jueves, 21 de mayo de 2015

Seguridad 360º No todo es web o perímetro !!!

Estimados amigos de Inseguros !!!

En esta entrada voy a tratar de explicar algunos conceptos que me parecen interesantes en el ámbito de la seguridad de la información o seguridad informática.

Para entrar en materia en la cuestión que quiero expresar, voy a empezar a hablar de coches !!! :-)

Todos conocemos las medidas de seguridad que llevan los coches. Por ejemplo, el ABS es una medida de seguridad, preventiva, al igual que pueda ser el ESP o como se llame en tu marca. Sin embargo, el cinturón y el airbag también son medidas de seguridad, de carácter reactivo, es decir, una vez sufrido un accidente, minimiza el daño en el conductor/pasajeros. Por ejemplo otra medida es la capacidad de deformación de los chasis que hacen que el habitáculo se mantenga lo más intacto posible.


Seguro que coincides conmigo en que tener unas buenas luces ayuda en la seguridad de la conducción. Pasar la ITV ( normativa española para el control del estado de los vehículos) sin duda es otra medida de seguridad, en este caso de ámbito legal. Control la correcta presión de los neumáticos, es sin duda una pequeña acción por parte del usuario que contribuye en una conducción más segura.

Conoces los cursos que dan algunas marcas u organismos sobre conducción segura? Sería formación de cara a la seguridad de la conducción.


Un sistema de ayuda al parking se podría considerar un elemento de seguridad también, aunque en este caso cubre la seguridad de la carrocería del coche y no de la persona...

No es el objetivo del artículo enumerar los distintos sistemas de seguridad de la industria del automóvil, no mientras no me paguen. Pero seguro que sirve de ayuda para comprender el concepto de seguridad en profundidad, estrategias de reducción de impacto ante un incidente, sistemas proactivos, pasivos, etc...

Vamos a hablar de lo que nos gusta, de la seguridad, o mejor dicho, de las empresas. Cuando trabajas en un proyecto de seguridad, a nivel personal en tu empresa o bajo un proyecto formal, seguro que tienes en mente auditar el firewall, la seguridad wi-fi, las claves, etc pero estás teniendo en cuenta todos los vectores que inciden en la seguridad de tu empresa? Estarás de acuerdo conmigo que usando el caso de los coches, no es suficiente con un buen Airbag, o un buen ABS, al final, TODOS los elementos suman a la hora de hacernos la vida "más segura". En la parte informática igual.

Lo primero hacer un distinción básica entre Proceso, personas y tecnología.
HAY QUE ATACAR LAS 3 ÁREAS

Típico ejemplo de antivirus que te dice si quieres acabar con el mundo si pulsas el botón, y el usuario lo hace...


Vamos a poner otro ejemplo y acabo, o mejor dicho empiezo el artículo. Imagina una empresa con una web en html estática, con un logotipo, y una simple dirección de correo de contacto. Necesita una auditoría web? vas a sacar algún fallo? es la parte de la seguridad que MAS le interesa a la empresa que contrata el servicio? NO.

Como indica el título, debemos tener una visión de 360º de la seguridad de nuestros sistemas, a TODOS los niveles.

En estas líneas voy a intentar resumir un poco los aspectos que a mi más me interesan de la seguridad en una empresa, para hacerte reflexionar sobre si es suficiente con el firewall que compraste el año pasado, o con la WPA2 del router WIFI de timofónica...
  • Firewall Perímetro. Usas un firewall? está actualizado? tiene la suficiente tecnología para las amenazas actuales? revisas los logs? trabajas las reglas para adaptar las necesidades de seguridad perimetral a los ataques actuales? está bien configurado?.
  • DMZ. Usas una tecnología de doble capa en la dmz con distintos fabricantes? está bien configurado?.
  • Firewall WIFI. Usas una dmz o una red de acceso limitado para esos accesos wifis "no controlados" como los móviles de los empleados o los visitantes?.
  • Implementas protocolos seguros en tus servicios externos? ssl o tls? ftp o sftp? pptp o ipsec?
  • Firewall Web. Usas un sistema de firewall a nivel aplicación http para detectar ataques específicos a los sistemas web? Lo tienes instalado en el portal de la empresa, o tambien en aquellos webmin, webmail o similares? usas reglas actualizadas?.
  • IDS/IPS. Implementas en tu organzación un sistema IDS/IPS tanto en el perímetro como en la DMZ y la red interna? Usas reglas comerciales? están actualizadas?
  • Documentación. Tienes una lista de servicios públicos, dirección, puerto y sobre todo, justificación para el negocio?.
  • Documentación. Tienes un esquema a nivel físico o lógico de los sistemas de información para detectar puntos de fallo y sobre todo, posibles puntos vulnerables?.
  • BYOD. Si un empleado pierde el móvil de empresa, con correos, datos, contraseñas, etc, están bloqueados? lo tienes controlado?.
  • Buenas prácticas. Sigues las guías de los "vendors" sobre buenas prácticas de seguridad en los sistemas que usas?.
  • Separas TODAS las funciones de tus servidores en pequeños servidores aislando así los servicios? de Todos?.
  • Inventario. Tienes un inventario REAL, actualizado, con información de valor sobre versiones de software instalado? controlas el software ilegal en tu empresa?
  • Updates. Actualizas todos tus sistemas operativos? el hardware? las aplicaciones? de todos?
  • Existe un documento en el que se especifique la relación entre usuarios/grupos/permisos de acceso? auditas periódicamente el grado de efectividad de la estrategia de Roles?.
  • Política de revocación/asignación de permisos?.
  • Seguridad en claves? accesos?
  • Medidas de seguridad anti-fingerprint?
  • Empleas honyepots para aprender/distraer a tus atacantes?
  • Detectarías un ataque Mitm basado en inundación ARP? y un dns poising?
  • Medidas físicas tanto en el cpd como en los puestos?.
  • Auditorías de seguridad haces a menudo? internas? externas? revisas los cambios? compruebas que se solucionan?.
  • Tus usuarios tienen la formación que necesitan en materia de seguridad?.
  • Cifrado de discos? al menos en portátiles?Cifrado de backups en medios extraíbles?
  • Destrucción de soportes?
  • Llaves en armarios?. Sabes el daño que puedo hacer con una factura del hosting o telefónica, y unas dotes de ingeniería social al teléfono?
  • Política de retención/gestión de logs para análisis forense?.
  • Esquema de logs de TODOS tus sistemas?.
  • Usan tus programadores algunas guías o formación en desarrollo seguro?.
  • Controlas la seguridad en las relaciones con terceras empresas?
  • Usas un servidor de hora centralizado en TODOS tus dispositivos?
  • Implementas medidas de mitigación de ataques DDOS.
  • Implementas medidas en tu organización para monitorizar la reputación online de tu empresa? Detectarías una defacement antes que tus clientes?
  • ...
No voy a comentar TODAS las medidas de seguridad o aspectos a tener en cuenta. Creo que con los de la lista te puedes hacer una idea del concepto. 

Después de repasar esta lista, que podría "doblar" de contenido, crees que sigues necesitando una auditoría externa de 10.000€ para tener sensación de seguridad? sigues pensando qué un Forti. o MK será suficiente para garantizar la seguridad de tu red? sigues pensando que todo en la seguridad es complejo o cuesta dinero?.

El animarme a redactar este artículo es porque cada vez proliferan más las empresas que ofrecen servicios de seguridad. Las típicas auditorías de seguridad externas, pero esto es solo una parte de todo el conjunto, y suele ser cara, si la quieres hacer bien.


Te animo a reflexionar sobre todo esto y sobre todo a que empieces por pequeños pasos, fáciles, gratuitos, que puedan SUMAR en la estrategia de seguridad de la empresa y sobre todo, transmitir que en la seguridad NO TODO ES XSS y SQLi como parece que es la moda en los últimos 5 años.

Ojo, tampoco soy partidario de que un consultor con corbata te habla de la LOPD o de la ISO 27001 sin tocar ni un equipo..

Como siempre, gracias por leerme.

Si tienes alguna duda o comentario, bienvenido sea !!