PDF de programación - ¿Cómo vender la Seguridad a la Alta Dirección?

d¿Cómo vender la
Seguridad a la Alta

Dirección?

Los 10 puntos críticos en el

management

Por: Jesús Torrecillas (D.S.E.)




(Axtel C.I.S.O.)

Antes de comenzar…

Reflexión inicial

“EL LIBRO
HACE

LIBRES”

Introducción:

Introducción:

Si usted piensa que la Tecnología puede

resolver sus problemas de Seguridad,
entonces usted no entiende los problemas de
Seguridad y tampoco entiende la Tecnología.

(2004) Schneier, Bruce. Secrets & lies. Digital Security in a networked world. John Wiley & Sons Inc.

Introducción (12 años atrás)

• No habían “muchas” certificaciones.
• No habían empresas de Seguridad consolidadas.
• Las compañías de Software de Seguridad

comenzaron su estancamiento.

• El antivirus ya no era el motor de la Seguridad.
• Se empezó a “innovar” y se crearon los nubarrones.



Introducción (12 años atrás)

• Yo predije que el hacktivismo sería noticia en la

prensa rosa. (Caso Paris Hilton…)

• La fuga de información estratégica causaría graves

pérdidas en los negocios. (Enrom, Arthur, etc…)

• Y al día de hoy sigue sin haber conciencia de

Seguridad.

• ¿Qué tiene que suceder para que en México todas

las empresas tengan conciencia de Seguridad e
inviertan en auténticos expertos?

Introducción (hoy)

•

•

•

En USA los jóvenes cargan de promedio con 8 dispositivos BYOD. ¿Estamos
locos o qué?
Si el conocimiento está distribuido en la red. ¿Dónde dejamos la
inteligencia humana?
Si desconectamos la electricidad de los expertos…¿Seguirán siendo tan
expertos?

• Nuevas tendencias SDN y hacia dónde va el futuro.
•

La tecnología va muy por delante de la auténtica realidad del país. Hay un
gran rezago tecnológico debido a la ignorancia, corrupción, y desidia.

• CITRIX, IBM, Y CISCO trabajan de la mano para desarrollar SDN.
•

La delincuencia organizada cada vez es mucho más agresiva y cuenta con
complejas plataformas e infraestructuras.
IT usa análisis forense para “encontrar” fraudes pero es poca la capacidad
de prevención ante la avalancha de información.
¿Nubes sí o nubes no? Depende… ¿Qué hay detrás de los nubarrones?



•

•

Introducción (hoy)

Introducción (entre el hoy y el

mañana) SDN

• Redes SDN. (Soft Defined Network)

• OPEN FLOW. HP es el primer proveedor en comercializar software

disponible en los switches.

• La inteligencia ya no está en el hardware. (esto puede cambiar)

•

“OpenFlow permite acceder directamente y manipular el plano de
redireccionamiento de dispositivos de red como conmutadores y
enrutadores, ya sean físicos o virtuales (basados en
hipervisor)”. (Open Networking Foundation)

• OpenFlow facilita el acceso a dispositivos de red para la

programación simplificada mediante una interfaz estándar. La
facilidad a la hora de programar permite configurar una capa de
control solvente para poder centralizar la inteligencia de la red y
brindar esa capacidad de programación tan pregonada por la
tecnología SDN.

• Y alguna sorpresita más que les tengo para más adelante…



Introducción (entre el hoy y el

mañana) Firewalls

• El Firewall está en el lugar ideal para hacer cumplir

las políticas de acceso a la red.

• Puertos ≠ aplicación.
• Direcciones IP ≠ Usuarios .
• Paquetes ≠ contenido.
• UTM (Unified Threat Management) No fue la

solución. Ante un ataque UTM ralentiza la maquina.

• El Firewall debe hacer su trabajo.
• ¿Cómo convertir el Firewall en una herramienta de

negocio?

Introducción (entre el hoy y el

mañana) Firewalls

• Los ataques contra RSA tuvieron como

objetivo los planos del avión Raptor F-22 de
USA.

• El Firewall de tercera generación aborda tres

problemas:
– Habilita aplicaciones con Seguridad.
– Prevención de amenazas.
– Simplifica la infraestructura de Seguridad.

Introducción (entre el hoy y

mañana) BIG DATA

• BIG-DATA (El desmadre de los datos que crecen, y

crecen, y vuelven a crecer…)

• HADOOP. ¿Cualo qué?
• Deep Web, Deepnet, Invisible Web, Dark

Web o Hidden Web ¿Qué es esto?

• El 95% de la información de Internet no se procesa

por los motores de búsqueda. ¿¿¿???

• Mí red es como Londres, siempre con neblina.
• Administración del Riesgo basado en la Evidencia.
• SIEM, el mounstruo múltiple y complejo.



Introducción: Deep Web

¿Cuántos logs en nuestro PC?

• ¿Sabe usted cuantos logs hay en un Pc salido

de fábrica? 30, 40, 50…

• Le añado aplicaciones ¿Cuántos logs tengo

ahora? 50, 60, 70…

• ¿Puedo borrar los logs? Sí limpio la sangre de

un crimen ¿Quedan rastros tras limpiar?

• Cifrado criptográfico de todos los eventos que

se generan en un ordenador ¿Qué es esto?
Técnica de Encadenamiento de hash.

4 tipos de ciberamenazas

• Ciberespionaje. (Robo de propiedad

Intelectual o Industrial)

• Ciberdelito o cibercrimen.
• Hactivismo.
• Ciberterrorismo.
Ya lo dije yo hace tres años en mi conferencia

CYBERWARFARE.

• Bit-coin es la moneda del Internet profundo.

(Deep Web)

Tipos de ataques

Inundaciones de la red: SYN, UDP, ICMP, HTTP (Get Post).

• Distributed Dos (DDoS)
•
• Ataques más grandes más rápidos, más complejos.
LOIC: Low Orbit Ion Cannon. (peticiones UDP, TCP, HTTP a lo bestia)
•
• Band With Drain (inundación por descarga en tiempo fijo o variable)
• ¿Tiene presencia de Shell Booters?
• ¿Sabe prevenir un Netbot Attack?
• ¿Conoce lo que es un Dirt Jumper Attack? (y sus inundaciones)
• Ataques volumétricos.
• Ataque de persistencia avanzada. (APT)






http://ddos.arbornetworks.com/

Fuente: AccessData

TÉCNICAS: PIVOTING & CLIENT-SITE

• Una vez encontrada una vulnerabilidad tenemos que
ser capaces de estudiar hasta donde se podría haber
llegado. (Pivoteo de servidores)

• Client-site: Comprometer a un empleado y ver hasta

dónde se puede llegar.

Franken-SIEM (Según Gartner)

•

“La tecnología de un SIEM (Security Information and
Event Management ) soporta la detección de amenazas
y la respuesta a incidentes de seguridad mediante la
recolección y análisis histórico de eventos de seguridad
de una gran variedad de fuentes de datos contextuales y
eventos.

• También soporta los reportes de cumplimiento de

regulaciones y la investigación analítica mediante el
análisis histórico de los datos de esas fuentes. Las
capacidades principales de una tecnología SIEM son el
amplio alcance de coleccion de eventos y la habilidad de
correlacionar y analizar eventos a lo largo de diferentes
fuentes .”

• ¿Ustedes se lo creen?

Franken-SIEM

• Sí tengo un sistema SIEM ¿Por qué sigo

emproblemado?

• Los atacantes saben que si tenemos un

correlacionador estático vivimos “tranquilos”.

• ¿No news good news? ¿Está seguro?
• Los SIEM´s no permiten el análisis de gran

cantidad de datos simultáneamente.

• ¿Cuántos ataques dejaste de ver confiando en

el SIEM?

• RSA, McAfee, y Splunk son buenas opciones.



¿En qué consiste la Conciencia

de Seguridad?

• La Seguridad es una percepción.

• Hay que tener claro que la Información sólo es segura

careciendo de debilidades.

• Adquiriendo el conocimiento de los riesgos a todos los

niveles.

• Herramientas y Control.

• Estrategias de Comunicación.

• Evangelizando sobre los beneficios de tener la “casa en

orden”.

• Tener claro que hay que pensar: “Esto también me

puede pasar a mí” (humildad estratégica)

Administración del Riesgo

• Conociendo el Riesgo ¿Sabemos Administrarlo?
• Auditorías periódicas. ¿Periodicidad?
• En muchas compañías IT miente a la alta dirección

por miedo a represalias, y es una práctica
fraudulenta que los de IT vayan de la mano de los
auditores para que estos no encuentren más áreas
de oportunidad.

• Auditores coludidos con los de IT para seguir

trabajando y no perder la cuenta. FRAUDE.





Administración del Riesgo

• http://content.yudu.com/Library/A2r3hf/Edici

onImpresaNo83Re/resources/74.htm

Administración del Riesgo

• Administrar el Riesgo basado en la evidencia.
• Revisar—Planear—Hacer y volver a revisar.
– Procedimiento: Sustentable, Repetible, Flexible.
– Tecnología: Fácil de usar, Reusable, Flexible, rápida

de ejecutar, y gran cantidad de datos.

– Capacitación: Tecnología y Procedimiento.
– Security Analitics (RSA)(NetWitness)
Cyber-Intelligence and Response Technology

(Access-Data) CIRT.

-
.

Administración del Riesgo

• Si tengo todas las certificaciones ¿Estoy

seguro?

• Si tengo todas las certificaciones ¿Por qué soy

blanco fácil de ataque?

• Análisis forense de un FRAUDE anunciado.
• ¿Cómo se coluden las empresas con los

auditores?

• ¿Dónde dejamos la ética y moral?

Administración del Riesgo

• Bájale tantito que todos mis procedimientos

“garantizan” que cumplo los estándares.

• O es blanco o es negro, el gris no es opción.
• Estoy un poquito embarazada…
• Marear con indicadores (KPIs) falsos a la alta

dirección una práctica de comadrejas de tipos
que ha perdido la ética y la moralidad.
• Los perjudicados son la empresa y los

coludidos.

Y si éramos pocos…

• BIG-DATA. Se denomina al conjuntos de datos que crecen

tan rápidamente que no pueden ser manipulados por las
herramientas de gestión de bases de datos tradicionales. Sin
embargo, el tamaño no es el único problema al que nos
enfrentamos si buscamos una solución: además de
almacenarlo, es necesario capturar, consultar, gestionar y
analizar toda esta información…de ser posible en tiempo real.



BIG-DATA

http://blog.varonis.com/big-data-security/

Y sí éramos pocos…

• HADOOP. Apache Hadoop es un framework multiplataforma de software

que soporta aplicaciones distribuidas bajo una licencia libre. Se trata de una
Multiplataforma implementada en Java que permite trabajar con miles de
nodos y volúmenes de datos del orden de petabytes.

• HADOOP no es un solo producto, es una “suite”.

• HADOOP es un sistema de código abierto que se utiliza para almacenar,

procesar y analiza