Tendencias de la Tecnologíaen Seguridad Informática
Victor H. MonteroVictor H. [email protected]@cybsec.com
12 de Septiembre de 200712 de Septiembre de 2007Hotel SheratonHotel Sheraton
Buenos Aires Buenos Aires -- ARGENTINAARGENTINA
2
© 2007
Tendencias de la Tecnología en Seguridad Informática
AgendaAgenda
Problemáticas actuales
Normativas PCI
Norma BCRA A4609
Protección de datos personales
Tendencia del uso de Penetration Tests
Mercado negro de vulnerabilidades y cybercrimen
Complejidad creciente de Troyanos
Amenazas hacia clientes y ataques dirigidos
Seguridad en dispositivos móviles
Incremento en el manejo de incidentes
3
© 2007
Tendencias de la Tecnología en Seguridad Informática
ProblemProblemááticas actualesticas actuales
Programas de Concientización no realizados a conciencia…
Dentro del SDLC, existe una clara dificultad en la inserción de aspectos de seguridad en las distintas etapas.
Falta de madurez en herramientas de patch management.
Bombardeo de regulaciones y normativas.
Volúmenes de información altamente complejos de manejar, segmentar y clasificar.
Nuevas y más poderosas herramientas de ataque disponibles públicamente.
Compañías de antivirus admiten públicamente que la situación de los virus es incontrolable
4
© 2007
Tendencias de la Tecnología en Seguridad Informática
PCI-SSC (Payment Card Industry - Security Standards Council)
Principales Miembros:
VISA DINERSMASTERCARD DISCOVER CARDAMERICAN EXPRESS JCB
Objetivo: Concentrar esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago
Tiempo hasta fines de 2007 para certificar PCI Compliance en Latinoamérica.
Normativas PCI (Normativas PCI (PaymentPayment CardCard IndustryIndustry))
5
© 2007
Tendencias de la Tecnología en Seguridad Informática
PCI-DSS (Payment Card Industry - Data Security Standard)
12 requerimientos básicos, separados en 6 categorías
El cumplimiento no suele ser fácil, pese a los controles compensatorios.
Necesidad de realizar cambios a nivel infraestructura tecnológica, arquitectura y lógica de aplicaciones, y adecuación a PCI de normas, políticas y procedimientos internos de cada compañía
Aparición (y adaptación marketinera) de herramientas que ayudan a determinar el nivel de compatibilidad en algunos de los 12 requerimientos
Normativas PCI (Normativas PCI (PaymentPayment CardCard IndustryIndustry))
6
© 2007
Tendencias de la Tecnología en Seguridad Informática
La comunicación A4609 releva a su predecesora A3198 del año 2000.
Afecta a entidades financieras únicamente
Influenciada fuertemente por normas, prácticas y leyes internacionales:
- Information Security Governance
- Information Technology Governance
- ISO 17799: 2005
- Sarbanes Oxley Act (SOX)
- Basilea II
Norma BCRA A4609Norma BCRA A4609
7
© 2007
Tendencias de la Tecnología en Seguridad Informática
(Muchos) Nuevos lineamientos, mayor nivel de detalle
Involucra y responsabiliza a las más altas autoridades de la Organización
Fuerte influencia de las buenas prácticas internacionales de seguridad de la información
Gestión de la seguridad en base a riesgo
Segregación de funciones
Posicionamiento organizacional de la protección de activos informáticos
Norma BCRA A4609Norma BCRA A4609
8
© 2007
Tendencias de la Tecnología en Seguridad Informática
Objetivo: “Protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios ténicos de tratamiento de datos, púlicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”
Registro Nacional de Bases de Datos Privadas
- Habilitado el 1º de Agosto de 2005
- Plazo original de vencimiento de la obligación de inscribir las bases de datos privadas: 31 de Enero de 2006; extendido luego hasta 31 de Marzo de 2006
ProtecciProteccióón de datos personalesn de datos personales(Ley de Habeas Data)(Ley de Habeas Data)
9
© 2007
Tendencias de la Tecnología en Seguridad Informática
Sanciones Administrativas
- Apercibimientos
- Suspenciones
- Multas de $1000 a $100000
- Clausura o cancelación del archivo, registro o base de datos
Sanciones penales
- Prisión de 1 mes a casi 5 años, dependiendo la gravedad y carácterísticas del caso
- Inhabilitacion de 1 a 4 años para el caso de los funcionarios públicos
ProtecciProteccióón de datos personalesn de datos personales(Ley de Habeas Data)(Ley de Habeas Data)
10
© 2007
Tendencias de la Tecnología en Seguridad Informática
Los proyectos de Penetration Tests no han variado únicamente su metodología, como hemos visto.
Desde el año 1995, y hasta el año 2003, el mercado argentino solicitaba este tipo de proyectos principalmente para encontrar los riesgos tecnológicos existentes en las plataformas:
Tendencia del uso de Tendencia del uso de PenetrationPenetration TestsTests
- Servicios vulnerables- Usuarios por defecto o con
contraseñas débiles- Vectores de escalamiento de
privilegios- Etc…
Este enfoque, permitía a las áreas de sistemas tener una visión objetiva del riesgo de su infraestructura desde el punto de vista tecnológico únicamente.
11
© 2007
Tendencias de la Tecnología en Seguridad Informática
A principios/mediados del año 2004, comenzó a notarse una solicitud mayor por detectar los riesgos funcionales y del negocio, lo que equivaldría a darle semántica a los detalles netamente técnicos de los resultados de los Penetration Tests, una semántica que sea entendible por las altas jerarquías de una organización.
Tendencia del uso de Tendencia del uso de PenetrationPenetration TestsTests
Las Áreas de Sistemas y Seguridad Informática se vieron beneficiadas con este nuevo enfoque, debido a que facilitó, en muchos casos, la justificación sobre la necesidad de inversiones en medidas de seguridad.
Como beneficio adicional, esta modalidad de Penetration Test ha permitido “amigar” distintas áreas de las organizaciones, dado que habla un idioma común, el de los riesgos del negocio como un todo.
12
© 2007
Tendencias de la Tecnología en Seguridad Informática
La venta de exploits y detalles de vulnerabilidades no es algo nuevo, pero aumentó exponencialmente en los últimos años
Los principales financistas de este mercado fueron y son, en general, grupos terroristas, spammers y agencias de inteligencia internacionales
Principal problema: los detalles de las vulnerabilidades descubiertas y vendidas en este mercado difícilmente llegan a manos del fabricante del software afectado, por lo que todos los usuarios de dicho software son susceptibles de ser atacados exitosamente mientras nadie reporte la vulnerabilidad.
Empresas de antivirus, IDSs e IPSs tampoco pueden defender a sus clientes de ataques y vulnerabilidades desconocidas, salvo mediante técnicas heurísticas
Mercado negro de vulnerabilidades y Mercado negro de vulnerabilidades y cybercrimencybercrimen
13
© 2007
Tendencias de la Tecnología en Seguridad Informática
Solución: Si no puedes contra ellos, úneteles!… O mejor aún, cómpralos!
Surgen programas como Zero Day Initiative (TippingPoint), Quarterly Vulnerability Challenge (iDefense), Exploit Acquisition Program (Snosoft), donde se paga a quienes colaboran en la búsqueda de vulnerabilidades
Microsoft, por su parte, participa y sponsorea eventos de seguridad mundialmente reconocidos, y dio origen al Blue Hat Summit, como estrategia para “amigarse” con la comunidad de seguridad que tantas fallas de seguridad ha encontrado en sus productos.
Todo tiene un precio. Cuanto vale tu… exploit?
Mercado negro de vulnerabilidades y Mercado negro de vulnerabilidades y cybercrimencybercrimen
14
© 2007
Tendencias de la Tecnología en Seguridad Informática
Cada vez más se advierte que los troyanos están tomando un papel preponderante en el cybercrimen
Como “beneficio” adicional, los troyanos de hoy día están mejor preparados para ocultarse. Implementan métodos de empaquetamiento y encriptación que minimizan la eficacia de los antivirus, IDSs e IPSs en su tarea de protección.
Estas características se suman a la tendencia de generar epidemias localizadas de gran escala y en corto tiempo
Complejidad creciente de troyanosComplejidad creciente de troyanos
Robo de información, extorsión (encriptación de información), control remoto de sistemas, son sólo algunas de las funcionalidades que estos programas son capaces de ofrecerle a sus usuarios.
15
© 2007
Tendencias de la Tecnología en Seguridad Informática
La protección de los sistemas adquirió una relativa madurez en lo tecnológico, pero todavía no se ha podido superar la barrera del error humano en el manejo de los sistemas. En general, es más probable dar con un usuario imprudente o no conciente de los peligros informáticos que con un administrador de sistemas con estas características, por lo que el foco de los ataques ha ido cambiando de servidores y mainframes a clientes y usuarios de estos sistemas.
Amenazas hacia clientes y ataques dirigidosAmenazas hacia clientes y ataques dirigidos
Objetivo originalObjetivo original: Causar daño, o ganar prestigio en la comunidad del underground.
Objetivo actualObjetivo actual: Sencillamente, ganar dinero
16
© 2007
Tendencias de la Tecnología en Seguridad Informática
Teniendo como foco al cliente, nuevamente se puede percibir una evolución en los ataques, de lo masivo a lo dirigido
Aquí es donde también entra en juego el tema de venta de exploits
Cuando una vulnerabilidad no reportada es explotada por un worm o virus masivamente, inmediatamente se disparan los procedimientos de identificación, generación de vacuna, y bajada de actualización a los distintos antivirus existentes
Cuando en cambio, una vulnerabilidad no reportada es explotada en un número reducido (dirigido) de sistemas, la probabilidad de que el ataque sea descubierto es mínima.
Amenazas hacia clientes y ataques dirigidosAmenazas hacia clientes y ataques dirigidos
17
© 2007
Tendencias de la Tecnología en Seguridad Informática
El tipo de ataque que se efectúe depende del objetivo al que se quiere llegar:
•Robo de información estratégica•Espionaje industrial•Robo de credenciales de acceso a otros sistemas•Ataques de phishing avanzados
•Robo de datos de tarjetas de crédito•Obtención de cuentas de mail•Ataques de phishing•Obtención de contraseñas de Home Banking•Obtención de contraseñas de sitios como Paypal + eBay
Ataques DirigidosAtaques masivos
Amenazas hacia clientes y ataques dirigidosAmenazas hacia clientes y ataques dirigidos
18
© 2007
Tendencias de la Tecnología en Seguridad Informática
Más de 2.000.000.000 de teléfonos celulares activos en el mundo.
En 3 años, la cantidad de malware para dispositivos móviles aumentó de 1 a más de 350, un crecimiento equivalente en comparación al de los virus de PC.
Seguridad en dispositivos mSeguridad en dispositivos móóvilesviles
Varias vías de propagación
- Bluetooth - WLAN- SMS - MMS- Memory Cards - P2P- Programas descargables - IM- EMails
19
© 2007
Tendencias de la Tecnología en Seguridad Informática
En la actualidad, algunos bancos ya están dando servicio de Home Banking por celular.
Se espera que en un futuro cercano, los dispositivos móviles reemplacen a las PC en muchas funcionalidades
Algunos fabricantes están trabajando en el desarrollo de “billeteras móviles”, una idea que tiene más de 10 años, pero que la tecnología actual permitiría implementar
La posibilidad de ataques todavía dista mucho de haber sido explotada al máximo. La mayoría de los ataques de hoy en día se basan principalmente en la utilización de ingeniería social.
Seguridad en dispositivos mSeguridad en dispositivos móóvilesviles
20
© 2007
Tendencias de la Tecnología en Seguridad Informática
Algunos de los ataques que ya se han visto:
- Viruses - Troyanos- Worms - Herramientas espías
Ataques por venir:
- Rootkits- Gusanos que no necesiten interacción del usuario para diseminarse
- Botnets móviles- Malware de gran escala orientado obtener ganancias
Ya se están desarrollando antivirus y firewalls para celulares!!!
Seguridad en dispositivos mSeguridad en dispositivos móóvilesviles
21
© 2007
Tendencias de la Tecnología en Seguridad Informática
Ahora, con estos datos, pensemos un poco cómo se mezcla esto con los tres temas que analizamos previamente:
Mercado negro de vulnerabilidades+
Troyanos avanzados+
Ataques dirigidos a clientes (usuarios finales)+
Dispositivos móviles que manejan dinero
Seguridad en dispositivos mSeguridad en dispositivos móóvilesviles
22
© 2007
Tendencias de la Tecnología en Seguridad Informática
Y si mejor volvemos al zapatófono?
Seguridad en dispositivos mSeguridad en dispositivos móóvilesviles
23
© 2007
Tendencias de la Tecnología en Seguridad Informática
2006 y 2007 fueron dos años en los que se incrementónotoriamente el manejo de incidentes
Casos de Phishing a bancos locales, extorsiones vía e-mail, fuga de información, sabotajes, denegaciones de servicio masivas…
Estamos cada vez más sumergidos en un mundo donde la amenaza sobre nuestros sistemas de información es cada vez más grande, y Argentina no escapa a esta realidad
La buena noticia, es que también estamos cada vez más preparados. Los casos en los que Cybsec participó, permitieron verificar también que los técnicos y especialistas en las empresas y organismos afectados están, en general, más concientes de los ataques a los que son susceptibles
Incremento en el manejo de incidentesIncremento en el manejo de incidentes
24
© 2007
Tendencias de la Tecnología en Seguridad Informática
Hemos visto como distintos frentes políticos, tecnológicos y sociales están unificando esfuerzos con el objetivo común de hacer frente a las numerosas amenazas que se presentan en estos tiempos.
También pudimos dar un vistazo a los problemas que acarrea la adaptación de la tecnología a este mundo cada vez más dinámico, donde la movilidad e independencia del lugar toma completa importancia en la vida cotidiana de los seres humanos.
Sin embargo, somos concientes de que se está tomando un nivel de madurez que nos permitirá, a futuro, aplicar las estrategias adecuadas para minimizar los riesgos que nos presentarán estas nuevas amenazas.
En Cybsec, día a día, nos actualizamos y preparamos para ser sus aliados en seguridad de la información.
ConclusionesConclusiones
25
© 2007
Tendencias de la Tecnología en Seguridad Informática
Preguntas?Preguntas?
Top Related