Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Ingeniero de Sistemas
26/02/09
Presentation_ID 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Agenda
Prevencin de fuga de datos Un problema para los negocios Casos de uso Tecnologa y soluciones Cisco Resumen
Empowered Branch
Cisco Confidential
Agenda
Prevencin de fuga de datos Un problema para los negocios Casos de uso Tecnologa y soluciones Cisco Resumen
Empowered Branch
Cisco Confidential
La normativa ISO 27002 contempla dentro de los objetivos de seguridad que cubre la Proteccin de Fuga de datos
*Fuente: 23 Julio, 2007, Forrester Report Data, Data Everywhere! **Attrition.org: Data Loss Archive and Database
Empowered Branch 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
1 2 3 4 5 6 7 8 9 10
Empowered Branch 2008 Cisco Systems, Inc. All rights reserved.
Troyanos, Virus, Gusanos y Otros Cdigos Maliciosos Spyware (cdigo espa) Spam (correo basura) Error de Empleado (No intencionado) Piratas informticos Vulnerabilidades en Aplicaciones Robo de datos por empleados o socios de negocio Despliegue de nuevas Tecnologas Accesos inalmbricos (WiFi) Sabotaje interno
IDC IPC Report 2007, #206750
Cisco Confidential
Empowered Branch
Cisco Confidential
Agenda
Prevencin de fuga de datos Un problema para los negocios Casos de uso Tecnologa y soluciones Cisco Resumen
Empowered Branch
Cisco Confidential
10
Datos almacenados
Bases de Datos,Cintas Encriptacin en almacenaje y cintas Prevenir accesos no autorizados en sistemas de Centro de Datos
Datos en Uso
Terminales
Acuerdos Regulatorios
PCI Informacin tarjetas de crdito HIPAA Informacin Mdica GLBA Informacin Financiera, etc
Empowered Branch
Cisco Confidential
11
Datos en Movimiento / Control de Acceso Prdida de Datos por una red inalmbrica insegura
Proteccin contra robo de datos por accesos de usuarios no autorizados a la red interna a travs de infraestructura inalmbrica insegura
Ms de 45M de Nos.de tarjetas de crdito fueron robadas y utilizadas para compras por valor superior a $8M. Los ladrones accedieron a los datos a travs de dipositivos porttiles, cajas registradosas y computadoras de las tiendas a travs de una red inalmbrica insegura con encriptacin obsoleta y sin cortafuegos ni seguridad en los datos guardados en las computadoras.
Mayo 2007 www.wallstreetjournal.com
Escenario
Cisco Wireless LAN Controller ofrece conectividad segura para evitar grietas en la infraestructura inalmbrica
Solucin Cisco
Cisco Wireless Control System detecta puntos de acceso y usuarios inalmbricos no autorizados para proteger la red ante el acceso de dispositivos no reconocidos Cisco NAC refuerza la seguridad de los sistemas conectados a la red para que accedan slo donde estn autorizados segn la poltica de seguridad en red
Empowered Branch
Cisco Confidential
12
Escenario
Solucin Cisco
Cisco TrustSec, integrado en todos los conmutadores Cisco Catalyst, provee proteccin de fuga de datos en base al control de Identidad para el acceso y el control de aplicaciones y resursos sensibles de red, incluyendo servidores de ficheros El cortafuegos y terminador de VPN Cisco ASA puede restringir el acceso a bases de datos internas a socios y empleados autorizados
Empowered Branch
Cisco Confidential
13
Datos en Movimiento / Control de Acceso Fuga de datos desde Accesos a red Remotos
Prevenir la Fuga de Datos desde Accesos remotos No autorizados o No encriptados
Un anlisis de vulnerabilidad en un hospital del sur de California revel que algunos doctores eran capaces de conectarse a sus computadoras desde su casa va Internet por RDP (no VPN) y eran capaces de ver datos de pacientes por un canal inseguro y sin encriptacin.
Octubre 2005 (Private Communication with Author)
Escenario
Cisco ASA soporta VPNs SSL e IPsec para autenticar y encriptar las comunicaciones de usuarios de accesos remotos Cisco Secure Desktop est disponible con Cisco SSL VPN para prevenir fuga de datos en:
Solucin Cisco
Comprobando la localizacin/seguridad del terminal antes de establecer la conexin remota Encriptando las descargas de ficheros durante una sesin Realizando limpieza una vez finalizada la sesin. P.e: borrando ficheros temporales, historia de accesos a internet y facilidad de recordatorio de contraseas
Cisco NAC refuerza las polticas de seguridad controlando que todos los terminales conectados a la red va VPN son equipos admitidos y controlados por la compaa y cumplen con las polticas de seguridad y actualizaciones
Empowered Branch 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
14
Escenario
Identity
Cisco NAC controla y autoriza el acceso a redes que contienen datos sensibles
Solucin Cisco
Cisco TrustSec controla y authoriza el accesa a sistemas que contienen datos sensibles, desde servidores hasta porttiles Cisco Security Agent (CSA) previene el acceso a ficheros sensibles localizados en Bases de datos restringidas
Empowered Branch
Cisco Confidential
15
Escenario
Cisco ACE Web Application Firewall Protege contra ataques basados en aplicaciones/servidores Web, como ataques de diccionario, (XSS) ataques/SQL e inyeccin de comandos, que habitualmente son diseados para interceptar o robar informacin de tarjetas de crdito va aplicaciones Web Protege de la prdida de datos sensibles, como Nos. de tarjetas, pasaportes, seguridad social, monitorizando y filtrando todo el trfico de salida de los servidores
Empowered Branch 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Solucin Cisco
16
Datos Almacenados
Fuga de datos a travs de dispositivos de almacenamiento
Prevenir la Fuga o Robo de Datos de dispositivos de almacenamiento encriptando los datos almacenados y controlando el acceso fsico
Una gran compaa de almacenamiento perdi una cinta cno datos perteneciente a GE Money que contena informacin de tarjetas de crdito de aproximadamente 650.000 clientes. La cinta SIN encriptar adems contena los datos de Segurida dSocial de unos 150.000 clientes. Ubo ms de 230 empresas afectadas.
Enero 2008 www.informationweek.com
Escenario
Solucin Cisco
Empowered Branch
Cisco Confidential
17
Datos en Uso
Fuga de Datos a travs de dispositivos porttiles
Prevenir la transferencia de datos sensibles a travs de dispositivos porttiles/removibles como discos externos, lpices USB, o CD/DVDs
Una organizacin de salud britnica report una prdida de una memoria USB por un empleado con informacin confidencial mdica y personal de 4.000 pacientes.
Diciembre 2007 http://news.bbc.co.uk
Escenario
Solucin Cisco
Cisco Security Agent previene que ficheros que contienen datos sensibles o palabras claves puedan ser copiados a dispositivos removibles como memorias USB, CD/DVDs, discos externos Cisco NAC previene el acceso no autorizado a la red que contiene datos sensibles Cisco TrustSec previene el acceso no autorizado a servidores que contienen datos sensibles
Empowered Branch
Cisco Confidential
18
Datos en Uso
Fuga de Datos por mal uso de la copia del portadocumentos del escritorio
Previene la copia de datos sensibles a aplicaciones externas como Blogs, Redes Sociales o Mensajera Instantnea
Una organizacin de salud norteamericana inform a 140 de sus asegurados que un empleado haba publicado muchos de sus datos confidenciales en su blog. Esta organizacin fue una de las primeras multadas por violar la norma regulatoria en seguridad de datos HIPAA por el departamento de salud de california (DMHC).
Marzo 2005 www.computerworld.com
Escenario
Solucin Cisco
Cisco Security Agent protege contra el abuso de copias del portadocumentos del escritorio, ya sea de manera intencionada o accidental, cuando algn dato sensible es copiado y pegado en una aplicacin externa (como blogs o Facebook) o de Mensajera Instantnea
19
Empowered Branch
Cisco Confidential
Agenda
Prevencin de fuga de datos Un problema para los negocios Casos de uso Tecnologa y soluciones Cisco Resumen
Empowered Branch
Cisco Confidential
20
Extenso listado de firmas validadas por Cisco para patrones conocidos de ataques maliciosos HTTP y XML
SQL Injection, buffer overflow, cross-site scripting, cooking & session poisoning, etc.
Protege contra fuga de datos privados o de propiedad intelectual que pueden ocurrir a travs de aplicaciones web. sensible con seguridad PCI y polticas para datos privados.
21
Provee la funcionalidad SME (storage media encryption) de encriptacin para el almacenamiento de datos (AES-256) como un servicio de red (fabric) SAN
Ofrece un performance altamente escalable
MDS 9000
Encripta los datos sobre sistemas de almacenamiento heterogneos Simplifica la provisin y gestin de los volmenes encriptados
Librera de Cintas
Discos
Empowered Branch
Cisco Confidential
Securiza ambos dispositivos: gestionados (con usuario) y no gestionados Provee acceso a invitados y previene accesos no autorizados Reduce vulnerabilidadesbasado en explotaciones
Empowered Branch
Cisco Confidential
23
4 Funciones Principales
Autenticar y Autorizar Cuarentena y Refuerzo Comprobar y Evaluar Actualizar y Remediar
De dnde proviene?
Quin quiere Quin est ah? acceder? Qu est haciendo? Cmo quieres comprobar o remediar tu estado de seguridad?
Empowered Branch 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
24
Comprobar y Evaluar
Se requiere un agente para comprobar versiones de SO, AV, etc Contencin en red tanto de virus y gusanos como vulnerabilidades de puertos
Cuarentena y Refuerzo
Aisla dispositivos que no cumplan con la poltica del resto de la red Cuarentena basada en MAC e IP y tambin por nivel de usuario
Empowered Branch 2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Actualizar y Remediar
Herramientas basadas en red para remediar vulnerabilidades y amenazas Integracin en Help-desk
25
Edificio Campus 1
802.1Q
Seguridad de Dominio
Asegura el cumplimiento de los usuarios con la poltica de aceso a servidores
Edificio WiFi 2
IPSec
Empowered Branch
Cisco Confidential
26
Perfil de terminales Descrubre todos los terminales en la red por tipo y localizacin Mantiene un contexto en tiempo real e histrico de todos los terminales Monitorizacin de comportamiento Monitoriza el estado de los terminales en red Detecta eventos como MAC spoofing, port swapping, etc.
2008 Cisco Systems, Inc. All rights reserved. Cisco Confidential
Descubre
El proceso automtico localiza y guarda la lista de dispositivos en el NAC Manager; y subsecuentemente, dentro de la poltica NAC adecuada
30
Empowered Branch
Monitoriza
Proteccin de
Corporate Acceptable Use Regulatory Compliance (PCI)
servidores
Proteccin POS
Empowered Branch
Cisco Confidential
31
Internet
c IPse
cop ia
y comportamiento de aplicaciones
Control de contenidos despus de
SS L
eventos
Interaccin SDN con otras soluciones de
gus ano
32
Tendencias recientes
Cisco define la Prevencin de Intrusin basada en Host como la habilidad de parar cdigo malicioso en Da Cero sin reconfiguracin (SO) ni actualizacin (AV). CSA tiene un histrico probado de xitos en parada de ataques de Da Cero, gusanos y virus durante los pasados 7 aos:
2001 Code Red, Nimda (con sus 5 variantes), Pentagono (Gonner) 2002 Sircam, Debploit, SQL Snake, Bugbear, 2003 SQL Slammer, So Big, Blaster/Welchia, Fizzer 2004 MyDoom, Bagle, Sasser, JPEG browser exploit (MS04-028), RPCDCOM exploit (MS03-039), Buffer Overflow in Workstation service (MS03-049) 2005 Internet Explorer Command Execution Vulnerability, Zotob 2006 USB Hacksaw, IE VML exploit, WMF, IE Textrange, RDS Dataspace 2007 Rinbot, Storm Trojan, Big Yellow, Word (MS07-014)
33
34
Informes
Seguimiento de localizacin y uso de datos sensibles
Educa
Fuerza
Empowered Branch
Cisco Confidential
35
Internet
ASA IronPort
37
Agenda
Prevencin de fuga de datos Un problema para los negocios Casos de uso Tecnologa y soluciones Cisco Resumen
Empowered Branch
Cisco Confidential
38
IronPort M-Series ASA SSL VPN Internet NAC WLC/WAP IronPort S-Series & C-Series CSA CSA CSA
Control de Acceso Conectividad Segura
NAC
DMS-SME
Cintas y Discos
WAP WAFS
CSA
Web App Almacenaje tarjetas de crdito
39
40
41
Cisco CSA:
http://www.cisco.com/go/csa
Cisco NAC:
http://www.cisco.com/go/nac
Empowered Branch
Cisco Confidential
42
Empowered Branch
Cisco Confidential
43