Documentos de Académico
Documentos de Profesional
Documentos de Cultura
FEBRERO DE 2019
¿CUALES NIVELES Y COMO PROTEGERLOS?
DESDE LA NUBE HASTA LOS APLICATIVOS DE USUARIO
• Seguridad en la nube
• Seguridad en el entorno móvil
• Visibilidad y monitoreo – SIEM
• Gestión de vulnerabilidades y Seguridad Aplicativa
• Next Generation Firewalls
• Software Define Security
• Web Application Firewalls
• Disponibilidad y aceleración de aplicaciones de red
¿ ESTÁS SEGURO EN LA NUBE ?
• La actividad en la nube puede integrarse a la solución de SIEM que se tenga, para aportar
más elementos y correlacionar actividades inusuales y sospechosas, que ocurren fuera del
perímetro.
• Beneficios: Detección en la Nube, detección correlacionando múltiples factores que
incluyen la nube.
• Productos: Symantec CloudSOC CASB, RSA Netwitness (Security Analytics), Splunk.
SEGURIDAD EN LA NUBE
GESTIÓN DEL TRAFICO EN LA NUBE
Beneficios: Monitoreo externo proactivo, protección de imagen digital corporativa, reducción de costos de operación,
indicadores compromiso, alertas tempranas.
Producto: Check Point + IntSights.
VISIBILIDAD Y MONITOREO - SIEM
SECURITY INFORMATION AND EVENT MANAGEMENT
• La prevención perfecta es imposible, sin importar cuánta protección tecnológica se despliegue. Es imposible prevenir el 100% de los ataques y las
tecnologías basadas en reconocimiento de firmas en los end points son insuficientes.
• En esta situación, la detección de anomalías de comportamiento en un usuario provee habilidades de detección mejoradas y complementarias a las
de otras medidas de seguridad.
• Mediante la asignación de una línea base de comportamiento a un "end point" o a una aplicación en la nube se pueden observar desviaciones de la
misma y asignar un puntaje de comportamiento anómalo, alertar ante ciertos umbrales o tomar acciones de contención automáticamente.
• Por ejemplo, en una PC una secuencia de actividades que abarque descarga de un archivo no reconocido, instalación, ejecución, modificación de
registro de Windows, creación de nuevos procesos y apertura de nuevas conexiones de red, daría un puntaje de riesgo muy alto.
• O, en la nube, un usuario que comienza a compartir una enorme cantidad de archivos en Dropbox o a tener una actividad inusual en Office365.
• Beneficios: Detección en end point y nube de amenazas desconocidas. Respuesta más rápida y mejor contención.
• Productos: RSA ECAT (Netwitness for End Points), Symantec CloudSOC CASB, Splunk (User Behavior Analytics).
¿TODO ACCESO ESTA BIEN PROTEGIDO CON BUENAS
CONTRASEÑAS?
• De acuerdo al Verizon Data Breach Investigations Report del año 2015, el 95% de los ataques se realizaron simplemente mediante el
robo de contraseñas, lo que permitió a los atacantes acceder a la información sin recurrir a técnicas muy sofisticadas.
• La utilización de usuario y contraseña como método de autenticación se ha vuelto obsoleto debido a la facilidad para conseguirlas por
parte de los atacantes y la negligencia en el uso de las mismas por parte de los usuarios (e incluso administradores de sistemas), que
utilizan contraseñas fáciles de adivinar o simplemente las prestan.
• Los mecanismos de autenticación fuerte que agregan un elemento más a la autenticación, como por ejemplo un token, han funcionado
como una solución al problema de la debilidad de las contraseñas como mecanismo de autenticación, haciendo más complejo el acceso
no autorizado a las aplicaciones, redes o servicios.
• Existen soluciones de autenticación de doble factor de diferentes características, según la necesidad. Ejemplos son basadas en token, soft
token, SMS, notificaciones push o biométricas. Están disponibles para móviles iOS o Android o equipos de escritorio. Se integran con
cualquier aplicación, en la corporación (On Premise), Cloud, o Móvil y poseen administración centralizada.
• Beneficios: Prevención de accesos no autorizados.
• Productos: RSA SecurID Access.
ACCESO SEGURO, AUTENTICACIÓN FUERTE Y ADAPTATIVA, ANTIFRAUDE
AUTENTICACIÓN ADAPTATIVA
• La solución de autenticación adaptativa es una plataforma completa de prevención de fraude para proteger a los usuarios del
fraude en sitios, portales o aplicaciones móviles.
• A través de la utilización de un motor de riesgo basado en reglas y perfil de comportamiento del usuario, se genera un puntaje
que tiene en cuenta decenas de indicadores para señalar una actividad sospechosa y fraudulenta.
• Cuando se sobrepasa un umbral de riesgo, la solución puede impedir la operación o solicitar subir el nivel de autenticación
(“step up authentication”), lo cual permite soportar diferentes modalidades de autenticación multifactor, incluyendo
biométricas.
• Un caso de uso frecuente es el acceso a home banking o mobile banking, donde la experiencia de usuario se mejora al no
pedirle segundo factor para las operaciones usuales, las que hace siempre, desde el mismo lugar, por el mismo monto, a los
mismos destinatarios. De forma que se protege al usuario del fraude sin alterar su experiencia de uso.
• Beneficios: Prevención de accesos no autorizados, prevención de fraude, mejora en la experiencia del usuario.
• Productos: RSA Adaptive Authentication.
ACCESO SEGURO, AUTENTICACIÓN FUERTE Y ADAPTATIVA, ANTIFRAUDE
ACCESO SEGURO CON VPN
• El acceso VPN permite conectividad segura a redes corporativas para usuarios móviles y
remotos, integrando control, autenticación y cifrado para garantizar la seguridad de las
conexiones hechas a través de internet público.
• Provee single sign on y granularidad en quién puede acceder a qué, cuándo y desde
dónde.
• Beneficios: Protección del acceso, el tráfico y los datos desde fuera del perímetro.
• Producto: F5, CheckPoint End point Remote Access VPN.
GESTIÓN DE PERÍMETROS EXTERNOS E INTERNOS
• ¿Será que de acuerdo a Gartner, el perímetro se ha disuelto, así que la seguridad perimetral ya
no es tan importante?
• La disolución del perímetro no hace que sea menos importante, sino insuficiente con los antiguos
esquemas. El perímetro, ahora conectado con la nube e interconectado con la movilidad, debe de
protegerse, comprendiendo la protección del tráfico, datos y accesos en todas partes aplicando
las políticas correctas.
• Por otro lado, la segmentación interna de redes: administrativas, críticas industriales y de salud, y
aún las microsegmentadas es una buena práctica y una barrera para evitar propagación y
movimientos laterales.
GESTIÓN DE PERÍMETROS EXTERNOS E INTERNOS
NEXT GENERATION FIREWALLS
• La gestión del perímetro es uno de los aspectos esenciales a la hora de hablar de seguridad.
Los firewalls han evolucionado para cubrir distintas amenazas que se fueron presentando en lo que se ha dado en llamar Next Generation Firewall
(NGFW). Las características principales de un NGFW frente a un firewall tradicional son:
Application Awareness
Identity Awareness
• La habilidad de gestionar desde una consola única políticas on premise, en la nube, y en dispositivos en otra característica que facilita la operación de
los NGFW
• Un sistema de prevención de intrusos (IPS) es una tecnología que analiza todo el tráfico entrante a la zona a proteger en búsqueda de intentos de
explotar vulnerabilidades. Provee una protección complementaria a un firewall, si bien puede estar integrado a un NGFW.
• Suele trabajar mediante reconocimiento de firmas o por detección de anomalías estadísticas en el tráfico, comparado contra una línea base,
otorgando protección contra amenazas tales como:
Ataques de malware
Ataques DoS y DDoS
Vulnerabilidades de aplicaciones y de servidores
Amenazas internas
Tráfico no deseado
• La configuración provee protección granular para activar las reglas necesarias para cada negocio, geoprotección e inspección de tráfico SSL.
• Productos: CheckPoint Intrusion Prevention Systems, CheckPoint NGFW con IPS software blade.
GESTIÓN DE PERÍMETROS EXTERNOS E INTERNOS
SECURE WEB GATEWAY
• Un Secure Web Gateway (SG) protege a los dispositivos que navegan por Internet, detectando y filtrando
código malicioso, filtrando sitios maliciosos, y aplicando las políticas de navegación de la compañía
respecto a sitios, categorías, y tipos de aplicaciones y tráfico permitidos, trabajando en un esquema de
Proxy y frecuentemente incluyendo Cache.
• Puede incorporar inspección de tráfico SSL y Data Leakage Prevention, y también asegurar la navegación
conforme a políticas desde las redes externas cuando es utilizado junto a un “proxy pack”.
• Beneficios: Protección del usuario y el end point de amenazas derivadas de la navegación. Cumplimiento
de políticas.
• Además de agregar tiempo de análisis y procesamiento sobre el flujo de email, el spam contiene ataques organizados en el mail, donde muchas veces el eslabón
más débil es el usuario.
• Una máquina infectada con un bot puede ser controlada remotamente para consumar cualquier ataque: ransomware, robo de datos, diseminación de malware,
robo de credenciales, entre otros. El módulo Anti Bot detecta a través de múltiples técnicas la infección por un bot, e impide la comunicación entre la máquina
infectada y su centro de control, cortando el tráfico “Command &Control”.
• El módulo de Antivirus detecta virus y malware a través de firmas, reputación y comportamiento, impidiendo también el acceso a sitios web con malware y
permitiendo la inspección SSL
• Beneficios: Protección de toda la infraestructura. Contención del daño de infecciones con bots.
• La segmentación interna de redes está indicada por las buenas prácticas de los Frameworks de seguridad, como el NIST
Cyber Security Framework (CSF) https://www.nist.gov/cyberframework/new-framework o los ciber controles
críticos.
• La segmentación de redes provee protección adicional a partes especialmente sensibles de la red aún en caso de que las
defensas perimetrales hayan sido vulneradas y contiene una infección impidiendo el movimiento lateral.
• En particular, las redes de Operational Technology (OTS), los sistemas de control industrial (ICS), los sistemas de salud (Health
Care), los sistemas SCADA deben estar segmentados para proteger a los equipos que a su vez controlan a infraestructuras
críticas. Estas soluciones, además de poder operar en ambientes hostiles, deben manejar los protocolos específicos de
SCADA tales como BACNet, DNP3, IEC-60870-6, entre otros.
• Beneficios: Protección de infraestructura crítica . Contención de propagación. Protección de redes sensibles en presencia de
infecciones dentro del perímetro
• Productos: CheckPoint NGFW, CheckPoint 1200R Rugged Appliance for SCADA.
GESTIÓN DE PERÍMETROS EXTERNOS E INTERNOS
MICROSEGMENTACIÓN EN EL SDDC (SOFTWARE DEFINED DATA CENTER)
• La virtualización de redes para el centro de datos definido por el software transforma el modelo de red del centro de datos, tal como la
virtualización de servidor lo hizo hace 10 años. Esto permite ahorro de costos, flexibilidad, y facilidad de despliegue en funciones de red y seguridad
para el centro de datos virtualizados.
• NSX es la plataforma de virtualización de redes de VMWare, que permite embeber routing, switching y firewall en el hypervisor, permitiendo
firewalling ESTE-OESTE dentro del ambiente virtualizado.
• Esto permite dar a cada máquina virtual su propia “seguridad perimetral”, creando una “Microsegmentación”, permitiendo control del tráfico entre
máquinas virtuales y previniendo movimientos laterales y diseminación de malware en caso de infección en una máquina virtual.
• Las capacidades de firewall de NSX son hasta capa 4. En caso de que se requiera firewalling complejo, NSX se integra con CheckPoint en su edición
para entorno virtual CloudGuardVsec for NSX.
• Beneficios: Protección del software Defined data center. Protección dentro del entorno virtualizado
• Muchas compañías preocupadas con el Data Leakage no encriptan totalmente sus datos
en sus laptops, PCs, y celulares.
• A través de una solución simple y sencilla de administrar se puede asegurar la
confidencialidad de la información allí contenida, manteniendo un control centralizado
• Beneficios: Protección de Datos en el End Point y en el Móvil.
• Productos: CheckPoint End User Protection.
SEGURIDAD EN EL ENTORNO MÓVIL
CLOUD SANDBOXING
• La prevención basada en firmas es ineficaz para detectar ataques nuevos, dirigidos o APTs, en
virtud de lo sencillo que es crear variantes polimórficas de un malware. La detección de
malware basada en la observación de su comportamiento en un “sandbox” permite
protección contra amenazas desconocidas. Las soluciones de Cloud Sandboxing permiten
extender la protección a una laptop que está siendo utilizada fuera del perímetro y que por lo
tanto no puede recurrir al malware Sandboxing perimetral.
• Para no alentar la experiencia del usuario, es posible entregar en el momento un contenido
"sanitizado" en un formato seguro PDF, mientras se "detona" el archivo en el sandbox.
• Beneficios: Protección del dispositivo móvil, en todo lugar, de amenazas desconocidas.
• Producto: CheckPoint Sandblast Cloud.
SEGURIDAD EN EL ENTORNO MÓVIL
PROXY PACKS Y FIREWALL POLICIES
• Según el Gartner Group, en el 2018 el 25% del tráfico va a ser entre dispositivos móviles
y aplicaciones Cloud, pasando de largo los controles de seguridad de la empresa.
• La adopción de “proxy packs” y agentes del firewall permiten forzar la aplicación de
controles y políticas sin importar desde donde se navegue.
• Beneficios: Protección del dispositivo móvil y de datos. Sujeción a políticas de seguridad
de tráfico y navegación en todo lugar
• Producto: Symantec , CheckPoint Capsule Agent.
SEGURIDAD EN EL ENTORNO MÓVIL
ACCESO Y NAVEGACIÓN SEGURA CON VPN
• El acceso VPN permite conectividad segura a redes corporativas para usuarios móviles y
remotos, integrando control, autenticación y encripción para garantizar la seguridad de
las conexiones hechas a través de la internet pública.
• Provee single sign on, y granularidad en quién puede acceder a qué, cuándo y desde
dónde.
• Beneficios: Protección del acceso, el tráfico y los datos desde fuera del perímetro.
• Producto: F5, CheckPoint End point RemoteAccess VPN.
SEGURIDAD EN EL ENTORNO MÓVIL
CONTAINERS EN EL SMARTPHONE
• Nos encontramos inmersos en un mundo de aplicaciones web y móviles con las que interactuamos constantemente para
trabajar, estudiar y en nuestra vida personal. Los usuarios y clientes de estas aplicaciones demandan tiempos de respuesta
óptimos, disponibilidad a toda hora y funcionamiento en cualquier dispositivo.
• Las soluciones de F5 permiten brindar servicios de aplicaciones, extendiendo los límites de la seguridad perimetral, y
permitiendo una mejor disponibilidad y rendimiento de aplicaciones a través de mecanismos como los siguientes:
Balanceo de carga de servidores
Manejo de persistencia de sesiones
Interpretación inteligente de protocolos para decidir tráfico y flujo de red
Disponibilidad y balanceo de carga automático de Centros de Datos, distribuyendo y administrando DNS
• Beneficios: Disponibilidad de la información y las aplicaciones
• Productos: F5 LTM, F5 GTM, F5 DNS.
DISPONIBILIDAD Y ACELERACIÓN DE APLICACIONES DE RED
ACELERACIÓN DE APLICACIONES
• Nos encontramos inmersos en un mundo de aplicaciones web y móviles con las que interactuamos constantemente para trabajar,
estudiar, y en nuestra vida personal. Los usuarios y clientes de estas aplicaciones demandan tiempos de respuesta óptimos, disponibilidad
a toda hora, y funcionamiento en cualquier dispositivo.
• Las soluciones de F5 permiten acelerar la performance de las aplicaciones a través de técnicas como las siguientes:
Liberación de recursos de la infraestructura aplicativa
Reducción de ancho de banda mediante caching y compresión
Interacción inteligente con los navegadores
Multiplexación de conexiones TCP
Distribución de tráfico adaptativo
Referenciamiento inteligente a objetos en navegadores para caching
• La solución de Packet Shaping de BlueCoat permite analizar y priorizar el tráfico por tipo, asegurando la disponibilidad de ancho de banda
para la aplicaciones críticas.
• Beneficios: Disponibilidad de la información y las aplicaciones. Mejor performance.
• Productos: F5 LTM, F5 BigIP, Symantec PacketShaper.
DISPONIBILIDAD Y ACELERACIÓN DE APLICACIONES DE RED
PROTECCIÓN DDOS
• Un ataque de denegación de servicio distribuido (DDoS) causa una caída o indisponibilidad de los servicios afectados.
• Los ataques DDoS responden a diferente tipos: volumétricos, asimétricos, computacionales, y basados en vulnerabilidades.
• Las soluciones anti-DDoS incorporan diferentes técnicas de protección contra los ataques modernos, incluyendo:
Bloqueo de tráfico anormal
Protección contra diferentes tipos de “inundaciones” (“floods”) (ICMP, HTTP, SIP…)
Separación entre picos legítimos de tráfico y ataques DDoS
Preservación del tráfico de usuario mientras se repele el ataque
• La solución de Packet Shaping de Bluecoat permite a las empresas optimizar el rendimiento de las
WAN y de Internet.
• En un mundo cada vez más interactivo, móvil, y orientado al contenido, esto mejora la experiencia
del usuario y ayuda a controlar o reducir los costos por ancho de banda.
• A través de la identificación y priorización de tráfico por aplicación, la solución permite asegurar el
ancho de banda y tiempo de respuesta necesario para aplicaciones más críticas.
• Beneficios: Mejor experiencia de usuario, menores costos
• Producto: Symantec Packet Shaper.
DISPONIBILIDAD Y ACELERACIÓN DE APLICACIONES DE RED
LOAD BALANCING
• Las soluciones de F5 permiten acelerar la performance de las aplicaciones y mantener la disponibilidad a través
del balanceo de cargas.
• Este balanceo se hace en base al monitoreo específico de capacidad y disponibilidad a nivel aplicativo,
manejando persistencia de sesiones.
• Efectúa una administración automática del tráfico global, distribuyendo y administrando los requerimientos
basados en políticas de negocio, centro de datos, condiciones de la red, ubicación del usuario y rendimiento
aplicativo entre diferentes sitios de datos, distribuidos geográficamente.
• “Load Balancing” es un subconjunto de funcionalidades mucho mayor que prestan las soluciones de F5,
englobadas colectivamente como “Application Delivery”.
• Beneficios: Disponibilidad de la información y las aplicaciones. Mejor rendimiento.
• Productos: F5 LTM, F5 BigIP.
DISPONIBILIDAD Y ACELERACIÓN DE APLICACIONES DE RED
LINK BALANCING
• ¿Con un penetration testing, realizado con la periodicidad que la regulación me exige estaré
protegido y bien?
• Hacer una revisión de seguridad informática anual es como hacerse un chequeo médico cada 5
años, es altamente riesgoso.
• La Gestión de Vulnerabilidades debe ser un proceso continuo de detección, mitigación y
remediación, priorizado por riesgo de negocio y enfocado no sólo a pasar la evaluación de
auditorias o cumplimientos regulatorios, sino a efectivamente aumentar el nivel de seguridad y
reducir el riesgo de negocio y las pérdidas por incidentes de seguridad.
GESTIÓN DE VULNERABILIDADES Y SEGURIDAD APLICATIVA
DARK WEB
• Grupos criminales planean campañas de explotación, para compartir información valiosa de su organización; contraseñas y
datos sensibles pueden fugarse y ser vendidos, dominios falsos pueden ser registrados para futuros ataques de phishing. Estos
vectores de riesgo se incrementan constantemente en número y complejidad. Los criminales ocupan semanas y meses
realizando el reconocimiento de sus objetivos antes de atacar, identificando su infraestructura más débil y su información más
valiosa.
• IntSights es un servicio de inteligencia y research para protección de marca y activos contra campañas y amenazas en la
Clear, Dark y Deep Web.
Al combinar IntSights con CheckPoint, los clientes podrán protegerse mejor en todas las etapas de la cadena de ciberataques.
Esta integración permite mantener visibilidad desde la etapa de reconocimiento, así como alimentar directamente los
Indicadores de Compromiso en su gateway de Check Point NGTP/X para bloquear de manera preventiva los distintos vectores
de ataque.
Beneficios: Monitoreo externo proactivo, protección de imagen digital corporativa, reducción de costos de operación,
indicadores compromiso, alertas tempranas.
Producto: CheckPoint + IntSights.
GESTIÓN DE VULNERABILIDADES Y SEGURIDAD APLICATIVA
WEB APPLICATION FIREWALL
• Un Web Application Firewall (WAF) es una línea de defensa adicional antes de que un requerimiento
malicioso llegue a una aplicación. Ante una vulnerabilidad de la aplicación producto de una falla en la
programación segura, el WAF puede detectar el patrón de ataque y bloquear el requerimiento.
• Estas soluciones protegen contra las amenazas del OWASP Top Ten, vulnerabilidades de aplicaciones, y
ataques del día cero (“Zero Day Attacks”).
• Proporcionan defensa de nivel 7 contra DDoS, y asisten en la remediación de vulnerabilidades de
aplicaciones a través de virtual patching.
• Beneficios: Protección en aplicaciones “custom” o comerciales accedidas por web.
• Productos: F5 Application Security Manager.
GESTIÓN DE VULNERABILIDADES Y SEGURIDAD APLICATIVA
GESTIÓN DE VULNERABILIDADES
• La gestión de vulnerabilidades es una parte importante de las funciones de identificación y prevención. Las buenas prácticas recomiendan
Penetration Tests periódicos, que debieran ser precedidos por escaneos de vulnerabilidades.
• El ciclo de gestión de las vulnerabilidades comprende desde la detección hasta la remediación o aceptación del riesgo. La evaluación del
riesgo requiere atribuirle impacto y posibilidad de ocurrencia.
• Tenable ofrece una solución de gestión de vulnerabilidades que combina scanning centralizados, agentes en los dispositivos, y escucha
permanente de las redes para hacer un monitoreo continuo. Las nuevas vulnerabilidades, parches y exploits son agregados con
actualizaciones, y las herramientas de administración llevan el “delta”entre scannings y la eficacia de las remediaciones planteadas.
• La explotabilidad real de una vulnerabilidad depende del conjunto de configuraciones y topología, su criticidad depende de la función de
negocio de la infraestructura afectada. Soluciones como SkyBox o Tenable Log correlation engine permiten hacer estos análisis más
sofisticados, proveyendo de esta manera una valoración más precisa del riesgo real, teniendo en cuenta tanto la topología como el riesgo
de negocio.
• Beneficios: Prevención de daños y ataques en múltiples tipos de dispositivos
• Productos: Tenable Security Center, Security Center Continuos View, Nessus, Skybox.
SECURITY OPERATIONS CENTER (SOC)
• Para detectar, notificar, procesar, corregir, reportar incidentes, sanearlos y prevenirlos cíclicamente, se requiere
un SOC que opere 7x24 y cuente con certificación ISO27000. Monitor de disponibilidad, capacidad, eventos
correlacionados, alarmas.
• Se requiere que opere y administre la tecnología de protección y de detección: Firewalls, Proxies, Sistemas de
Prevención de Intrusión, SIEMs, Web Application Firewalls, Sistemas de Acceso y Autenticación.
• Se requiere el soporte de las soluciones y equipos con niveles uno, dos y tres de nivel de escalación y hasta el
fabricante.
• Se requiere respuesta7x24 de acuerdo a los protocolos acordados con el cliente.
• Beneficios: Capacidad de detección y respuesta 7x24 sin necesidad de contar con staffing 24 horas. Flexibilidad,
corto tiempo de implementación, bajo costo. Mejor ciberseguridad por habilidades mejoradas de detección,
prevención y respuesta.
NIST CYBERSECURITY FRAMEWORK VERSIÓN 1.1
EVOLUTION OF THE FRAMEWORK
• NIST developed the voluntary Framework in a manner consistent with its mission to promote U.S. innovation and industrial competitiveness. The Framework has
been developed and promoted through ongoing engagement with, and input from, stakeholders in government, industry, and academia. That includes an open
public review and comment process, workshops and other means of engagement.
• The graphic below highlights key milestones of the development and continued advancement of the Cybersecurity Framework. Following the graphic, is an
illustrative list of all key and intermediary dates and events in chronological order.