SAFE. Guía para proteger tu vida digital y tu privacidad
Canal de Telegram

4 ago 2009

Segu-Info » , » La seguridad simplificada

La seguridad simplificada

4 ago 2009, 7:21:00 a.m.   Comenta primero!
  ,  

Quedé atónito al enterarme que el concepto completamente defectuoso sobre desperimetrización de la Fundación de Jericó se había hecho paso en un documento de alto nivel creado por la Junta de Ciencias de Defensa. Sé que los ejecutivos se sienten frustrados por la aparente avalancha de nuevos productos de seguridad. Se me acercó en una conferencia el CIO de una rama de las fuerzas armadas y me regañó, en mi papel de evangelizador de la industria de la seguridad, por no proporcionar una solución sencilla que resuelve todos los de la seguridad de una vez por todas. (Dejen de lado por el momento que cualquier otro ámbito; entretenimiento, CRM, BI, coches, armas, ordenadores, y conceptos de restaurante van a través de una evolución continua y nadie se queja de la constante necesidad de volver a invertir en esas áreas.)

En el área de la seguridad la malas ideas parecen tener una forma de promulgarse y adquirir vida propia. El chequeo del punto final (NAC), y la desperimetrizacón son dos de esas malas ideas. Permítanme proponer una mejor manera de abordar la seguridad.

Comencemos con tres simples reglas de seguridad.

  1. La buena seguridad del punto final supone que la red es hostil.
  2. La buena seguridad de red de seguridad supone el punto final es hostil.
  3. La buena seguridad de datos supone que el usuario es hostil.

Aplicar estos simples conceptos es una poderosa forma de dirigir la inversiones en seguridad, el desarrollo de productos y, en definitiva, lograr una mejor seguridad. Tenga en cuenta que no estoy predicando una panacea, y de ninguna forma sugiriendo nada que pueda ser denominado holístico. Estas reglas, sin embargo, abarcan el viejo concepto de múltiples capas de defensa. Esas capas se encuentran en la red, punto final, y al nivel de los datos.

Punto Final (End Point): La seguridad del punto final es difícil de lograr. La seguridad efectiva del punto final incluye la gestión de la configuración, del cortafuegos, anti-malware (virus, gusanos, troyanos, spyware, adware, root kits, puertas traseras) Módulos de Computación Confiable (chips), y la seguridad física (prevención de la pérdida, la ubicación remota y la destrucción) . La parte que hace de la seguridad del punto final difícil de hacer y tal vez imposible de lograr siempre es la amplia gama de puntos finales que han de ser protegidos y la pesadilla de la gestión de determinar, establecer y aplicar políticas para puntos finales. Con el tiempo la industria ha gravitado hacia las capacidades del todo-en-uno de protección gestionadas desde una única consola. El inconveniente es que las enormes inversiones en estos marcos de gestión ata a las organizaciones a una arquitectura fija. Dispositivos móviles, teléfonos inteligentes y dispositivos USB, también tienen que ser gestionados. El reciente informe de ataques selectivos contra bases de operaciones militares de los EE.UU. dirigidos por Rusia y propagados por unidades USB es un caso ilustrativo. Cada régimen de seguridad tiene que decidir qué nivel de protección de punto final implementar y a cuales de dispositivos.

Punto clave: las PC no son único punto final. Incluso los dispositivos de red tienen que ser protegidos a través de una adecuada gestión de la configuración (las contraseñas por defecto son un no-no).

Seguridad de red: La implementación de seguridad de red debe asumir que cada punto final puede albergar agentes maliciosos o puede ser el punto de entrada para ataques. Incluso un punto final que esté en cumplimiento completa con las mejores protecciones podría ser operado por un atacante. La red debe ser protegida de tal manera que niegue la mayor cantidad posible de ataques que podrían provenir de puntos finales. ¿Cómo hacerlo? Aquí está cómo.

Tejido de red segura. SNF es el arte, la ciencia y la tecnología de la limpieza de las redes. El concepto es simple de formular, no tan fácil de implementar: las redes deben ser seguras. Las redes no deberían tener tráfico no deseado que pase por ellas, esto incluye:

  • Spam
  • Virus
  • Gusanos
  • Escaneos
  • Sondas
  • Ataques

¿Cómo se logra esto? En el tejido de redes de conmutación cada punto en el que los dispositivos se conectan a la red debe tener las siguientes tecnologías:

-Firewall para aplicar estrictos controles de acceso (aplicación, fuente, destino, identidad, hora del día)

-Motor de inspección de contenido para bloquear virus, gusanos, escaneos, y ataques.

Si se despliega el tejido de red segura los puntos finales no puede propagar infecciones, o suponer una amenaza para la red o a otros activos de información en la red. ¿Por qué entonces sigue siendo necesaria la protección de punto final? Por dos razones. En primer lugar los puntos finales no siempre están conectados a la red segura. Pueden ser PC portátiles o de mano, que se conectan a redes inseguras. La información sobre los dispositivos estarían en riesgo sin una protección basada en host. Para ilustrar la otra razón imagine un ordenador portátil de un administrador clave de base de datos que se infecta con un troyano. Cuando el administrador se conecta a la red le proporciona credenciales fuertes y se le concede acceso a la base de datos de información de tarjetas de crédito. El troyano podría utilizar ese acceso para la fuga de los datos y su transmisión posterior a su base la próxima vez que el DBA esté conectado a una red insegura. Y la triste verdad es que sin anti-virus, anti-spam y anti-sypware los ordenadores se infectan y se vuelven casi inútiles.

Seguridad de los Datos
Y ahora, ¿que hay de esos usuarios finales? Tienen portátiles protegidos, se conectan a una red segura. No pueden utilizar herramientas de hacking, no pueden lanzar ataques. ¿Qué daño puede causar posiblemente? También podría preguntarle al gerente de una sucursal bancaria ¿que daño puede causar un cajero? Es el usuario final el que tiene acceso al oro de la organización. Los administradores de base de datos puede ver cada transacción en un sistema comercial. El Gerente de Finanzas y una docena de personas en finanzas pueden ver los resultados trimestrales antes de su publicación. Los ingenieros y los diseñadores pueden ver los nuevos productos de alto secreto. El personal de entrada de datos y los de un centro de atención telefónica ven información crítica, a medida que se introduce en la base de datos. Los vendedores pueden ver las listas de clientes, la distribución, y el flujo de negociaciones en el sistema de CRM.

Usted puede haber notado que las dos primeras reglas se podría simplificar en 1. No confíe en la red. 2. No confíe en los puntos finales. Pero ese nivel de simplicidad no se transfiere a la gente. Tienes que confiar en sus usuarios.
Por lo tanto, tomando prestado de Ronald Reagan la inmortal frase "confíe, pero verifique" que resume cómo los EE.UU. trataba con un adversario hostil, la extinta Unión Soviética, usted tiene que aplicar lo siguiente.
  1. Autenticación fuerte y controles de acceso granular. Autenticación fuerte significa con dos factores. Acceso granular significa cuales redes, servidores, aplicaciones, e incluso funciones de las aplicaciones.
  2. Una política publicada del uso aceptable de los recursos.
  3. Un sistema de vigilancia y de alerta que informe al usuario de las violaciones de política.
No debe haber políticas que no se hagan cumplir. En otras palabras, si va en contra de la política visitar sitios de "hacking" entonces el acceso a sitios de hacking deben se bloqueados.
El medio más fuerte para prevenir la mala conducta por parte de los usuarios es que les hagan ser conscientes de que su actividad se está supervisando. Por esta razón, los bancos tienen cámaras mirando por encima de los hombros de los cajeros (y usted pensaba que era para identificar a los ladrones de bancos!) Visite un casino si quiere ver la desconfianza en los empleados llevada al extremo.
No hay nada barato sobre este sencillo modelo de seguridad. Pero, ya que comienza con una base simple, tres reglas, creo que hace alcanzable la seguridad. El valor de estas reglas es que pueden ayudar a orientar las inversiones de seguridad. Si el producto, la tecnología, el marco de política, la arquitectura en la tabla no se ajusta a este conjunto de reglas, deben ser abandonados.

Traducción: Raúl Batista - Segu-info
Autor: Richard Stiennon
Fuente: Blog ThreatChaos



Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!