Reporte Anual de Seguridad Cisco 2011

A lo largo de la historia, hemos visto incontables empresas que no se adaptaron a los cambios y desaparecieron. De igual manera, los que trabajamos en tecnología, debemos adaptarnos a los cambios y adecuar las normativas a lo que se viene, porque no podemos ser nosotros los que pongamos piedras a la rueda en la evolución de las compañías en la que trabajamos, porque eso significará quedarnos sin trabajo.

Una lectura obligada es el Reporte Anual de Seguridad de Cisco 2011, rescato un fragmento muy interesante (de la página 8):

Diez años atrás, se les asignaba a los empleados una PC o una Notebook y se les decía que los cuiden (en el caso de la notebook que no la pierda). Se les asignaba un login a la red de la empresa y se le pedía que cuide su contraseña, fin del entrenamiento de seguridad. Hoy en día, los empleados “millenial” (la gente que se contrata porque traen ideas frescas a la empresa) aparecen a trabajar con sus smartphones, tabletas y sus propias notebooks y esperan integrar esos dispositivos a la red de la empresa. También esperan utilizar esos dispositivos conectados a la red de la empresa, a cualquier hora y desde cualquier lugar, sin poner en riesgo la seguridad de información de la empresa. De acuerdo a estos nuevos empleados, la seguridad no es su responsabilidad, ellos quieren trabajar duro desde su hogar o la oficina, utilizando redes sociales y aplicaciones en la nube para llegar al objetivo, mientras otros tienen que preocuparse por la seguridad.

El resultado del estudio realizado por Cisco en Connected World nos ofrece un pantallazo de cómo los trabajadores jóvenes y sus colegas estudiantes obligan a introducir cambios en la forma de ver la seguridad de información:

Los trabajadores jóvenes:

• Prefieren no tener horarios convencionales, desean trabajar a cualquier hora y en cualquier lugar
• Creen que deben tener acceso a las redes sociales, medios, blogs desde dispositivos conectados en la compañía.
• Quieren revisar su facebook por lo menos una vez al día
• No creen que necesiten estar en la oficina todo el día
• Creen que los de tecnología deben ser responsables por la seguridad, no ellos.
• Violarán cualquier política de seguridad si consideran necesario para lograr las metas laborales impuestas
• Poseen múltiples dispositivos como laptos, tabletas, y smartphones (a menudo más de uno), todos conectados a internet.

http://www.slideshare.net/cxocommunity/reporte-2011-de-cisco-sobre-seguridad-reporte-completo-en-ingls

Análisis de Productos de SANS

El SANS Institute hizo una serie de análisis de distintos productos y lo publicó en la web, super interesante:

http://www.sans.org/reading_room/analysts_program/

Obs: El Instituto SANS (SysAdmin Audit, Networking and Security Institute) es una institución con ánimo de lucro fundada en 1989, con sede en Bethesda (Maryland, Estados Unidos) que agrupa a 165.000 profesionales de seguridad informática (consultores, administradores de sistemas, universitarios, agencias gubernamentales, etc.)

Analizadores de Reglas (Firewalls, Routers, Switches, etc.)

Estuve leyendo en varios foros CISSP, que la fin de minimizar los errores humanos en la implementación de las reglas del firewall, se hace una verificaión de las reglas por medio de ciertas herramientas, cada vez que se introducen cambios en las reglas de los firewalls o incluso switches y routers, para ver que esas modificaciones que se realizan no generen brechas en la seguridad. Aquí está un recopilado que hice de las herramientas que más se usan para eso:

Firesec (Firewall Rulebase Analysis Tool): Es un producto de Network Intelligence, recomendado para analizar reglas de firewalls de empresas medianas a grandes. Apunta a solucionar problemas inherentes a grandes cantidades de reglas y ayuda a purgar y actualizar las reglas de acuerdo a los requerimientos de la red. Firesec proporciona múltiples funciones, tales como remover reglas redundantes, agrupar reglas similares y buscar patrones de reglas vulnerables.

http://www.niiconsulting.com/products/Firesec.html

Firemon (Better Security Through Better Management): Es una suite de productos que ayudan a administrar los firewalls, planeando y reportando cambios en las políticas, realizando análisis de riesgos en la red, etc.

http://www.firemon.com/

Nipper: Es una poderosa herramienta que permite realizar una auditoría de seguridad en su red, verificando switches, ruteadores y firewalls sin necesidad de conocimientos profundos. Nipper es fácil de utilizar y proporciona información detallada de cuestiones de seguridad identificando y ayudando a resolver vulnerabilidades.

http://espin.com.my/index.php?option=com_content&view=article&id=509&Itemid=61

Tufin Secure Track (Security Lifecycle Management): Es una herramienta muy costosa, es considerada la mejor de acuerdo a SC Magazine (la mejor revista de seguridad de TI del planeta). Permite gestionar políticas en los firewalls, monitorear los sistemas operativos de los firewalls, reportar riesgos de seguridad, auditoría, etc.

http://www.tufin.com/

AlgoSec: Tiene dos productos

• AlgoSec Firewall Analyzer (AFA): Es una herramienta no intrusiva de revisión de reglas, logs y topología, revisando la implementación de mejores prácticas y estándares regulatorios. Reporta y prioriza riesgos en implementación de políticas en el firewall. Gestiona reportes en conformidad con PCI-DSS y SOX, así como información de remediación para su cumplimiento.
• AlgoSec FireFlow: Automatiza el flujo de cambios de las políticas de seguridad incrementando la precisión, auditabilidad y gestión de cambios. FireFlow automáticamente analiza cambios para asegurar que las nuevas reglas no introduzcan riesgos o brechas. Para proporcionar una auditoría efectiva, FireFlow docuementa cada paso del proceso de trabajo.

http://www.algosec.com/en/solutions/by_role/information_security

NIST SP800-41 Guidelines on Firewalls and Firewall Policy

Líneas guía para una mejor administración de firewalls, recomendaciones del NIST (National Institute of Standards and Technology), es el que define los estándares de seguridad en las empresas privadas en los EEUU

http://csrc.nist.gov/publications/nistpubs/800-41-Rev1/sp800-41-rev1.pdf

La lección que nos deja Wikileaks

Muchas empresas consultoras de seguridad se pusieron a analizar qué falló en la fuga de los 250.000 documentos secretos del Departamento de Estado (EEUU) y que están siendo publicados paulatinamente en Wikileaks. Algunas consultoras dicen que no se implementaron herramientas de Prevención de Fuga de Información o DLP (Data Leak Prevention), otras dicen que no se cumplieron bien las políticas de seguridad, etc. pero es bien sabido que el Departamento de Estado, al igual que el Departamento de Defensa de los EEUU, gasta miles de millones de dólares anualmente implementando sistemas de seguridad para evitar que esto ocurra, por eso en mi opinión, uno puede tener las mejores políticas de seguridad, las mejores prácticas, implementar ISO 27001 o lo que uno quiera, pero siempre la principal vulnerabilidad van a ser las personas, principalmente los empleados descontentos.

Es muy difícil evitar la fuga de información de manos de los empleados (intencional o por descuido), porque la información, ya sea confidencial o no, sí o sí debe pasar por manos de los empleados, es una cuestión básica, de lo contrario no podría funcionar la misma, y al pasar los documentos por la mano de los empleados, estos pueden ser fotocopiados, impresos, enviados por correo, fotografiados con un celular, copiados a mano, o un sinfín de etcéteras más. Aunque uno implemente herramientas de prevención de fuga de información (DLP), codificación de las fotocopiadoras, control de entrada y salida de las personas, etc. siempre está la manipulación de documentos impresos que ninguna herramienta puede controlar, y siempre va a ser posible introducir celulares con cámara o microcámaras con qué fotografiar los documentos confidenciales. No nos olvidemos que el control de entrada y salida de las personas siempre lo hacen los guardias contratados, es decir seres humanos con necesidades sociales que con frecuencia se hacen amigos de los empleados, así que muchas veces el control no va a ser tan estricto como uno quisiera. Es muy fácil ser estricto con desconocidos, pero no con gente que uno conoce y ve a diario.

Conclusión: La principal vulnerabilidad en cualquier empresa, siempre van a seguir siendo las personas.

Alfredo Zuccotti, CISM, CISSP

La siguiente generación de Firewalls según Gartner

La siguiente generación de firewalls serán unos dispositivos que interactuarán más activamente con los IPS, tendrán capacidad de analizar las aplicaciones y el contenido de las mismas para luego aplicar las políticas de seguridad a nivel de aplicación, por ejemplo permitir utilizar Skype pero deshabilitar la transferencia de archivos y bloquear siempre GoToMyPc. Permitirán obtener y analizar información externa para tomar decisiones y algunas cosas más que se pueden apreciar en el informe de Gartner Group. Checkpoint ya dió los primeros pasos al construir su propia versión de lo que se llama "Next-Generation Firewall" con nuevas versiones de firewalls inteligentes y con sistemas de DLP (Prevención de Fuga de Información) incorporados.

Reporte de Gartner: http://www.paloaltonetworks.com/literature/research/docloader.php?docURL=/literature/research/Gartner-NGFW-Research-Note.pdf&docName=PDF%3a+Gartner+NGFW+Report

Obs: Gartner Group es una empresa de investigación y asesoría en tecnologías de información. Sus informes estadísticos y de investigación son muy respetados y utilizados para la toma de decisiones por los gerentes y directores de tecnología de las empresas más grandes del mundo, incluyendo gubernamentales. Los grandes vendors de equipos y software también se basan en sus investigaciones para el desarrollo de nuevas tecnologías. Gartner Group tiene 4.400 empleados y es líder indiscutible en cuanto indicar las tendencias del sector tecnológico.

El Futuro de la Seguridad de TI según Gartner:

Cada uno de nosotros que está a cargo de un área de tecnología, (digo tecnología porque la seguridad es un tema que le toca a todo el mundo) nos sentimos preocupados y abrumados por la cantidad de cosas nuevas que surgen cada día y de repente nos sentimos con la necesidad de hacer un alto en nuestra rutina diaria y es importante detenernos a investigar dónde estamos parados y qué es lo que se viene, de una forma u otra para conocer más y poder elegir mejor las tecnologías que vienen. Para eso nos va a ser de mucha utilidad el informe estadístico que lanzó Gartner Group sobre la seguridad de información para los próximos 10 años. La seguridad tradicional basadas en reglas estáticas ya no nos servirá de nada, tendremos que adecuarnos e incorporar una seguridad adaptativa y basada en el contexto. Cisco ya empezó a caminar en esa senda con TrustSec, que se trata de un sistema de acceso seguro a la red basado en políticas, control de identidad y servicios de integridad y confidencialidad. Sourcefire por su parte ya cuenta con IPS (Sistemas de Prevención de Intrusos) inteligentes con un sofisticado sistema de identificación y rechazo de intrusos adaptativo y basado en el contexto.

Reporte de Gartner: http://www.sourcefire.com/sites/sourcefire.com/files/sourcefire_3416.pdf

Cuidado con lo que se envía por email o se publica en las redes sociales!!!

Hacker arrestado por extorsionar a 170 mujeres a través del facebook

George Samuel Brock un joven desempleado de 23 años fue arrestado el viernes en California bajo sospecha de hackear los emails y las cuentas de Facebook de 170 mujeres y en muchos casos por exponer fotos íntimas en línea.

Geroge Samual Brock de Citrus Heights, California enfrenta su tercera condena por cargos relacionados con delitos de intrusión en computadores, robo de identidad, extorsión y pornografía infantil.

La Policía de California investigó a Bronck por dos meses hasta que fue identificada su dirección ip, en colaboración con la Policía Estatal de Connecticut. Los oficiales de crímenes informáticos de la policía de California encontraron abundante evidencia de muchas intrusiones en el computador de Bronck que posteriormente fueron analizados.

Entre setiembre del 2009 y setiembre del 2010, el hacker compiló información personal de más de 3.200 mujeres utilizando información públicamente accesible en Facebook. Estos datos le ayudaron a adivinar las preguntas de seguridad que se pone usualmente para casos de olvido de contraseña, y por ese medio el hacker accedió a las cuentas de email y facebook de sus víctimas, reseteando la contraseña de 170 víctimas y luego extorsionándolas. En muchos casos fueron encontradas fotos íntimas en las cuentas de correo, las cuales fueron luego posteadas en los perfiles de facebook o enviadas por email a sus amigos.

Aparentemente Bronck simplemente disfrutaba haciendo sufrir a sus víctimas haciéndolas pasar vergüenza y en algunos casos extorsionándolas.

Se encontraron numerosas fotografías y videos de desnudos en el computador de Bronck.

Este caso debería servir de recordatorio para cada uno de nosotros a ser cuidadosos con la información que cada uno envía por email así como lo que publica las redes sociales.

http://news.softpedia.com/news/Perverted-Hacker-Pilfers-the-Email-Accounts-of-170-Women-164407.shtml