Gestin de Accesos e Identidades

CARLOS LOBOS MEDINA

Mayo 2012

CATEDRA: Prevencin y deteccin de fraude con herramientas de TI

Agenda
Introduccin Gestin de identidades Gestin de contraseas Gestin de accesos

2 de 61

Que es la gestin de accesos e identidades?

Proceso que permite gestionar quien tiene acceso a que informacin en el transcurso del tiempo. [GTAG N9]

Gestin de Identidades Es el proceso para administrar el ciclo de vida de identidades de personas, sistemas y servicios.
Gestin de acceso Es el proceso que permite identificar quien tiene acceso a que recursos.

3 de 61

Cuan importante es?

4 de 61

Impulsores de negocio

Identity Management Market Forecast: 2007 To 2014

5 de 61

6 de 61

7 de 61

8 de 61

Reduccin de riesgos de fraude

LA REALIDAD

RIESGOS INACEPTABLES

9 de 61

Por qu gestionar los accesos e identidades? Reduccin de costos operativo y de desarrollo Mejora de la eficiencia y transparencia operativa

Reduccin de riesgos de fraude

10 de 61

Reduccin de costos operativo y de desarrollo

Proliferacin de sistemas en las organizaciones. Usuarios manejan tpicamente ms de una clave En solo acceder a los sistemas pierden mucho tiempo
Insatisfaccin del usuario con el proceso Degrada eficiencia del empleado Aumenta el trabajo de mesas de ayuda Falta de administracin del proceso Procesos realizados por inferencia o intuicin Nuevos empleados sin cuenta por largo tiempo
11 de 61

Mejora de la eficiencia y transparencia operativa

Automatizacin
Enrutamiento de solicitudes Roles y perfiles automatizados Flujos de aprobaciones en lnea

12 de 61

Reduccin de riesgos de fraude

Control de acceso Garantizar un uso adecuado de los sistemas por quienes deben usarlo y solo para que deben usarlo
Seguridad de contraseas Acceso indebido a sistemas producto de debilidades en sus contrasea Segregacin de funcional Seguridad en operaciones negocio

13 de 61

GESTIN DE IDENTIDADES

14 de 61

 PREGUNTAS CLAVES
Quin tiene acceso a que informacin? El acceso es adecuado para el trabajo que se est realizando? El acceso y la actividad se supervisan, se registran y se informan adecuadamente?

CMO SE LOGRA?
Polticas Procedimientos Actividades Uso de tecnologas
15 de 61

RELACIONES ENTRE LOS COMPONENTES DE IAM

GTAG N9 Gestin de accesos e identidades

16 de 61

Identidad
Elemento o combinacin de elementos utilizados para describir de manera exclusiva a una persona, sistema o mquina. Factores de autentificacin Algo que usted conoce Algo que usted posee Algo propio de su persona
Potencialmente donde estoy

17 de 61

Cuentas personales

18 de 61

Cuentas laborales

19 de 61

Asociaciones profesionales

20 de 61

La autentificacin ms comn
Algo que usted conoce? Algo que usted posee?

Algo propio de su persona?

21 de 61

La autentificacin en una tarjeta de crdito

Algo que usted conoce? Algo que usted posee?

Algo propio de su persona?

22 de 61

Y en estos?

Algo que usted conoce? Algo que usted posee?

Algo propio de su persona?

23 de 61

Por ltimo
Algo que usted conoce? Algo que usted posee? Algo propio de su persona?

24 de 61

Solicitudes
Partner Negocio Empleados Ejecutivos

Seguridad Auditora Dueos Negocio

Nuevas contrataciones Cambios de funciones

Workflow Validaciones

BD Perfiles Dueos Negocio Control de Acceso

Aprobaciones

RRHH

Propagacin

E-mail

ERP

WEB

SIA

Password

25 de 61

Gestin de Contraseas
Perspectiva Tcnica

26 de 61

Creacin de cuentas de usuario

Esta labor en general se encuentra estandarizada en las organizaciones. Se crea una cuenta de usuario de acuerdo a ciertos patrones y una contrasea inicial en forma aleatoria (no siempre) la cual se solicita su modificacin.

Ejemplos tpico:
Usuario: clobos clave:clobos clave:clobos123.

27 de 61

CONSIDERACIONES
Fcil de deducir el nombre de un usuario Por ejemplo, para Carlos Lobos Medina: Clobos Clobosm Carlos.lobos Calobos .. El nombre de usuario proporciona algn nivel de seguridad? El RUT es algo que poseo o es pblico?
28 de 61

CONSIDERACIONES
La seguridad en el acceso de sistemas que utilizan nombre de usuario y contrasea recae en un altsimo porcentaje en la contrasea. Luego se debe garantizar la calidad de est, de manera que no se vea comprometida bajo diversos tipos de ataques.

Los principales ataques a las contrasea son:

Fuerza bruta

Diccionario
29 de 61

ATAQUE DE FUERZA BRUTA

Un ataque de fuerza bruta corresponde a generar todas las combinaciones de letras, nmero y/o smbolos para luego compararlos con las contraseas. Potencialmente todas las claves pueden ser obtenidas bajo este medio.

Qu caractersticas debe cumplir una contrasea para no ser vulnerables a este ataque? La contrasea no debe ser corta La contrasea debe utilizar la mayor cantidad de caracteres (letras, nmeros y smbolos)
30 de 61

Espacios de claves para algunas combinaciones

Largo clave

Minsculas o Maysculas y maysculas minsculas

Maysculas Maysculas y o Minscula + nmeros Minscula + nmeros

Maysculas y Minscula + nmeros

+smbolos

6 8 10

2^28 2^38 2^47

2^34 2^46 2^57

2^31 2^41 2^52

2^36 2^48 2^60

2^40 2^53 2^65

31 de 61

ATAQUE DE DICCIONARIO
Este tipo de ataque consiste en intentar averiguar una contrasea probando todas las palabras de uno o ms diccionarios. Los diccionarios para la obtencin de contraseas se pueden obtener fcilmente desde Internet o ser generados.

Los diccionarios que usualmente se utilizan corresponden a: Palabras en distintos idiomas (espaol, ingles, ) Combinaciones de nmeros Especiales de combinaciones de teclas Listas de usuarios del sistemas a atacar Contraseas comunes Entre otros

32 de 61

Ataque de diccionario
Usualmente el software utilizado para dicho propsito ofrece una serie de alternativas a la hora de realizar el ataque, permitiendo mejorar la calidad de los ataques a realizar.
Por ejemplo, Can & Abel.

33 de 61

ATAQUE DE DICCIONARIO FUNCIONA!!

Estadsticas CEC (2007)

8000 estudiantes de la Escuela de Ingeniera

1006 contraseas recuperadas 12.5 %

Ejemplos de contraseas descubiertas:

12345 (22 veces!) 123412 (19 veces) qwaszx (17 veces) felipe (5 veces) colocolo, juanito, soloyo, carlitos, 112233, waldo2
34 de 61

CONTRASEAS SEGURAS

Una contrasea segura debe de cumplir los siguientes requisitos:

Largo adecuado Uso amplio de caracteres No ser obva Cambiarla peridicamente Fcil de recordar El anlisis y diseo de una poltica de seguridad de este tipo, obviamente obedece a necesidades del negocio. Ver ISO 27002 Control 11.3.1
35 de 61

Consideraciones

Si se utiliza el nombre de usuario y contrasea para acceder a un sistema, dicha informacin debe estar almacenada.
La gran mayora de los sistemas trabaja con bases de datos, lugar donde tambin es almacenada dicha informacin. Imaginemos que tenemos la informacin en la siguiente tabla:
Usuario Rmunoz Jpascual Msavron .. Contrasea gonzalo123 machote23 papito22

36 de 61

La solucin
Usuario Rmunoz Contrasea qertghjeqmusveefhj

Almaceno las contraseas encriptadas

Jpascual Msavron
..

eqweqwewedfsdfsf Sdfl39jdlwv nasdf

Si es igual la combinacin nombre de usuario ms el hash almacenado v/s el obtenido. El usuario es vlido.

Usuario Contrasea

rmunoz gonzalo123
qertghjeqmusveefhj

37 de 61

CICLO VIDA DE CONTRASEAS

Emitir contraseas iniciales Comunicar contraseas a usuario Potencialmente evaluar la calidad de la contrasea generada.

38 de 61

CICLO VIDA DE CONTRASEAS

Se deben establecer cambios peridicamente Evaluar la razonabilidad del periodo Se deben almacenar contraseas antiguas para que el usuario no las repita Establecer un nmero

Revisar la adhesin a las polticas definidas

Verificar si existen contraseas fciles de adivinar.

39 de 61

Desvinculacin de una identidad

40 de 61

Desvinculacin de identidad

Establecer tipos de desvinculacin

Generar respaldo del trabajo

Eliminar todos los accesos Sistemas Bases de datos Correo electrnico Permisos con terceros
Identificar potenciales riesgos de la desvinculacin Informacin confidencial Conocimiento de contraseas
41 de 61

GESTIN DE ACCESOS

42 de 61

ACCESO
Informacin que representa los derechos otorgados a una identidad. A que puede acceder Que puede realizar Generalmente se basan en grupos de trabajos, roles y perfiles para facilitar la gestin de usuarios

43 de 61

GESTION DE ROLES
Una misma funcin dentro de una organizacin puede ser desarrollada por muchas personas. La creacin de un rol o grupo de trabajo facilita la habilitacin de derechos de acceso a los usuarios.
Aplicacin 1 ANALISTA Ral Pedro Juan Ral Aplicacin 3 Aplicacin 4 Aplicacin 7 Aplicacin 18 Pedro Juan

44 de 61

GESTION DE ROLES
La gestin de roles es fundamental para una adecuada segregacin de funciones. Los elementos ms importantes de revisin son: La definicin inicial de los roles Los cambios en derechos de acceso Los cambios de internos de puestos de trabajo Estos procesos de generacin de generacin deben estar documentados y validados por los dueos de procesos

45 de 61

RECORDAR QUE

2008 Report to the Nation on Occupational Fraud & Abuse .February 2009

46 de 61

ELEMENTOS DE CONTROL
Revisin del proceso de creacin de accesos e identidades Revisin de cambios en los accesos Cuentas con ms de una persona asociada Revisin de cuentas privilegiadas Separacin de funciones Supervisin peridica de acceso

47 de 61

MINERIA DE PROCESOS

48 de 61

Donde existen riesgos

49 de 61

ISO 27002 Controles seguridad de la informacin

50 de 61

 ISO 27002 Controles de seguridad de la informacin

51 de 61

La estructura de ISO 27002

52 de 61

Control de acceso en ISO 27001

11.1 Requerimientos del negocio para el control de acceso 11.1.1 Poltica de control de acceso 11.2 Gestin de acceso del usuario 11.2.1 Registro del usuario 11.2.2 Gestin de privilegios 11.2.3 Gestin de claves secretas 11.2.4 Revisin de los derechos de acceso 11.3 Responsabilidad del usuario 11.3.1 Uso de claves secretas 11.3.2 Equipo del usuario desatendido 11.3.3 Poltica de escritorio y pantallas limpios
53 de 61

11.1 Requerimientos del negocio para el control de acceso 11.1.1 POLTICA DE CONTROL DE ACCESO Debe considerar: Requerimientos de seguridad Identificacin de informacin y riesgos asociados Legislacin relevante Perfiles de acceso Gestin de derechos de acceso Segregacin de funciones Requerimientos formales para solicitud de acceso Requerimientos para la revisin peridica Revocacin de derechos

54 de 61

11.2 Gestin de acceso del usuario 11.2.1 REGISTRO DEL USUARIO Debe considerar: Uso de IDs nicos Validar autorizacin para el uso del sistema Validar que el nivel de acceso sea consistente Necesidades del negocio y polticas Enunciado escrito de los derechos de acceso Los usuarios deben entenderlos No entregar accesos hasta que sea autorizado Mantener registros formales Eliminar o bloquear derechos frente a cambios Asegurar que no se emitan usuarios redundantes

55 de 61

11.2 Gestin de acceso del usuario 11.2.2 GESTIN DE PRIVILEGIOS Debe considerar: Los privilegios de acceso asociados a cada producto Asignar sobre la base solo lo que necesitan saber Mantener procesos de autorizacin y registro

56 de 61

11.2 Gestin de acceso del usuario 11.2.3 GESTIN DE CLAVES SECRETAS Debe considerar: Acuerdos de confidencialidad Uso de claves temporales en la creacin Entrega de claves temporales de manera segura En forma personal La clave debe ser generada aleatoriamente Los usuarios deben reconocer la recepcin Las claves secretas nunca debieran ser almacenadas sin proteccin Las claves secretas predeterminadas por el vendedor deben ser cambiadas

57 de 61

11.2 Gestin de acceso del usuario 11.2.4 REVISIN DE LOS DERECHOS DE ACCESO Debe considerar: Revisiones regulares En el tiempo Cambios significativos en el negocio Despus de cualquier cambio Revisiones cuando hay cambio de puesto Revisiones ms rigurosas en cuentas privilegiadas Chequear la asignacin de privilegios a intervalos regulares Se debe chequear los cambios en cuentas privilegiadas

58 de 61

11.3 Responsabilidad del usuario 11.3.1 USO DE CLAVES SECRETAS Debe considerar: Mantener la confidencialidad Evitar mantener un registro Cambiarlas frente al menor riesgo Seleccionar claves con un largo mnimo: Fciles de recordar No se basen en cosas que puedan adivinarse No se puedan detectar con ataques de diccionario Cambiar a intervalos regulares Cambiar la clave temporal de registro No incluirlas en procesos automatizados No compartir claves secretas individuales
59 de 61

11.3 Responsabilidad del usuario 11.3.2 EQUIPO DEL USUARIO DESATENDIDO Debe considerar: Cerrar sesiones activas cuando no se esta trabajando Bloqueo frente a periodos de inactividad 11.3.2 EQUIPO DEL USUARIO DESATENDIDO Debe considerar: Cerrar sesiones activas cuando no se esta trabajando Bloqueo frente a periodos de inactividad

60 de 61

carlos.lobosm@mail.udp.cl

61 de 61