Security Management Control identity | access | information
El poder de los usuarios privilegiados, como gestionar,
controlar su actividad y cumplir con las exigencias regulatorias
¿Qué representan estos números en el ámbito de la seguridad informática?
Costo promedio de una brecha de seguridad, por registro comprometido (2010), siendo la negligencia la causa principal
Porcentaje de compañias comprometidas que perdieron clientes o negocios como resultado de una fuga de datos o brecha de seguridad
Porcentaje de todas las brechas que involucran un mal uso de parte de usuarios privilegiados
Porcentaje de las compañías que han experimentado fuga de datos
—Ponemon Institute
— Verizon report, 2010
— IT Compliance Institute
— IT Compliance Institute
48%
74%
$202
87%
2 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué están haciendo los Usuarios Privilegiados con la infraestructura y la información de su organización?
3 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Cómo aseguras lo que no puedes ver?
4 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
Contexto
Usuarios Privilegiados
> ¿Qué es y Porqué importa?
PRIVILEGIO
Privilegio
6 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Por qué importa? Administrador de empresa roba información
7 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Por qué importa? Errores humanos
8 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Por qué importa? Malicia, Maluso o Intención de Daño
48% of internal breaches are from privileged user misuse; a 26% increase from the prior year
Source: Verizon 2010 Data Breach Report
9 Security Solu:ons from CA Technologies Copyright ©2011 CA. All rights reserved.
¿Qué son los usuarios privilegiados? Usuario Normal
§ Usuario Normal § Es claramente identificado § Es controlado
Seguridad de la Aplicación
Seguridad del SO
Usuario Normal
Datos, archivos y bitácoras críticos
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 10
¿Qué son los usuarios privilegiados? Root, DBA, sa, appAdmin….
> Administrator ‘root’ § Es anónimo
§ Puede “saltarse” la seguridad aplicativa
§ Puede ver y alterar datos de bases de datos
aplicativos
§ Puede generar incidentes de indisponibilidad
§ Puede cambiar archivos de sistema
§ Puede cambiar configuraciones al sistema
§ Puede alterar bitácoras
§ Puede borrar evidencia de sus actividades
Usuario Privilegiado
Seguridad de la Aplicación
Seguridad del SO
Datos, archivos y bitácoras críticos
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 11
¿Qué son los usuarios privilegiados? Virtualización: hypervisor access
La Virtualización amplifica el problema!
Usuario Privilegiado
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 12
— ACCESO IRRESTRICTO a los recursos
— Tipicamente por CUENTAS COMPARTIDAS – dificulta la aplicación de RESPONSABILIDADES
— AUSENCIA DE SEGREGACIÓN de funciones
— Dificulta la INTEGRIDAD DE TRAZAS DE AUDITORIA
— FALTA DE TRANSPARENCIA de acesso
— VIRTUALIZACIÓN y la NUBE amplia los problemas
— Complica el proceso de TROUBLESHOOTING
Desafíos
13 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
La parte normativa y regulatoria
Usuarios Privilegiados
Administrando el privilegio Estándares, normas y mejores prácticas
§ COBIT § ITIL § ISO 27002 “Code of practice for
information security management“
§ Payment Card Industry (PCI DSS)
§ SOX § Ley Federal de Protección de
Datos en Posesión de Particulares (LFPDPD)
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 15
ISO 27002 Control de Acesos 11.2.2 Administración o Gestión de Privilegios
— Control: La asignación de privilegios de uso debe ser restringido y controlado.
— Guía de Implementación: − Los privilegios debe ser asignados a los usuarios bajo el concepto “need-to-use”
− El proceso de autorización y registro de privilegios debe ser operado y mantenido en todo momento
− El desarrollo y uso de procesos y programas que impidan la necesidad de otorgar privilegios a los usuarios debe ser promovido
− Los privilegios deben ser asignados a un “userID” distinto al usado para necesidades normales de operación
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 16
17 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Artículo 19 – “Todo responsable que lleve a cabo tratamiento de datos personales deberá establecer y
mantener medidas de seguridad administrativas, técnicas y físicas que permitan proteger los datos
personales contra daño, pérdida, alteración, destrucción o el uso, acceso o tratamiento no
autorizado”.
Ley Federal de Protección de Datos Personales en Posesión de los Particulares estipula:
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
¿Qué debemos buscar en el mercado?
Usuarios Privilegiados
“El problema es como administrar el acceso a los usuarios privilegiados. No hay “accountability" en como es el acceso otorgado o cuando los roles cambian dentro de la organización. Necesitamos automatizar las tareas de borrado de cambios innecesarios e identificar quien autorizó los cambios.”
Los clientes declaran el siguiente problema a resolver
19
Controlar el Acceso Privilegiado
20
Evaluar herramientas que provean un control granular
de acceso de usuarios privilegiados lo que resulta
en la protección de servidores, recursos de
sistemas operativos; aplicaciones e infraestructura
en ambientes físicos o virtualizados.
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Admin de cuentas con password compar>do Monitoreo,
trazabilidad y reporteo de ac>vidad privilegiada
Controles de acceso granulares
Admin de passwords de aplica>vos
Auten>cación de acceso privilegiado
Admin de usuarios privilegiados en ambientes virtuales
Solución de Admin de Usuarios
Privilegiados
… una completa solución de administración de usuarios privilegiados….
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 21
Control
Auditar
Governar
¿Qué debe contemplar una solución de este tipo?
– Force el principio del “menor de los privilegios”
– Force el proceso de acceso – Protega passwords compar:dos y admin sus
polí:cas – Soporte a plataformas heterogéneas
– Registe usuarios por su ID orginal al elevarse sus privilegios
– Correlacione la ac:vidad de cuentas privilegiadas a los individuos que la usan
– Grabe y reproduzca las sesiones
– Modelado y Administración central – Habilite a dueños de cuentas compar:das a
aprobar esos accesos privilegiados – Cumplimiento regulatorio y norma:vo
22 Security Solu:ons from CA Technologies Copyright ©2011 CA. All rights reserved.
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
WHEN TITLE
IS NOT A QUESTION
NO ‘WE CAN’
Casos de uso
Usuarios Privilegiados
Caso de uso 1: Control del Login
Asegurar la apropiada autenticación y administración de passwords de los usuarios en todos los sistemas
— Controles aplicables: − Todos los usuarios deben ser
identificados − Controles de tiempo − Host fuente identificados − Políticas de Passwords − Bloqueo de cuentas
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 24
Caso de uso 2: Control de Privilegios
Restringir acceso a la información sensitiva bajo el precepto de «need-to-know» — Controles aplicables: − Controlar quien puede cambiar su
identidad de usuario a la de root u otra cuenta privilegiad (su)
− Controlar que programas puede ser ejecutados bajo una cuenta diferente (sudo)
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 25
Caso de uso 3: Controles a directorios y archivos
Restringir acceso a la información sensible bajo el precepto «need-to-know» — Controles aplicables:
− Programa permitido (Allowed) • Ejemplo: solo la aplicación de nómina puede abrir archivos de la nómina
− Derechos de acceso condicionales • Permite el acceso de 8 a 5, solo de Lun a
Vie • Permite el acceso solo vía “vi”- no con
“more” • Permite el acceso a Juan unicamente – no
con “root” • Uso de Calendario
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 26
Caso de uso 4: Controles a directorios y archivos
Monitoreo de la integridad de archivos críticos para alertar en línea de cualquier modificación no autorizada sobre sistemas, directorios o archivos críticos.
— Controles aplicables: − Detección, en tiempo real, de cualquier
modificación a un archivo • Incluyendo atributos extendidos del archivo
attributes − Deshabilita permiso de ejecución de archivos
“no confiables” o desconocidos − Prevenir cambios a bitácoras − Envió de alertas a sistemas de Mesa de Ayuda,
SMS, email
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 27
Caso de uso 5: Control de procesos
Asegurar trazas de auditoría para que no sean alteradas
— Controles aplicables: − Restringir quien puede detener o parar un
proceso daemon • Ejemplo: para un Web server, solo las
cuentas sysadmin y webmaster tienen acceso, root no
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 28
Caso de uso 6: Análisis y consolidación de eventos de seguridad
Registrar y monitorear todos los accesos a los recursos críticos
— Controles aplicables: − Recolección de eventos “Cross-Platform” − Análisis inteligente de Datos y sistema de
alertamiento − Repositorio centralizado de reportes para
cumplimiento regulatorio
Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved. 29
Concluyendo ¡control donde lo necesitas!
Controles Especializados
Controles Estandard
High Risk UNIX/Linux
High Risk Windows
Low Risk Servers
Routers Switches
Amplitud de cobertura de infraestructura de TI
Databases Aplicaciones
Apoyarse de herramientas que proveean control granular de los accesos de los usuarios privilegiados para proteger los servidores, su SO y sus recursos, aplicativos e infraestructura ya sea en ambientes físicos o virtuales.
Reporte de Accesos
Admin de Usuarios
Privilegiados
Autenticación Linux/Unix
Control de Acceso a Host
s
30 Security Solutions from CA Technologies Copyright ©2011 CA. All rights reserved.
Security Management Control identity | access | information
Gracias
Ernesto Pérez, CISSP, CISM Sr Solution Strategist [email protected] Ca Technologies