Nuevos Retos de Seguridad

Nuevos retos en seguridad

Telefónica, S.A.

Dirección de Servicios Corporativos

10 Noviembre 2009

Telefónica, S.A.Dirección de Servicios Corporativos

01 Las edades de la seguridad

02 Nuevos retos de seguridad

03 El último grito

Índice


Las edades de la seguridadSeguridad 1.0

01

Seguridad por diseñoDefensa pasiva

Seguridad FísicaAlta DisponibilidadDiversidadContinuidad

Tecnología y procesos

Castillo templario en “La Iruela”


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Robo de cable


01


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Falsificación de equipos


01


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Fallos en protocolos de red


01



01

John Draper


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Inyección SQL


01


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación


01


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Usuario

Negocio

Phising


01


Físico

Red

Enlace

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Físico

Presentación

Transporte

Red

Enlace

Sesión

Aplicación

Usuario

Negocio

Brand harm?


01


Consola de auditoria

y control


01

FirewallProxiesIDSsAntiVirusAntiMalwareAntiSpamVirtualizaciónVPNsHoneyPotsSingleSignOnHacking éticoGestión parchesTokensPKIIdentityManagementCifrado de discoControl ejecución

Planificación, adquisición y despliegueIntegración (Desarrollo)Provisión de serviciosGestión de la infraestructura de seguridad (Administración)Remediación (Actualización)Reacción (Gestión de indicentes)AuditoríaMedida

Tecnología y procesos


Extensión de los métodos del cálculo de variaciones23

Uniformización de las relaciones analíticas por medio de funciones automórficas22

Probar la existencia de ecuaciones lineales diferenciales que tengan un grupo monodrómico prescrito21

¿Tienen solución todos los problemas variacionales con ciertas condiciones de contorno?20

¿Son siempre analíticas las soluciones de los Lagrangianos?19

¿Existe un poliedro irregular y que construya otros poliedros? ¿Cual es el apilamiento compacto más denso?18

Expresión de una función definida racional como cociente de sumas de cuadrados17

Topología de las curvas y superficies algebraicas.16

Fundamento riguroso del cálculo enumerativo de Schubert.15

Probar la finitud de ciertos sistemas completos de funciones.14

Resolver todas las ecuaciones de 7º grado usando funciones de dos parámetros.13

Extender el teorema de Kronecker sobre extensiones abelianas de los números racionales a cualquier cuerpo numérico de base.12

Resolver las formas cuadráticas con coeficientes numéricos algebraicos.11

Encontrar un algoritmo que determine si una ecuación diofántica polinómica dada con coeficientes enteros tiene solución entera.10

Encontrar la ley más general del teorema de reciprocidad en cualquier cuerpo numérico algebraico9

La hipótesis de Riemann (la parte real de cualquier cero no trivial de la función zeta de Riemann es ½) y la conjetura de Goldbach (cada número par mayor que 2 se puede escribir como la suma de dos números primos).

8

¿Es a b trascendental, siendo a ≠ 0,1 algebraico y b irracional algebraico?7

Axiomatizar toda la física6

¿Son los grupos continuos grupos diferenciales de forma automática?5

Construir todas las métricas cuyas rectas sean geodésicas.4

Dados dos poliedros de igual volumen, ¿es siempre posible cortar el primero en una cantidad finita de piezas poliédricas que puedan ser ensambladas de modo que quede armado el segundo?

3

Probar que los axiomas de la aritmética son consistentes (esto es, que la aritmética es un sistema formal que no supone una contradicción).

2

La hipótesis del continuo (esto es, no existe conjunto cuyo tamaño esté estrictamente entre el de los enteros y el de los números reales)1

Explicación breveProblema

David Hilbert

Nuevos retos en seguridadSeguridad 3.0

02


H2H

HC2CH

H2T

T2T

Tipos de dispositivos RFID

Pasivos. Identificación.

Pasivos. Informan sobre tiempo y posición

Activos. Estado y condiciones del entorno

Activos. Capacidad proceso y toma de decisión

Internet de las personas

Internet de las cosas

Nuevos retos en seguridad Seguridad 3.0

Problema 1La seguridad en el “internet de las cosas”

02

http://images.google.es/imgres?imgurl=http://www.partselect.com/JustForFun/Images/ps_jff_digital_media_refrigerator.jpg&imgrefurl=http://www.partselect.com/JustForFun/Hi-Tech-Appliances.aspx&usg=__TyMe6aeKx-U6A-cvdnXk-Gf5hNA=&h=410&w=220&sz=43&hl=es&start=2&um=1&tbnid=qdByb2qH0SRhHM:&tbnh=125&tbnw=67&prev=/images?q=smart+appliance&imgsz=small%7Cmedium%7Clarge%7Cxlarge&gbv=2&um=1&hl=es&safe=off

http://images.google.es/imgres?imgurl=http://www.tecnodomos.com/wp-content/uploads/2007/09/tv_hitachi_p60_xr01.jpg&imgrefurl=http://www.tecnodomos.com/tv-fullhd-hitachi-p60-xr01&usg=__y0B_-15SkAT7Vl_oMRAvSmQKZU8=&h=300&w=400&sz=13&hl=es&start=10&um=1&tbnid=Rj58YY_qXMLodM:&tbnh=93&tbnw=124&prev=/images?q=TV&imgsz=small%7Cmedium%7Clarge%7Cxlarge&gbv=2&um=1&hl=es&safe=off

http://images.google.es/imgres?imgurl=http://www.mason247.com/services_solutions/Optimization_and_Repair/Mason_Repair_Technician.jpg&imgrefurl=http://www.mason247.com/services_solutions/optimization_repair.asp&usg=__UiAt-ZWIeGJWhd_990rtezxb3YY=&h=300&w=248&sz=13&hl=es&start=2&um=1&tbnid=roMgjzuapr0SKM:&tbnh=116&tbnw=96&prev=/images?q=technician&imgsz=small%7Cmedium%7Clarge%7Cxlarge&gbv=2&um=1&hl=es&safe=off

http://images.google.es/imgres?imgurl=http://www.intel.com/espanol/pressroom/releases/2005/pix/Laptop.gif&imgrefurl=http://www.intel.com/espanol/pressroom/releases/2005/e1010c.htm&usg=__BX_FOTg-YY_JeI958QVeaWRHK78=&h=258&w=327&sz=24&hl=es&start=18&um=1&tbnid=V7BQBQegnTCcJM:&tbnh=93&tbnw=118&prev=/images?q=laptop&imgsz=small%7Cmedium%7Clarge%7Cxlarge&gbv=2&um=1&hl=es&safe=off


http://images.google.es/imgres?imgurl=http://www.intel.com/espanol/pressroom/releases/2005/pix/Laptop.gif&imgrefurl=http://www.intel.com/espanol/pressroom/releases/2005/e1010c.htm&usg=__BX_FOTg-YY_JeI958QVeaWRHK78=&h=258&w=327&sz=24&hl=es&start=18&um=1&tbnid=V7BQBQegnTCcJM:&tbnh=93&tbnw=118&prev=/images?q=laptop&imgsz=small%7Cmedium%7Clarge%7Cxlarge&gbv=2&um=1&hl=es&safe=off


http://images.google.es/imgres?imgurl=http://www.partselect.com/JustForFun/Images/ps_jff_digital_media_refrigerator.jpg&imgrefurl=http://www.partselect.com/JustForFun/Hi-Tech-Appliances.aspx&usg=__TyMe6aeKx-U6A-cvdnXk-Gf5hNA=&h=410&w=220&sz=43&hl=es&start=2&um=1&tbnid=qdByb2qH0SRhHM:&tbnh=125&tbnw=67&prev=/images?q=smart+appliance&imgsz=small%7Cmedium%7Clarge%7Cxlarge&gbv=2&um=1&hl=es&safe=off



02

El crecimiento exponencial del SPAMy MALWARE detectado demuestra queel aumento del correo durante 2008es realmente correo sucio

Los incidentes por phishing ytroyanos continuan aumentandofrente a otro tipo de ataques en LaRed

Problema 1La seguridad en el “internet de las cosas”

La guerra contra los robots ya ha comenzado,…y ellos van ganando!


Isaac Asimov Robert Morris Jr.


02 Problema 1La seguridad en el “internet de las cosas”

En 1942 publicó las 3leyes de la robótica

En 1988 su “gusano”se le fue de las manosy tumbó internet

Ray Kurzweil

En 2029 los ordenadoressobrepasarán la inteligenciahumana

http://pdos.csail.mit.edu/~rtm/morris300.jpg


Seguridad 2.0


02 Problema 2Detección temprana de vulnerabilidades

LowGravedad

WindowsAplicación

MicrosoftFabricante1454

RPC Memory ExhaustionNombre:

MediumGravedad

WindowsAplicación


Internet Connection Sharing DoSNombre:

HighGravedad

Creative Labs AutoUpdate Engine ActiveXAplicación

Creative LabsFabricante 532

Creative Software AutoUpdate Engine ActiveX stack buffer overflowNombre:

HighGravedad

AcrobatAplicación

AdobeFabricante263

Adobe PDF Buffer OverflowNombre:

HighGravedad

ExcelAplicación


Excel Invalid ObjectNombre:

DíasVulnerabilidades Día Cero el 9/Nov/2009


Less than 0 Day

Exploit and vulnerability

Seguridad 2.0Seguridad 3.0


02 Problema 2Detección temprana de vulnerabilidades



02 Problema 3Detección temprana de amenazas internas


Jerry Jalava usa su dispositivo de 2GB para almacenar fotos, películas y programas. El Sr. Javala ahora está pensando en añadir capacidades wireless


02 Problema 3Detección temprana de amenazas internas



02 Problema 4Privacidad en Web 2.0



02 Problema 5Medir la seguridad

Eugene Spafford

"El único sistema seguro es aquél que

está apagado en el interior de un bloque

de hormigón protegido en una

habitación sellada rodeada por guardias

armados”


El último gritoEDRMs

03

Navegador

GestorLicencias

Reproductor

Web Server

Stream Server

EmpaquetadorCodificador

ContenidoDigital

Reproducción

Solicitud de contenido

Solicitud de licencia

Configuracióndel derecho

Transferencia de contenido

ContenidoProtegido Servidor de

empaquetado

Almacén de contenidos protegidos

Servidor de contenidos protegidos

Usuario

Servidor de licencias

Transferencia de Licencia

Licencia

Repositorioidentidades


El último gritoDLPs

03

¿Qué pretendehacer el usuario?

¿De dónde vienela información?

¿Dónde terminarán esa información?

¿Cuál es la política para ese

usuario y esa información?

1 42 3

Contexto

Servidor

Directorio

Dispositivo

Aplicación

Red

Contenido

Metadatos

Acciones

Registrar

Alertar

Advertir

Avisar

Cifrar

Bloquear

Dispositivos

Aplicaciones

RedesLeer, escribir, imprimir, copiar, enviar, etc

Nivel de clasificación


El último gritoAutodestrucción de datos

03

This is sensitive stuff.






Alice Bob

ISP

Sensit ive

Senst ive

Sensit ive

Sensit ive

Senst ive

Sensit ive

Sensit ive

Senst ive

Sensit ive

Sensit ive

Senst ive

Sensit ive







Time

User tries

to delete

Copies

archived

Retroactive

attack beginsUpload

data months or years


27

Vanish

Random

indexes

C = EK(data)

World-Wide

DHT

Vanish

Decapsulate

(VDO = {C, L})data

Secret

Sharing

(M of N)...

Random

indexes

k1

k3

kN

data = DK(C)

kN

k3

k1

L L

K

Secret

Sharing

(M of N)

X

VDO = {C, L}

k2k2

Vanish Data Object

VDO = {C, L}

El último gritoAutodestrucción de datos

03


El último gritoSistemas Convergentes

03

Geolocalización

— IP fija

— GSM/3G

— Wifi

— GPS

3 2 1 0

Biometría

—Iris

—Cara

—Huella

RFID+nanotecnologíasInteligencia F+L

—Control de accesos

—Abuso de sistemas

—Monitorización

—Calidad de servicio

http://images.google.es/imgres?imgurl=http://www.cacsecurity.com/duopics/2.gif&imgrefurl=http://www.cacsecurity.com/biometrics.asp&usg=__QAqtLx-FFUFOg98BGJuENkghMpA=&h=300&w=323&sz=59&hl=es&start=101&tbnid=PMhkUgapmmTFVM:&tbnh=110&tbnw=118&prev=/images?q=face+recognition&gbv=2&ndsp=20&hl=es&sa=N&start=100

http://nanosingularity.files.wordpress.com/2007/06/4063_web.jpg


El último gritoInteligencia

03

s1

s3s2

s4

s5

e1

e2

e3

e4

e5

e6

e7e8

Eve

nto

s

De

cisi

ón

Reglas

Eve

nto

s

De

cisi

ón

Patrones

Correlaciónbasada en reglas

Estados Condiciones Plazos Acciones Minería de datos

Correlaciónestadística Umbrales

Entrenamiento Sistemas neuronales

Diagrama de relaciones

Gestión de casos


“Ryan, haz que esto haya merecido la pena”— Cap. John H. Miller

http://wallpapers.dpics.org/r?12_36


Gracias por su atención

¿PREGUNTAS?

TELEFÓNICA ESPAÑA GRANDES EMPRESAS

Nuevos Retos de Seguridad

Technology

Transcript of Nuevos Retos de Seguridad