Gestión de Identidad y Acceso de Usuarios:
Por qué el hacker NO es su peor enemigo
Resumen
Se estima que los usuarios tienen acceso a 90% más de información de la que requieren para efectuar sus labores. Estos mismos usuarios autorizados son responsables de la mayor parte de violaciones de seguridad de la red. Mientras muchos adminstradores de sistemas se preocupan de hackers foráneos, los usuarios internos constituyen la verdadera amenaza de la que debieran preocuparse. Permisos de acceso inapropiados y la falta de una arquitectura de gestión de identidad crean un ambiente donde el hacker no es tema, pero los usuarios internos tienen acceso ilimitado.
El propósito de esta presentación es mostar:
- Cuál es la percepción de la seguridad en la economía interconectada de hoy;
- Cómo identificar soluciones tecnológicas para proteger a su empresa y salvaguardar información de personas, tanto dentro como fuera de la red, y mantener un ambiente laboral abierto.
Agenda
Revisaremos los siguientes temas:
– El ambiente actual de seguridad informática – Identificar las causas de los riesgos reales de
seguridad de información– Olvidar a Kevin Mitnick y darse cuenta del problema
real de abuso interno de los sistemas
Puntos Clave a Recordar
La seguridad no es software o hardware, sino personas, políticas y procesos.
Aunque la mayoría de los ataques proviene del exterior, los más dañinos se originan dentro de la organización.
El Estado Actual de la Seguridad Informática Empresarial
La Tecnología Cambió
Conocemos los riesgos, hemos visto los gráficos y estadísticas – Encuestas y estudios CSI, Gartner, E&Y, PwC, Information Week,
US GAO, etc. reafirman la conclusión que las amenazas están aumentando, y los ataques vienen de adentro.
Internet ha transformado la infraestructura de las TI La gran mayoría de las empresas cuentan con algún tipo
de conexión pública externa La conectividad a través de Internet, intranets, extranets,
WAN y VPN ofrecen múltiples beneficios, pero también conllevan riesgos de seguridad
El lenguaje de Internet es TCP/IP. Pero la seguridad no fue incorporada a TCP/IP hasta la versión 6 <1998>
Considerando que más del 95% de Internet usa TCP/IP v4, fue construido con y corre sobre una infraestructura insegura
El Ambiente Actual de Seguridad Informática
Las redes corporativas son complejas en extremo, y continúan creciendo en complejidad. Consideremos un departamento informático típico y sumemos sus: Proveedores de hardware Topologías y protocolos de red Sistemas operativos; Bases de datos y software estándar Aplicaciones desarrolladas a medida Empleados, consultores, contratistas y socios de negocio
Tratemos de integrarlas en forma segura– Si la seguridad no fue considerada en la arquitectura original del
sistema, ¿cómo esperamos que la seguridad informática sea efectiva?
Se está invertiendo más en seguridad de sistemas informáticos– Pero los sistemas se tornan más complejos, y los sistemas
complejos son mucho más difíciles de asegurar.
La Realidad
Todas las redes corporativas tienen firewalls Algunos firewalls son poco más que un mecanismo para
frenar el desempeño de la red Los cortafuegos son una efectiva herramienta de
seguridad alrededor del perímetro de la red – pero qué pasa con el tráfico dentro de la red, cómo se protege?
El daño significativo es ocasionado por usuarios con acceso a la red– Los externos haquean páginas web y causan daño vandálico; los
internos: Roban secretos industriales, venden información confidencial, I+D,
adquisiciones, info de recursos humanos y demás propiedad intelectual Cuentan con el tiempo y confianza interna para acceder y revisar sistemas
Abuso de Usuarios Internos
La distribución incontrolada de información, combinado con una infraestructura que permite el acceso no gestionado a la información creo múltiples oportunidades para abuso
A veces es más fácil transferir múltiples gigas de información de una red corporativa que obtener un nuevo cartucho de toner para la impresora
La mayoría de los ataques a las redes vienen de afuera
Pero los más dañinos son originados de adentro
Historias de Horror
Tim Lloyd/Omega Engineering– Borró decenas de megabytes de información de producción, ingeniería y
manufactura– Hasta el día de hoy, Omega aún no se ha recuperado de este incidente
ocurrido en 1996– Lecciones aprendidas: Falta de controles y chequeos, separación de roles,
manejo inadecuado de empleado deshonesto.
NetSupport– Gerente de ventas ofreció vender la lista de clientes a dos competidores de la
empresa– Lecciones aprendidas : Control de acceso, monitoreo de acciones de
empleados
Robert Hanssen/FBI– Vendió documentos clasificados, detalles sobre fuentes de inteligencia
americana y operaciones de espionaje electrónico por $1,5 millones– Lecciones aprendidas : Falta de controles y chequeos, separación de roles. La
gerencia del FBI no consideró una amenaza interna hasta que ya se había causado daño importante.
Historias de Horror
Milo Nimori– Director de Seguridad del Barnes Bank of Utah– Miembro del comité de seguridad de la Asociación de
Banqueros de Utah– Asaltó numerosos bancos en Salt Lake City
Como olvidar a Kevin Mitnick
o Dejemos de Vivir en el Pasado
Control de Seguridad #1
Por un punto, ¿cuál es el origen del nombre Giga (Giga Information Group)?– Gideon Gartner
Por 10 puntos, ¿quién es Kevin Mitnick?– Criminal computacional, famoso hacker
Por 100 puntos, nombre un producto de Checkpoint Systems– Checkpoint Systems fabrica productos de protección y
seguimiento para la industria retail. www.checkpointsystems.com NYSE: CKP
– Check Point Software Technologies es una empresa de software de seguridad Internet. www.checkpointsystems.com NASDAQ: CHKP
Control de Seguridad #2
Por 1000 puntos, ¿quiénes son las personas en su organización que representan una amenaza directa a la seguridad, tecnología, relaciones públicas, productividad y utilidades de su empresa? – Si no sabe, o no tiene un perfil del tipo de estos
usuarios, está garantizado que su empresa será víctima de algún tipo de crimen informático
La Obsesión con el Hacker
Los medios, e incluso muchos profesionales de seguridad, están obsesionados con el trístemente célebre hacker Kevin Mitnick. Pero mientras las empresas y los medios están ocupados preocupándose por casos como Mitnick, se vuelven complacientes respecto a la verdadera amenaza a la seguridad de la información: los usuarios internos
Si bien genera más empatía y autoestima pensar en hackers en países lejanos accesando nuestros sistemas en la mitad de la noche, la realidad es que la mayor parte de los compromisos a la información son causados por usuarios internos durante el horario hábil de trabajo.
La Obsesión con el Hacker
Los medios dan una vitrina desmedida a los incidentes de seguridad
Piensan que los hackers son todos genios– La mayoría sabe ejecutar scripts y son genios en bajar cosas de
la red
Ignoran los verdaderos problemas y se concentran en lo glamoroso que genera ratings y vende diarios
Fue el New York Times que hizo de Kevin Mitnick un hacker célebre
Hackers no han causado la muerte de ninguna empresa; los ataques de usuarios internos en cambio sí
Abuso Interno
Abuso Interno
Uno no puede pensar que las amenazas del mundo físico no se traspasan al mundo digital
El robo es un problema gigantesco en la industria del retail– Un problema aún más grande es el hurto por parte de empleados
El espionaje corporativo es un tremendo problema en las industrias farmacéuticas y de manufactura– Un problema mayor es el uso indebido de información propietaria por parte de
empleados
– Tras cada caso de espionaje corporativo hay abuso interno
Como promedio, el usario autorizado a la red puede acceder 20 – 50 veces más recursos de los que requieren para ejecutar su labor. – Este nivel de acceso abierto a las redes, combinado con seguridad no (o mal)
implementada, es la razón por la cual usuarios internos son responsables por la mayoría de incidentes de seguridad en la red
Abuso Interno
El 70 % de los incidentes de seguridad que arrojan pérdidas a la empresa (en contraste a aquellos que “sólo” son molestos) involucran a usuarios internos. Las empresas deben encontrar el punto de equilibrio entre acceso interno libre y una seguridad asfixiante que perjudica el negocio. Este equilibrio se puede lograr implementando políticas basadas en “necesidad de saber”.
Arquitecturas centralizadas de gestión de acceso deben ser usadas para otorgar acceso a servidores y bases de datos sólo a aquellos empleados que lo requieren por motivos legítimos de trabajo.
“Herramientas de auditoría y reporte deben ser usadas para revisar acciones de escalamiento de acceso”
– High – Profile Thefts Show Insiders Do the Most Damage, John Pescatore, Gartner
“Montañas de dinero se gastan en corta-fuegos, software anti-virus y sistemas de detección de intrusos para detener los ataques en la puerta de entrada. Pero son los empleados de las empresas los que representan una amenaza mayor a las empresas, sus datos y bienes.”– CSI: Examining threats from inside the firewall
Abuso Interno
Lectura o copia no autorizada, divulgación de información sensitiva
Ejecución de ataques de denegación de servicio Infección de virus, gusanos u otros programas
malignos en sus sistemas Destrucción o corrupción de data (intencional o por
error) Exposición de información sensitiva debido a mal
etiquetado o manejo de impresiones
¿Por Qué Ocurre Esto?
Reducciones Corporativas/Downsizing– “Ira del Ex –” es un tema candente para psicólogos industriales
Sueldos estancados Promociones no recibidas Discriminación/abuso sexual o NSE ¿Qué ocurre cuando encuentran nuevo trabajo? ¿Qué pasa si el nuevo empleador es competencia?
Todos estos temas deben ser manejandos proactivamente
El Foco
El foco debe estar sobre las verdaderas amenazas:
Prepararse para el 99% del lo real, y no el 1% de lo teórico
Tomar decisiones racionales y prácticas No dejarse influenciar por reportes alarmistas
Análisis de Riesgo
La mayoría de la gente no entiende la naturaleza del riesgo
La seguridad informática funciona en un vacío si no cuenta con análisis de riesgo. Debe ser ejecutada en el contexto de gestión de riesgo– No se puede eliminar el riesgo...sólo se gestiona.– De la misma manera, no se puede eliminar el crimen, sólo se gestiona.
Una evaluación y análisis de riesgo efectivas aseguran que estamos preocupados de los temas importantes
Si bien la mayoría de las amenazas son internas, no olvidar que el personal interno es nuestro mayor aliado
Gestión del Riesgo
Una gestión efectiva de riesgo reduce el riesgo de abuso de sistemas y ayuda en detectar y documentar eventuales casos de fraude
Una estrategia efectiva de gestión de riesgo involucra dos fases:
1. Identificar y resolver debilidades de seguridad:- Monitorear sistemas informáticos en busca de vulnerabilidades- Desarrollar sistemas “duros”- Implantar políticas de uso permitido- Programa contínuos de capacitación
2. Implantar resguardos o detectar ataques:- Controles de Acceso (monitores de control de acceso, políticas de
autorización, etc.) - Filtros (firewalls, filtros web)- Detección de mal uso (logs de auditoría, detección automática, monitoreo de
sistemas, protecciones anti-virus y anti-spyware)
Factores de Riesgo
Comportamiento Humano Limitaciones Técnicas Gestión de seguridad
– Seguridad Informática aún se encuentra en pañales– Falta de experiencia de mundo entre profesionales de
seguridad informática
El Ser Humano como Factor de Riesgo
Ingenuidad – Chat– Active X– La Tecla Delete– Windows Explorer
Negligencia Errores involuntarios Ataques maliciosos de haqueo Venganza
– Riesgo de personas maltratadas
Codicio– Riesgo de aquellos de trabajan demasiado, reciben muy poco y en
general sienten que merecen más
Factores Técnicos de Riesgo
Bugs y puertas traseras Funcionalidad de seguridad insuficiente Seguridad física
– Cada sistema operativo en red: NetWare, Windows NT/2000/XP, Linux, y Unix; el cimiento de la arquitectura de seguridad debe ser el fierro
Factores de Riesgo en Gestión de Seguridad
En general, las empresas adolecen de:
Conocimiento y capacitación técnica Conocimiento y capacitación en seguridad Seguridad como fundamento Awareness Políticas y procedimientos Falta de tiempo y recursos apropiados Información Control y administración centralizados
Gestión de Identidad y Control de Acceso
El pilar de la seguridad informática
Control de Acceso
El derecho de usar o acceder a un objeto en un sistema
Necesitamos control de acceso por las mismas razones que tenemos candados y chapas en nuestras casas y autos
El acceso a menudo se controla mediante un Access Control List (ACL), una tabla que indica al SO que derechos de acceso cada usuario tiene a un objeto determinado– El ACL a menudo tiene diferentes implementaciones en
cada SO El ACL contiene un registro por cada usuario del sistema, con
los privilegios de acceso. Los privilegios más comunes son lectura de un archivo (o directorio), escritura de archivo, y ejecución de archivos.
En general, el administrador del sistema o el dueño del objeto controlan el ACL del objeto.
Gestión de Identidad
Problema – Tantos sistemas y redes, con tantas cuentas de usuarios. Es imposible de controlar sin alguna herramienta de software
Gestión de indentidad es una extensión de autenticación– CA define la gestión de identidad como la administración
de usuarios y su acceso seguro a los sistemas de la corporación
– Se logra a través de provisionamiento, SSO (Single Sign-on), autenticación y directorios
– Por ejemplo: eTrust Identity and Access Control Management Suite
– Otras soluciones: Netegrity, Oblix, Access360/Tivoli
Cambiar el Foco de Seguridad Informática al
Interior de la Empresa
Foco Interno de Seguridad Informática
Considerando todo los factores de riesgo mencionados, para que la seguridad informática sea efectiva debe tener la misma visibilidad y prioridad corporativa que políticas de acoso sexual– Políticas de acoso sexual se definen como consecuencia del
alto nivel de riesgo a la organización en caso de acción judicial
No obsesionarse con hackers remotos, preocuparse de las amenazas locales
Reconocer que la seguridad informática es un proceso– No hay seguridad mágica
Controles
Información confidencial debe ser identificada, priorizada y sus derechos de acceso controlados
Políticas y procedimientos deben ser revisados y actualizados
Tales controles deben ser implentados usando software adecuado– Monitoreo en tiempo real y mecanismos de bloqueo
Definición de política “tolerancia cero” y documentación de violaciones
Apoyo de gerencia general, legal y teconología
Controles
Exigir inducción en seguridad para nuevas contrataciones
Establecer programa de alerta y vigilancia Verificación de antecedentes de empleados con
acceso a información sensitiva Establecer mecanismo confiable para asignar acceso
a información corporativa Determinar, basado en función laboral, quien requiere
acceso a que recursos corporativos, y cual es la justificación de este acceso
Controles
Exigir a empleados y contratistas firmar NDA en su fecha de contratación
Sofware: HIDS, NIDS, Silent Runner Cuentas vencidas deben ser desactivadas y eliminadas Cuando empleados temporeros dejan la empresa,
deshabilitar y eliminar sus cuentas de acceso en forma inmediata
Como parte de la política de seguridad informática, dejar constancia que el uso de los sistemas y red corporativa son sujetos a monitoreo
Nunca suponer que la información detrás del cortafuego está protegida
Referencias
Security Engineering: A Guide to Building Dependable Distributed Systems – Ross Anderson
Secrets and Lies: Digital Security in a Networked World - Bruce Schneider
CERT Guide to System and Network Security Practices – Julia Allen
The Art of Deception: Controlling the Human Element of Security – Kevin Mitnick
The Insider Threat to US Government Information Systems– www.nstissc.gov/Assets/pdf/NSTISSAM_INFOSEC1 -99.pdf
The Insider Threat – Terrance Roebuck– http://abyss.usask.ca/~ roebuck/threats. HTML
Conclusiones y Soluciones
Conclusiones
La gran mayoría del crimen informático se realiza por usuarios internos autorizados
No se deje llevar por la fascinación mediática con los hackers y su “visión” de seguridad
Conozca al enemigo, sus capacidades y debilidades
La única manera de tener éxito es a través de la formulación e implantación de una estrategia defensiva completa de seguridad informática