20140409 la informacion se mueve.pdf
TRANSCRIPT
La información se mueve, ¿tu seguridad también?
4 Septiembre 2014
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
LOS TIEMPOS HAN CAMBIADO
AGENDA
1. Introducción
2. Amenazas, vulnerabilidades y riesgos
3. Gobierno de dispositivos móviles
4. Administración de dispositivos móviles
5. Recomendaciones “hardening de dispositivos”
6. Aseguramiento de dispositivos móviles
7. Conclusiones
1. Introducción
¿Qué es un dispositivo móvil?
Tradicionales Actualidad (emergentes)
2013 fue el año en que los dispositivos móviles como los smartphones superaron el número de PC´s y laptops en el mundo
Otros Dispositivos
Nubes Privadas
Redes Corporativas
Dispositivo Móvil
GSM GPRS/EDGE 3.5G 4G/LTE Bluetooth WLAN NFC Capa
Conexión Capa
Conexión
Conexión de los dispositivos móviles
Nubes Públicas
Evolución del uso de dispositivos móviles
INTERNET
DE LAS COSAS
• Teléfonos móviles • Análogos • Digitales (2G)
• Dispositivos inteligentes
• GSM • GPRS
• Primer Smartphone • Banda ancha • Servicios nube • Capacidad PC móvil
• Smartphone avanzado • Conexión a múltiples
gadgets • Internet de las cosas
Del celular al “Internet de las cosas”
1980 1990 2000 2010
Movilidad y Flexibilidad Patrones de trabajo
Perímetro Organizacional
Otros impactos
Impacto en negocios y sociedad
(+) (-)
•BYOD ventajas: •Mayor productividad •Ahorro en infra TI •Empleados contentos
BYOD riesgos: •Múltiples dispositivos y riesgos •Reto para administrarlos
(+) (-)
•Facilidad Home Office •Ambiente
organizacional innovador (adopción
veloz de tech)
•Pérdida de frontera entre trabajo y vida personal •Pérdida de tiempo
(+) (-)
•Expertos en seguridad mayor capacitados
•Frontera lógica difusa •Enfoque tradicional de
seguridad no es suficiente
(+) (-)
•Mayor conectividad •Alta disponibilidad
de la información •Servicios de valor
agregado (big data)
•Conexiones y/o interacciones riesgosas •Fuga de información
(desatendida)
2. Amenazas, vulnerabilidades y riesgos
Tipos de riesgos en dispositivos móviles
Riesgos
Físicos
Organizacionales Técnicos
Riesgo Físico
´
Fuente: Encuesta Informationweek 2013
• Uso de Dispositivos móviles está presente en todos los niveles. • Los ambientes de PC se han robustecido, pero los dispositivos móviles aún
no, cuentan seguridad débil y son difíciles de administrar. • Alta diversidad de dispositivos, tiempo de vida de los OS y Apps es muy
corto. • Aplicaciones complejas (riesgo de acceso a fotos, geolocalización, etc.). • Falta de capacitación a usuarios en uso de dispositivos móviles.
El riesgo organizacional se incrementa debido a la información que almacena o a la que tenga acceso el dispositivo
Riesgo Organizacional
Aplicaciones Office
VPN
Servidores datos
Bases de datos
CRM
Wiki corporativa
SaaS y Cloud
RH apps
61%
48%
41%
31%
29%
28%
24%
21%
95%
Activos de información accesados a través de dispositivos móviles
Fuente: Encuesta Informationweek 2013
• Monitoreo de actividades y Recuperación de información (a través de malware). • Mensajes, Audio, Fotos, video, geolocalización, información estática, historiales,
almacenamiento.
• Conectividad no autorizada. • El malware/spyware eventualmente necesita ponerse en contacto con el
atacante, para esto utiliza los siguientes vectores de comunicación. • Email, SMS, HTTP, TCP, UDP, DNS, Bluetooth, WLAN.
• Suplantación de vista web o interface de usuario. (UI Impersonation)
• Los dispositivos móviles soportan la mayoría de protocolos web, sin embargo, las páginas son modificadas por el proveedor del servicio para su visualización (en pantallas pequeñas), esto es aprovechado por los hackers para suplantar páginas y hacer phishing.
Riesgo Técnico
• Almacenamiento y Fuga de información sensible. • Los dispositivos móviles guardan mucha información sensible, esto incrementa el
riesgo de fuga de información. • La información guardada te dice todo del usuario, que hace, donde está y sus
preferencias (predice comportamiento). • Identificación, credenciales, localización, archivos
• Hasta las apps legítimas pueden tener fallas o almacenar información sensible en texto plano o sin encriptar.
• Transmisión de información no segura. • Los dispositivos móviles mayormente dependen de conexiones inalámbricas. • No todas las trasmisiones son encriptadas sobre todo en redes públicas. • Los usuarios tienden a no activar sus VPN en dispositivos móviles debido a su
complejidad, prefieren usar otro servicio que no sea por VPN.
Riesgo Técnico (cont…)
• Vulnerabilidades (por versiones recortadas). • MS Office y PDF en sus suites para dispositivos móviles no incluyen las mismas
validaciones que detectan links malformados, lo cual es un vector de ataque.
• Facilidad de uso. • Rápidas actualizaciones, nuevas apps, nuevas funciones, configuración de OS más
restringida, servicios mandatorios corriendo en bakground, opt-in (aceptación explícita) de funciones adicionales a apps, obligación a firmarse a la nube para obtener todos los servicios.
Riesgo Técnico (cont…)
78.40%
17.60%
3.20% 0.70%
Android
Apple iOS
Microsoft
Otros
Participación de mercado global de OS móviles
Fuente: Estudio de mercado Techcrunch 2014
Realidad actual participación de mercado
Comparando Manzanas contra Androides
Google Android • Plataforma Open Source.
• OS de Google, Open Handset Alliance. • Modelos Samsung, Motorola, HTC, otros. • Apps distribuidas por Google Play.
• Múltiples fuentes de apps (varias ilegítimas). • Puede soportar múltiples appstores.
• No necesita rooting para correr código no firmado. • Grandes cantidades de malware por su penetración
de mercado y que aprovechan lacks en OS (ej. Guardar conversaciones en microSD)
Comparando Manzanas contra Androides
Apple iOS • Plataforma Propietaria “Cerrada”:
• Todos los dispositivos de Apple. • Despliegue prácticamente uniforme. • Apps distribuidas por App Store.
• iOS tiene pocas formas de instalarle software: • Appstore. • Ambientes controlados para testing. • Aplicando Jailbreak al dispositivo.
• Su App Store efectivamente actúa como: • Whitelist para verificar apps (firmas). • Un punto común de actualizaciones.
Y entonces, viendo riesgos e impactos: ¿Todo está perdido?
¿Qué hacemos?
3. Gobierno de dispositivos móviles
Gobierno de dispositivos móviles
El primer paso para tomar la decisión estratégica es plantear un buen caso de negocio:
• Riesgos de seguridad e impactos potenciales. • Consideraciones costo beneficio. • Valor agregado (flexibilidad / productividad). • Habilitadores estratégicos para uso de móviles.
Gobierno de dispositivos móviles
La decisión estratégica que se tome puede ser una de las siguientes:
• Solución de plataformas estandarizadas. • BYOD “Puro”. • Estrategia combinada.
4. Administración de dispositivos móviles
Administración de dispositivos móviles
Enfoque para administración de dispositivos móviles:
1. Categorización y clasificación de dispositivos móviles.
2. Identificación y clasificación de riesgo por tipo de dispositivo.
3. Identificación de controles existentes para dispositivos móviles y robustecimiento de los mismos.
4. Identificación de actividades de seguridad y prácticas para cada habilitador de Cobit.
1. Categorización y clasificación de dispositivos móviles
Categoría Dispositivos Ejemplos
1 Almacenamiento de datos (limitado), servicios de telefonía y mensajes básicos, OS propietario (limitado), sin capacidad de procesamiento de datos.
• Celular tradicional
2 Capacidades de procesamiento y almacenamiento de datos (incluyendo externos) , 0S estandarizado y configurable, servicios ampliados.
• Smartphones • Primeras
Pocket PC
3 Capacidades de almacenamiento, procesamiento y transmisión de datos a través de diferentes canales, conectividad a Internet de banda ancha, 0S estandarizado y configurable, capacidades de una PC.
• Smartphone avanzados.
• Tablets
4 Combinación de todas las capacidades anteriores y nuevas tecnologías.
• Dispositivos emergentes.
Categorías de dispositivos móviles
2. Identificación y clasificación de riesgos por tipo de dispositivo
Categoría / Riesgo Categoría 1 Categoría 2 Categoría 3 Categoría 4
Físico
Robo Baja Media Alta Alta
Pérdida Media Media Media Media
Daño / Destrucción Alta Alta Baja Baja
Organizacional
Aglomeración / Usuarios “especiales” Baja Baja Alta Alta
Complejidad / Diversidad Baja Media Alta Alta
Técnico
Monitoreo de actividad, Recuperación de datos Baja Alta Alta Alta
Conectividad de red no autorizada Baja Media Alta Alta
Vista web / Suplantación de Identidad Baja Media Alta Alta
Fuga de datos sensibles Baja Alta Alta Alta
Almacenamiento de datos sensibles inseguro Media Alta Media Media
Transmisión insegura de datos sensibles Baja Alta Media Alta
Vulnerabilidades (por versiones recortadas) Baja Alta Alta Alta
Usabilidad Baja Baja Alta Alta
Clasificación de riesgos de dispositivos móviles
Rie
sgo
fís
ico
/ o
rgan
izac
ion
al
Riesgo tecnológico Bajo Alto
Alto
Cat. 1
Cat. 2
Cat. 3
Cat. 4
2. Identificación y clasificación de riesgo por tipo de dispositivo
3. Identificación de controles existentes
• Modelo de seguridad
• Seguridad de lado de proveedor
• Parches y control remoto
• Software agregado
• Encapsulación
• Adiciones adecuaciones OS
• OS alternativos
• Protección del firmware
• Seguridad embebida en el dispositivos
• Cifrado, etc.
Capa de Hardware
Capa de Sistema Operativo
Capa Secundaria
4. Identificación de actividades de seguridad y prácticas para cada habilitador
•Admón. Seguridad •Monitoreo Seguridad
•Responsable asignado •Perfil personal SI definido
•Uso responsable •Concientización • Incentivos
•Ajustar política SI: • Principios • Referencias
•Crear política BYOD •Otras…
Proteger info sensible: • Corporativa • Personal • En la nube
•MDM, MAM, MCM = EMM •OS, Aplicaciones, Conectividad
•Habilidades de: • Expertos en SI • End Users
•Capacitación a usuarios
5. Recomendaciones de “hardening” de dispositivos móviles
“Hardening” de dispositivos móviles
Para implementar adecuadamente una estrategia de seguridad móvil, algunos pasos tecnológicos deben ser ejecutados, conocidos como hardening:
Almacenamiento interno Permanente y Semipermanente
Almacenamiento externo o removible
Conectividad (todos los canales)
Funcionalidad remota
Dispositivo y SIM Card
Enfoque de hardening de adentro hacia afuera, por capas.
Guía de hardening
6. Aseguramiento de dispositivos móviles
1er Línea - Administración
• Autoevaluaciones • Revisiones de Admón. • Pruebas de Seguridad • Pruebas Funcionales
2da Línea – Administración de Riesgo
• Riesgo dispositivo móvil • Eval. de riesgos • Valoración impactos • Riesgos de Seguridad
3er Línea – Auditoría Interna • Controles Internos • Cumplimiento políticas • Aceptación de riesgo • Controles Seguridad
Líneas de defensa y revisiones típicas
Aseguramiento de dispositivos móviles
Una adecuada estrategia de seguridad en dispositivos móviles incluye un buen programa de Auditoría/Aseguramiento de los mismos. La estrategia de Auditoría para dispositivos móviles genera preguntas:
• ¿Qué debo auditar?
• ¿Cuál es mi universo de auditoría?
• Si se permite BYOD, ¿Dónde empieza el dispositivo móvil y donde termina?
Barreras de Auditoría
Dispositivo Conectado (Ej. Carro)
Dispositivo Conectado
(Ej. GPS)
Dispositivo Conectado
(Ej. juguete)
Barrera Audit Barrera Audit Barrera Audit
Bar
rera
Au
dit
Datos e Información
Redes Corporativas
Redes Públicas
Dispositivo Móvil
Fronteras de Auditoría y Barreras para dispositivos móviles
El universo de Auditoría debe ser definido en base a la información que reside y se procesa en el dispositivo.
Aseguramiento de dispositivos móviles
Una vez identificado el universo de auditoría se deberá seguir el procedimiento tradicional de Auditoría:
Planeación Alcance Ejecución Reporte Seguimiento
Consideraciones especiales: • Es posible los dispositivos no estén disponibles en todo momento para su
revisión • Utilizar auditorías con enfoque centralizado y descentralizado.
• Aspectos legales de privacidad de auditados y fabricantes de dispositivos
• Pérdida de garantía de dispositivos, demandas de empleados.
BYOD Audit/Assurance Program Mobile Computing Security Assurance Program
Investigación o Auditoría forense
de dispositivos móviles
• Resguardo físico • Aislamiento • Congelamiento
• Instantánea (Imagen) • Extraer línea de tiempo (Info) • Extraer la carga útil (Info)
• Asegurar la evidencia • Probar su admisibilidad • Informar sobre la evidencia
• Obtener aprobaciones • Liberar
Asegurar Dispositivo
Asegurar Información
Analizar Información
Liberar Dispositivo
Pasos para investigar un dispositivo (A través de él)
• Evidencia perimetral • Contrapartes • Revisar interacciones
• Almacenamiento secundario y replicación • Información transitoria • Información incidental
• Almacenamiento y transmisión • Otra actividad • Informar sobre la evidencia
Perímetro Dispositivo
Información Replicada
No Repudiación
Pasos para investigar un dispositivo (Alrededor de él)
7. Conclusiones
Conclusiones
• La Estrategia de Seguridad Integral para Dispositivos Móviles debe plantearse así: • Gobierno Administración Hardening Auditoría
• Los controles clave:
• Política de seguridad y uso de dispositivos móviles. • Evaluación de riesgos (dispositivos móviles). • Mitigación de riesgos (EMM; Configuración de Seguridad). • Capacitación y concientización de usuarios en uso de dispositivos móviles. • Proceso de cumplimiento/aseguramiento continuo (Monitoreo, Auditoría).
• Proteger los dispositivos en base a la información que procesan, transmiten y/o
almacenan.
• BYOD está aquí para quedarse:
• Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas
tecnologías • Incrementa productividad
empleados
• Gobierno de Seguridad complejo
• Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes
• iOS/Android , ¿Quién gana?
Conclusiones
Recuerda es acerca de “limitar” para controlar
• BYOD está aquí para quedarse:
• Empleados contentos • Ahorros para empresas • Optimización trabajo TI • Adopción veloz de nuevas
tecnologías • Incrementa productividad
empleados
• Gobierno de Seguridad complejo
• Preocupaciones de privacidad • Cumplimiento regulatorio • Falta de uniformidad • Empleados renuentes
• iOS/Android , ¿Quién gana?
EMPATE
Conclusiones
Recuerda es acerca de “limitar” para controlar
PREGUNTAS
GRACIAS
Arnulfo Espinosa Domínguez, CISA, CRISC, Cobit 5F
Vicepresidente ISACA Capítulo Monterrey
4 Septiembre 2014
0102030405060708090
100
APPS? APPsolutamente necesario protegerlas
Techcrunch 2013
¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s)
BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security
Aceptación de BYOD
Techcrunch 2013
¿Qué es BYOD? Estrategia que permite a los empleados, proveedores y otros usuarios el utilizar dispositivos seleccionados y comprados por ellos para ejecutar aplicaciones de la empresa o accesar información de la misma. (Típicamente smartphones y tablets, pero también se puede usar en PC´s)
BYOD, provocó la tendencia BYOx, o Bring Your Own “Everything”: • … Device • ….Application • …Cloud • ….Security
Aceptación de BYOD
Techcrunch 2013
Componentes de una política BYOD
• Objetivo /Metas • Alcance • Definiciones • Marco legal / Normativo • Referencias • Roles y responsabilidades
• Usuario y TI (todas áreas) • Ciclo de vida de dispositivo
• Entrega, admón., respaldo y retiro • Listado de dispositivos aprobados:
• Incluir todo lo inalámbrico
• Listado de aplicaciones aprobadas • Expectativas de privacidad • Cláusulas sobre soporte
• Configuración gral. dispositivo • Información prohibida • Cláusulas uso responsable
• Correo, info, seguridad, etc. • Sobre reporte y tratamiento incidentes • Contrato “Opt In” usuario • Mejora continua • Capacitación del usuario
La política BYOD aplica también para escenarios combinados
Referencias útiles
ISACA • “Securing Mobile Devices” (2010 whitepaper) • “Securing Mobile Devices Using Cobit 5 for
information Security” • “BYOD Audit/Assurance Program” • “Mobile Computing Security Assurance • Program” • “Geolocation: Risk, Issues and Strategies” (2011
whitepaper) Otros • ENISA Smartphone Risks (www.enisa.europa.eu) • Cloud Security Alliance – Mobile Threats
(www.cloudsecurityalliance.org)
Herramientas y referencias útiles para controlar dispositivos móviles • Apple iOS Security
(www.cisecurity.org) • Google Android (www.cisecurity.org) • NIST Mobile Security Guidance (800-
124) • IOS_Application_Security_Testing_Ch
eat_Sheet • OWASP Mobile Security resources • Vendor guidelines • Certified Mobile Device Security
Professional (Link)
Herramientas • Mobisec (www.sourceforge.net) • Smartphone Penetration Testing
Framework (link) • Drozer (www.mwrinfosecurity.com)
¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles?
AYER…
¿Y tú cuando te convertiste en experto de BYOD y Seguridad de Dispositivos Móviles?
AYER…
LIKE A BOSS!!!