the security officer role in virtual environments - (isc)2 latam congress 2016

The Security Officer Role in Virtual Environments

Mateo MartínezCEO KOD LATAM SECURITY

www.kod.uy

2

Mateo Martínez∗Papá (x2)∗CISSP∗C|EH∗ISO 27001 Lead Implementer∗ex PCI QSA∗ITIL∗Gerente General de KOD LATAM SECURITY (www.kod.uy)∗Docente Hacking Ético en Universidad ORT∗Líder del capítulo OWASP Uruguay∗OWASP Web Application Security Person of the Year 2015 ∗Contacto: @mateomartinez1

www.kod.uy

PANORAMA ACTUALSegún las diferentes perspectivas

Mercado de Ciberseguridad (2019)

12B ¿Hackeado?

¿Controlado?

¿incidentes?

IoT Voto

Modernizar Smart Cities

Un poco de contextoDe Ciberseguridad en Latinoamérica

¿Ataques?

Tipos de OrganizacionesEn Latinoamérica y en el mundo

“Hay 2 tipos de organizaciones, aquellas que sufrieron una intrusión y aquellas que aún no se dieron cuenta”

¿Cómo sentimos que estamos?

¿Cómo nos hemos preparado?

Así estamos...

Así nos ven los atacantes...

Así son los atacantes

Y así...

Y así también...

Y aún así...

O incluso así...

También se ven ...

RansomwareEstá haciendo estragos en latinoamérica, falta trabajar conceptos básicos de seguridad

DDoS (usando IoT)Los últimos ataques a nivel global han sido utilizando cámaras y DVRs vulnerables

Herramientas disponiblesUn sin fin de herramientas disponibles para los atacantes y sin posibilidad de trazabilidad

Fuente: http://www.informationisbeautiful.net/visualizations/worlds-biggest-data-breaches-hacks/

Ataques famososA nivel Internacional

Debemos cambiar el foco, de protegernos contra ataques, a cuidar la información

Ataques vs InformaciónProtección contra ataques conocidos vs proteger la información

Informe Ciberseguridad 2016 (OEA/BID)¿Estamos preparados en América Latina y el Caribe?

Alcance e IndicadoresInforme Ciberseguridad 2016

32 Países

Infraestructuras

Críticas

Gestión de

Incidentes

49

Indicadores

Nivel de

Madurez

Educación

en Seguridad

Tienen estrategias

de Ciberseguridad

Países llegan a

Nivel intermedio de

madurez

en ciberseguridad

Cuentan con programas

de educación en

Ciberseguridad

Países sin coordinar la

respuesta a incidentes

68

616

Situación de los Países (32)Algunos a nivel intermedio pero lejos de países avanzados

Implementación Evaluación

Diseño

Países sin estrategias o plan

80%

Estrategias y Planesestrategias de ciberseguridad o planes de protección de infraestructura crítica

Países sin centro de comando y control

66%

Centro de ComandoY control de seguridad cibernética

“Los CSIRT limitarán las pérdidas que le causará la delincuencia

cibernética a la economía local"

Centros de RespuestaEn Latinoamérica

Resultado de la aplicación del Modelo de Madurez de Capacidad de Seguridad Cibernética, que consta de cinco niveles:

• Inicial• Formativo• Establecido• Estratégico• Dinámico

Modelo de MadurezEn Latinoamérica

Política y estrategiaPolíticas y Estrategias a nivel nacional de seguridad cibernética

Cultura y sociedadCultura Cibernética y sociedad

EducaciónEducación, Formación y competencias en seguridad cibernética (Educación)

Marcos LegalesMarco jurídico y reglamentario

TecnologíasNormas, Organización y Tecnologías

Modelo de MadurezEn Latinoamérica

Países que llegaron a nivel intermedio:• Argentina• Brasil• Chile• Colombia• México• Trinidad y Tobago• Uruguay

Mid

Política y EstrategiaEn Latinoamérica, foco en los 7 en mejor nivel

Argentina Brasil Chile Colombia MéxicoTrinidad

y TobagoUruguay

Política y estrategia

Estrategia nacional

Desarrollo de la estrategia 2 2 2 3 2 3 3

Organización 2 2 2 2 2 2 4

Contenido 3 2 2 3 2 3 2

Defensa cibernética

Estrategia 2 3 2 2 2 2 2


Coordinación 1 2 2 2 2 3 4

Cultura y SociedadEn Latinoamérica, foco en los 7 en mejor nivel


y TobagoUruguay

Cultura y sociedad

Mentalidad de seguridad

En el gobierno 2 2 2 2 2 2 4

En el sector privado 3 3 3 2 2 2 3

En la sociedad 2 2 2 3 1 2 3

Conciencia de seguridad

Sensibilización 2 2 2 3 2 1 4

Confianza en uso de internet

En los servicios en línea 2 3 2 3 2 3 4

En el gobierno electrónico 2 3 2 3 3 2 5

En el comercio electrónico 2 3 3 2 3 3 4

Privacidad en línea

Normas de privacidad 4 3 4 3 4 4 5

Privacidad del empleado 1 2 2 3 3 2 4

EducaciónEn Latinoamérica, foco en los 7 en mejor nivel


y TobagoUruguay

Educación

Disponibilidad nacional

Educación 3 3 2 3 3 2 3

Formación 2 3 2 2 3 2 5

Desarrollo nacional

Desarrollo nacional de la

educación1 2 1 2 2 1 3

Formación e iniciativas

Capacitación de empleados 2 3 2 3 2 3 4

Gobernanza corporativa

En las empresas estatales y

privadas3 3 3 2 2 3 2

Marcos LegalesEn Latinoamérica, foco en los 7 en mejor nivel


y TobagoUruguay

Marcos legales

Marcos jurídicos de seguridad

Para la seguridad de las TIC 3 3 3 2 3 3 4

Privacidad, protección de

datos y otros derechos

humanos

3 3 3 3 3 2 5

Derecho sustantivo de

delincuencia cibernética3 3 3 3 3 3 1

Derecho procesal de

delincuencia cibernética3 4 4 3 2 3 2

Investigación jurídica

Cumplimiento de la ley 3 4 3 3 4 4 2

Fiscalía 3 2 3 2 2 2 2

Tribunales 2 2 2 2 2 2 2

Divulgación responsable

Divulgación responsable de la

información1 1 1 1 2 3 1

TecnológíasEn Latinoamérica, foco en los 7 en mejor nivel


y TobagoUruguay

Tecnologías

Adhesión a las normas

Aplicación de las normas y

prácticas mínimas aceptables2 2 2 2 2 2 2

Adquisiciones 2 2 2 2 2 1 3

Desarrollo de software 2 2 2 2 3 1 2

Organizaciones

Centro de mando y control 4 3 2 3 3 2 3

Capacidad de respuesta a

incidentes2 4 2 2 3 2 5

Respuesta a incidentes

Identificación y designación 4 3 2 2 4 2 4



Resiliencia

Infraestructura tecnológica 3 3 3 3 3 3 3

Resiliencia nacional 2 2 3 2 3 3 3

Tecnologías (2)En Latinoamérica, foco en los 7 en mejor nivel


y TobagoUruguay

Infraestructura crítica

Identificación 2 2 3 2 2 2 2


Planeación de respuesta 2 2 2 1 3 2 3


Gestión de riesgos 2 2 2 2 2 2 2

Gestión de crisis

Planeación 3 2 2 2 2 1 2

Evaluación 2 2 2 2 2 2 2

Redundancia digital

Planeación 2 2 2 2 2 3 3


Mercado de la ciberseguridad

Tecnologías de seguridad

cibernética2 3 2 2 2 2 2

Seguros de delincuencia

cibernética2 3 3 2 2 1 3

Situación de Colombia

Modelo de Madurez (Brasil)

Comando de Defesa Cibernética y

una Escuela de Defensa

Cibernética Nacional.

Representantes de las

tres fuerzas armadas

brasileñas

2010 Guía para

infraestructuras críticas

Varios

CSIRTS

Situación de Brasil

Modelo de Madurez (Brasil)

Ciberseguridad Industrial en LatinoaméricaCCI (Centro de Ciberseguridad Industrial)

Análisis (DAFO)Ciberseguridad Industrial 2016

Sectores IndustrialesCiberseguridad Industrial 2016

Herramientas DiferenciadorasCiberseguridad Industrial 2016

Sin capuchas negras, sin lugares oscuros, sin conspiraciones… ¿Es posible averiguar cuantos sistemas industriales hay expuestos en Latam?

Exposición máximaCiberseguridad Industrial 2016

Bajo nivel de uso de IPS/IDS, comunicaciones cifradas y gateways unidereccionales.

Falta de regulación sobre ciberseguridad industrial

Ausencia de equipos de respuesta especializados

Problemas actualesCiberseguridad Industrial 2016

Ambientes Virtuales Año 2016

Mensaje PrincipalPara Latinoamérica

Venimos de 10 años de transformación hacia datacenters virtuales y nube…¿y qué visibilidad tenemos desde seguridad?

El rol del CISOAlgunas de las problemáticas actuales

Responsable – Sin visibilidad

Controlar – Sin herramientas

Auditar – Sin acceso

Planificar – Sin ser involucrado

El rol del CISOAlgunas de las problemáticas actuales

96% + complejidad que hace 5 años

59% de los cambios no son consultados

99% herramientas obsoletas en virtuales

Problemáticas en Ambientes VirtualesRiesgos principales que han pasado inadvertidos

Cumplimiento y auditoría con tareas manuales

Falta de visibilidad desde áreas de seguridad

Conexión a redes de distintas áreas o empresas

Falta de Hardening, copias y acceso sin control

Algunos de los riesgosRiesgos principales que han pasado inadvertidos

• Copias completas del datacenter (en un USB o cualquier medio)

• Ver consolas de VMs por parte de admins de virtualización

• Acceso no autorizado a ambientes de administración de VMs

• Conexión entre redes de desarrollo y producción

• Publicación en DMZ por error

• Cambios no autorizados

• Incumplimiento de buenas prácticas de hardening

• Acceso a datos en storage confidenciales

Control de IntegridadTanto de configuraciones virtuales

como de archivos

Control de AccesoControl de Acceso al ambiente

virtual

Gestión de CambiosEl rol de oficial de seguridad

informática, que aprueba o rechaza

cambios

Visibilidad para Seguridad

Los oficiales de seguridad de la

organización sobre las actividades

realizadas en ambientes virtuales

Cumplimiento• PCI-DSS

• ITIL

• COBIT

• ISO 27001

¿Visibilidad?Para un riesgo existente en cualquier ambiente virtual

Admin. Usuarios

Roles de Seguridad y Control de Acceso sobre la infraestructura virtual

Etiquetado

Segmentación de la infraestructura virtual por

categoría y niveles de seguridad.

GestiónGestión centralizada, monitoreo, reportes

y controles

Protección

Protección contra amenazas específicas en entornos virtuales

ControlSupervisión de integridad y Gestión de cambios de las máquinas virtuales e inicio de sistema seguro Evitar fuga de

informaciónProtección contra la copia no

autorizada, la clonación, la transferencia y la destrucción

de las máquinas virtuales

¿Qué necesitamos?

¿Cómo solucionarlo?

• Clasificar y etiquetar Hardware virtual

• Control de Cambios

• Control de Integridad

• Monitoreo de red de administración

• Controlar acceso a las consolas de VMs

• Control de copias a USB

• Control de snaphots

• Monitoreo de tráfico de red virtual

• Correlación de eventos de seguridad

Puntos clave y conclusiones

Mensaje PrincipalPara Latinoamérica

La seguridad es de suma importancia para facilitar el progreso de la sociedad incorporando tecnología

Mensaje PrincipalPara ambientes virtuales

Es necesario entender el cambio de paradigma, involucrarse y actualizar las herramientas y controles en ambientes virtuales

Riesgos PrincipalesPrincipales riesgos a considerar

Colaboración

entre países en

“Ciber-temas”

Implementar procesos de

mejora y modernización en

forma segura

2

1

Reforzar

cooperación

Pública-Privada

Pensamiento

estratégico y

objetivos a

largo plazo,

considerando

virtualización y

nube

4

3

ConclusionesAlgunas ideas y puntos a trabajar en forma urgente

Es necesario invertir en capacitación y tecnologías modernas

La situación en Latam es alarmante

Aún hay mucho por hacer, la mayoría de los países en nivel de

madurez bajo

Es necesaria la colaboración entre países para resolver

incidentes

¡Muchas gracias!Mateo Martínez

CEO KOD LATAM SECURITYwww.kod.uy

the security officer role in virtual environments - (isc)2 latam congress 2016

Technology