Definición
Es un modelo de máquina de estados aplicado a un ambiente DAC
(Discretionary Access Control). Decisiones de acceso, son basadas
en ACLs de objetos y tablas de capacidades del sujeto.
51. Temario
1 Arquitectura de Computadoras
2 Mecanismos de protección
3 Modelos formales de seguridad
4 Guı́as de Evaluación
5 Certificación y Acreditación
52. Guı́as de Evaluación I
• El proceso de determinar cuan seguro es un sistema puede ser
una tarea difı́cil.
• Las organizaciones necesitan métodos para evaluar el grado de
seguridad otorgado por tal o cual sistema, y de este modo
determinar si el mismo resuelve los requisitos impuestos por la
polı́tica de seguridad implementada.
• Una guı́a de evaluación, deberı́a ser lo suficientemente general
en sus principios, de modo tal que la misma sirva a los efectos
de comparar diferentes tipos de sistemas y otorgar a los
mismos una clasificación de acuerdo al nivel de seguridad que
presentan.
53. Guı́as de Evaluación II
• Inicialmente, el concepto detrás de la confección de una Guı́a
de Evaluación, se encuentra ı́ntimamente relacionado con la
necesidad por parte de las agencias de seguridad, el gobierno,
y las organizaciones privadas, de conocer el nivel o grado de
seguridad, existente en los diferentes sistemas, aplicaciones o
productos al momento de efectuar una compra o contratación.
54. Trusted Computer Systems Evaluation Criteria I
• En 1985 el “National Computer Security Center” (NCSC),
desarrolla para el “Departamento de Defensa de los EEUU”
(DoD), un conjunto de estándares, los cuales resultan en la
creación de TCSEC (Trusted Computer System Evaluation
Criteria).
• El principal objetivo detrás de la creación de TCSEC es el de
proveer al gobierno y entidades relacionadas, con un guı́a que
les permitiera evaluar los productos ofrecidos por los
diferentes proveedores, para cada uno de los criterios de
seguridad especificados.
• TCSEC == “Orange Book”
• TCSEC provee:
• Una base para establecer requisitos de seguridad en las
especificaciones de adquisición.
55. Trusted Computer Systems Evaluation Criteria II
• Un estándar de los servicios de seguridad que deben ser
proporcionados por los vendedores para los diferentes criterios
de seguridad existentes.
• Una forma de medir la seguridad de un sistema de información.
• TCSEC direcciona confidencialidad. No integridad. La
funcionalidad de los mecanismos de seguridad y el Assurance
de los mismos, NO son evaluados en forma separada.
56. Niveles TCSEC
• D - Minimal protection
• C - Discretionary Protection
• C1 – Usuarios cooperativos que pueden proteger su propia
información
• C2 – DAC más granular, se puede auditar al usuario/ proceso
individualmente (individual accountability)
• B - Mandatory Protection (Bell-LaPadula, RM, Security
Labels Requeridas)
• B1 Labeled Security Protection (Process Isolation!)
• B2 Structured Protection (Covert Channels!)
• B3 Security Domains
• A - Verified Protection (Direcciona seguridad a nivel Top
Secret)
• A1 Verified Design
57. Information Technology Security Evaluation Criteria
• Desarrollado en Europa como estándar único de evaluación de
la seguridad en sistemas.
• Evalúa Funcionalidad y Seguridad (Assurance) en forma
separada.
• Effectiveness = Hacen lo que se espera que haga.
• Correctiveness = Que tan correcto es el proceso por el cual lo
hacen.
• Clasificaciones por:
• F1-F10 Niveles de Funcionalidad.
• E0-E6 Niveles de Assurance.
• ITSEC direcciona Integridad, Disponibilidad y
Confidencialidad.
• ITSEC se ocupa de evaluar sistemas en red mietras que
TCSEC solo hace lo propio con sistemas stand-alone.
58. Common Criteria (CC)
• Creado por el ISO en 1993.
• Creado a partir de TCSEC, ITSEC, Canadian Trusted.
Computer Product Evaluation Criteria (CTCPEC) y el Federal
Criteria.
• Provee mas flexibilidad que TCSEC e ITSEC.
59. Componentes del Common Criteria (CC)
• Protection Profile (PP)
• Descripción de las necesidades de seguridad de un producto.
• Target of Evaluation (TOE)
• Producto que se propone evaluar.
• Security Target (ST)
• Descripción escrita por el proveedor explicando las
funcionalidades de seguridad (que hace?) y mecanismos de
assurance que cumplen los requerimientos de seguridad (como
lo hace?).
• Packages – Evaluation Assurance Levels (EAL)
• Los requerimientos Funcionales (definen el comportamiento del
producto relacionado con la seguridad) y de Assurance
(establece el nivel de confianza en el producto) son reunidos en
paquetes para ser reutilizados.
• Describen los requisitos a cumplir para alcanzar cada nivel EAL
especı́fico.
60. Package Ratings – Evaluations Ratings
1 Basic Assurance
• EAL 1 Functionally tested
• EAL 2 Structurally tested
• EAL 3 Methodically tested and checked
• EAL 4 Methodically designed, tested and reviewed
2 Medium Assurance
• EAL 5 Semiformally designed and tested
3 High Assurance
• EAL 6 Semiformally verified design and tested
• EAL 7 Formally verified design and tested
61. Temario
1 Arquitectura de Computadoras
2 Mecanismos de protección
3 Modelos formales de seguridad
4 Guı́as de Evaluación
5 Certificación y Acreditación
62. Certificacón y Acreditación
Certificación
Evaluación técnica mediante la cual se revisan los mecanismos y
controles de seguridad, con el objeto de evaluar su efectividad.
• La certificación considera al sistema dentro del ambiente
operativo.
Acreditación
Aceptación oficial de los resultados de una certificación.
• La acreditación refiere a la decisión oficial de la gerencia
relacionada con la operación del sistema en el ambiente
especificado.
63. Referencias bibliográficas
Improving Web Application Security: Threats and
Countermeasures, Mark Curphey.
ISO/IEC 27000:2012.
Introducción al modelado de amenazas [web page]. Microsoft,
Inc. [Visitada en: 27 de septiembre de 2021].
Uso de un marco para identificar amenazas y buscar formas de
reducir o eliminar el riesgo [web page]. Microsoft, Inc.
[Visitada en: 27 de septiembre de 2021].
STRIDE (seguridad) [web page]. Wikipedia. [Visitada en: 27
de septiembre de 2021].
¿Qué es una amenaza avanzada persistente (APT)? [web
page]. Kaspersky. [Visitada en: 27 de septiembre de 2021].
Chinese Army Unit Is Seen as Tied to Hacking Againist U.S.,
2013 [web page]. The New Your Times. [Visitada en: 27 de