Enfoque Mitigación de Riesgos Tecnología Seguridad de Redes Sector Grandes Corporaciones Geografía América Latina
Advisor
Análisis independiente de tendencias tecnológicas para profesionales de TIC
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
2010
Indice Introducción Una red más grande, pero con más amenazas Un mundo peligroso La seguridad tratada de manera amplia SOC – Knock-out a las amenazas Consideraciones finales
2
Advisor
3 4 6 8 10 12
Análisis independiente de tendencias tecnológicas para profesionales de TIC
Introducción Actualmente asistimos a un crecimiento acelerado del número de usuarios y servicios de Internet. Cada vez más personas acceden a la red, a través de una diversidad cada vez mayor de canales, con los más diversos fines: desde leer noticias, hacer compras, intercambiar mensajes y archivos con amigos, hasta ver películas enteras en alta resolución y colaborar on-line para la creación de contenidos. Ese crecimiento acelerado tiene también un aspecto negativo: la combinación de un número creciente de usuarios y de amenazas, tales como virus y ataques, que hacen de Internet un ambiente potencialmente vulnerable.
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
3
Una red más grande, pero con más amenazas En América Latina y en el mundo, el uso de Internet se expande rápidamente. A pesar de que estamos muy por debajo en términos de penetración, si comparamos con países desarrollados, las tasas de crecimiento del servicio de Internet son significativas. La competencia del mercado combinada con la búsqueda voluntaria por parte de la población, especialmente de las nuevas generaciones, de los servicios y el desarrollo tecnológico (como el acceso móvil) resulta en una gran cantidad de oportunidades y perspectivas. El escenario se vuelve aún más positivo cuando sumamos a ese contexto la posibilidad de apoyo gubernamental. Bajo una perspectiva más crítica, una red de telecomunicaciones en plena expansión y una base creciente de usuarios principiantes pueden ser un ambiente propicio para la proliferación de amenazas como virus, troyanos y otros usos indebidos de Internet, tales como fraudes o ataques de denegación del servicio. El aumento del número de amenazas, que por sí solo ya es preocupante, encuentra un ambiente que se expande más rápidamente que la capacidad de protegerse.
4
Advisor
Además, los nuevos medios de acceso, como teléfonos celulares, electrodomésticos y dispositivos personales, a pesar de tener recursos cada vez más próximos a los desktops y notebooks, tienen una tendencia a presentar un abordaje menos rígido en cuestiones de seguridad. La propia movilidad que esos dispositivos proporcionan torna la cuestión de seguridad más complicada. El escenario es de optimismo, pero requiere cautela y acciones estructuradas. La seguridad de la información debe ser una pauta presente en las diversas esferas en que actúa Internet, desde las redes de telecomunicaciones, el ambiente corporativo y el uso doméstico de los servicios.
Análisis independiente de tendencias tecnológicas para profesionales de TIC
“El aumento del número de amenazas, que por sí solo ya es preocupante, encuentra un ambiente que se expande más rápidamente que la capacidad de protegerse”
Figura 1 Crecimiento de Internet en América Latina
(Argentina, Chile, Colombia, Méjico, Venezuela)
8% 6%
Usuarios de banda ancha (000)
4%
2%
3%
4.232,7
6.855,9
10.531,5
15.441,4
19.107,7
2005
2006
2007
2008
2009
Proporción de domicilios con acceso a Internet
(Porcentual sobre el total de domicilios en zona urbana)
Seguridad de la Información
Fuente: ITU
Tecnología y procesos para la protección y combate de amenazas
5
Un mundo peligroso Un análisis del ambiente muestra que el tratamiento del problema puede ser más trabajoso de lo que el sentido común nos llevaría a creer. Las diversas amenazas causadas por cuestiones de seguridad (ej: virus, spams y ataques) pueden tener causas bien diferentes, como problemas de protección de la red, dispositivos desprotegidos o usuarios incautos/ malintencionados, trayendo como impacto daños de imagen (pérdida de datos de clientes o websites violados), reducción de eficiencia de la red o incluso denegación del servicio y daños financieros causados por fraudes. Quedó atrás el tiempo en que la principal preocupación de la seguridad en una empresa era la protección contra los virus informáticos. Las amenazas actualmente se presentan en gran cantidad y variedad. En una única sesión en la
computadora, un usuario puede ser expuesto a decenas de diferentes amenazas electrónicas. Hasta fue creada una expresión para referirse a esa nueva serie de software indeseable: malware. Actualmente los virus informáticos perdieron importancia frente a otros tipos de malware cuya intención no es, necesariamente, dañar los archivos de la computadora o dificultar la vida del usuario, sino buscar informaciones personales u obtener el control de sus máquinas. A partir de ahí, los responsables por ese malware pueden lograr beneficios financieros de diversas formas, ya sea usurpando la personalidad del usuario, como con el “alquiler” de redes de computadoras-zombis, que permite que las computadoras de los usuarios sean utilizadas para spam y ataques a determinadas redes y sistemas. Esas redes son también llamadas botnets.
Figura 2 Amenazas, vulnerabilidad e impactos de seguridad
Amenazas
Vulnerabilidades
t Malware (spams, virus, rootkits) t "UBRVFT FYUFSOPT JOUFSOPT t Phishing t "UBRVFT EF JOHFOJFSÓB social
t 'BMUB EF QPMÓUJDBT t 'BMUB EF DBQBDJUBDJØO Z DPODJFOUJ[BDJØO t 3FEFT EFTQSPUFHJEBT t 'BMMBT EF TPęXBSF t 6TVBSJPT JODBVUPT
Impactos
t %B×PT B MB JNBHFO t $BÓEB EF FĕDJFODJB EF MB SFE t .PEJĕDBDJØO SPCP EF EBUPT DPOĕEFODJBMFT t %FOFHBDJØO EF TFSWJDJPT Z QÏSEJEB EF JOHSFTPT t 'SBVEF
Fuente: Logicalis
6
Advisor
Análisis independiente de tendencias tecnológicas para profesionales de TIC
“El ambiente externo más hostil combinado con menos protección es el escenario propicio para que ocurran problemas” Las amenazas son potenciadas por fallas de seguridad o vulnerabilidad de los más diversos tipos: redes no protegidas o no monitoreadas, sistemas sin control de acceso o con permisos de acceso muy amplios pueden permitir que ocurran incidentes de seguridad. El ambiente externo más hostil combinado con menor protección es un escenario propicio para la aparición de problemas. Las fallas de seguridad existen no sólo como consecuencia de vulnerabilidades de origen tecnológico, sino también por fallas de procedimientos y políticas de la organización. Usuarios incautos (cuando no malintencionados), procesos no definidos y no estandarizados, falta de documentación, entre otras, pueden ser causa de eventos graves de seguridad. Una organización puede tener los mejores sistemas de seguridad y
aún así estará sujeta a incidentes si esas inversiones no son acompañadas por políticas y procesos bien establecidos. El abanico de amenazas es tan diverso como sus consecuencias. Desde simples ataques a los websites, daños a una o varias máquinas debido a virus y reducción de eficiencia causada por spams, hasta la denegación del servicio (denial of service) y robos de informaciones para uso fraudulento (phishing), las amenazas de seguridad vienen ganando proporciones más serias y dañinas para los proveedores de servicios.
Figura 3 Aumento de las amenazas de seguridad 45
Malware Exclusivo (incluidas
variantes) en base de datos (millones)
40 35 30 00
ene/10
feb/10
mar/10
abr/10
may/10
jun/10 49
Velocidad de ataques DdoS (Gbps)
10
2004
17
2005
24
2006
40
2007
2009
Fuentes: Arbor ISR 2009, McAfee Labs
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
7
La seguridad tratada de manera amplia Las acciones para atenuar las amenazas deben ser tomadas de manera amplia, con el objetivo de disminuir las vulnerabilidades en los diversos eslabones de la red: desde la salida a Internet, pasando por la red del proveedor de servicios, hasta el ambiente corporativo o domĂŠstico. SĂłlo con monitoreo, protecciĂłn y tratamiento de incidentes de seguridad en toda la extensiĂłn de la cadena es posible tener visibilidad y promover acciones que disminuyan los riesgos para el servicio y para los usuarios de las redes de comunicaciĂłn.
Los usuarios, sean ellos corporaciones o individuos, deben considerar soluciones que posibiliten el monitoreo, control y protecciĂłn de sus redes y computadoras contra ataques y otras amenazas. Debido al aumento de la complejidad para mantenerse actualizado en cuanto a las amenazas y soluciones, una opciĂłn que viene ganando espacio es la contrataciĂłn de seguridad de red como servicio, ofrecido por proveedores de servicios y empresas especializadas (seguridad gerenciada). El uso de soluciones
Figura 4  Abordaje amplio de seguridad
t .POJUPSFP EF MB SFE B USBWĂ?T EF BDDJPOFT QSPBDUJWBT TFHVJNJFOUP EF OVFWBT BNFOB[BT Z OVFWBT TPMVDJPOFT Z SFBDUJWBT HFTUJĂ˜O EF JODJEFOUFT
t (FTUJĂ˜O EF BDDFTP EF DMJFOUFT TPDJPT Z QSPWFFEPSFT DPOFDUBEPT B MB SFE
t %FGJOJDJĂ˜O EF QPMĂ“UJDBT EF TFHVSJEBE Z NPOJUPSFP EF TV VTP t 7JTJCJMJEBE Z NJUJHBDJĂ˜O EF BUBRVFT Z BNFOB[BT FYUFSOBT F JOUFSOBT
Ambiente corporativo
Internet
t 7JTJCJMJEBE Z NJUJHBDJĂ˜O EF BUBRVFT Z BNFOB[BT QSPWFOJFOUFT EF *OUFSOFU
Proveedor de servicios de telecomunicaciones
t $BVUFMB FO MB NBOJQVMBDJĂ˜O EF BSDIJWPT DMBWFT F JOGPSNBDJĂ˜O FO HFOFSBM t 6TP Z NBOUFOJNJFOUP EF TPMVDJPOFT Z TFSWJDJPT EF NJUJHBDJĂ˜O
Ambiente domĂŠstico
'VFOUF -PHJDBMJT
8
Advisor
AnĂĄlisis independiente de tendencias tecnolĂłgicas para profesionales de TIC
"Si para los usuarios la misión de mantenerse protegidos ya parece una tarea ardua, para los proveedores de servicios de telecomunicaciones el desafío es todavía aún más complejo." tecnológicas de seguridad, sean propias o contratadas a terceros, deben venir siempre acompañadas de procedimientos/políticas de concientización en cuanto a los riesgos de seguridad. Si para los usuarios la misión de mantenerse protegidos ya parece una tarea ardua, para los proveedores de servicios de telecomunicaciones el desafío es aún más complejo. Los mismos deben garantizar la visibilidad de los eventos en la red a lo largo de todo su dominio, desde la entrada o salida de Internet, hasta el acceso a los usuarios de los servicios de conectividad. Monitorear el tráfico y poder controlarlo, identificar y bloquear ataques, controlar el acceso a la red de profesionales o terceros son apenas algunos de los requisitos para una gestión más segura de la red. El abanico de soluciones que pueden ser utilizadas es tan diversificado como el de posibles amenazas. Otra perspectiva que debe ser considerada es la de no desvincular la “seguridad” de la “información”. Uno de los objetivos primordiales de la seguridad de la información es proteger los datos traficados y almacenados y no sólo a “una red” o “una computadora”. Es decir, la protección en el nivel de la red debe ser siempre acompañada de mecanismos que disminuyan los riesgos de exposición o pérdida de informaciones confidenciales en las actividades operacionales. El uso de claves, documentos y archivos debe ser tratado siguiendo políticas bien definidas y divulgadas, con el soporte de procesos y herramientas que monitoreen y evalúen su correcta utilización, además de los programas de concientización de los usuarios y la capacitación en seguridad.
Figura 5 Soluciones tecnológicas de seguridad t "OUJ - Virus - Spam - Pishing - Adwares t Firewalls t 'JMUSP EF 63-T t 4JTUFNBT EF EFUFDDJØO QSFWFODJØO EF JOUSVTJØO *%4 *14
t $POUSPM EF BENJTJØO B MB SFE /"$
t $PSSFMBDJØO EF FWFOUPT EF TFHVSJEBE t %FUFDDJØO Z NJUJHBDJØO EF %%P4 t )FSSBNJFOUBT EF UFTUFP EF QFOFUSBDJØO t %-1 Z DSJQUPHSBGÓB t "DDFTP SFNPUP TFHVSP 71/T TFHVSBT
t *OWFTUJHBDJØO Z BOÈMJTJT t Lawful interception t Trouble-tickets t )FSSBNJFOUBT QBSB HFTUJØO EF SJFTHPT WVMOFSBCJMJEBE Z DPOGPSNJEBE t )FSSBNJFOUBT QBSB HFTUJØO EF BDUVBMJ[BDJPOFT Z DBNCJPT FO HFOFSBM t )FSSBNJFOUBT QBSB EJWVMHBDJØO EF QPMÓUJDBT Z QSPDFEJNJFOUPT EF TFHVSJEBE Fuente: Logicalis
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
9
SOC - knock-out a las amenazas Frente a esa amplitud de amenazas, soluciones tecnológicas y acciones necesarias, ¿cómo es posible coordinar las actividades de seguridad dentro de la empresa? Una forma estructurada de actuar sobre estos puntos es el establecimiento de un SOC -Security Operations Center, una entidad avanzada de monitoreo, detección y acción sobre eventos de seguridad y desarrollo de prácticas y políticas corporativas. Con una visión end-to-end de los procesos de seguridad, es posible actuar y administrar los aspectos más críticos de todo el ciclo de gestión: • Instalación de nuevos equipos en la red; sean ellos soluciones de seguridad, como firewalls, o servidores y routers. • Asignación, rastreo y retiro de acceso a los equipos por profesionales y terceros. • Recolección de logs y eventos de los equipos. • Correlación de los datos recolectados, generación de alarmas y tratamiento de incidentes. • Generación de soluciones a los problemas raíz • Desarrollo de nuevas soluciones, nuevos procesos y mejora de la infraestructura tecnológica para monitoreo y actuación.
Con esas actividades básicas, la empresa obtiene prácticas para actuar sobre incidentes, una visión más inmediata para defenderse de ataques y también procesos para lograr la disminución de la vulnerabilidad, diseños de procesos y políticas; además de buscar soluciones más avanzadas para protección de la red, en un abordaje de largo plazo. La combinación de esas prácticas de acción instantánea con diseños de proyectos de mejora a largo plazo establece un ambiente más seguro y monitoreado en relación a la seguridad. Algunos desafíos enfrentados por gestores de SOC son la dificultad de estructurar equipos con la capacitación y la certificación necesarias, la necesidad de detallar los procesos de gestión de incidentes de seguridad, además de la selección e implementación de las mejores herramientas para la operación del SOC. El tema de la seguridad no es nuevo, pero el establecimiento de una visión estructurada para su tratamiento aún lo es. Una importante perspectiva para el SOC es su relación con entidades externas, sean ellas órganos legales, para lawful interception y combate de crímenes cibernéticos, o se trate de entidades neutras de monitoreo de seguridad (ej.: arcert.gov.ar; clcert.cl; pecert.gob.pe; cert.uy). Aunque el SOC pueda ser visto como un elemento de competitividad y disponibilidad de servicio para las prestadoras de servicio de telecomunicaciones, la cooperación entre profesionales y equipos no es rara, dado que existe una amenaza común que ataca indiscriminadamente.
• Relación con los diversos stakeholders del proceso, incluyendo clientes (externos e internos), otras operadoras y empresas y órganos legales.
10
Advisor
Análisis independiente de tendencias tecnológicas para profesionales de TIC
"El tema seguridad no es nuevo, pero el establecimiento de una visión estructurada para su tratamiento aún es reciente."
Figura 6 Visión Logicalis de SOC – Security Operations Center
Relacionamiento con el cliente Entrada de terceros
IMAC
Soporte a investigaciones
Gestión de desempeño
Implementación
Acceso
Evento
Entrada de nuevo equipamiento
Validación de pedido de acceso
Recolección de logs y datos
Análisis de vulnerabilidad
Definición de perfiles y derechos
Normatización
Recibimiento de pedido y detección
Validación de pedido
Análisis/ Elaboración de corrección
Definición de requisitos de seguridad
Soporte al monitoreo
Correlación
Clasificación
Consulta/ Inclusión base
Ejecución de corrección
Gestión del riesgo
Gestión de conformidad
Investigación/ Análisis
RCA
Gestión de cambios
Políticas y normas de seguridad
Mejora de procesos
Configuración Liberación para implementación Gestión de actualizaciones
Rastreamiento de acceso Remoción/Res tricción de acceso
Notificación
Incidente
Problema
Seguridad de la información Disponibilidad/ Capacitación y entrenamiento DRP
Resolución/ Cierre
Desarrollo de la solución Escalonamiento
Búsqueda de soluciones/ Sourcing
Implantación de soluciones
IMAC ®: Install, Moves, Adds and Changes
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
11
Consideraciones finales Soluciones combinadas de consultoría y tecnología La seguridad de la información y de redes debe ser tratada con abordajes que consideren tanto los aspectos tecnológicos como de procesos, incluyendo el conocimiento sobre los diferentes tipos de amenazas y soluciones posibles, los diferentes tipos de herramientas para protección, monitoreo y disminución de riesgos, además de conocimiento de características específicas para los diferentes ambientes (redes corporativas, redes de proveedores de servicios de telecomunicaciones). Tal abordaje requiere la combinación de skills de procesos de gestión de seguridad y conocimiento profundo sobre las tecnologías de red e infraestructura de TI, así como las soluciones de seguridad aplicables para garantizar mayor
12
Advisor
Análisis independiente de tendencias tecnológicas para profesionales de TIC
protección y viabilidad. Conciliar todas estas especialidades en un mismo equipo y mantener neutralidad respecto a las influencias de proveedores de tecnologías específicas es una misión compleja. Con un ecosistema amplio de socios tecnológicos para las más diversas demandas de seguridad así como un equipo altamente especializado de consultores especialistas en prácticas de seguridad de la información y de red, Logicalis puede ser el socio ideal en el diseño, implementación y operación de nuevos servicios (seguridad gerenciada), modelos de operación (SOC) y soluciones tecnológicas de seguridad.
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
13
Advisor es una publicación de Logicalis®. Este documento contiene informaciones propiedad de Logicalis®, de sus subsidiarias y asociadas, y son protegidas por la legislación vigente. Reproducción total o parcial de esta obra sólo con previa autorización de Logicalis®. Las informaciones contenidas en esta publicación son basadas en conceptos testeados y empleados en el desarrollo de proyectos específicos y gestión sujetas a alteraciones de acuerdo al escenario de mercado y los objetivos de cada proyecto.
ALEXANDRE MURAKAMI Gerente de Seguridad de la Información
YASSUKI TAKANO Gerente de Consultoría
LEANDRO MALANDRÍN Consultor
IGNACIO PERRONE Gerente de Consultoría – Logicalis Southern Cone
Con 10 años de experiencia en seguridad de la información, actuó en el diseño e implementación de proyectos para operadoras de telecomunicaciones y grandes corporaciones, además de haber participado del proyecto de informatización del sistema electoral en Brasil. Graduado en Ciencias de la Computación en la UNESP y Pos-Graduado en Administración de Empresas en la ESAN, es Profesor en el Grupo Veris Educacional.
Con más de 10 años de experiencia en consultoría, actuó en un sinnúmero de proyectos de diseño e implementación de nuevos modelos de servicios y operación, y en el desarrollo de soluciones de automación de procesos. Actuó como Consultor en Roland Berger. Es ingeniero graduado en el ITA y está haciendo una Maestría en Administración de Empresas en la FGV.
Con experiencia en proyectos de modelaje de Centros de Operaciones de Seguridad y Evaluación de la gestión y de seguridad de la información para diversas organizaciones. Actuó en investigaciones relacionadas a la criptografía, protocolos de seguridad y análisis de malwares. Graduado en Ingeniaría de la Computación en la POLI-USP y con especialización de la UIUC (Illinois, EUA).
Con más de 10 años de experiencia en consultoría y TIC, en su anterior posición lideró el equipo de telecomunicaciones de América Latina en Frost & Sullivan, habiendo trabajado también en The Yankee Group y Pyramid Research. Magister en Sociología Económica por la UNSaM y Licenciado en Sociología por la UBA.
alexandre.murakami@br.promonlogicalis.com
yassuki.takano@br.promonlogicalis.com
leandro.malandrin@br.promonlogicalis.com
ignacio.perrone@la.logicalis.com
+55(11)3573.7197
+55(11)3573.7358
+55(11)3573.7284
+54 (11) 4344.0329
Para saber más sobre éste y otros asuntos y conocer lo que podemos hacer por su empresa, contáctese con nosotros: advisor@la.logicalis.com Director responsable Luis Minoru luis.minoru@br. promonlogicalis.com
14
Advisor
Análisis independiente de tendencias tecnológicas para profesionales de TIC
Logicalis Con más de veinte años de experiencia en tecnología, Logicalis trabaja de manera activa en el diseño y la implementación de soluciones de seguridad de información y redes para sus clientes. Logicalis utiliza procedimientos que siguen las mejores prácticas y políticas de seguridad, aplicando internamente las recomendaciones y soluciones que luego propone e implementa en los proyectos de sus clientes. La combinación de profesionales con elevado nivel de capacitación y certificación con un ecosistema de socios tecnológicos enfocados en seguridad (Cisco, Arbor, Blue Coat, F5, Fortinet, Mc Afee) le permite realizar el diseño de las soluciones más apropiadas para cada demanda.
Seguridad de la Información
Tecnología y procesos para la protección y combate de amenazas
15
www.la.logicalis.com
Logicalis 2010