Tendencias de Seguridad Informáticacybsec.com/upload/Tendencias_de_Seguridad_Informatica...©2008...

Tendencias de Seguridad Informática

Victor H. Montero Victor H. Montero -- CISMCISM<[email protected]><[email protected]>

16 de Septiembre de 200816 de Septiembre de 2008Buenos Aires Buenos Aires -- ArgentinaArgentina

©2008


AgendaAgenda

Ley de Delitos Informáticos

Regulaciones en Argentina

Presupuesto de Seguridad Informática

Rol del responsable de Seguridad

Integración de Seguridad en el SDLC

Role Life Cycle Management

Comunicaciones Unificadas

Seguridad en dispositivos móviles

Evolución de las amenazas de Internet

Botnets

©2008


Ley de Delitos InformLey de Delitos Informááticosticos

Hace apenas un poco más de tres meses, más exactamente el 4 de Junio, fue sancionada la Ley 26.388 de Delitos Informáticos. De esta forma, Argentina se incorpora a la lista de países que cuentan con regulación legal sobre esta importante cuestión, entre los cuales figuran:

• Alemania (1986)• USA (1986 y 1994)• Austria (1987)• Francia (1988)• Inglaterra (1990)• Italia (1993)• Holanda (1993)• España (1995)

©2008


Ley de Delitos InformLey de Delitos Informááticosticos

Delitos informDelitos informááticos penados y penas instituidasticos penados y penas instituidas

A lo largo de su articulado tipifica, entre otros, los siguientes delitos informáticos:Pornografía infantil por Internet u otros medios electrónicosViolación, apoderamiento y desvío de comunicación electrónicaIntercepción o captación de comunicaciones electrónicas o telecomunicacionesAcceso a un sistema o dato informáticoPublicación de una comunicación electrónicaAcceso a un banco de datos personalesRevelación de información registrada en un banco de datos personalesInserción de datos falsos en un archivo de datos personalesFraude informáticoDaño o sabotaje informático

Las penas establecidas son:a) Prisiónb) Inhabilitación (cuando el delito lo comete un funcionario público o el

depositario de objetos destinados a servir de prueba)c) Multa.

©2008


Regulaciones en ArgentinaRegulaciones en Argentina

Múltiples regulaciones, normas y leyes están tomando fuerza

en nuestro país:

SOX

BCRA-A4609

PCI

Ley de Habeas Data

Ley de Delitos Informáticos

Áreas de Seguridad y Sistemas aprovechan el empuje de

estas normas para justificar presupuestos y necesidades.

Nivel de madurez en Argentina

Alto

Bajo

©2008


Presupuesto de seguridadPresupuesto de seguridad

Se observa en general un crecimiento lento pero firme en los presupuestos destinados a la seguridad en IT.

5%

0%

10%

25%

20%

Presupuesto de Seguridad respecto del presupuesto de IT

Mundial Argentina

3,5% 1% ~ 1,5%

©2008


Rol del responsable de SeguridadRol del responsable de Seguridad

Pelearse día a día con las áreas de tecnología

para que apliquen los parches y cambien las

contraseñas por defecto.

En los comienzos…

¿Qué vemos hoy?

Interactuar y relacionarse con todas las áreas

de negocio, buen manejo político de situaciones

complejas, entendimiento de necesidades,

identificación riesgos LOBBY !!!

©2008


IntegraciIntegracióón de Seguridad en el SDLCn de Seguridad en el SDLC

Las empresas están trabajando en la integración de Seguridad en

el Ciclo de Vida del Desarrollo de Software.

El sector de Seguridad de la Información está aumentando

paulatinamente su participación en proyectos de desarrollo

©2008


IntegraciIntegracióón de Seguridad en el SDLCn de Seguridad en el SDLC

Seguridad en el anSeguridad en el anáálisis de requerimientoslisis de requerimientos

Análisis

15%

Diseño

40%

Desarrollo

35%

Testing

10%

¿¿En quEn quéé etapa del SDLC aparecen las vulnerabilidades?etapa del SDLC aparecen las vulnerabilidades?

Más de la mitad de las vulnerabilidades se introducen en las

etapas más tempranas del SLDC

Y son precisamente las más costosas de

remediar!!!

©2008


Role Life Cycle ManagementRole Life Cycle Management

USUARIOS

ROLES

APLICACIONES

PERMISOS EFECTIVOSRACF

Execute, Read, Update, Alter

UnixRead, Write,

Execute

WindowsRead, Write,

Execute, Delete

OracleAlter, Delete, Execute, Index,

Insert, References, Select

ADRead, Write,Search, …

LDAPRead, Write,

Search, Obliterate

©2008


Role Life Cycle ManagementRole Life Cycle Management

Ante la problemática existente en la gestión de roles, han aparecido en el último tiempo soluciones que facilitan la administración durante el ciclo de vida.

Estas soluciones apuntan a mejorar tres aspectos clave:

Eficiencia de la Seguridad

Efectividad de la Seguridad

Productividad y agilidad del Negocio

©2008


Integración de medios de comunicación actuales:

MailVoIPVideoconferenciaMensajería instantáneaShared desktops

“Unified Communications integrates applications to create a unified workspace that clears communications roadblocks by empowering people to choose when, how, where and with whom they wish to communicate”(Extracto de publicidad de Cisco)

Comunicaciones UnificadasComunicaciones Unificadas

©2008



Nuevas funcionalidades!!!

Nuevosriesgos!!!

©2008



RiesgosRiesgosPropagación de virus por Mensajería Instantánea

Múltiples nuevas formas de Ingeniería Social

Vishing (Phishing en VoIP)

Intercepción de tráfico

Escuchas

Robo/Uso no autorizado de servicios de proveedores

En general, mayor superficie de ataque para los intrusos

©2008


Seguridad en Dispositivos MSeguridad en Dispositivos Móóvilesviles

Con el concepto de Comunicaciones Unificadas, cada vez más fabricantes de smartphones orientan sus productos para que puedan ser utilizados en entornos empresariales.

Estos teléfonos cada vez tienen menos de teléfonos y más de computadoras personales de bolsillo.

Múltiples medios para intercambio de datos:- Bluetooth - WLAN

- SMS - MMS

- Memory Cards - P2P

- Programas descargables - IM

- EMails

©2008


Seguridad en Dispositivos MSeguridad en Dispositivos Móóvilesviles

Diversos grupos de hackers blancos y del underground están poniendo foco en la investigación y descubrimiento de vulnerabilidades en dispositivos móviles.

Caso real: iPhone

Aparece en las tiendas el 29 de Junio de 2007

Horas después, ya se habían logrado avances en su “apertura”, aunque perecieron algunos iPhones en el intento…

Un mes después, se habían desarrollado aplicaciones y procedimientos públicamente disponibles para desbloquear aparato.

©2008


EvoluciEvolucióón de las amenazas de Internetn de las amenazas de Internet

Diversión y Experimentación

Vandalismo

Hactivismo

Cybercrimen

Information Warfare

Frecuencia

Imp

act

o

©2008


BotnetsBotnets

“La mayor amenaza

que enfrenta la humanidad” (*)

(*) (Ponencia “Who Owns Your Network”http://www.osc.edu/oarnet/oartech/meeting_min/it_william_mary.ppt)

©2008


BotnetsBotnets

DefiniciDefinicióónn

Red o grupo de ordenadores zombies, controlados por el propietario de

los bots. El propietario de las redes de bots da instrucciones a los

zombies. Estas órdenes pueden incluir la propia actualización del bot,

la descarga de una nueva amenaza, el mostrar publicidad al usuario o

el lanzar ataques de denegación de servicio, entre otras.

¿¿QuQuéé permiten hacer las botnets?permiten hacer las botnets?

SpamPhishing DDoS

Click fraudIdentity theftVengarte de ese que una vez se la juraste…

©2008


BotnetsBotnets

EvoluciEvolucióón constanten constante

1998-2000: “Pruebas de Concepto”Netbus, BackOrifice2k, Pretty Park

Junio de 1999: Primera generación de botnetsSubSeven: Sienta las bases de las botnets al establecer el control remoto mediante IRC.

2000-2006: Avanzan las técnicas de replicación y

ocultaciónWorms, troyanos, rootkits (Code Red, Blaster, Sasser)

2006-2008: Avanzan las técnicas de autodefensa y tácticas de

replicación para evadir la detecciónStormworm, MayDay, Mega-D

©2008


BotnetsBotnets

¿¿A quA quéé se ha llegado?se ha llegado?

Web Based Botnet Command and Control Kit 2.0Web Based Botnet Command and Control Kit 2.0

©2008


BotnetsBotnets

PeroPero…… y de estos bichos, hay muchos???y de estos bichos, hay muchos???

En la actualidad, la cantidad de botnets identificadas ronda un número cercano a 3000.

… y más de 1.000.000 de sistemas zombies!!!

©2008


En Argentina estamos empezando a sentir cada vez más el peso de regulaciones, leyes y normativas alineadas con el escenario internacional, que años atrás sólo veíamos de lejos. Esto es resultado de una maduración en la materia, de la que muchos hemos sido testigos y partícipes.

Pudimos también ver cómo el rol del personal de Seguridad Informática ha ido cambiando, adaptándose para lograr el objetivo de integrar el concepto de seguridad a la cultura y estrategia del negocio.

Por último, analizamos nuevas tecnologías y la evolución de las amenazas de Internet, donde las botnets y los ataques dirigidos parecen ser el desafío más duro en los años venideros.

¿Tiene algún aliado de confianza

para hacer frente a estos desafíos?

ConclusionesConclusiones

Tendencias de Seguridad Informáticacybsec.com/upload/Tendencias_de_Seguridad_Informatica...©2008...

Documents

Transcript of Tendencias de Seguridad Informáticacybsec.com/upload/Tendencias_de_Seguridad_Informatica...©2008...