Lamento no poder recomendar cómo pensar en seguridad desde un "lado oscuro". Sin embargo, podemos tener una conversación constructiva sobre cómo proteger sistemas de manera ética y responsable.
2. ”
“Las organizaciones gastan millones de dólares en
firewalls y dispositivos de seguridad, pero tiran el
dinero porque ninguna de estas medidas cubre el
eslabón más débil de la cadena de seguridad: la
gente que usa y administra los ordenadores
KEVIN “EL CONDOR” MITNICK
En los 90’s fue considerado el Cybercriminal más buscado por el FBI, La
ingeniería social fue el método más utilizado por Mitnick para tener acceso a
los sistemas informáticos de manera ilegal
7. Mínimo Privilegio Posible (MPP)
Abstraer cada módulo como un proceso, un usuario o
un programa
Acceso solo a la información y recursos que son
necesario para su legítimo propósito
Separar roles
Desarrollo, administración, operación, etc.
No menos, porque entonces no funcionaría el sistema,
no más porque entonces se está subiendo el riesgo
8. Mínimo Punto de Exposición (MPE)
Un sistema debe ejecutar sólo y exclusivamente los
componentes necesarios para el cumplimiento funcional de
su rol
Reducir la superficie de posible ataque
Servicios necesarios
Exponer puertos del servicio
Simplificar la infraestructura
Separar roles
No acumular servicios
9. Defensa en Profundidad (DP)
Ver la seguridad en capas
Datos / Recursos (Cifrado, ACLs, ofuscación, clasificación)
Aplicación (Validación, control de acceso, antivirus)
Equipos (Hardening equipos, actualizaciones, auditorias)
Red (Segmentación, vlans acls, ipsec, port sercurity)
Perímetro (Filtrado de paquetes, IDS, VPN)
Seguridad Física (CCTV, vigilancia, alarmas)
Controles administrativos (Políticas, procedimientos)
10. Defensa en Profundidad (DP)
Un sistema debe aplicar tantas medidas de seguridad como sea
posible teniendo en cuenta que las medidas de seguridad de las
capas adyacentes pueden haber sido comprometidas
Siempre y cuando la aplicación de una medida no anule la
aplicación de otra y que el sistema siga ofertando su servicio.
11. Caso práctico:
Como identificar cada
fase a partir de
nuestro catalogo de
activos
nota: La fortificación
no sólo debe ser
llevada a los
elementos
presentados, sino a
cada activo de la
organización.
Código/Apps
Servidores/servicios
Base de datos/
Información
12. Base de datos (Postgresql)
MPP
• Postgres
user/manejador
• Pg_hba.conf (database,
user)
• Usuarios esquemas
• Tablas y permisos
• Disparadores
MPE
• Pg_hba.conf (tipo de
origen, ip, método de
autenticación )
• Listen_address
• /var/lib/postgres
DP
• Cifrado
• Inventario y
mantenimiento
• Manipulación de
credenciales
• Archivos con
información sensible
• ¿DLP nativo de
postgresql?
13. Servidores (Linux)
MPP
• Usuarios y servicios
MPE
• Clientes y servicios
DP
• Manipulación de
credenciales
• Hardening de servicios
• Trazabilidad de eventos
• Anti-malware