Luis QuiñonesEngineering Manager Latin America

lquinones@iss.net

ISS Hoy

• Nació en Atlanta, GA - 1994• Pioneros y líderes de auditoria y monitoreo • Fuimos a la bolsa (went public) Marzo 23, 98.• 30-40% crecemiento por trimestre• +300 empleados• +1000 clientes por todo el mundo

Operaciones de ISS

ISS KKTokyo,Japan

HeadquartersAtlanta, GA

ISS Sales & Support Offices

ISS Certified Security Partner/Distributor

ISS NVBrussels, Belgium

Mercado Financiero

9 of 10 Top U.S. Banks• Citibank• Bank of America• Chase Manhattan/ Chemical• JP Morgan• BancOne Corp• First Union• NationsBank• MBNA• Deutsche Bank• Charles Schwab

Alta Tecnología

• Motorola• Raytheon• IBM• Intel• Compuserve• America Online• Adobe• Hewlett Packard• Lockheed Martin• MCI• BellSouth• Lucent

Gobierno

• Department of Energy• NASA• Naval Research

Laboratory• Commonwealth of

Virginia• Federal Trade

Commission• US Army

• Los Alamos National Laboratory

• Defense Megacenter• Bureau of Public Debt• Lawrence Livermore

National Labs• US Air Force

Socios Estratégicos

• Unisys• Ernst & Young• Price Waterhouse• KPMG Peat Marwick• Coopers & Lybrand• SAIC• INS• NCSA• Siemans• EDS• Paranet

• Check Point• IBM Global Services• Sun• NCR• Tivoli• GTE Internetworking

La Necesidad de Seguridad

• Sistemas Abiertos: beneficios vs. riesgo

• Rapida adopción de tecnología internet

• Redes dinámicas• La amenaza

creciente: dentro y fuera

• Seguridad Limitada recursos/expertos

• Políticas centrales vs. Prácticas distribuidas

• www.10pht.com• www.r00t.org/warez.html• www.microagewny.com/home/claw/hackers.html• www.golden.net/~jester/court.html• www.rootshell.com• www.fe.net/phrack.html

¿ Cuál es el Problema? Es muy fácil aprender a hackear...

Evidencia de la Amenaza

Consecuencias

• Pérdidas financieras• Pérdida de propiedad

intelectual• Pérdida de

productividad por mal uso

• Mal uso de acceso a extranet

Datos del Problema

• 42% reportaron ataques externos, sobre 16% el último año

• 43% reportaron ataques de los empleados, 29% el último año

• 38% dicen haber sido víctimas de espionaje industrial, sobre 6% el último año

• Cerca del 1% están activamente monitoreando posibles intrusos

Source: Ernst & Young

Infrastructrura

N E T W O R K S

S Y S T E M S

A P P L I C A T I O N S

Bases para la Seguridad

N E T W O R K SN E T W O R K S

S Y S T E M SS Y S T E M S

A P P L I C A T I O N SA P P L I C A T I O N S

ACCESSCONTROL AUTHENTICATION ENCRYPTION

Seguridad Tradicional

Security =

ACCESSCONTROL AUTHENTICATION ENCRYPTION

Safeguards

Safeguards

Vulnerabilidades

N E T W O R K SN E T W O R K S

S Y S T E M SS Y S T E M S

A P P L I C A T I O N SA P P L I C A T I O N S

ACCESSCONTROL AUTHENTICATION ENCRYPTION

Medidas Tradicionales de Seguridad

• Se ignoran las amenazas internas

• Poco amigable• No hay manera de medir su

efectividad• Medidas estáticas, cuando

las redes son realmente dinámicas

Muy importante, pero...

Abierto Protegido

Políticas de Políticas de SeguridadSeguridad

Determinar las prácticas de seguridad Determinar las prácticas de seguridad actualesactuales

Pérdida de Información

Dónde Comienzo?

UniversidadesInstitucionesfinancieras

21.3%

60.8%

17.9%

High Medium Low

Percent of Vulnerabilities by Severity

No puedes manejar lo que no puedes medir

10

50

90

130

170

210

High Medium Low

Organizational Vulnerability Trends Analysis

Vulnerabilities

200

150

100

50

0

1 2 3 4 5 6Week

Reducir vulnerabilidades(Monitorear para cambios)

Monitorear para Amenazas(En tiempo Real)

Lo que Queremos es Bajar el Riesgo

Reducir el Riesgo para los Negocios

Manejar el riesgoManejar el riesgo

X

¿Qué son las Vulnerabilidades?

• Defectos de Software

• Errores humanos y desconfiguración

• Servicios Activos/inactivos

• Susceptibilidad a caídas del sistema

…en servicios de red y arquitectura, sistemas operativos, aplicaciones

¿Cuáles son las Amenazas?

• Amenazas internas:– contratistas, emoleados disgustados,

mal uso

• Amenazas externas:– competidores,hackers contratados por la

competencia, empresas de confianza que poseen acceso

• Amenazas estructuradas:– métodos automatizados para recoger

información y atacar

• Amenazas no estructuradas:– ataques sin propósito para recoger

información, mialuso

Personas y organizaciones que explotan las vulnerabilidades

Seguridad = + Vulnerabilidades& Amenazas

Detección de

Responder

La clave para la administración es la seguridad adaptativa

SecurityPolicy

PRO-A

CTIV

OS

PRO-A

CTIV

OS

IN DEVELOPMENT

ACTIV

OS

ACTIV

OS

Internet Scanner

Internet Scanner

Escaneando la Red

Network, Operating Systems, Applications

Deteccion de Vulnerabilidades en las Redes

• Detecta todas las vulnerabilidades basadas en números IP, incluyendo Windows NT y UNIX

• Chequea vulnerabilidades en los servicios de la red, sistemas operativos y aplicaciones

• Prioriza vulnerabilidades y recomienda acciones correctivas

Escaneando la Red

System Security Scanner

Escaneando un Host

Deteccion de Vulnerabilidades en Los Hosts

SystemSecurityScanner

Systems

• Detecta vulnerabilidades de seguridad en la configuración de los sistemas operativos y permisos de servicios

• Análisis detallado de passwords• Detecta puertas traseras y

herramientas de los hackers• Detection remota, operación y reportes

centralizados• Prioriza, recomienda y

automaticamente toma acciones correctivas

Escaneando un Host

Real Secure

Detección de intrusos en tiempo Real en la Red y en

los Hosts

EXTERNALATTACK

ALERT!ATTACK

DETECTED

RECORD SESSION

TERMINATE SESSION

EMAIL/LOG/

REPORT

ALERT!ATTACK

DETECTED

RECONFIGUREFIREWALL/

ROUTER

INTERNALATTACK

ALERT

ALERT

RECORD SESSIONSEND EMAILLOG SESSION

EMAIL/LOG/

REPORT

• Monitorea el tráfico de la red para detectar “ataques” y “mal uso”

• Monitorea el sistema operativo para detectar “ataques” y “mal uso”

• Priorización de ataques• Respuesta activa, aviso, y

guardado de opciones• Detección remota, administración

centralizada• Señuelos, capacidad de desviar el

ataque

Detección de intrusos en tiempo real en la red y en

los hosts

Servicios Profesionales

Professional Services - Services Links

Quick AssistPenetration

Testing

Triage

Enterprise Threat & VulnerabilityBattle Planning

Security ArchitectureDesign & Engineering

Security Best PracticesPlanning & Assessment

Network ManagementPlanning & Policy Development

Assessment & EngineeringConsulting Services

JumpstartPilot Programs

Enterprise Deployment& Transition

Customized Enablement& Integration

ImplementationServices

Operations & SpecialtyServices

Incident & Post-Attack

ANS OpsSupport

WebAlertService

ANS Program Management Service

Security Program Change Management Planning

Principios de Seguridad

Computacional de ISS

Note: All process, metrics, and safeguards are inherited from the previous level

AssuranceLevel

GeneralDescription

ProcessManagement

Policies Technology Metrics

0

1

2

3

4

5

Chaos

Ad-Hoc Policy &Technology

Initial Structure &Risk Management

Initial NetworkMonitoring, Metrics,& Audit

Adaptive NetworkSecurity Program

Advanced Technologies

No organized or standard processes

No organized or standard processes

Security responsibilitiesand formal identificationof threats & vulnerabilities

Security configurationcontrol and personnel training processes

Continuous processimprovement analysis

No additional processes

Little or no policies

Some generalBest PracticePolicies

Threat & VulnerabilityIdentification-basedpolicies/safeguards

Initial threat andvulnerability monitoring policies

Integrated ANS andPrevention policies.Mandatory training.

Advanced technologypolicies and procedures

No technologyrequirements

General use of “out-of-box” securitysafeguards

Use of threat &vulnerability assessment technology

Use of threat &vulnerability monitoringtechnology

Integrated ANSenvironment & lowlevel encryption

Advanced encryption& authentication solutions

No metrics

No metrics

No metrics

Initial risk posture & threat/vulnerability metrics

Full security posture,response, and awareness metrics

No additional metrics

Metas de la Seguridad

• Manejar el riesgo de la seguridad en la red minimizando vulnerabilidades y amenazas

• Usar una compañía confiable para apoyar el manejo del riesgo en la seguridad

• Automatizar las políticas de seguridad en la red

• Protegerte de tus 30 segs en T.V

• La Seguridad es un viaje, no un destino

• Tu DEBES estar dispuesto a reaccionar rápidamente porque las amenazas y las vulnerabilidades están cambiando siempre

• NO hay una varita mágica

Resumen

Para más información...

• Steve Gant, Director de Operaciones,

678-443-6194

• sgant@iss.net

• Comparaciones - Infoworld (ISS,Satan, Axent ESM, NetSonar) http:www.infoworld.com/cgi-bin/displayTCpl?/980316analysis.htm - Network World (ISS, Axent ESM, Stalker, Cops, Asmodeous) 971027 - Incluido en los folletos

www.iss.netwww.iss.net