organizado por:

1

VII Congreso Internacional de Seguridad de la Información“LA SEGURIDAD AGREGA VALOR”

10 Y 11 DE MARZO DE 2010 – SHERATON HOTEL - BUENOS AIRES - ARGENTINA

Estrategias de defensa en profundidad para ISPs y Datacenters

Gabriel MarcosDatacenter, Security & Outsourcing

Product ManagerGlobal Crossing LATAM

2

Presentada por:

LOGOde la

EMPRESA

VII Congreso Internacional de Seguridad de la Información“LA SEGURIDAD AGREGA VALOR”

10 Y 11 DE MARZO DE 2010 – SHERATON HOTEL – BUENOS AIRES - ARGENTINA

Aclaración:

© Todos los derechos reservados. No está permitida la reproducción parcial o total del material de esta sesión, ni su tratamiento informático, ni la transmisión de ninguna forma o por cualquier medio, ya sea electrónico, mecánico, por fotocopia, por registro u otros métodos, sin el permiso previo y por escrito de los titulares de los derechos. Si bien este Congreso ha sido concebido para difusión y promoción en el ámbito de la profesión a nivel internacional, previamente deberá solicitarse una autorización por escrito y mediar la debida aprobación para su uso.

Agenda

El punto de vista del ISP / Datacenter

Modelo general del ISP/Datacenter

Complejidad, Riesgos, Desafíos Qué es “defensa en

profundidad”? Ventajas / Implementación Mitos falsos y verdaderos Recomendaciones

4

Punto de vista del ISP/Datacenter

Tantos los ISP como los Datacenters son casos particulares:

En general, los modelos están orientados a una organización “stand-alone”

Prestar servicios implica complejidad adicional

Algunos fabricantes de tecnología tampoco consideran estos requerimientos

Hay mucho know-how en el mercado pero está orientado a las empresas

5

Punto de vista del ISP/Datacenter

Ejemplos (mediciones propias): 300.000 eventos críticos por día

(IDS/IPS) 80 Tbytes de logs por año (¡sólo

FWs!) SPAM: 100% CAGR (2006 – 2009)

Base: 4.000.000 por mes Virus: 200% CAGR (2006 – 2009)

Base: 2.500.000 por mes POPs: 600 (¡sólo los propios!)

6

Modelo general de ISP/Datacenter(solamente redes, sin seguridad)

7

Internet ISP

Datacenter

Cliente A Cliente BISP(Red Interna)

Datacenter(Red Interna)

Backbone

Perímetro

Red Interna

Servidores en DatacenterPublicación de serviciosDisaster recoverySistemas críticos

SucursalesUsuariosServidores internosIntranet

Empleado

Externo

Desconocido

Punto de vista del ISP/Datacenter

Complejidad: Múltiples perímetros Simultaneidad de políticas y

regulaciones Protección “todos contra todos” Gestión centralizada Distribución de la arquitectura Integración con terceros

8

Punto de vista del ISP/Datacenter

Riesgos: Gran ancho de banda +

interconexión: alcance de los ataques

Economía de escala para el atacante Compliance por cliente Sin estandarización en las topologías Falta de visibilidad y control

9

Punto de vista del ISP/Datacenter

Desafíos:Plataforma de base no intrusiva

Servicios escalablesFlexibilidad en complianceGranularidad por cliente

Concientización Múltiples tecnologías

Service Level Agreements10

Qué es “defensa en profundidad”?

Defensa en profundidad: Es un modelo conceptual para

diseñar un sistema de seguridad. La infraestructura está formada por

capas interconectadas. Cada capa o “layer” utiliza controles

y medidas de seguridad específicas.

11

Qué es “defensa en profundidad”?

12

Políticas y procedimientos

Seguridad física

Perímetro

Redes

Hosts

Aplicaciones

Datos

De

talle

téc

nic

oC

om

ple

jida

d

Qué es “defensa en profundidad”?

Ventajas: Múltiples barreras: disuasión Reducción del alcance del ataque Medidas y controles específicos Implementación a partir de políticas Análisis de riesgo por capa Certificación

13

Políticas y procedimientos

Referencia normativa: ISO 27001

Referencia metodológica: ITIL Definición de objetivos

medibles ROSI (Return on Security

Investments) Tablero de control Compromiso de la Dirección Análisis de riesgos

14

Políticas y procedimientos

Ejemplos: Política Corporativa Políticas del Datacenter Políticas de Uso Aceptable Leyes y regulaciones nacionales Leyes aplicables a Clientes

Corporativos Normativas aplicables al Gobierno

15

Mitos falsos

Implementar ITIL requiere contratar más de 40 personas

(FALSO) Los roles no representan personas, sino responsabilidades.

La mejor forma de controlar, es filtrar (FALSO) Seguridad es Disponibilidad!

Hay que guardar todos los logs (FALSO) El análisis es más importante que la

conservación.

16

Mitos falsos

La seguridad requiere muchísima inversión

(FALSO) La inversión está en función del riesgo. ¿Quién nos va a querer atacar, si no somos

un banco? (FALSO) La marca tiene un valor económico, y es lo

más importante! Hasta ahora no sufrimos ningún ataque…

(FALSO) Los ataques modernos están pensados para no ser detectados y perdurar en el tiempo.

Ya dimos una capacitación a los técnicos (FALSO) La concientización incluye la capacitación,

dentro de un proceso continuo, para toda la organización.

17

Seguridad física

Definición de perímetros Controles de acceso

biométricos Manejo de inventarios:

Software Hardware Licencias Personas Información

18

Perímetro

Filtrado por etapas: Mayor volumen -> menor precisión “del Router al UTM”

Balance de tecnologías: Más servicios -> menos detalle Más especialización -> menor ROI

19

Redes

SIEM (Security Information Event Mgmt):

Almacenamiento Correlación Análisis Decisión Acción

Seguridad para redes Wi-fi

20

Hosts

Protección de accesos remotos: SSL VPN Client-to-site

Endpoint protection: Remotos Red interna PDAs Terceros

21

Aplicaciones

Seguridad desde el desarrollo! Quality Assurance Análisis técnicos:

Vulnerability assessment: Por tecnología Por aplicación

Penetration test Hardening

22

Datos

Asignación de responsabilidades por la información:

Confidencialidad Integridad Disponibilidad

Registros (¡no logs!) Auditorias

23

Mitos verdaderos

Para implementar seguridad es imprescindible el apoyo de la dirección

(VERDADERO) La mejor forma de controlar, es conseguir

compromiso del usuario (VERDADERO)

La seguridad es una ventaja competitiva (VERDADERO)

Se habla de seguridad, pero se trabaja sobre el riesgo

(VERDADERO)

24

RecomendacionesISO 27001

25

A5 / A14 / A16

A7 / A9

A11

A10

A10

A12

A6 / A8 / A13

Cláusulas:4, 5, 6, 7, 8

(Information Security

Management System)

Recomendaciones

Pensar en seguridad desde el inicio de cualquier proyecto (CIO + CISO)

Agregar componentes solamente si se los puede monitorear

Primero medir el riesgo, para después invertir, y verificar la efectividad

Aplicar las normas y metodologías disponibles

26

Gracias por asistir a esta sesión…

27

Preguntas yRespuestas…

Para mayor información:

Gabriel Marcosgabriel.marcos@globalcrossing.com

http://blogs.globalcrossing.com

Para descargar esta presentación visite www.segurinfo.org

28Los invitamos a sumarse al grupo “Segurinfo” en