Tecnologías
Transcripción
Tecnologías
Tecnologías Aplicadas al Dominio "Desarrollo, Adquisición y Mantenimiento de los Sistemas de Información" No nos va a pasar nosotros … Riesgo en Aplicaciones y Sistemas de Información • Malas prácticas de desarrollo, ambientes de QA sin controles, ataques externos o vulnerabilidades de las plataformas TIC de soporte, ponen en riesgo los sistemas de información y con ello la información institucional sensible. • Se requiere: – Una protección eficaz, pragmática y holística. RIESGOS • • • • • • • … de Continuidad/Disponibilidad … de Pérdida de IMAGEN … de Confidencialidad … de Fuga de Información … de Fraude … de No Cumplimiento normativo …. Conocidos ejemplos de Ataques a aplicaciones WEB • • • • • • • • • SQL Injection Cross Site Scripting HTML Injection Auth Bypass Directory Traversal Full Path Disclosure Local File Include Remote Code Execution Remote File Include • • • • Arbitrary File Upload Arbitrary File Download Data Leak Cross Site Request Forgery • Arbitrary URL Redirection • Source Code Disclosure • Recursive File Include Protección a Sistemas de Información • Se requiere: – Formalizar las políticas, estándares y controles de seguridad. – Capacitar al personal de Desarrollo y Proyectos. – Establecer evaluaciones tempranas y permanentes de vulnerabilidades. – Establecer separación de áreas a nivel físico, de red, de personas y de datos. – Establecer segregación de funciones – Controles tecnológicos. – Gestionar los incidentes detectados LA DURA REALIDAD Vulnerabilidades de portales se hacen públicas • Vulnerabilidades en un conocido sitio web (Directory Traversal, LFT, XSS, HIJACKING …) son detectadas y publicadas. • Afecta directamente la confianza de los usuarios, surgen llamadas a no usar dicho portal “hasta ver el problema solucionado“. Vulnerabilidades se hacen públicas http://secureless.org/ Evitar ser LA NOTICIA !! • Las vulnerabilidades detectadas en Portales Web nacionales han sido de “amplia” cobertura y daño a la imagen de la empresa. • Los llamados a bloquear portales tipo “Anonymous” o por exceso de “potenciales clientes” como Cyber-Moday/Chile han generado Denegación de Servicio en Portales Web. Cyber-Monday (Ataque de COMPRAS) Protección contra DDoS (y contra Cyber-Monday´s) • Nadie puede tener infraestructura propia para contener peaks de 350 a 400 veces una demanda normal, como ocurrió … !!! MITIGACIONES Mitigaciones • Definición de políticas y estándares de seguridad aplicativa y gestión de documentación sensible. • Capacitación y Sensibilización al personal involucrado • Desarrollo “Seguro” – Ambientes Desarrollo / QA + S-QA / Producción • Revisión de Código y Portal con Herramientas de detección de Vulnerabilidades – A nivel de Revisión de Código – Como Ethical Hacking a Portales o Sistemas Mitigaciones • Implantación de Controles Tecnológicos de Seguridad: – WAF – DAM – Protección DDoS : Firewall aplicativo. : Monitoreo de Transacciones en BD : Proxies en la Nube • Establecer separación de áreas a nivel físico, de red, de personas y de datos. – Enmascaramiento de Datos – Subsets no-operaciones de Datos – Test Data Management • Reacción y gestión posterior de incidentes – CSIRT Cuerpo normativo de seguridad Componentes mínimas normativas • Política General de Seguridad de la Información • Política de Desarrollo Seguro – Estándares de Desarrollo Web Seguro – Contratación de terceros para desarrollo • • • • • Política de Protección de Datos Sensibles Política de Intercambio de Datos Política de Separación de Ambientes Procedimientos S-QA Otros Procedimientos de seguridad relacionados Adhesión a normativas de gobierno • PMG-SSI – Cumplimiento de estándar homologado Nch ISO 27001:2009 • Ley 19.799 – Documento Electrónico y Firma Electrónica • Decreto 81 – Interoperabilidad del documento electrónico • Decreto 83 – Cumplimiento de parcial de estándar ISO 17799 • …. Capacitación y Sensibilización Capacitación y Sensibilización • Capacitación formal en Desarrollo Web Seguro – Arquitectos de Sistemas – A Desarrolladores – Testing / QA • Campaña de Sensibilización – No basta la normativa ! Revisión de Vulnerabilidades Aplicativas Vulnerabilidades Aplicativas • Servicio de S-QA para las aplicaciones WEB – – – – Políticas y Procedimientos operativos de un entorno S-QA Revisión de Vulnerabilidades en Código Fuente Revisión de Vulnerabilidades en Portal Establecimiento de un S-QA Revisión de Vulnerabilidades de la Plataforma de Soporte Vulnerabilidades de la Plataforma de Soporte • Identificar, ponderar y gestionar vulnerabilidades de plataformas de soporte, como: – – – – Dispositivos de red: Routers; FWs; VPNs Servidores BD Servicios WEB WAF/DAM Protección tradicional no basta • Se requiere además proteger – … el tráfico aplicativo: WAF • Web Application Firewall – … los accesos a las bases de datos críticas: DAM • Data Base Activity Monitor Protección perimetral con WAF • La habilitación de un WAF (Web Application Firewall), que permita aislar con un firewall perimetral vulnerabilidades aplicativas mientras éstas son solucionadas. Firewall Aplicativo Firewalls tradicionales sólo detectan ataques de red IPS y firewalls NG detectan más; pero no es suficiente No hay entendimiento de la aplicación (falso positivo/negativo) No hay protección a tráfico SSL Firewall aplicativo permite proteger ataques de alto nivel Capa de aplicación Applicación (Layer 7) Capa de Protocolos transporte (Capas OSI 4 – 6) Capa de red Acceso de red (Capas OSI 1 – 3) DAM : Monitoreo de Actividad de BDs • Se debe velar por los requerimientos de Seguridad en los registros de las BD. • Responder a: – ¿Quién, Cómo y Cuándo se accede a los datos? – ¿Qué operación realiza con qué datos? – ¿Por qué accede a ellos? – Cumplir normativas vigentes Integración de Protección Aplicativa y BD Protección contra ataques Auditoría de uso Parchado virtual Administración de privilegios Controles de reputación Control de acceso Protección DDoS Protección contra DDoS • Propuesta de Proxies en la Nube escalables. • Protección contra peaks de demanda y ataques de DDoS – Sólo un oferente se mantuvo completamente operativo en Cyber Monday Chile. Protección contra DDoS • Permite mantener disponible el portal WEB frente a ataques de DDoS o peaks de demandas. TDM Test Data Management • Generan datos para ambientes No-productivos (desarrollo, QA, Test,…) en forma rápida, eficiente y segura. • Entregan seguridad y evitan fugas de información confidencial. • Facilitan la actualización, reseteo y mantención de los ambientes de pruebas. Gestión Incidentes Gestión de Incidentes de Seguridad Computer Security Incident Response Team Security Incident Response Team Incident Response Team Response Team Team {…} Gracias.