Tendencias de Seguridad Informática
Victor H. Montero Victor H. Montero -- CISMCISM<[email protected]><[email protected]>
16 de Septiembre de 200816 de Septiembre de 2008Buenos Aires Buenos Aires -- ArgentinaArgentina
©2008
Tendencias de Seguridad Informática
AgendaAgenda
Ley de Delitos Informáticos
Regulaciones en Argentina
Presupuesto de Seguridad Informática
Rol del responsable de Seguridad
Integración de Seguridad en el SDLC
Role Life Cycle Management
Comunicaciones Unificadas
Seguridad en dispositivos móviles
Evolución de las amenazas de Internet
Botnets
©2008
Tendencias de Seguridad Informática
Ley de Delitos InformLey de Delitos Informááticosticos
Hace apenas un poco más de tres meses, más exactamente el 4 de Junio, fue sancionada la Ley 26.388 de Delitos Informáticos. De esta forma, Argentina se incorpora a la lista de países que cuentan con regulación legal sobre esta importante cuestión, entre los cuales figuran:
• Alemania (1986)• USA (1986 y 1994)• Austria (1987)• Francia (1988)• Inglaterra (1990)• Italia (1993)• Holanda (1993)• España (1995)
©2008
Tendencias de Seguridad Informática
Ley de Delitos InformLey de Delitos Informááticosticos
Delitos informDelitos informááticos penados y penas instituidasticos penados y penas instituidas
A lo largo de su articulado tipifica, entre otros, los siguientes delitos informáticos:Pornografía infantil por Internet u otros medios electrónicosViolación, apoderamiento y desvío de comunicación electrónicaIntercepción o captación de comunicaciones electrónicas o telecomunicacionesAcceso a un sistema o dato informáticoPublicación de una comunicación electrónicaAcceso a un banco de datos personalesRevelación de información registrada en un banco de datos personalesInserción de datos falsos en un archivo de datos personalesFraude informáticoDaño o sabotaje informático
Las penas establecidas son:a) Prisiónb) Inhabilitación (cuando el delito lo comete un funcionario público o el
depositario de objetos destinados a servir de prueba)c) Multa.
©2008
Tendencias de Seguridad Informática
Regulaciones en ArgentinaRegulaciones en Argentina
Múltiples regulaciones, normas y leyes están tomando fuerza
en nuestro país:
SOX
BCRA-A4609
PCI
Ley de Habeas Data
Ley de Delitos Informáticos
Áreas de Seguridad y Sistemas aprovechan el empuje de
estas normas para justificar presupuestos y necesidades.
Nivel de madurez en Argentina
Alto
Bajo
©2008
Tendencias de Seguridad Informática
Presupuesto de seguridadPresupuesto de seguridad
Se observa en general un crecimiento lento pero firme en los presupuestos destinados a la seguridad en IT.
5%
0%
10%
25%
20%
Presupuesto de Seguridad respecto del presupuesto de IT
Mundial Argentina
3,5% 1% ~ 1,5%
©2008
Tendencias de Seguridad Informática
Rol del responsable de SeguridadRol del responsable de Seguridad
Pelearse día a día con las áreas de tecnología
para que apliquen los parches y cambien las
contraseñas por defecto.
En los comienzos…
¿Qué vemos hoy?
Interactuar y relacionarse con todas las áreas
de negocio, buen manejo político de situaciones
complejas, entendimiento de necesidades,
identificación riesgos LOBBY !!!
©2008
Tendencias de Seguridad Informática
IntegraciIntegracióón de Seguridad en el SDLCn de Seguridad en el SDLC
Las empresas están trabajando en la integración de Seguridad en
el Ciclo de Vida del Desarrollo de Software.
El sector de Seguridad de la Información está aumentando
paulatinamente su participación en proyectos de desarrollo
©2008
Tendencias de Seguridad Informática
IntegraciIntegracióón de Seguridad en el SDLCn de Seguridad en el SDLC
Seguridad en el anSeguridad en el anáálisis de requerimientoslisis de requerimientos
Análisis
15%
Diseño
40%
Desarrollo
35%
Testing
10%
¿¿En quEn quéé etapa del SDLC aparecen las vulnerabilidades?etapa del SDLC aparecen las vulnerabilidades?
Más de la mitad de las vulnerabilidades se introducen en las
etapas más tempranas del SLDC
Y son precisamente las más costosas de
remediar!!!
©2008
Tendencias de Seguridad Informática
Role Life Cycle ManagementRole Life Cycle Management
USUARIOS
ROLES
APLICACIONES
PERMISOS EFECTIVOSRACF
Execute, Read, Update, Alter
UnixRead, Write,
Execute
WindowsRead, Write,
Execute, Delete
OracleAlter, Delete, Execute, Index,
Insert, References, Select
ADRead, Write,Search, …
LDAPRead, Write,
Search, Obliterate
©2008
Tendencias de Seguridad Informática
Role Life Cycle ManagementRole Life Cycle Management
Ante la problemática existente en la gestión de roles, han aparecido en el último tiempo soluciones que facilitan la administración durante el ciclo de vida.
Estas soluciones apuntan a mejorar tres aspectos clave:
Eficiencia de la Seguridad
Efectividad de la Seguridad
Productividad y agilidad del Negocio
©2008
Tendencias de Seguridad Informática
Integración de medios de comunicación actuales:
MailVoIPVideoconferenciaMensajería instantáneaShared desktops
“Unified Communications integrates applications to create a unified workspace that clears communications roadblocks by empowering people to choose when, how, where and with whom they wish to communicate”(Extracto de publicidad de Cisco)
Comunicaciones UnificadasComunicaciones Unificadas
©2008
Tendencias de Seguridad Informática
Comunicaciones UnificadasComunicaciones Unificadas
Nuevas funcionalidades!!!
Nuevosriesgos!!!
©2008
Tendencias de Seguridad Informática
Comunicaciones UnificadasComunicaciones Unificadas
RiesgosRiesgosPropagación de virus por Mensajería Instantánea
Múltiples nuevas formas de Ingeniería Social
Vishing (Phishing en VoIP)
Intercepción de tráfico
Escuchas
Robo/Uso no autorizado de servicios de proveedores
En general, mayor superficie de ataque para los intrusos
©2008
Tendencias de Seguridad Informática
Seguridad en Dispositivos MSeguridad en Dispositivos Móóvilesviles
Con el concepto de Comunicaciones Unificadas, cada vez más fabricantes de smartphones orientan sus productos para que puedan ser utilizados en entornos empresariales.
Estos teléfonos cada vez tienen menos de teléfonos y más de computadoras personales de bolsillo.
Múltiples medios para intercambio de datos:- Bluetooth - WLAN
- SMS - MMS
- Memory Cards - P2P
- Programas descargables - IM
- EMails
©2008
Tendencias de Seguridad Informática
Seguridad en Dispositivos MSeguridad en Dispositivos Móóvilesviles
Diversos grupos de hackers blancos y del underground están poniendo foco en la investigación y descubrimiento de vulnerabilidades en dispositivos móviles.
Caso real: iPhone
Aparece en las tiendas el 29 de Junio de 2007
Horas después, ya se habían logrado avances en su “apertura”, aunque perecieron algunos iPhones en el intento…
Un mes después, se habían desarrollado aplicaciones y procedimientos públicamente disponibles para desbloquear aparato.
©2008
Tendencias de Seguridad Informática
EvoluciEvolucióón de las amenazas de Internetn de las amenazas de Internet
Diversión y Experimentación
Vandalismo
Hactivismo
Cybercrimen
Information Warfare
Frecuencia
Imp
act
o
©2008
Tendencias de Seguridad Informática
BotnetsBotnets
“La mayor amenaza
que enfrenta la humanidad” (*)
(*) (Ponencia “Who Owns Your Network”http://www.osc.edu/oarnet/oartech/meeting_min/it_william_mary.ppt)
©2008
Tendencias de Seguridad Informática
BotnetsBotnets
DefiniciDefinicióónn
Red o grupo de ordenadores zombies, controlados por el propietario de
los bots. El propietario de las redes de bots da instrucciones a los
zombies. Estas órdenes pueden incluir la propia actualización del bot,
la descarga de una nueva amenaza, el mostrar publicidad al usuario o
el lanzar ataques de denegación de servicio, entre otras.
¿¿QuQuéé permiten hacer las botnets?permiten hacer las botnets?
SpamPhishing DDoS
Click fraudIdentity theftVengarte de ese que una vez se la juraste…
©2008
Tendencias de Seguridad Informática
BotnetsBotnets
EvoluciEvolucióón constanten constante
1998-2000: “Pruebas de Concepto”Netbus, BackOrifice2k, Pretty Park
Junio de 1999: Primera generación de botnetsSubSeven: Sienta las bases de las botnets al establecer el control remoto mediante IRC.
2000-2006: Avanzan las técnicas de replicación y
ocultaciónWorms, troyanos, rootkits (Code Red, Blaster, Sasser)
2006-2008: Avanzan las técnicas de autodefensa y tácticas de
replicación para evadir la detecciónStormworm, MayDay, Mega-D
©2008
Tendencias de Seguridad Informática
BotnetsBotnets
¿¿A quA quéé se ha llegado?se ha llegado?
Web Based Botnet Command and Control Kit 2.0Web Based Botnet Command and Control Kit 2.0
©2008
Tendencias de Seguridad Informática
BotnetsBotnets
PeroPero…… y de estos bichos, hay muchos???y de estos bichos, hay muchos???
En la actualidad, la cantidad de botnets identificadas ronda un número cercano a 3000.
… y más de 1.000.000 de sistemas zombies!!!
©2008
Tendencias de Seguridad Informática
En Argentina estamos empezando a sentir cada vez más el peso de regulaciones, leyes y normativas alineadas con el escenario internacional, que años atrás sólo veíamos de lejos. Esto es resultado de una maduración en la materia, de la que muchos hemos sido testigos y partícipes.
Pudimos también ver cómo el rol del personal de Seguridad Informática ha ido cambiando, adaptándose para lograr el objetivo de integrar el concepto de seguridad a la cultura y estrategia del negocio.
Por último, analizamos nuevas tecnologías y la evolución de las amenazas de Internet, donde las botnets y los ataques dirigidos parecen ser el desafío más duro en los años venideros.
¿Tiene algún aliado de confianza
para hacer frente a estos desafíos?
ConclusionesConclusiones
©2008
Tendencias de Seguridad Informática
¿¿Dudas?Dudas?