Presentación: Asegure su empresa con 20 controles. Top 20 Critical Security Controls - SANS - CCS (Council on CyberSecurity)
Presentación brindada en Segurinfo Argentina 2014
Español
5. Intro: Abordaje actual
Aplicamos buenas prácticas
A veces a medias…
Hacemos buenas cosas
En lugar de hacer las cosas necesarias…
Muchas veces el árbol no nos deja
ver el bosque…
6. Intro: Abordaje actual
Tenemos demasiadas herramientas
disponibles
Lo que dificulta decidir cual utilizar
6
9. Origen de los controles
Surge del ámbito gubernamental
Primero corregir los males conocidos
NSA + CIS + SANS consorcio
Expansión de miembros a +100
Conocimiento agregado publico/privado
Versión 5 (revs. Cada 6/12 meses desde 2008)
Gestionado por SANS hasta 2013 (hoy por el
Council on CyberSecurity – CCS)
9
10. ¿Por qué son útiles?
Aportantes / Consenso
Foco en acciones de alta prioridad
Casos de éxito
Adoptantes
Herramientas disponibles
Mapeo contra frameworks existentes
Mapa de ruta para mejorar la seguridad
10
11. Pilares
Ofensa informa a defensa
Priorización
Métricas
Monitoreo continuo
Automatización
11
14. Grupos de controles
Gestión de riesgos en activos
CSC1- Inventario de dispositivos autorizados y no
autorizados
CSC2- Inventario de software autorizado y no
autorizado
CSC3- Configuraciones seguras de hardware y
software en laptops, workstations y servers
CSC4- Análisis y remediación de vulnerabilidades
continua
CSC6 - Seguridad en Software de Aplicación
CSC7 - Control de dispositivos Wireless
14
15. Grupos de controles
Gestión de riesgos de usuarios
CSC12- Uso controlado de privilegios
administrativos
CSC14- Mantenimiento, monitoreo y análisis de
logs de auditoria
CSC15- Acceso controlado basado en el "need to
know“
CSC16- Control y monitoreo de cuentas de
usuario
15
16. Grupos de controles
Gestión de riesgos de red
CSC10- Configuraciones Seguras para
Dispositivos de Red
CSC11- Limitación y Control de Puertos,
Protocolos y Servicios de Red
CSC13- Defensa perimetral
CSC19 Ingeniería de red segura
16
CSC3
CSC1
17. Grupos de controles
Prevención y respuesta a incidentes
CSC5 - Defensas contra Malware
CSC8 - Capacidad de recupero de datos
CSC9 - Evaluación de las Competencias de
Seguridad y Entrenamiento Apropiado para
Cubrir los Gaps
CSC17 -Data loss prevention
CSC18 -Gestión de Respuesta ante Incidentes
CSC20 - Pruebas de Penetración y Hacking Ético
17
18. Anatomía de un ataque actual
Identificar un objetivo
Analizar vectores de ataque
Explotación
Consolidación (upload/exec/persist)
Realizar conexiones salientes (C & C)
Reconocimiento interno
Pivot dentro de la red
20. 5 Quick Wins
1. App white listing (en CSC2)
2. Standard, secure system configurations (en
CSC3)
3. Patchear software de aplicación dentro de las
48 horas (en CSC4)
4. Patchear software de sistemas dentro de las
48 horas (en CSC4)
5. Reducir el Nro. de usuarios con privilegios
administrativos (en CSC3 y CSC12)
20
21. Roadmap
1. Gap analisys inicial
2. Plan de implementación en fases
3. Primer fase
1. Mejorar el uso herramientas existentes
2. Incorporar nuevas herramientas
3. Mejora de procesos / skills
4. Integración de controles en la operación +
monitoreo continuo
5. Repetir pasos 3 y 4 para siguientes fases
21
22. Conclusiones
Controles prioritarios bien fundados
No abarca todos los aspectos de
seguridad punto de partida
Basado en experiencias de ataques
Conceptualización simplificada
Focalización de esfuerzos
No olvidar: Monitoreo continuo +
Automatización
22
24. Para mayor información:
(Javier Antúnez)
(jantunez@portoyasociados.com.ar)
Para descargar esta presentación visite
www.segurinfo.org
Los invitamos a sumarse al grupo “Segurinfo” en