2. ESTIC
Defensa en profundidad
Activos, vulnerabilidades y amenazas
▪ El riesgo de ciberseguridad consiste en lo siguiente:
► Activos: cualquier elemento de valor para una organización
que debe ser protegido, incluidos servidores, dispositivos de
infraestructura, terminales y el activo más importante, los datos.
► Vulnerabilidades: una debilidad en un sistema o en su
diseño que una amenaza podría aprovechar.
► Amenazas: cualquier peligro potencial para un activo.
3. ESTIC
Muchas organizaciones solamente tienen una idea general de los activos
que necesitan proteger.
Los activos son el conjunto de todos los dispositivos y la información que
la organización posee o administra.
Los activos constituyen la superficie de ataque a la que podrían apuntar
los agentes de amenaza.
La administración de activos consta de:
Inventario de todos los activos.
Desarrollo e implementación de políticas y procedimientos para
protegerlas.
Identificación acerca de dónde se almacenan los activos de información
fundamentales, y cómo se obtiene acceso a dicha información.
Defensa en profundidad
Identificación de activos
4. ESTIC
La identificación de las vulnerabilidades incluye responder a las
preguntas siguientes:
¿Qué son las vulnerabilidades?
¿Quién puede aprovechar las vulnerabilidades?
¿Cuáles son las consecuencias si se aprovecha la
vulnerabilidad?
Por ejemplo, un sistema bancario electrónico podría tener las
siguientes amenazas:
Riesgo del sistema interno
Datos del cliente robados
Transacciones falsas
Ataque interno en el sistema
Errores de entrada de datos
Destrucción del centro de datos
Defensa en profundidad
Identificación de vulnerabilidades
5. ESTIC
Utilizar un enfoque de defensa en profundidad para identificar activos puede incluir una topología con
los siguientes dispositivos:
Router perimetral: primera línea de defensa; tiene un conjunto de reglas que especifica el tráfico
autorizado y denegado.
Firewall: una segunda línea de defensa; realiza filtrado adicional, autenticación de usuario y seguimiento
del estado de las conexiones.
Internal router: una tercera línea de defensa; aplica las reglas de filtrado finales en el tráfico antes de que
se reenvíe a su destino.
Defensa en profundidad
Identificación de amenazas
6. ESTIC
La cebolla es una buena analogía para ilustrar la seguridad por capas.
Un actor de amenazas deberá retirar los mecanismos de defensa de una red uno a
la vez.
Sin embargo, con la evolución de redes sin fronteras, una alcachofa de seguridad
es una mejor analogía.
Es posible que los actores de amenazas solo necesiten quitar determinadas "hojas
de la alcachofa" para acceder a datos sensibles.
Por ejemplo, un dispositivo móvil es una hoja que, cuando se ve comprometida,
puede dar acceso al actor de amenazas a información confidencial como un correo
electrónico corporativo.
La diferencia clave entre la cebolla de seguridad y la alcachofa de seguridad se basa
en que no todas las hojas deben eliminarse con el fin de obtener los datos.
Defensa en profundidad
Enfoques tipo cebolla y tipo alcachofa para la seguridad
7. ESTIC
Las políticas constituyen el pilar de la seguridad de las
redes al definir qué es aceptable.
Las políticas empresariales son las pautas que
desarrollan las organizaciones para regir sus acciones y
las de sus empleados.
Una organización puede tener varias políticas
orientadoras:
Políticas de la empresa: establecen las normas de conducta y las
responsabilidades de empleados y empleadores.
Políticas de empleados: identifican el salario del empleado, el
cronograma de pagos, los beneficios, el horario de trabajo, las vacaciones
y mucho más.
Políticas de seguridad: identifican un conjunto de objetivos de seguridad
para una empresa, definen las reglas de comportamiento de usuarios y
administradores, y especifican los requisitos del sistema.
Políticas de seguridad
Política empresarial
8. ESTIC
Una política de seguridad integral tiene varios beneficios:
Demuestra el compromiso de una organización con la seguridad.
Establece las reglas del comportamiento esperado.
Garantiza la uniformidad en las operaciones del sistema, el software y la
adquisición y uso de hardware, y el mantenimiento.
Define las consecuencias legales de las violaciones.
Brinda al personal de seguridad el respaldo para la administración.
Una política de seguridad puede incluir uno o varios de los elementos que
se muestran en la figura.
Una política de uso aceptable (AUP) es una de las políticas más comunes y
cubre lo que los usuarios tienen y no tienen permitido hacer en los
distintos componentes del sistema.
Políticas de seguridad
Política de seguridad
9. ESTIC
Muchas organizaciones admiten Bring Your Own Device (BYOD), que permite
a los empleados utilizar sus propios dispositivos móviles para acceder a los
recursos de la empresa.
Una política BYOD debe incluir:
Especificar los objetivos del programa BYOD.
Identificar qué empleados pueden traer sus propios dispositivos.
Identificar los dispositivos que se admitirán.
Identificar el nivel de acceso que se otorgará a los empleados cuando utilicen
dispositivos personales.
Describir los derechos de acceso y las actividades autorizadas al personal de
seguridad en el dispositivo.
Identificar qué normas deben respetarse cuando los empleados utilicen sus
dispositivos.
Identificar medidas de seguridad para poner en marcha si un dispositivo está
en riesgo.
Políticas de seguridad
Políticas BYOD
10. ESTIC
Las siguientes mejores prácticas de seguridad ayudan a mitigar los
riesgos de BYOD:
Acceso protegido con contraseña para cada dispositivo y cuenta.
Conectividad inalámbrica que se controla manualmente para que el
dispositivo solo se conecte a las redes de confianza.
Mantener el software actualizado para mitigar las amenazas más
recientes.
Copia de respaldo de los datos del dispositivo por si lo extravía o se lo
roban.
Habilitar los servicios de localización "Buscar mi dispositivo" que
pueden borrar un dispositivo perdido de forma remota.
Usar software antivirus.
Uso del software Mobile Device Management (MDM) para permitir a
los equipos de TI implementar configuraciones de seguridad y de
software en todos los dispositivos que se conectan a redes de la
empresa.
Políticas de seguridad
Políticas BYOD (continuación)
11. ESTIC
Las reglas y los estándares de cumplimiento definen
qué organizaciones deben hacerlo y qué
responsabilidad tienen si no las cumplen.
Las reglas de cumplimiento que una organización está
obligada a seguir dependen del tipo de organización y
de los datos que maneja.
Las reglas de cumplimiento específicas se analizarán
más adelante en el curso.
Políticas de seguridad
Cumplimiento reglamentario y normativo
12. ESTIC
La seguridad de la información consiste en proteger la
información y los sistemas de información ante el acceso,
el uso, la divulgación, la interrupción, la modificación o la
destrucción sin autorización.
El método CID consiste en lo siguiente:
Confidencialidad: solo las entidades autorizadas pueden acceder a la
información.
Integridad: la información debe protegerse de las alteraciones no
autorizadas
Disponibilidad: la información debe estar a disposición de las
partes autorizadas que la necesiten, cuando la necesiten.
Conceptos del control de acceso
Seguridad de las comunicaciones: CIA
13. ESTIC
Los controles de control de acceso básico incluyen los siguientes:
Control de acceso obligatorio (MAC): aplica el control de acceso más
estricto, habilitando el acceso de usuario en función de la autorización de
seguridad.
Control de acceso discrecional (DAC): permite que los usuarios controlen
el acceso a sus datos como dueños de esos datos.
Control de acceso no discrecional: el acceso se basa en roles y
responsabilidades; también conocido como control de acceso basado en
roles (RBAC).
Control de acceso basado en atributos (ABAC): el acceso se basa en
atributos del recurso al que se accederá, del usuario que accede al recurso
y de los factores del entorno, como el momento del día.
Otro modelo de control de acceso es el principio de privilegios mínimos, el cual
determina que a los usuarios solo se les debe otorgar el acceso mínimo
necesario para desempeñar su función.
Conceptos del control de acceso
Modelos de control de acceso
14. ESTIC
Autenticación, autorización y auditoría
(AAA) es un sistema escalable para el
control de acceso.
Autenticación: los usuarios y administradores
deben probar que son quienes dicen ser.
Autorización: determina a cuáles recursos puede
acceder el usuario y upales operaciones tiene
permitido realizar.
Auditoría: registra qué hace el usuario y cuándo lo
hace.
Uso y funcionamiento de AAA
Funcionamiento de AAA
15. ESTIC
Dos métodos de autenticación de AAA comunes incluyen:
Autenticación AAA local: este método autentica a los usuarios contra nombres de
usuario y contraseñas almacenados localmente. AAA local es ideal para las redes
pequeñas.
Autenticación AAA basada en servidor: este método autentica en función de un
servidor AAA central que contiene los nombres de usuario y contraseñas de todos
los usuarios. La autenticación AAA con base en el servidor es adecuada para redes
de tamaño mediano a grande.
El proceso para ambos tipos se muestra en la siguiente diapositiva.
Uso y funcionamiento de AAA
Autenticación de AAA
16. ESTIC
Uso y funcionamiento de AAA
Autenticación de AAA (continuación)
Autenticación AAA local Autenticación AAA basada en el servidor
17. ESTIC
La auditoría proporciona más que solo autenticación.
Los servidores AAA mantienen un registro detallado de lo que el usuario
autenticado hace exactamente en el dispositivo.
Uso y funcionamiento de AAA
Registros de auditoría de AAA
18. ESTIC
Los distintos tipos de información de auditoría que se pueden
recopilar incluyen:
Contabilidad de red: recopila información como recuentos de paquetes y
bytes.
Auditoría de conexiones: recopila información acerca de todas las
conexiones salientes.
Auditoría de EXEC: recopila información sobre shells de usuario, incluidos
nombre de usuario, fecha, hora de inicio y finalización, y la dirección IP del
servidor de acceso.
Contabilidad de sistema: recopila información acerca de todos los eventos de
nivel de sistema.
Comando contabilidad: recopila información acerca de los comandos de shell
ejecutados.
Auditoría de recursos: captura compatibilidad de registros de "inicio" y
"detención" para llamadas que han superado la autenticación del usuario.
Uso y funcionamiento de AAA
Registros de auditoría de AAA (continuación)
19. ESTIC
Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen
información detallada vital para las prácticas de ciberseguridad.
Fuentes de información
Comunidades de inteligencia de la red
20. ESTIC
Cisco ofrece su informe de ciberseguridad
anualmente, el cual brinda datos actualizados sobre
el estado de preparación para la seguridad, análisis
de expertos sobre las vulnerabilidades más
importantes, los factores detrás de la aparición de
ataques mediante adware y correo electrónico no
deseado, y mucho más.
Fuentes de información
Informes de ciberseguridad de Cisco
21. ESTIC
Los blogs y podcasts de seguridad
ayudan a los profesionales de la
ciberseguridad a comprender y mitigar
las amenazas emergentes.
Fuentes de información
Blogs y podcasts de seguridad
22. ESTIC
Los servicios de inteligencia de amenazas
permiten el intercambio de información,
como vulnerabilidades, indicadores de riesgo
(IOC), y técnicas de mitigación y detección.
Cisco Talos recopila información sobre las
amenazas activas, existentes y emergentes.
Luego, Talos proporciona a sus suscriptores
una protección completa contra ataques y
malware.
Servicios de inteligencia de amenaza
Cisco Talos
23. ESTIC
FireEye es otra empresa de seguridad que
ofrece servicios para ayudar a las empresas
a proteger sus redes.
FireEye ofrece información sobre amenazas
emergentes e informes de inteligencia de
amenazas.
Servicios de inteligencia de amenazas
FireEye
24. ESTIC
Automated Indicator Sharing (AIS) es un
programa que permite al gobierno federal de
EE. UU. y al sector privado compartir
indicadores de amenazas.
AIS crea un ecosistema donde, apenas se
reconoce una amenaza, se comparte la
información inmediatamente con la comunidad.
Servicios de inteligencia de amenazas
Uso compartido automatizado de indicadores
25. ESTIC
Vulnerabilidades y exposiciones comunes
(CVE) es una base de datos de
vulnerabilidades que emplea una
nomenclatura estandarizada para simplificar
el uso compartido de inteligencia de
amenazas.
Servicios de inteligencia de amenazas
Base de datos de vulnerabilidades y exposiciones comunes
26. ESTIC
Los estándares de inteligencia de ciberamenazas
(CTI), como STIX y TAXII, simplifican el intercambio
de información de amenazas al especificar
estructuras de datos y protocolos de
comunicación.
Expresión estructurada de información sobre
amenazas (STIX): especificaciones para intercambiar
información sobre ciberamenazas entre organizaciones.
Intercambio de confianza automatizado de
información sobre indicadores (TAXII): especificación
correspondiente a un protocolo de capa de aplicación
que permite la comunicación de CTI mediante HTTPS.
TAXII está diseñado para admitir STIX.
Servicios de inteligencia de amenazas
Estándares de comunicación de inteligencia de amenazas
27. ESTIC
El riesgo de ciberseguridad consta de activos, vulnerabilidades y amenazas.
Los activos constituyen la superficie de ataque a la que podrían apuntar los agentes de
amenaza.
Las vulnerabilidades incluyen cualquier debilidad aprovechable en un sistema o su diseño.
Las amenazas se mitigan mejor mediante un enfoque de defensa en profundidad.
La cebolla es una buena analogía para ilustrar la seguridad por capas.
Los analogía de alcachofa de seguridad representa mejor las redes de la actualidad.
Las políticas empresariales son las pautas que desarrollan las organizaciones para regir sus
acciones y las de sus empleados.
Una política de seguridad identifica un conjunto de objetivos de seguridad para una empresa,
define las reglas de comportamiento de usuarios y administradores, y especifica los requisitos
del sistema.
Resumen de lección
Resumen
28. ESTIC
Una política de BYOD, que permite a los empleados utilizar sus propios dispositivos móviles para acceder a los recursos
de la empresa, controla cuáles empleados pueden acceder a cuáles recursos mediante sus dispositivos personales.
Todas las organizaciones deben cumplir con las normativas específicas para el tipo de organización y los datos que
maneja la organización.
La tríada CIA consiste de confidencialidad, integridad y disponibilidad.
Los controles de control de acceso básico incluyen los siguientes:
Control de acceso obligatorio (MAC)
Control de acceso discrecional (DAC)
Control de acceso no discrecional
Control de acceso basado en atributos (ABAC)
Principio de privilegios mínimos
Resumen de lección
Resumen (continuación)
29. ESTIC
▪ El control de acceso de AAA incluye autenticación, autorización y auditoría.
▪ Dos métodos de autenticación habituales son la autenticación de AAA local y la autenticación de AAA basada
en servidor.
▪ La auditoría de AAA mantiene un registro detallado de lo que el usuario autenticado hace exactamente en el
dispositivo.
▪ Los registros de auditoría de AAA incluyen:
► Auditoría de redes
► Auditoría de conexiones
► Auditoría de EXEC
► Auditoría de sistemas
► Auditoría de comandos
► Auditoría de recursos
Resumen de lección
Resumen (continuación)
30. ESTIC
▪ Organizaciones dedicadas a la inteligencia de amenazas, como CERT, SANS y MITRE, ofrecen información
detallada vital para las prácticas de ciberseguridad.
▪ El informe de ciberseguridad de Cisco proporciona una actualización en el estado de seguridad.
▪ Los blogs y podcasts de seguridad ayudan a los profesionales de la ciberseguridad a comprender y mitigar
las amenazas emergentes.
▪ Los servicios de inteligencia de amenazas permiten el intercambio de información de amenazas.
▪ FireEye ofrece información sobre amenazas emergentes e informes de inteligencia de amenazas.
▪ AIS crea un ecosistema donde, apenas se reconoce una amenaza, se comparte la información
inmediatamente con la comunidad.
▪ La base de datos CVE emplea una nomenclatura estandarizada para simplificar el uso compartido de
inteligencia de amenazas.
▪ Los estándares STIX y TAXII simplifican el intercambio de información de amenazas al especificar
estructuras de datos y protocolos de comunicación.
Resumen de lección
Resumen (continuación)
31. ESTIC
• Política de uso aceptable (AUP)
• Recurso
• Control de acceso basado en atributos
(ABAC)
• Autenticación, autorización y
administración (AAA)
• Disponibilidad
• BYOD (Bring Your Own Device)
• Políticas de la compañía
• Confidencialidad
• Control de acceso discrecional (DAC)
• Router perimetral
• Políticas de empleado
• Integridad
• Control de acceso obligatorio (MAC)
• Control de acceso no discrecional
• Escalamiento de privilegios
• Alcachofa de seguridad
• Cebolla de seguridad
• Políticas de seguridad
Nuevos términos