Do you #WannaCry? La importancia de defender los datos críticos … INFOSECURITY 201… ·...

www.thales-esecurity.comTHALES GROUP INTERNAL

Do you #WannaCry?La importancia de defender los datos críticos del negocio

Roman Baudrit Thales e-Security LATAM

2This document may not be reproduced, modified , adapted, published,

translated, in any way, in whole or in part or disclosed to a third party

without prior written consent of Thales - Thales © 2017 All rights reserved.

THALES GROUP INTERNAL

Grupo Thales – Liderazgo mundial

#1mundial

Cargas para satélites de comunicación

Manejo de tráfico aéreo

Sonares Seguridad para transacciones de pago

#2mundial

Señalización de trenes

Entretenimiento aviones

Comunicación militar

#3mundial

Aviónica Satélites civiles Radares de superficie

$15.8 BVentas

63,000Empleados

56Países





▌ WannaCry

▌ Seis recomendaciones para proteger los datos criticos del negocio

▌ Casos de uso

▌ Conclusión

Enfoque en seguridad de datos

Agenda





▌ WannaCry Ransomware Attack (WannCrypt)

Ransomware / phishing con alto nivel de infección

Aprovechamiento de vulnerabilidad MS

Conocida y aparentemente utilizada por (NSA)

$300 en bitcoins para recuperar la información

150 países

Evitable con actualización disponible meses atrás

Ataque más reciente





▌ Contagio con varias particularidades

Contagio de escala relativamente reducida (200.000 endpoints) – 1.5 millones

de endpoints con puerto 445 abierto

Lanzado un día viernes – usualmente domingo

Con capacidad de ser controlado con conexión a website – primer gusano

Interacción entre “Nation State” y Crimen Organizado – Cybercriminales

▌ Brad Smith - Microsoft

Dejar salir la información de la vulnerabilidad es comparable a perder los

planos de los misiles Tomahawk

Se debe tomar un enfoque distinto y aplicar las mismas reglas del armamento

físico al ciberespacio. Los gobiernos deben considerar el daño que causan a

los ciudadanos por almacenar vulnerabilidades y les explotaciones posteriores

Ataque más reciente





▌ El ataque no pudo evitarse con tecnologías de protección

convencionales

▌ Se mantiene el objetivo económico

▌ Muchas empresas de muchas industrias fueron afectadas (100K)

▌ Seguimos utilizando una estrategia reactiva...

▌ El factor humano sigue siendo un eslabón débil

Algunas reflexiones sobre el ataque





Recomendaciones de seguridad de la información y cifrado

1. Identificar y clasificar los datos

2. Priorizar los objetivos de control

3. Establecer políticas consistentes

4. Generar inventario de actividades de cifrado

5. Seleccionar, desplegar y reemplazar soluciones de cifrado

6. Automatizar las políticas de aplicación





Paso 1: Identificar y clasificar los datos

▌ Confidencialidad – Integridad - Disponibilidad

▌ Aplicación o proceso siendo soportado

▌ Naturaleza del dato: Estructurados o no

▌ Objetivo

Definir proteccion segun el perfil de riesgo

Entregar el valor de negocio adecuado





Los datos son ubicuos

Sistemas y ubicaciones

remotas

vvDatos no

estructuradosArchivos office,

PDF, Vision, Audio & otros

Fax/Print ServersFile Servers

Almacenamiento y sistemas de

backupSAN/NAS Data

CommunicationsVoIP Systems

FTP/Dropbox ServerEmail Servers

Sistemas de aplicaciones de

negocio(SAP, PeopleSoft, Oracle

Financials, In-house, CRM, eComm/eBiz, etc.)Servidores de aplicacion

Seguridad y sistemas(Event logs, Error logs

Cache, llaves de cifrado, & otros)

Sistemas de Seguridad

Datosestructurados

(SQL, Oracle, DB2, Informix, MySQL)Servidores de BD

! Los datos existen en diferentes formatos, estados, e ubicaciones. Los controles tradicionales no fuerondiseñados para este escenario..

Nube y virtual





Paso 2: Priorizar los objetivos de control

▌ Mapa de riesgo, auditoria y

cumplimiento

Separación de roles y funciones

▌ Auditar actividades existentes

▌ Objetivos

No hace sentido proteger todos los

datos

Establecer prioridades del proyecto





Paso 3: Establecer políticas consistentes

▌ Servidores y equipos terminales

▌ Ambientes heterogéneos

S. O.:

Linux/Unix/Windows/Mainframes

Bases de datos

- IBM DB2, Microsoft SQL Server,

Oracle, Informix, Sybase, My SQL

Ambientes – físicos, virtuales y en la

nube

▌ Datos en movimiento y en reposo





Paso 4: Generar inventario de actividades de cifrado

Cifrado base de datos

Cifrado de archivosTablas

Columnas

Cifrado de almacenamiento

SAN

Backups

Cifrado de equipoterminal

Cifrado de correo Manejo de llaves





Paso 5: Seleccionar, desplegar y reemplazar soluciones de cifrado

▌ Criterios de selección de la solución por implementar o mantener

Transparente – Evita el cambio de aplicaciones

Eficiente – El impacto en el rendimiento debe ser mínimo

Fuerte – Control de acceso, criptografía y separacion de roles

Fácil – para desplegar, mantener y administrar

▌ Nuevos despliegues para cumplir normatividad (PCI, GDPR)

▌ Prioritizar y reemplazar soluciones heredadas o antiguas

Reducir silos, cargas administrativas y costos





Paso 6: Automatizar las políticas de aplicación

Minimizar la cantidad de

soluciones

Estandarizar los procesos de

auditoria, análisis e informes

Reforzar las divulgación de políticas y

expectativas de comportamiento

Precaución: Evitar fricciones con

las áreas de negocio




THALES GROUP INTERNALw w w . V o r m e t r i c . c o m

Casos de uso en el negocio





Casos de uso mas comunes en LATAM

Cifrado de la base

de datosProtección de

servidores

publicados

Protección de

contenedores

Protección de

datos en la nube





Aplicación de criptografía para bases de datos

Cifrado transparente

3

Vormetric Data Security

Manager

Servidores de

BD y archivos

Protect, control the TDE Keys

& config, system, report files

and retire Oracle TDE costs

2Protect, control the TDE Keys

& config, system, report files


Manager

Cifrado nativo + transparente


Manager

1Almacenar, proteger y

controlar las llaves

de TDE

Cifrado nativo de BD





Recordemos que es cifrado transparente

Name: J Smith

Credit Card #:

6011579389213

Bal: $5,145,789

Social Sec No:

514-73-8970

Name: Jsmith.doc

Created: 6/4/99

Modified: 8/15/02

Texto claro

Archivo de datos

Metadata del Sistema de

archivos

dfjdNk%(Amg

8nGmwlNskd 9f

Sk9ineo93o2n*&*^

xIu2Ks0BKsjd

Nac0&6mKcoS

qCio9M*sdopF

Name: Jsmith.docName: Jsmith.doc

Created: 6/4/99Created: 6/4/99

Modified: 8/15/02Modified: 8/15/02

Dato cifrado

Los sistemas de archivos siempre leen y escriben en bloques de tamaño fijo

El cifrado ocurre en el bloque del IO para un archivo protegido

El agente de cifrado simplemente cifra y descifra, el bloque de IO lee y escribe

Bloque-Escribe

Bloque - Lee





Cuáles son las funciones que ofrece el cifrado transparente

Control de acceso aun de

los usuarios privilegiados

Cifrar los datos Generar bitácoras e

inteligencia sobre el

acceso a los archivos.





Protección de servidores publicados

Amenazas comunes

Servidores web

• Inyección de SQL

• Malware

• Acceso no autorizado

• Exfiltración de datos

• Modificación de código

• Explotación del SO

• Acceso privilegiado

Amenazas comunes

Servidores BD




• Acceso a bitácoras

• Integridad de datos

• Monitoreo de datos

• Acceso a respaldos

Amenazas comunes

Servidores de Archivo




• Monitoreo de archivos

• Control de acceso archivos

• Destrucción de datos

• Inoculación de código





Protección de aplicaciones: Firma de código para prevenir modificaciones





Cifrado o control de acceso de carpetas de aplicaciones

DSM

Server





Cifrado o control de acceso de carpetas de aplicaciones

DSM

Server

Vormetric Security IntelligenceLogs to SIEM

Vormetric

Data Security Managervirtual or physical appliance





Desafío de segurida de Docker: Más riesgo y complejidad

▌ Riesgo de la capa aplicativa

Las imágenes del contenedor pueden ser accesadas y

alteradas

No hay aislamiento entre aplicaciones – todas corren como root

▌ Docker opera bajo privilegios de Root

Los administradores de Docker (todos) tienen acceso a

todas las imágenes y todos los datos del ambiente

▌ Almacenamiento compartido con poco control

▌ Falta de control de imágenes

Control muy básico de las imágenes lo que permite hacer

copias y ediciones muy fácilmente

Docker Engine

App1

Bins/Libs

Operating System

Network and Storage Infrastructure

SAN NAS DAS

App3

Bins/Libs

App2

Bins/Libs





Seguridad en Docker: Control de los contenedores

▌ Aplicar cifrado transparente a los

ambientes Docker

Cifrado

Control de acceso

Generación de bitácoras e inteligencia

… por contenedor

Docker Engine

App1

Bins/Libs

Operating System

Network and Storage Infrastructure

SAN NAS DAS

Vormetric Transparent Encryption

App3

Bins/Libs

App2

Bins/Libs

Aislamiento de las áreas para

cumplimiento y ser ambientes

Multitenant

Políticas separadas e

individuales para cada

contenedor o grupo de

contenedores

App4

Bins/Libs

App6

Bins/Libs

App5

Bins/Libs





Protección de datos en la Nube – BYOK

HSMs

•Llave maestra esgenerada del ladodel cliente

•El HSM local almacena una copiade las llaves

nShield Edge

Los datos

•Permanecen cifradosen la nube

•Usan las llavesprivadas del cliente

•No pueden seraccesados por el proveedor de nubesin autorización

Azure Key Vault

Amazon KMS

•Reciben la llave del cliente

•La llave se almacenalocalmente en la nube

nShield Connect





Proteccion de datos en la nube – MS Azure Hold Your Own Key

Requerimiento de empresas altamente reguladas (ie CNBV

Cap. X) para proteger sus datos más sensibles





Seguridad de datos como servicio en la nube:Cifrado escalable con manejo de llaves y monitoreo

Los datos sensibles están cifrados el el storage

GRUPO #1 GRUPO #2

DSMPolíticas y bitácoras

Llaves

APT y usuarios maliciosos

Administrador del sistema(usuario

privilegiado)

Usuario autorizado

Empresa

DATOS ACCESIBLES BASADO EN LA POLITICA

NO TIENE ACCESO A LOS DATOS DEBIDO A LA POLITICA

Virtual machine LayerAdministrador de sistema del

proveedor de nube Compute/Hypervisor

Multi-Tenant storage Layer

Administrador del storage

Vormetric DataSecurity Manager

Bitácoras y auditoría de

acceso

Integración con SIEM para

inteligencia de seguridad

Las llaves y políticas son

manejadas por la empresa,

NO el proveedor de nube

Permite el cambio de

proveedor de nube





¿Que pasaría si tomamos la ofensiva?





Es hora de cambiar hacia la seguridad proactiva de los datos

▌ Los riesgos en la actualidad son

múltiples y tienden a

incrementarse y ser mas

complejos (IoT)

▌ El factor humano sigue siendo un

riesgo difícil de mitigar

▌ La evolución hacia la

digitalización va más rápido que

la seguridad de TI

▌ Si se destruye el valor económico

de la información, se rompe la

cadena de valor del mercado




THALES GROUP INTERNALw w w . V o r m e t r i c . c o m

Gracias

www.thales-esecurity.com

Do you #WannaCry? La importancia de defender los datos críticos … INFOSECURITY 201… ·...

Documents

Transcript of Do you #WannaCry? La importancia de defender los datos críticos … INFOSECURITY 201… ·...