Tendencias de la Tecnología en Seguridad Informática › upload › cybsec_Tendencias2007_Victor_Montero.pdfTendencias de la Tecnología en Seguridad Informática Problemáticas

Tendencias de la Tecnologíaen Seguridad Informática

Victor H. MonteroVictor H. [email protected]@cybsec.com

12 de Septiembre de 200712 de Septiembre de 2007Hotel SheratonHotel Sheraton

Buenos Aires Buenos Aires -- ARGENTINAARGENTINA

2

© 2007

Tendencias de la Tecnología en Seguridad Informática

AgendaAgenda

Problemáticas actuales

Normativas PCI

Norma BCRA A4609

Protección de datos personales

Tendencia del uso de Penetration Tests

Mercado negro de vulnerabilidades y cybercrimen

Complejidad creciente de Troyanos

Amenazas hacia clientes y ataques dirigidos

Seguridad en dispositivos móviles

Incremento en el manejo de incidentes

3

© 2007


ProblemProblemááticas actualesticas actuales

Programas de Concientización no realizados a conciencia…

Dentro del SDLC, existe una clara dificultad en la inserción de aspectos de seguridad en las distintas etapas.

Falta de madurez en herramientas de patch management.

Bombardeo de regulaciones y normativas.

Volúmenes de información altamente complejos de manejar, segmentar y clasificar.

Nuevas y más poderosas herramientas de ataque disponibles públicamente.

Compañías de antivirus admiten públicamente que la situación de los virus es incontrolable

4

© 2007


PCI-SSC (Payment Card Industry - Security Standards Council)

Principales Miembros:

VISA DINERSMASTERCARD DISCOVER CARDAMERICAN EXPRESS JCB

Objetivo: Concentrar esfuerzos para minimizar el riesgo de fraudes con tarjetas de pago

Tiempo hasta fines de 2007 para certificar PCI Compliance en Latinoamérica.

Normativas PCI (Normativas PCI (PaymentPayment CardCard IndustryIndustry))

5

© 2007


PCI-DSS (Payment Card Industry - Data Security Standard)

12 requerimientos básicos, separados en 6 categorías

El cumplimiento no suele ser fácil, pese a los controles compensatorios.

Necesidad de realizar cambios a nivel infraestructura tecnológica, arquitectura y lógica de aplicaciones, y adecuación a PCI de normas, políticas y procedimientos internos de cada compañía

Aparición (y adaptación marketinera) de herramientas que ayudan a determinar el nivel de compatibilidad en algunos de los 12 requerimientos

Normativas PCI (Normativas PCI (PaymentPayment CardCard IndustryIndustry))

6

© 2007


La comunicación A4609 releva a su predecesora A3198 del año 2000.

Afecta a entidades financieras únicamente

Influenciada fuertemente por normas, prácticas y leyes internacionales:

- Information Security Governance

- Information Technology Governance

- ISO 17799: 2005

- Sarbanes Oxley Act (SOX)

- Basilea II

Norma BCRA A4609Norma BCRA A4609

7

© 2007


(Muchos) Nuevos lineamientos, mayor nivel de detalle

Involucra y responsabiliza a las más altas autoridades de la Organización

Fuerte influencia de las buenas prácticas internacionales de seguridad de la información

Gestión de la seguridad en base a riesgo

Segregación de funciones

Posicionamiento organizacional de la protección de activos informáticos

Norma BCRA A4609Norma BCRA A4609

8

© 2007


Objetivo: “Protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios ténicos de tratamiento de datos, púlicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre”

Registro Nacional de Bases de Datos Privadas

- Habilitado el 1º de Agosto de 2005

- Plazo original de vencimiento de la obligación de inscribir las bases de datos privadas: 31 de Enero de 2006; extendido luego hasta 31 de Marzo de 2006

ProtecciProteccióón de datos personalesn de datos personales(Ley de Habeas Data)(Ley de Habeas Data)

9

© 2007


Sanciones Administrativas

- Apercibimientos

- Suspenciones

- Multas de $1000 a $100000

- Clausura o cancelación del archivo, registro o base de datos

Sanciones penales

- Prisión de 1 mes a casi 5 años, dependiendo la gravedad y carácterísticas del caso

- Inhabilitacion de 1 a 4 años para el caso de los funcionarios públicos

ProtecciProteccióón de datos personalesn de datos personales(Ley de Habeas Data)(Ley de Habeas Data)

10

© 2007


Los proyectos de Penetration Tests no han variado únicamente su metodología, como hemos visto.

Desde el año 1995, y hasta el año 2003, el mercado argentino solicitaba este tipo de proyectos principalmente para encontrar los riesgos tecnológicos existentes en las plataformas:

Tendencia del uso de Tendencia del uso de PenetrationPenetration TestsTests

- Servicios vulnerables- Usuarios por defecto o con

contraseñas débiles- Vectores de escalamiento de

privilegios- Etc…

Este enfoque, permitía a las áreas de sistemas tener una visión objetiva del riesgo de su infraestructura desde el punto de vista tecnológico únicamente.

11

© 2007


A principios/mediados del año 2004, comenzó a notarse una solicitud mayor por detectar los riesgos funcionales y del negocio, lo que equivaldría a darle semántica a los detalles netamente técnicos de los resultados de los Penetration Tests, una semántica que sea entendible por las altas jerarquías de una organización.

Tendencia del uso de Tendencia del uso de PenetrationPenetration TestsTests

Las Áreas de Sistemas y Seguridad Informática se vieron beneficiadas con este nuevo enfoque, debido a que facilitó, en muchos casos, la justificación sobre la necesidad de inversiones en medidas de seguridad.

Como beneficio adicional, esta modalidad de Penetration Test ha permitido “amigar” distintas áreas de las organizaciones, dado que habla un idioma común, el de los riesgos del negocio como un todo.

12

© 2007


La venta de exploits y detalles de vulnerabilidades no es algo nuevo, pero aumentó exponencialmente en los últimos años

Los principales financistas de este mercado fueron y son, en general, grupos terroristas, spammers y agencias de inteligencia internacionales

Principal problema: los detalles de las vulnerabilidades descubiertas y vendidas en este mercado difícilmente llegan a manos del fabricante del software afectado, por lo que todos los usuarios de dicho software son susceptibles de ser atacados exitosamente mientras nadie reporte la vulnerabilidad.

Empresas de antivirus, IDSs e IPSs tampoco pueden defender a sus clientes de ataques y vulnerabilidades desconocidas, salvo mediante técnicas heurísticas

Mercado negro de vulnerabilidades y Mercado negro de vulnerabilidades y cybercrimencybercrimen

13

© 2007


Solución: Si no puedes contra ellos, úneteles!… O mejor aún, cómpralos!

Surgen programas como Zero Day Initiative (TippingPoint), Quarterly Vulnerability Challenge (iDefense), Exploit Acquisition Program (Snosoft), donde se paga a quienes colaboran en la búsqueda de vulnerabilidades

Microsoft, por su parte, participa y sponsorea eventos de seguridad mundialmente reconocidos, y dio origen al Blue Hat Summit, como estrategia para “amigarse” con la comunidad de seguridad que tantas fallas de seguridad ha encontrado en sus productos.

Todo tiene un precio. Cuanto vale tu… exploit?

Mercado negro de vulnerabilidades y Mercado negro de vulnerabilidades y cybercrimencybercrimen

14

© 2007


Cada vez más se advierte que los troyanos están tomando un papel preponderante en el cybercrimen

Como “beneficio” adicional, los troyanos de hoy día están mejor preparados para ocultarse. Implementan métodos de empaquetamiento y encriptación que minimizan la eficacia de los antivirus, IDSs e IPSs en su tarea de protección.

Estas características se suman a la tendencia de generar epidemias localizadas de gran escala y en corto tiempo

Complejidad creciente de troyanosComplejidad creciente de troyanos

Robo de información, extorsión (encriptación de información), control remoto de sistemas, son sólo algunas de las funcionalidades que estos programas son capaces de ofrecerle a sus usuarios.

15

© 2007


La protección de los sistemas adquirió una relativa madurez en lo tecnológico, pero todavía no se ha podido superar la barrera del error humano en el manejo de los sistemas. En general, es más probable dar con un usuario imprudente o no conciente de los peligros informáticos que con un administrador de sistemas con estas características, por lo que el foco de los ataques ha ido cambiando de servidores y mainframes a clientes y usuarios de estos sistemas.

Amenazas hacia clientes y ataques dirigidosAmenazas hacia clientes y ataques dirigidos

Objetivo originalObjetivo original: Causar daño, o ganar prestigio en la comunidad del underground.

Objetivo actualObjetivo actual: Sencillamente, ganar dinero

16

© 2007


Teniendo como foco al cliente, nuevamente se puede percibir una evolución en los ataques, de lo masivo a lo dirigido

Aquí es donde también entra en juego el tema de venta de exploits

Cuando una vulnerabilidad no reportada es explotada por un worm o virus masivamente, inmediatamente se disparan los procedimientos de identificación, generación de vacuna, y bajada de actualización a los distintos antivirus existentes

Cuando en cambio, una vulnerabilidad no reportada es explotada en un número reducido (dirigido) de sistemas, la probabilidad de que el ataque sea descubierto es mínima.


17

© 2007


El tipo de ataque que se efectúe depende del objetivo al que se quiere llegar:

•Robo de información estratégica•Espionaje industrial•Robo de credenciales de acceso a otros sistemas•Ataques de phishing avanzados

•Robo de datos de tarjetas de crédito•Obtención de cuentas de mail•Ataques de phishing•Obtención de contraseñas de Home Banking•Obtención de contraseñas de sitios como Paypal + eBay

Ataques DirigidosAtaques masivos


18

© 2007


Más de 2.000.000.000 de teléfonos celulares activos en el mundo.

En 3 años, la cantidad de malware para dispositivos móviles aumentó de 1 a más de 350, un crecimiento equivalente en comparación al de los virus de PC.

Seguridad en dispositivos mSeguridad en dispositivos móóvilesviles

Varias vías de propagación

- Bluetooth - WLAN- SMS - MMS- Memory Cards - P2P- Programas descargables - IM- EMails

19

© 2007


En la actualidad, algunos bancos ya están dando servicio de Home Banking por celular.

Se espera que en un futuro cercano, los dispositivos móviles reemplacen a las PC en muchas funcionalidades

Algunos fabricantes están trabajando en el desarrollo de “billeteras móviles”, una idea que tiene más de 10 años, pero que la tecnología actual permitiría implementar

La posibilidad de ataques todavía dista mucho de haber sido explotada al máximo. La mayoría de los ataques de hoy en día se basan principalmente en la utilización de ingeniería social.


20

© 2007


Algunos de los ataques que ya se han visto:

- Viruses - Troyanos- Worms - Herramientas espías

Ataques por venir:

- Rootkits- Gusanos que no necesiten interacción del usuario para diseminarse

- Botnets móviles- Malware de gran escala orientado obtener ganancias

Ya se están desarrollando antivirus y firewalls para celulares!!!


21

© 2007


Ahora, con estos datos, pensemos un poco cómo se mezcla esto con los tres temas que analizamos previamente:

Mercado negro de vulnerabilidades+

Troyanos avanzados+

Ataques dirigidos a clientes (usuarios finales)+

Dispositivos móviles que manejan dinero


22

© 2007


Y si mejor volvemos al zapatófono?


23

© 2007


2006 y 2007 fueron dos años en los que se incrementónotoriamente el manejo de incidentes

Casos de Phishing a bancos locales, extorsiones vía e-mail, fuga de información, sabotajes, denegaciones de servicio masivas…

Estamos cada vez más sumergidos en un mundo donde la amenaza sobre nuestros sistemas de información es cada vez más grande, y Argentina no escapa a esta realidad

La buena noticia, es que también estamos cada vez más preparados. Los casos en los que Cybsec participó, permitieron verificar también que los técnicos y especialistas en las empresas y organismos afectados están, en general, más concientes de los ataques a los que son susceptibles

Incremento en el manejo de incidentesIncremento en el manejo de incidentes

24

© 2007


Hemos visto como distintos frentes políticos, tecnológicos y sociales están unificando esfuerzos con el objetivo común de hacer frente a las numerosas amenazas que se presentan en estos tiempos.

También pudimos dar un vistazo a los problemas que acarrea la adaptación de la tecnología a este mundo cada vez más dinámico, donde la movilidad e independencia del lugar toma completa importancia en la vida cotidiana de los seres humanos.

Sin embargo, somos concientes de que se está tomando un nivel de madurez que nos permitirá, a futuro, aplicar las estrategias adecuadas para minimizar los riesgos que nos presentarán estas nuevas amenazas.

En Cybsec, día a día, nos actualizamos y preparamos para ser sus aliados en seguridad de la información.

ConclusionesConclusiones

25

© 2007


Preguntas?Preguntas?

Documents

Tendencias de la Tecnología en Seguridad Informática › upload › cybsec_Tendencias2007_Victor_Montero.pdfTendencias de la Tecnología en Seguridad Informática Problemáticas