Do you #WannaCry? La importancia de defender los datos críticos … INFOSECURITY 201… ·...
Transcript of Do you #WannaCry? La importancia de defender los datos críticos … INFOSECURITY 201… ·...
www.thales-esecurity.comTHALES GROUP INTERNAL
Do you #WannaCry?La importancia de defender los datos críticos del negocio
Roman Baudrit Thales e-Security LATAM
2This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Grupo Thales – Liderazgo mundial
#1mundial
Cargas para satélites de comunicación
Manejo de tráfico aéreo
Sonares Seguridad para transacciones de pago
#2mundial
Señalización de trenes
Entretenimiento aviones
Comunicación militar
#3mundial
Aviónica Satélites civiles Radares de superficie
$15.8 BVentas
63,000Empleados
56Países
3This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
▌ WannaCry
▌ Seis recomendaciones para proteger los datos criticos del negocio
▌ Casos de uso
▌ Conclusión
Enfoque en seguridad de datos
Agenda
4This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
▌ WannaCry Ransomware Attack (WannCrypt)
Ransomware / phishing con alto nivel de infección
Aprovechamiento de vulnerabilidad MS
Conocida y aparentemente utilizada por (NSA)
$300 en bitcoins para recuperar la información
150 países
Evitable con actualización disponible meses atrás
Ataque más reciente
5This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
▌ Contagio con varias particularidades
Contagio de escala relativamente reducida (200.000 endpoints) – 1.5 millones
de endpoints con puerto 445 abierto
Lanzado un día viernes – usualmente domingo
Con capacidad de ser controlado con conexión a website – primer gusano
Interacción entre “Nation State” y Crimen Organizado – Cybercriminales
▌ Brad Smith - Microsoft
Dejar salir la información de la vulnerabilidad es comparable a perder los
planos de los misiles Tomahawk
Se debe tomar un enfoque distinto y aplicar las mismas reglas del armamento
físico al ciberespacio. Los gobiernos deben considerar el daño que causan a
los ciudadanos por almacenar vulnerabilidades y les explotaciones posteriores
Ataque más reciente
6This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
▌ El ataque no pudo evitarse con tecnologías de protección
convencionales
▌ Se mantiene el objetivo económico
▌ Muchas empresas de muchas industrias fueron afectadas (100K)
▌ Seguimos utilizando una estrategia reactiva...
▌ El factor humano sigue siendo un eslabón débil
Algunas reflexiones sobre el ataque
7This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Recomendaciones de seguridad de la información y cifrado
1. Identificar y clasificar los datos
2. Priorizar los objetivos de control
3. Establecer políticas consistentes
4. Generar inventario de actividades de cifrado
5. Seleccionar, desplegar y reemplazar soluciones de cifrado
6. Automatizar las políticas de aplicación
8This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Paso 1: Identificar y clasificar los datos
▌ Confidencialidad – Integridad - Disponibilidad
▌ Aplicación o proceso siendo soportado
▌ Naturaleza del dato: Estructurados o no
▌ Objetivo
Definir proteccion segun el perfil de riesgo
Entregar el valor de negocio adecuado
9This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Los datos son ubicuos
Sistemas y ubicaciones
remotas
vvDatos no
estructuradosArchivos office,
PDF, Vision, Audio & otros
Fax/Print ServersFile Servers
Almacenamiento y sistemas de
backupSAN/NAS Data
CommunicationsVoIP Systems
FTP/Dropbox ServerEmail Servers
Sistemas de aplicaciones de
negocio(SAP, PeopleSoft, Oracle
Financials, In-house, CRM, eComm/eBiz, etc.)Servidores de aplicacion
Seguridad y sistemas(Event logs, Error logs
Cache, llaves de cifrado, & otros)
Sistemas de Seguridad
Datosestructurados
(SQL, Oracle, DB2, Informix, MySQL)Servidores de BD
! Los datos existen en diferentes formatos, estados, e ubicaciones. Los controles tradicionales no fuerondiseñados para este escenario..
Nube y virtual
10This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Paso 2: Priorizar los objetivos de control
▌ Mapa de riesgo, auditoria y
cumplimiento
Separación de roles y funciones
▌ Auditar actividades existentes
▌ Objetivos
No hace sentido proteger todos los
datos
Establecer prioridades del proyecto
11This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Paso 3: Establecer políticas consistentes
▌ Servidores y equipos terminales
▌ Ambientes heterogéneos
S. O.:
Linux/Unix/Windows/Mainframes
Bases de datos
- IBM DB2, Microsoft SQL Server,
Oracle, Informix, Sybase, My SQL
Ambientes – físicos, virtuales y en la
nube
▌ Datos en movimiento y en reposo
12This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Paso 4: Generar inventario de actividades de cifrado
Cifrado base de datos
Cifrado de archivosTablas
Columnas
Cifrado de almacenamiento
SAN
Backups
Cifrado de equipoterminal
Cifrado de correo Manejo de llaves
13This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Paso 5: Seleccionar, desplegar y reemplazar soluciones de cifrado
▌ Criterios de selección de la solución por implementar o mantener
Transparente – Evita el cambio de aplicaciones
Eficiente – El impacto en el rendimiento debe ser mínimo
Fuerte – Control de acceso, criptografía y separacion de roles
Fácil – para desplegar, mantener y administrar
▌ Nuevos despliegues para cumplir normatividad (PCI, GDPR)
▌ Prioritizar y reemplazar soluciones heredadas o antiguas
Reducir silos, cargas administrativas y costos
14This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Paso 6: Automatizar las políticas de aplicación
Minimizar la cantidad de
soluciones
Estandarizar los procesos de
auditoria, análisis e informes
Reforzar las divulgación de políticas y
expectativas de comportamiento
Precaución: Evitar fricciones con
las áreas de negocio
15This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNALw w w . V o r m e t r i c . c o m
Casos de uso en el negocio
16This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Casos de uso mas comunes en LATAM
Cifrado de la base
de datosProtección de
servidores
publicados
Protección de
contenedores
Protección de
datos en la nube
17This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Aplicación de criptografía para bases de datos
Cifrado transparente
3
Vormetric Data Security
Manager
Servidores de
BD y archivos
Protect, control the TDE Keys
& config, system, report files
and retire Oracle TDE costs
2Protect, control the TDE Keys
& config, system, report files
Vormetric Data Security
Manager
Cifrado nativo + transparente
Vormetric Data Security
Manager
1Almacenar, proteger y
controlar las llaves
de TDE
Cifrado nativo de BD
18This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Recordemos que es cifrado transparente
Name: J Smith
Credit Card #:
6011579389213
Bal: $5,145,789
Social Sec No:
514-73-8970
Name: Jsmith.doc
Created: 6/4/99
Modified: 8/15/02
Texto claro
Archivo de datos
Metadata del Sistema de
archivos
dfjdNk%(Amg
8nGmwlNskd 9f
Sk9ineo93o2n*&*^
xIu2Ks0BKsjd
Nac0&6mKcoS
qCio9M*sdopF
Name: Jsmith.docName: Jsmith.doc
Created: 6/4/99Created: 6/4/99
Modified: 8/15/02Modified: 8/15/02
Dato cifrado
Los sistemas de archivos siempre leen y escriben en bloques de tamaño fijo
El cifrado ocurre en el bloque del IO para un archivo protegido
El agente de cifrado simplemente cifra y descifra, el bloque de IO lee y escribe
Bloque-Escribe
Bloque - Lee
19This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Cuáles son las funciones que ofrece el cifrado transparente
Control de acceso aun de
los usuarios privilegiados
Cifrar los datos Generar bitácoras e
inteligencia sobre el
acceso a los archivos.
20This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Protección de servidores publicados
Amenazas comunes
Servidores web
• Inyección de SQL
• Malware
• Acceso no autorizado
• Exfiltración de datos
• Modificación de código
• Explotación del SO
• Acceso privilegiado
Amenazas comunes
Servidores BD
• Acceso privilegiado
• Acceso no autorizado
• Exfiltración de datos
• Acceso a bitácoras
• Integridad de datos
• Monitoreo de datos
• Acceso a respaldos
Amenazas comunes
Servidores de Archivo
• Acceso privilegiado
• Acceso no autorizado
• Exfiltración de datos
• Monitoreo de archivos
• Control de acceso archivos
• Destrucción de datos
• Inoculación de código
21This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Protección de aplicaciones: Firma de código para prevenir modificaciones
22This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Cifrado o control de acceso de carpetas de aplicaciones
DSM
Server
23This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Cifrado o control de acceso de carpetas de aplicaciones
DSM
Server
Vormetric Security IntelligenceLogs to SIEM
Vormetric
Data Security Managervirtual or physical appliance
24This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Desafío de segurida de Docker: Más riesgo y complejidad
▌ Riesgo de la capa aplicativa
Las imágenes del contenedor pueden ser accesadas y
alteradas
No hay aislamiento entre aplicaciones – todas corren como root
▌ Docker opera bajo privilegios de Root
Los administradores de Docker (todos) tienen acceso a
todas las imágenes y todos los datos del ambiente
▌ Almacenamiento compartido con poco control
▌ Falta de control de imágenes
Control muy básico de las imágenes lo que permite hacer
copias y ediciones muy fácilmente
Docker Engine
App1
Bins/Libs
Operating System
Network and Storage Infrastructure
SAN NAS DAS
App3
Bins/Libs
App2
Bins/Libs
25This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Seguridad en Docker: Control de los contenedores
▌ Aplicar cifrado transparente a los
ambientes Docker
Cifrado
Control de acceso
Generación de bitácoras e inteligencia
… por contenedor
Docker Engine
App1
Bins/Libs
Operating System
Network and Storage Infrastructure
SAN NAS DAS
Vormetric Transparent Encryption
App3
Bins/Libs
App2
Bins/Libs
Aislamiento de las áreas para
cumplimiento y ser ambientes
Multitenant
Políticas separadas e
individuales para cada
contenedor o grupo de
contenedores
App4
Bins/Libs
App6
Bins/Libs
App5
Bins/Libs
26This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Protección de datos en la Nube – BYOK
HSMs
•Llave maestra esgenerada del ladodel cliente
•El HSM local almacena una copiade las llaves
nShield Edge
Los datos
•Permanecen cifradosen la nube
•Usan las llavesprivadas del cliente
•No pueden seraccesados por el proveedor de nubesin autorización
Azure Key Vault
Amazon KMS
•Reciben la llave del cliente
•La llave se almacenalocalmente en la nube
nShield Connect
27This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Proteccion de datos en la nube – MS Azure Hold Your Own Key
Requerimiento de empresas altamente reguladas (ie CNBV
Cap. X) para proteger sus datos más sensibles
28This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Seguridad de datos como servicio en la nube:Cifrado escalable con manejo de llaves y monitoreo
Los datos sensibles están cifrados el el storage
GRUPO #1 GRUPO #2
DSMPolíticas y bitácoras
Llaves
APT y usuarios maliciosos
Administrador del sistema(usuario
privilegiado)
Usuario autorizado
Empresa
DATOS ACCESIBLES BASADO EN LA POLITICA
NO TIENE ACCESO A LOS DATOS DEBIDO A LA POLITICA
Virtual machine LayerAdministrador de sistema del
proveedor de nube Compute/Hypervisor
Multi-Tenant storage Layer
Administrador del storage
Vormetric DataSecurity Manager
Bitácoras y auditoría de
acceso
Integración con SIEM para
inteligencia de seguridad
Las llaves y políticas son
manejadas por la empresa,
NO el proveedor de nube
Permite el cambio de
proveedor de nube
29This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
¿Que pasaría si tomamos la ofensiva?
30This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNAL
Es hora de cambiar hacia la seguridad proactiva de los datos
▌ Los riesgos en la actualidad son
múltiples y tienden a
incrementarse y ser mas
complejos (IoT)
▌ El factor humano sigue siendo un
riesgo difícil de mitigar
▌ La evolución hacia la
digitalización va más rápido que
la seguridad de TI
▌ Si se destruye el valor económico
de la información, se rompe la
cadena de valor del mercado
31This document may not be reproduced, modified , adapted, published,
translated, in any way, in whole or in part or disclosed to a third party
without prior written consent of Thales - Thales © 2017 All rights reserved.
THALES GROUP INTERNALw w w . V o r m e t r i c . c o m
Gracias
www.thales-esecurity.com