el poder de los usuarios privilegiados, como gestionar ...€¦ · la parte normativa y regulatoria...

Security Management Control identity | access | information

El poder de los usuarios privilegiados, como gestionar,

controlar su actividad y cumplir con las exigencias regulatorias

¿Qué representan estos números en el ámbito de la seguridad informática?

Costo promedio de una brecha de seguridad, por registro comprometido (2010), siendo la negligencia la causa principal

Porcentaje de compañias comprometidas que perdieron clientes o negocios como resultado de una fuga de datos o brecha de seguridad

Porcentaje de todas las brechas que involucran un mal uso de parte de usuarios privilegiados

Porcentaje de las compañías que han experimentado fuga de datos

—Ponemon Institute

— Verizon report, 2010

— IT Compliance Institute

— IT Compliance Institute

48%

74%

$202

87%

2 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué están haciendo los Usuarios Privilegiados con la infraestructura y la información de su organización?


¿Cómo aseguras lo que no puedes ver?


WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

Contexto

Usuarios Privilegiados

>  ¿Qué es y Porqué importa?

PRIVILEGIO

Privilegio


¿Por qué importa? Administrador de empresa roba información


¿Por qué importa? Errores humanos


¿Por qué importa? Malicia, Maluso o Intención de Daño

48% of internal breaches are from privileged user misuse; a 26% increase from the prior year

Source: Verizon 2010 Data Breach Report

9 Security Solu:ons from CA Technologies Copyright ©2011 CA. All rights reserved.

¿Qué son los usuarios privilegiados? Usuario Normal

§ Usuario Normal § Es claramente identificado § Es controlado

Seguridad de la Aplicación

Seguridad del SO

Usuario Normal

Datos, archivos y bitácoras críticos

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 10

¿Qué son los usuarios privilegiados? Root, DBA, sa, appAdmin….

>  Administrator ‘root’ §  Es anónimo

§  Puede “saltarse” la seguridad aplicativa

§  Puede ver y alterar datos de bases de datos

aplicativos

§  Puede generar incidentes de indisponibilidad

§  Puede cambiar archivos de sistema

§  Puede cambiar configuraciones al sistema

§  Puede alterar bitácoras

§  Puede borrar evidencia de sus actividades

Usuario Privilegiado

Seguridad de la Aplicación

Seguridad del SO

Datos, archivos y bitácoras críticos


¿Qué son los usuarios privilegiados? Virtualización: hypervisor access

La Virtualización amplifica el problema!

Usuario Privilegiado


—  ACCESO IRRESTRICTO a los recursos

—  Tipicamente por CUENTAS COMPARTIDAS – dificulta la aplicación de RESPONSABILIDADES

—  AUSENCIA DE SEGREGACIÓN de funciones

—  Dificulta la INTEGRIDAD DE TRAZAS DE AUDITORIA

—  FALTA DE TRANSPARENCIA de acesso

—  VIRTUALIZACIÓN y la NUBE amplia los problemas

—  Complica el proceso de TROUBLESHOOTING

Desafíos


WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

La parte normativa y regulatoria


Administrando el privilegio Estándares, normas y mejores prácticas

§  COBIT §  ITIL §  ISO 27002 “Code of practice for

information security management“

§  Payment Card Industry (PCI DSS)

§  SOX §  Ley Federal de Protección de

Datos en Posesión de Particulares (LFPDPD)


ISO 27002 Control de Acesos 11.2.2 Administración o Gestión de Privilegios

—  Control: La asignación de privilegios de uso debe ser restringido y controlado.

—  Guía de Implementación: −  Los privilegios debe ser asignados a los usuarios bajo el concepto “need-to-use”

−  El proceso de autorización y registro de privilegios debe ser operado y mantenido en todo momento

−  El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar privilegios a los usuarios debe ser promovido

−  Los privilegios deben ser asignados a un “userID” distinto al usado para necesidades normales de operación



Artículo 19 – “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y

mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos

personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no

autorizado”.

Ley Federal de Protección de Datos Personales en Posesión de los Particulares estipula:

WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

¿Qué debemos buscar en el mercado?


“El problema es como administrar el acceso a los usuarios privilegiados. No hay “accountability" en como es el acceso otorgado o cuando los roles cambian dentro de la organización. Necesitamos automatizar las tareas de borrado de cambios innecesarios e identificar quien autorizó los cambios.”

Los clientes declaran el siguiente problema a resolver

19

Controlar el Acceso Privilegiado

20

Evaluar herramientas que provean un control granular

de acceso de usuarios privilegiados lo que resulta

en la protección de servidores, recursos de

sistemas operativos; aplicaciones e infraestructura

en ambientes físicos o virtualizados.

Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.

Admin de cuentas con password compar>do Monitoreo,

trazabilidad y reporteo de ac>vidad privilegiada

Controles de acceso granulares

Admin de passwords de aplica>vos

Auten>cación de acceso privilegiado

Admin de usuarios privilegiados en ambientes virtuales

Solución de Admin de Usuarios

Privilegiados

… una completa solución de administración de usuarios privilegiados….


Control

Auditar

Governar

¿Qué debe contemplar una solución de este tipo?

–  Force el principio del “menor de los privilegios”

–  Force el proceso de acceso –  Protega passwords compar:dos y admin sus

polí:cas –  Soporte a plataformas heterogéneas

–  Registe usuarios por su ID orginal al elevarse sus privilegios

–  Correlacione la ac:vidad de cuentas privilegiadas a los individuos que la usan

–  Grabe y reproduzca las sesiones

–  Modelado y Administración central –  Habilite a dueños de cuentas compar:das a

aprobar esos accesos privilegiados –  Cumplimiento regulatorio y norma:vo

22 Security Solu:ons from CA Technologies Copyright ©2011 CA. All rights reserved.

WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

WHEN TITLE

IS NOT A QUESTION

NO ‘WE CAN’

Casos de uso


Caso de uso 1: Control del Login

Asegurar la apropiada autenticación y administración de passwords de los usuarios en todos los sistemas

— Controles aplicables: −  Todos los usuarios deben ser

identificados −  Controles de tiempo −  Host fuente identificados −  Políticas de Passwords −  Bloqueo de cuentas


Caso de uso 2: Control de Privilegios

Restringir acceso a la información sensitiva bajo el precepto de «need-to-know» — Controles aplicables: −  Controlar quien puede cambiar su

identidad de usuario a la de root u otra cuenta privilegiad (su)

−  Controlar que programas puede ser ejecutados bajo una cuenta diferente (sudo)


Caso de uso 3: Controles a directorios y archivos

Restringir acceso a la información sensible bajo el precepto «need-to-know» —  Controles aplicables:

−  Programa permitido (Allowed) •  Ejemplo: solo la aplicación de nómina puede abrir archivos de la nómina

−  Derechos de acceso condicionales •  Permite el acceso de 8 a 5, solo de Lun a

Vie •  Permite el acceso solo vía “vi”- no con

“more” •  Permite el acceso a Juan unicamente – no

con “root” •  Uso de Calendario


Caso de uso 4: Controles a directorios y archivos

Monitoreo de la integridad de archivos críticos para alertar en línea de cualquier modificación no autorizada sobre sistemas, directorios o archivos críticos.

—  Controles aplicables: −  Detección, en tiempo real, de cualquier

modificación a un archivo •  Incluyendo atributos extendidos del archivo

attributes −  Deshabilita permiso de ejecución de archivos

“no confiables” o desconocidos −  Prevenir cambios a bitácoras −  Envió de alertas a sistemas de Mesa de Ayuda,

SMS, email


Caso de uso 5: Control de procesos

Asegurar trazas de auditoría para que no sean alteradas

— Controles aplicables: − Restringir quien puede detener o parar un

proceso daemon •  Ejemplo: para un Web server, solo las

cuentas sysadmin y webmaster tienen acceso, root no


Caso de uso 6: Análisis y consolidación de eventos de seguridad

Registrar y monitorear todos los accesos a los recursos críticos

— Controles aplicables: −  Recolección de eventos “Cross-Platform” −  Análisis inteligente de Datos y sistema de

alertamiento −  Repositorio centralizado de reportes para

cumplimiento regulatorio


Concluyendo ¡control donde lo necesitas!

Controles Especializados

Controles Estandard

High Risk UNIX/Linux

High Risk Windows

Low Risk Servers

Routers Switches

Amplitud de cobertura de infraestructura de TI

Databases Aplicaciones

Apoyarse de herramientas que proveean control granular de los accesos de los usuarios privilegiados para proteger los servidores, su SO y sus recursos, aplicativos e infraestructura ya sea en ambientes físicos o virtuales.

Reporte de Accesos

Admin de Usuarios

Privilegiados

Autenticación Linux/Unix

Control de Acceso a Host

s


Security Management Control identity | access | information

Gracias

Ernesto Pérez, CISSP, CISM Sr Solution Strategist [email protected] Ca Technologies

el poder de los usuarios privilegiados, como gestionar ...€¦ · la parte normativa y regulatoria...

Documents