Un replanteamiento masivo de la seguridad. Mejores prácticas para el aseguramiento de identidades Charla por Centrify, del Ing. Alvaro Ucrós en desayuno organizado por UCenfotec

1. © 2017 Centrify Corporations. All Rights Reserved.2
UN REPLANTEAMIENTO
MASIVO DE LA SEGURIDAD
Mejores Prácticas para el Aseguramiento de Identidades
Alvaro Ucrós
Gerente Regional de Ventas
alvaro.ucros@centrify.com
M: +57 (301) 597-0564

2. © 2017 Centrify Corporations. All Rights Reserved.3
Las Compañias no están Seguras
Proveedor de DNS desconectado por botnets de
Millones de dispositivos IoT con la misma
contraseña predeterminada
ACTUALIZACIONES RECIENTES DE SEGURIDAD
Los Gobiernos no están Seguros
El Senado fué victima de phising por Fancy Bear a
través de sitios de inicio de sesión falsos de ADFS
Los Accionistas no están Seguros
La acción de Equifax cayó (Caída de $4.3B)35%
Caen en promedio las acciones luego de
una brecha5%+
Los Consumidores no están Seguros
Cuentas de
Usuario
Comprometidas
147M+
Cuentas de
Usuario
Comprometidas
75M+

3. © 2017 Centrify Corporations. All Rights Reserved.4 © 2017 Centrify Corporations. All Rights Reserved.4
SIN EMBARGO 66% DE LAS
EMPRESAS SUFRIERON BRECHAS
66%US$86B
SE GASTARON EN SEGURIDAD EN 2017
Y es mucho peor, ya que esto pasa un promedio de 5
o más veces por empresa
LA “INSEGURA” SEGURIDAD

4. © 2017 Centrify Corporations. All Rights Reserved.5 © 2017 Centrify Corporations. All Rights Reserved.5
Y LA IDENTIDAD ES EL VECTOR DE ATAQUE MAS COMUN
90%de empresas usan la
nube
150,000empresas con aplicaciones
en la nube
8Bdispositivos
móviles
50Bdispositivos
IoT
81%de las brechas ocurren por
contraseñas por defecto,
débiles o robadas
80%de las brechas involucran
el uso indebido credenciales
privilegiadas
EL PERIMETRO EMPRESARIAL SE DISUELVE
© 2017 Centrify Corporations. All Rights Reserved.3

5. © 2017 Centrify Corporations. All Rights Reserved.7
ESTA NUEVA AMENAZA
REQUIERE UN CAMBIO DE PARADIGMA

6. © 2017 Centrify Corporations. All Rights Reserved.8
PRINCIPIOS BÁSICOS DEL MODELO DE
CERO CONFIANZA
NUNCA CONFÍE, SIEMPRE VERIFIQUE
La conexión desde una red en particular no debe determinar a qué
servicios puede acceder. El acceso a los servicios se otorga en base
a:
BEYONDCORP
Lo que sabemos
de ti
lo que sabemos de
tu dispositivo
Todos los accesos a
servicios deben estar
autorizados

7. © 2017 Centrify Corporations. All Rights Reserved.9 © 2017 Centrify Corporations. All Rights Reserved.9
VERIFICAR EL
USUARIO
VALIDAR EL
DISPOSITIVO
LIMITAR ACCESO
Y PRIVILEGIO
SEGURIDAD DE CERO CONFIANZA DE CENTRIFY
APRENDER
Y ADAPTAR

8. © 2017 Centrify Corporations. All Rights Reserved.10
MADUREZ
Establecer Zonas de Acceso
Endpoints Confiables
Minimize el Acceso VPN
DevOps sin Contraseñas
LIMITE EL
MOVIMIENTO LATERAL
Privilegios Suficientes
Privilegios justo a tiempo
Limite credenciales
compartidas
Gestión del Ciclo de Vida
APLIQUE MINIMOS
PRIVILEGIOS
Monitoreo de Sesiones
Análisis de Riesgo
Integración con SIEM
AUDITE
TODO
MAYOR
SEGURIDAD
Consolide Identidades
SSO Universal
MFA Universal
Acceso basado en
comportamiento
ESTABLEZCA
“IDENTIDAD GARANTIZADA”
MEJORES PRACTICAS PARA “CERO CONFIANZA”
PELIGRO
Demasiadas Contraseñas
Demasiados Privilegios

9. © 2017 Centrify Corporations. All Rights Reserved.11 © 2017 Centrify Corporations. All Rights Reserved.11
50%menos brechas
SEGÚN FORRESTER LAS EMPRESAS QUE IMPLEMENTAN
MEJORES PRACTICAS DE SEGURIDAD DE IDENTIDADES
PUEDEN LOGRAR
en reducción de costos$5M
menos en costos de tecnología40%

10. © 2017 Centrify Corporations. All Rights Reserved.12 © 2017 Centrify Corporations. All Rights Reserved.12
ESTABLEZCA
IDENTIDAD GARANTIZADA

11. © 2017 Centrify Corporations. All Rights Reserved.13 © 2017 Centrify Corporations. All Rights Reserved.13
j.perezjuan juan.p perezjuan
juperezjperez jpjuanp
perez
juanperez
PREFERIBLE: ESTABLEZCA IDENTIDAD GARANTIZADA
NIVEL 1 - CONSOLIDACION DE IDENTIDADES
P R I V I L E G E D A C C O U N T S
U S E R A C C O U N T S
P R I V I L E G E D A C C O U N T S
U S E R A C C O U N T S
C R E D . D E A U T O M A T I Z A C I O N
C R E D . P R I V I L E G I A D A S
C R E D . D E U S U A R I O
C R E D . P R I V I L E G I A D A S
C R E D . D E U S U A R I O
Consolide a una sola identidad
para todos los casos
Limite la práctica de contraseñas
compartidas (administrativas,
aplicaciones, servicios)
CLIENTES SERVIDORES Y RECURSOS DE
LA RED
APLICACIONESINFRAESTRUCTURA IAAS APLICACIONES SAAS
j.perez
C R E D . D E A U T O M A T I Z A C I O N
C R E D . P R I V I L E G I A D A S
C R E D . D E U S U A R I O

12. © 2017 Centrify Corporations. All Rights Reserved.14 © 2017 Centrify Corporations. All Rights Reserved.14
CLIENTES SERVIDORES Y RECURSOS DE
LA RED
APLICACIONES
INFRAESTRUCTURA IAAS
PREFERIBLE: COMO ESTABLECER IDENTIDAD GARANTIZADA
NIVEL 2 - IMPLEMENTE SSO “VERDADERO”
APLICACIONES SAAS
SAML o PKI para
Aplicaciones
Elimine las
Contraseñas
Kerberos o PKI
para Infraestructura
Solo de
endpoints
confiables
El SSO proporciona el Nivel de Aseguramiento Federado más Alto

13. © 2017 Centrify Corporations. All Rights Reserved.15 © 2017 Centrify Corporations. All Rights Reserved.15
MFA para
aplicaciones en
la empresa
MFA para ingresar o
usar privilegios en
servidores
MFA para aplicaciones
SaaS
MFA para VPN
MFA para acceder
recursos compartidos
MFA para IaaS
PREFERIBLE: COMO ESTABLECER IDENTIDAD GARANTIZADA
NIVEL 3 - MULTIFACTOR EN TODAS PARTES
MFA para todos los clientes MFA para todo tipo de usuario
SmartCardYubiKey Token Credencial
Derivada

14. © 2017 Centrify Corporations. All Rights Reserved.16 © 2017 Centrify Corporations. All Rights Reserved.16
Location
Tim e of
Day
Day of
Week
Geo-velocity
Device
RISK SCORE
59
PREFERIBLE: COMO ESTABLECER IDENTIDAD GARANTIZADA
NIVEL 4 – ACCESO BASADO EN COMPORTAMIENTO
Utilize aprendizaje automático
para acceso basado en
comportamiento
Permita, niegue o solicite
autenticación multi-factor
Prevenga el uso
indebido de cuentas

15. © 2017 Centrify Corporations. All Rights Reserved.17 © 2017 Centrify Corporations. All Rights Reserved.17
LIMITE EL
MOVIMIENTO LATERAL

16. © 2017 Centrify Corporations. All Rights Reserved.18 © 2017 Centrify Corporations. All Rights Reserved.18
MEJOR: LIMITE EL MOVIMIENTO LATERAL
NIVEL 1 - ESTABLEZCA ZONAS DE ACCESO
No hay jerarquía o estructura organizacional
Controles de “usuario a sistema"
No hay roles funcionales para servidores
Minimice los derechos de acceso
Habilite controles de acceso centralizados
Simplifique la implementación de “mínimo privilegio”
Administrador
PCI Zone Dev Zone
PCI Admin
Web Admin
Developer 1
Developer 2
Administrador
Gestor PCI
Desarrollador 2
Administrador Web
Dev 1
Dev 2
PCI 3
PCI 1
PCI 2
Dev 3
Dev 4

17. © 2017 Centrify Corporations. All Rights Reserved.19 © 2017 Centrify Corporations. All Rights Reserved.19
Empleados, Contratistas,
Socios, Clientes
MEJOR: LIMITE EL MOVIMIENTO LATERAL
NIVEL 2 – ENDPOINT CONFIABLE = MODELO DE CERO CONFIANZA
Seguridad del Endpoint
Política de Seguridad reforzada
(Cifrado de disco, Salva Pantallas,
PKI, sin jailbreak, etc.)
Endpoint Autorizado
Corporativo o Personal
(BYOD, etc).
POLITICA #1: Janet puede acceceder a SalesForce,
Solo si Jane inicia session autenticación
multifactor (MFA) Y Estado del
endpoint = confiado Y Ubicación = Londres
Aumenta la nueva
generación de seguridad
de “endpoint”
Apllicaciones e Infraestructura
ENDPOINT (CONFIADO)
MODELO CERO CONFIANZA MAS ALLÁ DE LA EMPRESA
Endpoint Confiable para Acceso Confiable
POLITICA #2: Otorgue a Janet el privilegio de
administrador para configuración de impresoras.

18. © 2017 Centrify Corporations. All Rights Reserved.20 © 2017 Centrify Corporations. All Rights Reserved.20
Acceso a aplicación
específica sin VPN
Aplicaciones
Infraestructura
Empleados, Contratistas
Socios, Clientes
Empleados, Contratistas,
“Outsourcing” de TI
Conexión
VPN
MEJOR: LIMITE EL MOVIMIENTO LATERAL
NIVEL 3 - MINIMIZAR ACCESO VIA VPN
Conexión
VPN
Infraestructura
Aplicaciones
Acceso a recurso
específico sin VPN

19. © 2017 Centrify Corporations. All Rights Reserved.21 © 2017 Centrify Corporations. All Rights Reserved.21
MEJOR: LIMITE EL MOVIMIENTO LATERAL
INFRAESTRUCTURA SEGURA AL ELIMINAR CONTRASEÑAS
Asegure las contraseñas,
remuévalas de los scripts
Autenticación segura con
credenciales de directorio o
PKI
Asegure secretos, llaves,
parámetros y archivos
!#/bin/bash
# password variable below…
PASSWORD=‘P@ssw0rd!’
# remotely copy the file from NewCentOS
sshpass -p $PASSWORD scp
batchscp@newcentos:/home/remoteaccount/data
file.dat /home/root/scp.data
!#/bin/bash
# password variable below…
PASSWORD=`dzdo cgetaccount
batchscp@newcentos`
# remotely copy the file from NewCentOS
sshpass -p $PASSWORD scp
batchscp@newcentos:/home/remoteaccount/

20. © 2017 Centrify Corporations. All Rights Reserved.22 © 2017 Centrify Corporations. All Rights Reserved.22
ADOPCIÓN DEL
PRINCIPIO DE
PRIVILEGIOS
MINIMOS

21. © 2017 Centrify Corporations. All Rights Reserved.23 © 2017 Centrify Corporations. All Rights Reserved.23
ü Retira la contraseña de la bóveda
ü Inicio de session con credencial compartida
ü Uso de la cuenta con resposabilidad individual
ü INICIO de session con usuario regular
ü Que solo “ELEVAN” a un ROL para usar privilegios
ü Atribuye la actividad al individuo
Y
CREDENCIALES DE USUARIO
EXCELENTE: ADOPCIÓN DEL PRINCIPIO DE MINIMOS PRIVILEGIOS
NIVEL 1 - SOLO “PRIVILEGIOS SUFICIENTES”
Seguridad Completa de Acceso Privilegiado
“El usuario accede y eleva privilegios con su propia cuenta, minimizando la necesidad de credenciales
compartidas”
Infraestructura y Clientes
Infraestructura y Clientes
CREDENCIALES COMPARTIDAS

22. © 2017 Centrify Corporations. All Rights Reserved.24 © 2017 Centrify Corporations. All Rights Reserved.24
RISK
Multifactor requerido
para ejecución
privilegiada
“Tony”
Restart Web Server
(dzdo service httpd restart)
Monitoreo y bitácora
tail /var/log/httpd.log
Super usuario
“root”
“root”
Cambio de configuración
vi /etc/httpd/httpd.conf
EXCELENTE: ADOPCIÓN DEL PRINCIPIO DE MINIMOS PRIVILEGIOS
NIVEL 2 – BOVEDAS SOLO PARA EMERGENCIAS
Hay demasiadas credenciales compartidas con demasiado acceso y privilegios
Use la bóveda de contraseñas para emergencias – no de uso cotidiano

23. © 2017 Centrify Corporations. All Rights Reserved.25 © 2017 Centrify Corporations. All Rights Reserved.25
EXCELENTE: ADOPCIÓN DEL PRINCIPIO DE MINIMOS PRIVILEGIOS
NIVEL 3 – PRIVILEGIOS “JUSTO A TIEMPO”
web admin
x
Solicitud de privilegios
Políticas dinámicas
Límite de tiempo
Auto servicio
Multi-aprobaciones

24. © 2017 Centrify Corporations. All Rights Reserved.26 © 2017 Centrify Corporations. All Rights Reserved.26
Lanzamiento
Licencia /
Autorización
Habilite Endpoints
(Móvil, Win, Mac, Linux)
EXCELENTE: ADOPCIÓN DEL PRINCIPIO DE MINIMOS PRIVILEGIOS
GESTIÓN DEL CICLO DE VIDA
Baja
Defina y haga cumplir
SSO / MFA / IWA / Acceso Remoto
Alta/Cambio Gestión de Roles
Endpoint sin usuarios
administrativos
persistentes
COME ACK
Políticas
Centralizadas
Monitoreo/
Reportes

25. © 2017 Centrify Corporations. All Rights Reserved.27 © 2017 Centrify Corporations. All Rights Reserved.27
AUDITORIA
COMPLETA

26. © 2017 Centrify Corporations. All Rights Reserved.28 © 2017 Centrify Corporations. All Rights Reserved.28
Mas información relevante
Menos falsos positivos
Una sola consola
Varios proveedores integrando
aprendizaje de máquina.
OPTIMO: AUDITORIA COMPLETA
NIVEL 1 – INTEGRACION A OPERACIONES DE SEGURIDAD

27. © 2017 Centrify Corporations. All Rights Reserved.29 © 2017 Centrify Corporations. All Rights Reserved.29
ü Prevenir “spoofing” y “bypass”
ü Prevenir la ofuscación usando alias
ü Detecte anomalías en scripts
ü Captura y reproducción de sesiones
ü Cierre de sesiones sospechosas
ü Búsqueda e indice de actividades
MONITOREO DE SESIONES AUDITORIA DE PROCESOS
OPTIMO: AUDITORIA COMPLETA
NIVEL 2 - MONITOREO AVANZADO DE SESIONES
SERVIDORES RED
C U E N T A S P R I V I L E G I A D A S C U E N T A S P R I V I L E G I A D A S
INFRAESTRUCTURA (SAAS)
C U E N T A S P R I V I L E G I A D A S
AUDITORIA DE SESIONES
Y

28. © 2017 Centrify Corporations. All Rights Reserved.30 © 2017 Centrify Corporations. All Rights Reserved.30
EXPLORADOR DE PATRONES
Use el aprendizaje de máquina para
modelar el riesgo de acceso.
COMPORTAMIENTO
Use el aprendizaje de máquina reforzar las políticas,
basado en el modelo de acceso
PERMITIR
Autenticación
Multifactor
DETENER
OPTIMO: AUDITORIA COMPLETA
NIVEL 3 - ANALYZE ACCESS RISK
INVESTIGUE los incidentes, mejore y refine las politicas
Aplicaciones
Acceso Remoto
Acceso con contraseñas
compartidas
Portales
Servidores

29. © 2017 Centrify Corporations. All Rights Reserved.31
MADUREZ
Establecer Zonas de Acceso
Endpoints Confiables
Minimize el Acceso VPN
DevOps sin Contraseñas
LIMITE
MOVIMIENTO LATERAL
Privilegios Suficientes
Privilegios justo a tiempo
Limite credenciales
compartidas
Gestión del Ciclo de Vida
APLIQUE MINIMOS
PRIVILEGIOS
Monitoreo de Sesiones
Análisis de Riesgo
Integración con SIEM
AUDITE
TODO
MAYOR
SEGURIDAD
Consolide Identidades
SSO Universal
MFA Universal
Acceso basado en
comportamiento
ESTABLEZCA
“IDENTIDAD GARANTIZADA”
MEJORES PRACTICAS PARA “CERO CONFIANZA”
PELIGRO
Demasiadas Contraseñas
Demasiados Privilegios

30. © 2017 Centrify Corporations. All Rights Reserved.32
SOLUCIONES
PARA INCREMENTAR LA MADUREZ
Aplicaciones Endpoint Infraestructura

31. © 2017 Centrify Corporations. All Rights Reserved.33
CERO CONFIANZADEMASIADA CONFIANZA
APPLICATION
SERVICES
INFRASTRUCTURE
SERVICES
Single Sign-on
Device Management
Authentication Services
Adaptive MFA
Adaptive MFA
Adaptive MFA
Risk-Based Access
App Management
Privilege Elevation
Mobility Management
Endpoint Privilege
Shared Password Management
App Gateway
Smartcard & Derived Creds
Audit & Report
SECURES ACCESS
TO APPS
ENDPOINT
SERVICES
FROM ANY
ENDPOINT
SECURES ACCESS
TO INFRASTRUCTURE
CENTRIFY DETIENE LAS BRECHAS
MEDIANTE LAS MEJORES PRACTICAS DE CERO CONFIANZA

32. © 2017 Centrify Corporations. All Rights Reserved.34 © 2017 Centrify Corporations. All Rights Reserved.34
Single Sign-on
Adaptive MFA for App Access
Workflow & Lifecycle Management
Mobility Management
App Gateway
Device Management
Adaptive MFA for Endpoints
App Management
Endpoint Privilege Management
Smartcard & Derived Credentials
Identity Broker
Adaptive MFA for Privileged Access
Privilege Elevation
Shared Password Management
Privileged Access Request
Secure Remote Access
Auditing & Monitoring
Directory + Policy + Federation + Workflow + Reporting
Risk-based User Scoring › Behavior Analysis and Reporting
ANALYTICS
CORE SERVICES
APLICACIONES ENDPOINTS INFRAESTRUCTURA
SOLUCIONES
PLATAFORMA DE CENTRIFY

33. © 2017 Centrify Corporations. All Rights Reserved.35
95%
Retención
5,000+
Con la confianza de más de 5,000 clientes

34. © 2017 Centrify Corporations. All Rights Reserved.36
6of top10
U.S. Retailers
6of top10
U.S. Financial Services
Companies
7of top10
Pharma Companies
100+
Federal Agencies
6of top10
Worldwide Telcos
5of top10
Energy & Transportation

35. © 2017 Centrify Corporations. All Rights Reserved.37
LIDER GARTNER IDAAS MQ PC MAGAZINE EDITOR’S CHOICE
Best Identity Management
Solution of 2017
UNICO FABRICANTE EN PIM, IDaaS Y EMM
CLARO LIDERAZGO DEL MERCADO
GANADOR NETWORK WORLD CLEAR CHOICE
LIDER FORRESTER PIM WAVE LIDER FORRESTER IDAAS WAVE STRONG PERFORMER FORRESTER EMM WAVE
The Forrester Wave™ is copyrighted by Forrester Research, Inc. Forrester and Forrester Wave are trademarks of Forrester’s call
on a market and is plotted using a detailed spreadsheet with exposed scores, weightings, and comments. Forrester does not
endorse any vendor, product, or service depicted in the Forrester Wave. Information is based on best available resources. Opinions
reflect the judgement at the time and are subject to change.
Gartner “Magic Quadrant for Identity and Access Management as a Service” by Gregg Kreizman, June 2016. Gartner does not
endorse any vendor, product or service depicted in its research publications, and does not advise technology users to select only
those vendors with the highest ratings or other designation. Gartner research publications consist of the opinions of Gartner's
research organization and should not be construed as statements of fact. Gartner disclaims all warranties, expressed or implied,
with respect to this research, including any warranties of merchantability or fitness for a particular purpose.

36. © 2017 Centrify Corporations. All Rights Reserved.38
DESAFÍEN
un enfoque basado en el perímetro
ADAPTEN SU FORMA DE PENSAR
a un escenario donde no hay barreras (ni muros)
APROVECHEN EL PODER
de los servicios de identidades
REPLANTEEN LA SEGURIDAD

37. © 2017 Centrify Corporations. All Rights Reserved.39
GRACIAS