docTecnologías
download 
Demanda Transcripción
Tecnologías
Tecnologías Aplicadas al Dominio
"Desarrollo, Adquisición y Mantenimiento de los
Sistemas de Información"
No nos va a pasar nosotros …
Riesgo en Aplicaciones y Sistemas de
Información
• Malas prácticas de desarrollo, ambientes de QA sin
controles, ataques externos o vulnerabilidades de las
plataformas TIC de soporte, ponen en riesgo los
sistemas de información y con ello la información
institucional sensible.
• Se requiere:
– Una protección eficaz, pragmática y holística.
RIESGOS
•
•
•
•
•
•
•
… de Continuidad/Disponibilidad
… de Pérdida de IMAGEN
… de Confidencialidad
… de Fuga de Información
… de Fraude
… de No Cumplimiento normativo
….
Conocidos ejemplos de
Ataques a aplicaciones WEB
•
•
•
•
•
•
•
•
•
SQL Injection
Cross Site Scripting
HTML Injection
Auth Bypass
Directory Traversal
Full Path Disclosure
Local File Include
Remote Code Execution
Remote File Include
•
•
•
•
Arbitrary File Upload
Arbitrary File Download
Data Leak
Cross Site Request
Forgery
• Arbitrary URL
Redirection
• Source Code Disclosure
• Recursive File Include
Protección a Sistemas de Información
• Se requiere:
– Formalizar las políticas, estándares y controles de
seguridad.
– Capacitar al personal de Desarrollo y Proyectos.
– Establecer evaluaciones tempranas y permanentes de
vulnerabilidades.
– Establecer separación de áreas a nivel físico, de red, de
personas y de datos.
– Establecer segregación de funciones
– Controles tecnológicos.
– Gestionar los incidentes detectados
LA DURA REALIDAD
Vulnerabilidades de portales
se hacen públicas
• Vulnerabilidades en un conocido sitio web (Directory
Traversal, LFT, XSS, HIJACKING …) son detectadas y
publicadas.
• Afecta directamente la confianza de los usuarios,
surgen llamadas a no usar dicho portal “hasta ver el
problema solucionado“.
Vulnerabilidades se hacen públicas
http://secureless.org/
Evitar ser LA NOTICIA !!
• Las vulnerabilidades detectadas en Portales Web nacionales
han sido de “amplia” cobertura y daño a la imagen de la
empresa.
• Los llamados a bloquear portales tipo “Anonymous” o por
exceso de “potenciales clientes” como Cyber-Moday/Chile
han generado Denegación de Servicio en Portales Web.
Cyber-Monday
(Ataque de COMPRAS)
Protección contra DDoS
(y contra Cyber-Monday´s)
• Nadie puede tener
infraestructura propia
para contener peaks de
350 a 400 veces una
demanda normal,
como ocurrió … !!!
MITIGACIONES
Mitigaciones
• Definición de políticas y estándares de seguridad aplicativa y
gestión de documentación sensible.
• Capacitación y Sensibilización al personal involucrado
• Desarrollo “Seguro”
– Ambientes Desarrollo / QA + S-QA / Producción
• Revisión de Código y Portal con Herramientas de detección de
Vulnerabilidades
– A nivel de Revisión de Código
– Como Ethical Hacking a Portales o Sistemas
Mitigaciones
• Implantación de Controles Tecnológicos de Seguridad:
– WAF
– DAM
– Protección DDoS
: Firewall aplicativo.
: Monitoreo de Transacciones en BD
: Proxies en la Nube
• Establecer separación de áreas a nivel físico, de red, de
personas y de datos.
– Enmascaramiento de Datos
– Subsets no-operaciones de Datos
– Test Data Management
• Reacción y gestión posterior de incidentes
– CSIRT
Cuerpo normativo de seguridad
Componentes mínimas normativas
• Política General de Seguridad de la Información
• Política de Desarrollo Seguro
– Estándares de Desarrollo Web Seguro
– Contratación de terceros para desarrollo
•
•
•
•
•
Política de Protección de Datos Sensibles
Política de Intercambio de Datos
Política de Separación de Ambientes
Procedimientos S-QA
Otros Procedimientos de seguridad relacionados
Adhesión a normativas de gobierno
• PMG-SSI – Cumplimiento de estándar homologado
Nch ISO 27001:2009
• Ley 19.799 – Documento Electrónico y Firma
Electrónica
• Decreto 81 – Interoperabilidad del documento
electrónico
• Decreto 83 – Cumplimiento de parcial de estándar
ISO 17799
• ….
Capacitación y Sensibilización
Capacitación y Sensibilización
• Capacitación formal en Desarrollo Web Seguro
– Arquitectos de Sistemas
– A Desarrolladores
– Testing / QA
• Campaña de Sensibilización
– No basta la normativa !
Revisión de Vulnerabilidades
Aplicativas
Vulnerabilidades Aplicativas
• Servicio de S-QA para las aplicaciones WEB
–
–
–
–
Políticas y Procedimientos operativos de un entorno S-QA
Revisión de Vulnerabilidades en Código Fuente
Revisión de Vulnerabilidades en Portal
Establecimiento de un S-QA
Revisión de Vulnerabilidades
de la Plataforma de Soporte
Vulnerabilidades de la Plataforma de Soporte
• Identificar, ponderar y gestionar vulnerabilidades de
plataformas de soporte, como:
–
–
–
–
Dispositivos de red: Routers; FWs; VPNs
Servidores
BD
Servicios WEB
WAF/DAM
Protección tradicional no basta
• Se requiere además proteger
– … el tráfico aplicativo: WAF
• Web Application Firewall
– … los accesos a las bases de datos críticas: DAM
• Data Base Activity Monitor
Protección perimetral con WAF
• La habilitación de un WAF (Web Application Firewall), que
permita aislar con un firewall perimetral vulnerabilidades
aplicativas mientras éstas son solucionadas.
Firewall Aplicativo
Firewalls tradicionales sólo detectan ataques de red
IPS y firewalls NG detectan más; pero no es suficiente
No hay entendimiento de la aplicación (falso positivo/negativo)
No hay protección a tráfico SSL
Firewall aplicativo permite proteger ataques de alto nivel
Capa de
aplicación
Applicación
(Layer 7)
Capa de
Protocolos
transporte (Capas OSI 4 – 6)
Capa de
red
Acceso de red
(Capas OSI 1 – 3)
DAM : Monitoreo de Actividad de BDs
• Se debe velar por los
requerimientos de
Seguridad en los
registros de las BD.
• Responder a:
– ¿Quién, Cómo y Cuándo
se accede a los datos?
– ¿Qué operación realiza
con qué datos?
– ¿Por qué accede a ellos?
– Cumplir normativas
vigentes
Integración de Protección
Aplicativa y BD
Protección
contra ataques
Auditoría
de uso
Parchado
virtual
Administración
de privilegios
Controles de
reputación
Control
de acceso
Protección DDoS
Protección contra DDoS
• Propuesta de Proxies en la Nube
escalables.
• Protección contra peaks de demanda y
ataques de DDoS
– Sólo un oferente se mantuvo
completamente operativo en Cyber Monday
Chile.
Protección contra DDoS
• Permite mantener
disponible el portal WEB
frente a ataques de DDoS o
peaks de demandas.
TDM
Test Data Management
• Generan datos para ambientes No-productivos (desarrollo,
QA, Test,…) en forma rápida, eficiente y segura.
• Entregan seguridad y evitan fugas de información
confidencial.
• Facilitan la actualización, reseteo y mantención de los
ambientes de pruebas.
Gestión Incidentes
Gestión de Incidentes de
Seguridad
Computer Security Incident Response Team
Security Incident Response Team
Incident Response Team
Response Team
Team
{…}
Gracias.
