Seguridad de la Información · 2018-08-29 · “El Arte del Engaño” Kevin Mitnick “Una...
Transcript of Seguridad de la Información · 2018-08-29 · “El Arte del Engaño” Kevin Mitnick “Una...
Seguridad de la Información
Ing. Rolando Herbas T.P.
“El Arte del Engaño” Kevin Mitnick
“Una compañía puede hacer comprado las mejores tecnologías
de seguridad que el dinero pueda comprar, entrenado a su
personal tan bien que aseguren todos sus secretos comerciales
antes de irse a casa en la noche, y contratar guardias de
seguridad de la mejor firma de seguridad del entorno.
ESA COMPAÑÍA AÚN ES
TOTALMENTE VULNERABLE”.
“El Arte del Engaño” Kevin Mitnick
“Las personas pueden seguir cada una de las mejores prácticas
de seguridad recomendadas por expertos, instalar diligentemente
cada producto de seguridad recomendado, revisar
minuciosamente las configuraciones correctas de los sistemas, y
aplicar parches de seguridad.
ESAS PERSONAS AÚN ESTÁN
COMPLETAMENTE VULNERABLES”.
“Porque el Factor Humano es
verdaderamente la cadena más débil de
la seguridad.”
“El Arte del Engaño” Kevin Mitnick
¿Por Qué?
De acuerdo al estudio realizado
por Ponemon Institute – The Human
Factor in Data Protection (2017), 78%
de las organizaciones han sufrido
incidentes de seguridad a causa de
empleados negligentes o maliciosos.
¿Por qué es tan efectiva?
Ingeniería Social
“Intentos, exitosos o no, de influenciar a una
persona(s) a revelar información, o de actuar de
manera que resulte en acceso no autorizado, uso no
autorizado o divulgación no autorizada, a un sistema
de información, red o datos.”
Vulnerabilidad del Factor Humano
Los ataques suelen comenzar por la recogida de información sobre un potencial objetivo.
Para realizar esta recogida de datos, se pueden emplear técnicas de ingeniería social de
tipo:
Contacto con empleados,
normalmente realizando algún
tipo de suplantación por teléfono
(vishing).
Correo electrónico (phishing).
Mediante la mensajería
instantánea.
No Presenciales Presenciales
Búsqueda en la basura
(dumpster diving).
Seguimiento de personas y
vehículos.
Vigilancia de salas y edificios.
Generación de situaciones de
crisis.
Presión psicológica.
Soborno.
Chantaje.
Mediante la extorsión.
Tipos de Ataques
No hay contacto directo
interpersonal con las víctimas
El atacante forja mensajes de
email, websites, popups o algún
otro medio
Pretende ser soporte autorizado
o un administrador de sistemas
Trata de obtener información
sensible de los usuarios (claves,
nombres de usuario, números de
tarjeta de crédito, claves de cajero,
etc).
Muy exitoso
Técnicos Ego
El atacante apela a la vanidad o
ego de la víctima
Usualmente atacan a alguien
que parezca frustrado con su
situación laboral
La víctima trata de probar cuan
inteligente o conocedor es y
provee información o incluso
acceso a sistemas o datos.
El atacante puede pretender ser
una autoridad de la ley, la víctima
se siente honrado de ayudar
La víctima usualmente nunca se
da cuenta
Tipos de Ataques
El atacante pretende ser un
nuevo empleado, contratista o
vendedor
Existe alguna urgencia de
completar una tarea u obtener
alguna información
Necesita asistencia o perderá su
trabajo o estará en problemas
Juego con la empatía/simpatía
de la víctima
El atacante pide ayuda hasta
que encuentra alguien que pueda
ayudarlo
Ataque muy exitoso
Simpatía Intimidación
El atacante pretende ser alguien
con influencias (una figura de
autoridad, oficial de la ley)
Trata de utilizar su autoridad
para forzar a la víctima a cooperar
Si hay resistencia utiliza la
intimidación y amenazas (perdida
del empleo, cargos criminales)
Si pretende ser un oficial de la
ley dirá que la investigación es
encubierta y no debe ser
divulgada
Mitigar el Riesgo
Todos los empleados deben tener una actitud hacia la seguridad y cuestionar
las cosas.
Necesitan reconocer los “trucos”
Se deben tener procedimientos de respuesta a incidentes y equipos que
mitiguen el daño si ocurre un ataque
Se debe notificar a los involucrados
Aplicar tecnología donde sea posible
Probar cuan listos estamos periódicamente
El factor humano bajo control con una política de seguridad
Políticas en la contratación de personal podemos considerar:
comprobar referencias y verificar los datos de
los curriculum vitae;
qué requisitos de seguridad deben conocer según su puesto
de trabajo, en particular si van a tratar con datos personales o
confidenciales;
qué permisos han de tener sobre las instalaciones (tarjetas
de acceso), los equipos y sistemas (cuentas y usuarios), la
información y sus tratamientos adecuados al puesto o perfil;
qué acuerdos relativos a la seguridad deben aceptar y
cumplir, por ejemplo cláusulas de confidencialidad o
privacidad;
qué políticas internas deben conocer y aplicar: uso del
correo corporativo, clasificación de la información,
aplicaciones permitidas, uso del puesto de trabajo, redes
sociales, dispositivos móviles, servicios en la nube, etc.;
qué formación de ciberseguridad les vamos a proporcionar
y deben superar.
cuentas y privilegios de acceso;
procedimientos para dar de alta y revocar cuentas con
privilegios;
las reglas de los equipos de comunicaciones que filtran el
tráfico hacia y desde nuestros sistemas;
las entradas y salidas (logs) a nuestros sistemas y
aplicaciones, sobre todo los de los usuarios con mayores
privilegios.
Políticas en el cese de personal podemos considerar:
cuáles son los procesos para darles de baja en
nuestros sistemas para evitar fugas de información;
qué periodo tras el cese han de cumplir los
acuerdos de confidencialidad, etc.
Gestion de Recursos Humanos
Por que gastar tanto tiempo atacando la tecnología si una persona
te puede dar acceso?
Extremadamente difícil de detectar
No existe IDS para “falta de sentido común” o más
apropiadamente, ignorancia
Casi todos los ciberataques aprovechan en algún momento el
factor humano. En particular, en las primeras fases del ataque con
la finalidad de recoger información sobre el objetivo, robar
credenciales o instalar algún tipo de malware.
Conclusión
Conclusión
La seguridad de la información es un
problema de hardware, software, firmware y
peopleware
La mejor defensa: Educación combinada
con tecnología
Gracias por su atención....