Capitulo 8 Cy Ops

Capítulo 8: Protección de la
Red
• Mena Devvin
• Herrera Edwin
• Sandoval Jefferson
• Vaca Alex
• Sanchez Jahir
Objetivos
General:
 Determinar las características principales referentes a los concepros de
protección de red.
Específico:
 Identificar las principales políticas de seguridad.
 Especificar el modelo general de control de acceso.
© 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 2
Introducción
Proteger la red
 Proteger nuestras redes seguirá siendo un reto. Millones de nuevos dispositivos se
unen a nuestras redes cada año a medida que Internet de las cosas (IoT) continúa
expandiéndose. Los agentes de amenaza seguirán buscando vulnerabilidades que
puedan aprovecharse.
Proteger la red
 En este capítulo, se analizan enfoques para la defensa de la seguridad de la red,
métodos de control de acceso, y las diversas fuentes que usan los analistas de
ciberseguridad para aumentar la inteligencia de amenazas.
8.1 Comprensión de
Defensa
Defensa en profundidad
Los activos, vulnerabilidades, amenazas
 Los riesgos de la seguridad cibernética
consiste en lo siguiente:
• Activos - cualquier elemento de valor para
una organización que debe ser protegido,
incluidos servidores, dispositivos de
infraestructura, terminales y el activo más
importante, los datos.
• Vulnerabilidades - Una debilidad en un
sistema o de su diseño que podría ser
aprovechada por una amenaza.
• Amenazas - Cualquier peligro potencial para
un activo.
Identificar los activos
 A medida que una organización crece,
también lo hacen sus activos, por lo
que es posible imaginar la cantidad de
activos que debe proteger una
organización de gran tamaño.
 Los activos son el conjunto de todos
los dispositivos y la información que la
organización posee o
administra.organización de gran
tamaño.
 Los activos constituyen la superficie de
ataque a la que podrían apuntar los
agentes de amenaza.
Identificar los activos
 Muchas organizaciones sólo tienen una idea
general de los activos que necesitan ser
protegidos. Todos los dispositivos e
información de propiedad o gestionados por la
organización son los activos.
 Los activos constituyen la superficie de ataque
que los actores de amenaza podrían atacar.
 La gestión de activos consiste en:
• Hacer inventario de todos los bienes.
• Desarrollar e implementar políticas y
procedimientos para protegerlos.
 Identificar dónde se almacenan los activos de
información críticos, y cómo se accede a esa
información.
Identificar las vulnerabilidades
 La identificación de amenazas le brinda a
una organización una lista de probables
amenazas en un entorno determinado.
 Para identificar las amenazas, es
importante hacerse varias preguntas:
 ¿Cuáles son las vulnerabilidades?
 ¿Quién podría explotar la

vulnerabilidades?
 ¿Cuáles son las consecuencias si se
explota la vulnerabilidad?
Identificar las vulnerabilidades
 Por ejemplo, un sistema de banca

electrónica podría tener las siguientes
amenazas:
• Ataque al sistema interno
• Robo de datos de clientes
• Transacciones falsas
• Ataque interno en el sistema
• Los errores de entrada de datos
• La destrucción del centro de datos
Identificación de amenazas
Router de borde
• Primera línea de defensa

• Configurado con un conjunto de reglas
• Especifican que tráfico se permite o se niega
Firewall
• Segunda línea de defensa

• Realiza un filtrado adicional
• Autentificación de usuarios
• Seguimiento del estado de las conexiones
Enrutador interno
tercera línea de defensa
Aplica reglas de filtrado finales sobre el trafico antes de que se reenvía a su destino
Enfoques seguridad de la cebolla y de seguridad de la alcachofa
 La analogía de seguridad de la cebolla ilustra un enfoque por
capas a la seguridad.
 Un actor de amenazas tendría que desprenderse de los
mecanismos de defensa de una red de una capa a la vez
 Sin embargo, con la evolución de las redes sin fronteras, una
alcachofa de la seguridad es una analogía mejor.
 Los actores de amenazas solo deben eliminar ciertas "hojas
de alcachofa" para acceder a datos confidenciales.
 Por ejemplo, un dispositivo móvil es una hoja que, cuando
está comprometida, puede otorgarle al actor de amenazas
acceso a información confidencial como el correo electrónico
corporativo.
 La diferencia clave entre la cebolla de seguridad y la
alcachofa de seguridad es que no todas las hojas deben ser
eliminadas con el fin de obtener los datos.
Politica de la empresa
Organización
Políticas de • Pautas desarrolladas por una organización para regir sus actividades
• Definen estándares de comportamiento correcto
• Establecen las normas de conducta y responsabilidades de
la Empresa empleados
Política de • Recursos humanos crea y mantiene estas políticas

• Identificar el salario del empleado,cronograma,beneficios,horarios etc.
Empleados
Políticas de • Identifican conjunto de objetivos de seguridad en la empresa
• Definen reglas de comportamiento de usuarios y administradores
• Especifican los requisitos de la empresa
Seguridad © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 14
Políticas de seguridad
Politica de seguridad Beneficios
Demuestran compromiso de
una organización para la
seguridad
Establecen reglas
Define la consecuencias
legales de las violaciones
Brinda respaldo para la

administración
POLITICAS DE SEGURIDAD
Informar a los usuarios, requisitos de una organización para proteger la tecnología y los activos de
información
Política de identificación
y autentificación
Políticas de Política de
mantenimiento
de red Contraseñas
Políticas
de
Seguridad
Incluye
Políticas
Políticas
de
de uso
acceso
aceptable
remoto © 2016 Cisco and/or its affiliates. All rights reserved. Cisco Confidential 16
Política de uso aceptable (AUP,Aceptable Use Policy)
 Define que puede o que no puede hacer los usuarios en los componentes de sistema
 Incluye el trafico que se autoriza en la red
 Debe ser lo más explicito posible para evitar malinterpretación
 Ejemplo la AUP puede especificar paginas web, a los que usuarios tengan prohibido el acceso
utilizando las computadoras o la red de la empresa
 Los empleados firman un AUP.
Las políticas BYOD
BYOD
Supone Reducción de
Organizaciones
numerosas costos Aumento de
admiten el uso
beneficios clave operacionales. riesgo que
de dispositivos
para la corre la
propios (Bring Optimización de seguridad de la
empresa,
Your Own movilidad para
aumento de información
Device) los empleados
productividad
Las políticas BYOD (Cont.)
Identificar
Identificar
que Describir
los Identificar Identificar
Especificar empelados los Identificar
dispositivos el nivel de medidas de
Objetivos pueden derechos normas
que se acceso seguridad
traer sus de acceso
admitirán
dispositivos
Practicas de Seguridad para mitigar los
riesgos de BYOD
Control manual de la Habilitar función

Acceso Protegido Mantenimiento de Copia de respaldo Mobile Device
conectividad ‘’Encontrar mi Software antivirus
con contraseñas actualizaciones de los datos Management(MDM)
inalámbrica dispositivo’’
Regulatorios y de cumplimiento Estándar
Expertos de seguridad deben familiarizarse con las
leyes y códigos obligatorios.(INFOSEC)
Muchas organizaciones deben desarrollar e

implementar políticas de seguridad.
Los reglamentos y normas de cumplimiento definen

qué organizaciones son responsables de proporcionar
seguridad y la responsabilidad si no cumplen.
Las normas de cumplimiento que una organización

está obligada a seguir depende del tipo de
organización y los datos que maneja la organización.
8.2 Control de Acceso
Conceptos de control de acceso
Comunicaciones de seguridad: CIA
 La Seguridad de Información se
enfoca en proteger la información
de los sistemas de acceso.
 La tríada CIA consta de:
• Confidencialidad
• Integridad
• Disponibilidad
Conceptos de control de acceso
Modelos de Control de Acceso
 Los modelos básicos de control de acceso son los
siguientes:
• Control de acceso obligatorio (MAC) - aplica el
control de acceso más estricto.
• Control de acceso discrecional (DAC) - permite a
los usuarios controlar el acceso a sus datos como
propietarios de esos datos.
• Control de acceso no discrecional (RBAC) - el
acceso se basa en papeles y responsabilidades.
• Control de acceso basado Atributo (ABAC) - el
acceso se basa en los atributos del recurso
accedido, el usuario que accede y los factores
ambientales, como la hora del día.
• Otro modelo de control de acceso es el principio
de privilegio mínimo, que establece que los
usuarios deben tener la cantidad mínima de
acceso requerido para llevar a cabo su función
de trabajo.
Uso de AAA y Operación
Operación AAA
 Es un sistema escalable para
control de acceso.
• Autenticación
• Autorización
• Contabilidad o Auditoría
Autenticación AAA
 Dos métodos comunes de autenticación AAA incluyen:
• Autenticación AAA local - Este método autentica a los usuarios contra los
nombres de usuario y contraseñas almacenados localmente. AAA local es
ideal para redes pequeñas.
• Autenticación AAA basado en servidor - Este método se autentica en un
servidor AAA central que contiene los nombres de usuario y contraseñas
para todos los usuarios. Autentificación basada en servidor AAA es
adecuado para redes medianas y grandes.
Autenticación AAA (Cont.)
Autenticación AAA local Autenticación AAA basado en

servidor
Registros de Contabilidad AAA
 La contabilidad proporciona más seguridad que la autenticación.
 Los servidores AAA mantienen un registro detallado de exactamente lo

que hace el usuario autenticado en el dispositivo.
Tipos de Información de Auditoría
 Los diversos tipos de información contable que se pueden
recoger incluyen:
• Auditoría de Redes- captura información como el paquete y el
número de bytes.
• Auditoría de Conexiones- captura la información sobre todos
las conexiones salientes.
• Auditoría de EXEC- captura información sobre capas de
usuario, incluidos el nombre de usuario, la fecha, las horas de
inicio y finalización y la dirección IP del servidor de acceso.
• Auditoría de Sistemas- captura la información acerca de todos
los eventos a nivel del sistema.
• Auditoría de comandos - captura información sobre shell
ejecutado comandos.
• Auditoría de recursos - captura el soporte de grabación de
"inicio" y "parada" para llamadas que han pasado la
autenticación del usuario.
8.3 Inteligencia de amenaza
Fuentes de información
Comunidades de inteligencia de red
 Son organizaciones de inteligencia de amenazas tales como CERT, SANS y MITRE
oferta detallada información sobre la amenaza que es vital para las prácticas de
seguridad cibernética.
Actividades de las Organizaciones
 Mantenerse al corriente de las amenazas nuevas: esto incluye
suscribirse a información en tiempo real sobre amenazas, consultar
periódicamente sitios web relacionados con la seguridad, seguir blogs y
podcasts sobre seguridad, y mucho más.
 Continuar mejorando sus habilidades: esto incluye asistir a

capacitaciones, talleres y conferencias relacionados con la seguridad.
 Nota: La seguridad de la red tiene una curva de aprendizaje muy
pronunciada y exige un compromiso con el desarrollo profesional
constante
Organizaciones
 CERT.- Es una iniciativa del gobierno EEUU. Ataca y analiza futuras amenazas.
 SANS.- Los recursos se proporcionan gratuitamente. Desarrolla cursos de seguridad.
 MITRE.- Mantiene una lista de vulnerabilidades y exposiciones comunes (CVE).
 FIRST.- Es un Foro de respuesta ante incidentes y equipos de seguridad.
 INFOSYSSEC.- Alberga un portal de noticias de seguridad de último momento sobre alertas

ataques y vulnerabilidades.
 (ISC)2 .- Es un consorcio internacional de certificación de seguridad.
 MS-ISAC.- Es el elemento fundamental en la prevención protección, la respuesta y la recuperacion

ante amenazas ciberneticas en los gobiernos.

Informes de seguridad cibernética Cisco
 Cisco ofrece su Informe sobre
Ciberseguridad anualmente, que
proporciona una actualización sobre el
estado de preparación de seguridad,
análisis de expertos de las principales
vulnerabilidades, factores detrás de la
explosión de los ataques con hadware y
spam, y mucho más.
Último informe de seguridad Cisco
Blogs seguridad y Podcasts
 Blogs y podcasts de seguridad
ayudan a los profesionales de
seguridad cibernética a entender
y mitigar las amenazas
emergentes.
Últimos Informes de seguridad cibernética Cisco
Servicios de Inteligencia de amenaza
Cisco Talos
 Servicios de inteligencia de
amenazas permiten el intercambio de
información de amenazas tales como
vulnerabilidades, los indicadores de
compromiso (COI), y las técnicas de
mitigación y de detección.
 El Cisco Talos recopila información
sobre amenazas activas, existentes y
emergentes. Luego, Talos
proporciona a sus suscriptores una
protección completa contra estos
ataques y malware.
FireEye
 FireEye es otra empresa de
seguridad que ofrece servicios para
ayudar a las empresas a proteger sus
redes.
 FireEye ofrece información de
amenazas emergentes y los informes
de inteligencia de amenazas.
Automatizado Indicador Sharing
 El intercambio automático de
indicadores (AIS)
 AIS crea un ecosistema donde, tan
pronto como se reconoce una
amenaza, es compartido
inmediatamente con la comunidad.
 Los atacantes solo pueden usar un
ataque una vez, lo que aumenta sus
costos y, en última instancia, reduce la
prevalencia de ataques cibernéticos
 Gratuito
Las vulnerabilidades comunes y de BASES DE DATOS Las
exposiciones (CVE)
 Base de datos de vulnerabilidades
que utiliza un esquema de
nomenclatura estándar para facilitar
el intercambio de información sobre
amenazas.
 Estados Unidos patrocinó la
Corporación MITRE
 Lista de entradas, cada una con un
número de identificación
Estándares de Comunicación de inteligencia de amenazas
 Los estándares de inteligencia de amenazas
cibernéticas (CTI), como STIX y TAXII, facilitan el
intercambio de información sobre amenazas
especificando ESTRUCTURAS de datos y
protocolos de comunicación:
 Expresión estructurada de Información de
la amenaza (Stix) - especificaciones para el
intercambio de información de amenazas
cibernéticas entre organizaciones.
 Trusted intercambio automatizado de
información Indicador (taxii)- especificación
para un protocolo de capa de aplicación que
permite la comunicación de CTI a través de
HTTPS. TAXII está diseñado para soportar STIX.
 Estos estándares abiertos proporcionan las
especificaciones que permiten el intercambio
automatizado.
IDENTIFICAR EL ORIGEN DE LA INFORMACIÓN
DE LA INTELIGENCIA DE AMENAZAS
8.4 Resumen
Resumen del capítulo
Resumen
 El riesgo de la seguridad cibernética consiste en activos, vulnerabilidades y amenazas.
 Activos constituyen la superficie de ataque que los actores amenaza podría apuntar.
 Vulnerabilidades explotables incluyen cualquier debilidad en un sistema o de su diseño.
 Las amenazas son mitigadas mejor utilizando un enfoque de defensa en profundidad.
 La analogía de cebolla de seguridad ilustra un enfoque por capas a la seguridad.
 La analogía de la alcachofa de seguridad representa mejor las redes actuales.
 Políticas de negocio son las directrices elaboradas por una organización para dirigir
sus acciones y las acciones de sus empleados.
 Una política de seguridad identifica un conjunto de objetivos de seguridad para una
empresa, define las reglas de comportamiento de los usuarios y administradores, y
Especifica Requisitos del sistema.
Resumen (Cont.)
 Una política de BYOD, que permite a los empleados usar sus propios dispositivos
móviles para acceder a recursos de la empresa, la cual gobierna los empleados se les
permite acceder a qué recursos utilizar sus dispositivos personales.
 Todas las organizaciones tienen que cumplir con las regulaciones específicas para el
tipo de organización y los datos que la organización maneja.
 La tríada de la CIA se compone de confidencialidad, integridad y disponibilidad.
 Los modelos básicos de control de acceso son los siguientes:
• Control de acceso obligatorio (MAC)
• Control de acceso discrecional (DAC)
• Control de acceso no discrecional
• Control de acceso basado Atributo (ABAC)
• Principio de privilegio mínimo
Resumen (Cont.)
 Control de acceso AAA incluye la autenticación, autorización y contabilidad.
 Dos métodos de autenticación comunes son la autenticación local AAA y la
autenticación basada en servidor AAA.
 AAA contabilidad mantiene un registro detallado de exactamente lo que el
usuario autenticado hace en el dispositivo.
 Registros contables AAA incluyen:
• Contabilidad de red
• Contabilidad conexión
• EXEC Contabilidad
• sistema de Contabilidad
• Contabilidad de comandos
• contabilidad de recursos
Resumen (Cont.)
 Organizaciones de inteligencia de amenazas tales como CERT, SANS y MITRE ofrecen información
detallada sobre amenazas que es vital para las prácticas de ciberseguridad.
 Informe sobre Ciberseguridad de Cisco proporciona una actualización sobre el estado de la seguridad.
 Blogs y podcasts de seguridad ayudan a los profesionales de seguridad cibernética a entender y mitigar
las amenazas emergentes.
 Los servicios de inteligencia de amenazas permiten el intercambio de información sobre amenazas.
 FireEye ofrece información sobre las amenazas y los informes de inteligencia de amenazas emergentes.
 AIS crea un ecosistema donde, tan pronto como se reconoce una amenaza, es compartido
inmediatamente con la comunidad.
 La base de datos CVE utiliza un esquema de nomenclatura estándar para facilitar el intercambio de la
información sobre amenazas.
 Las normas STIX y taxii facilitan el intercambio de información sobre amenazas mediante la especificación
de estructuras de datos y protocolos de comunicación.
Capítulo 8
Nuevos términos
• Política de Uso Aceptable (AUP) • Control de acceso discrecional (DAC)
• Activo • Router de borde
• Control de acceso basado en atributo • Políticas de empleados
(ABAC) • Integridad
• Autenticación, autorización y contabilidad • Control de acceso obligatorio (MAC)
(AAA) • Control de acceso no discrecional
• Disponibilidad • La elevación de privilegios
• Traer su propio dispositivo (BYOD) • Alcachofa de seguridad
• Políticas de la compañía • Cebolla de seguridad
• Confidencialidad • Políticas de seguridad
Resumen (Cont.)
 Los expertos en seguridad y los analistas de ciberseguridad utilizan
diversas fuentes de información para mantenerse al corriente de las
últimas amenazas y continuar mejorando sus habilidades. Los servicios
de inteligencia de amenazas, como Cisco Talos, FireEye, AIS de DHC y la
base de datos de CVE, permiten el intercambio de información sobre
amenazas, como vulnerabilidades, indicadores de riesgo (IOC) y técnicas
de mitigación. Estos servicios se rigen por los estándares de uso
compartido de inteligencia de amenazas STIX y TAXII.

Capitulo 8 Cy Ops

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Capitulo 8 Cy Ops

Cargado por

Copyright:

Formatos disponibles

Capítulo 8: Protección de la

 Especificar el modelo general de control de acceso.

 ¿Quién podría explotar la

 Por ejemplo, un sistema de banca

• Primera línea de defensa

• Segunda línea de defensa

Política de • Recursos humanos crea y mantiene estas políticas

Brinda respaldo para la

 Incluye el trafico que se autoriza en la red

 Debe ser lo más explicito posible para evitar malinterpretación

Control manual de la Habilitar función

Muchas organizaciones deben desarrollar e

Los reglamentos y normas de cumplimiento definen

Las normas de cumplimiento que una organización

Autenticación AAA local Autenticación AAA basado en

 Los servidores AAA mantienen un registro detallado de exactamente lo

 Continuar mejorando sus habilidades: esto incluye asistir a

 SANS.- Los recursos se proporcionan gratuitamente. Desarrolla cursos de seguridad.

 MITRE.- Mantiene una lista de vulnerabilidades y exposiciones comunes (CVE).

 FIRST.- Es un Foro de respuesta ante incidentes y equipos de seguridad.

 INFOSYSSEC.- Alberga un portal de noticias de seguridad de último momento sobre alertas

 (ISC)2 .- Es un consorcio internacional de certificación de seguridad.

 MS-ISAC.- Es el elemento fundamental en la prevención protección, la respuesta y la recuperacion

También podría gustarte