SecurityInside Live: CISO Day 2020

Todos sabemos la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Si eres CISO, CIO, responsable de ciberseguridad, experto en la materia, investigador o hacker… serás bienvenido a CISO Day 2020, un evento centrado en el responsable de la ciberseguridad corporativa.

Si recuerdas, ya hemos hablado en este blog otras veces de la importancia del CISO, en este evento se profundiza en su importancia desde varios puntos de vista.

CISO DAY 2020 basa su agenda en 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

Software Defined Perimeter

SDP – Software Defined Perimeter: 10 motivos por los que es interesante

Hoy os traigo el resultado de mi actualización en relación a las soluciones SDP (Software Defined Perimeter) con las que me he encontrado hace poco, espero que os resulte interesante.

Como mucho de vosotros sabéis, las redes privadas virtuales (VPN) basadas en perímetro se despliegan para proporcionar acceso a empleados o terceros a las redes de la empresa. Hasta hace poco tiempo, este era uno de los mecanismos habituales para mantener un acceso remoto seguro.

Este tipo de conexiones son muy utilizadas debido al creciente (y maravilloso) auge tanto de los entornos cloud como del teletrabajo (con empleados que trabajan desde casa, en cafeterías o aeropuertos).

Sin embargo, el daño que se deriva de las intrusiones en la red es tan grande que los inconvenientes de los servicios VPN basados en el perímetro se están haciendo más tangibles que nunca. En este contexto, las empresas están empezando a considerar alternativas como las soluciones SDP (Perímetro Definido por Software), que aprovechan el paradigma de confianza cero.

¿Pero, qué es SDP?

La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consiste en una serie de funciones de firewalls que bloquean la entrada de los usuarios externos, pero que permiten la salida de los usuarios internos.

Los perímetros fijos tradicionales ayudan a proteger los servicios internos de las amenazas externas mediante técnicas sencillas para bloquear la visibilidad y la accesibilidad desde el exterior del perímetro a las aplicaciones y la infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional son cada vez más problemáticas debido a la popularidad de los dispositivos gestionados por los usuarios y los ataques de phishing, que proporcionan un acceso no fiable dentro del perímetro, y a que el SaaS y el IaaS extienden el perímetro a Internet.

sdp_different_users

Los perímetros definidos por software tratan estos problemas dando a los propietarios de las aplicaciones la habilidad de desplegar perímetros que retienen el valor del modelo tradicional de invisibilidad e inaccesibilidad, pero que pueden ser desplegados en cualquier lugar (en Internet, en la nube, en un CPD, en la red corporativa privada, …)

Me interesa, ¿cómo funciona esto del SDP?

La arquitectura del SDP consta de dos componentes: Los Hosts SDP y los Controladores SDP que pueden iniciar o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los controladores SDP a través de un canal de control (ver figura 1). Así, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.

Software Defined Perimeter Architecture

Figura 1: La arquitectura del Perímetro Definido por Software consiste en dos componentes: Hosts SDP y Controladores SDP

El marco SDP tiene el siguiente flujo de trabajo (ver figura 2).

  1. Uno o más controladores SDP se ponen en línea y se conectan a los servicios opcionales de autenticación y autorización adecuados (por ejemplo, PKI, huellas digitales de dispositivos, geolocalización, SAML, OpenID, OAuth, LDAP, Kerberos, autenticación multifactorial y otros servicios similares).
  2. Se ponen en línea uno o más Hosts SDP de aceptación. Estos hosts se conectan y se autentican con los Controladores. Sin embargo, no reconocen la comunicación de ningún otro Host y no responderán a ninguna petición no proporcionada.
  3. Cada uno de los Host SDP de inicio que se pone en línea se conecta y se autentica con los Controladores SDP.
  4. Después de autentificar el Host SDP de inicio, los Controladores SDP determinan una lista de Hosts de aceptación a los que el Host de inicio está autorizado a comunicarse.
  5. El Controlador SDP indica a los Hosts SDP aceptantes que acepten la comunicación del Host Iniciador, así como cualquier política opcional requerida para las comunicaciones cifradas.
  6. El controlador SDP proporciona al host SDP iniciador la lista de hosts de aceptación, así como las políticas opcionales necesarias para las comunicaciones cifradas.
  7. El Host SDP iniciador inicia una conexión VPN mutua con todos los Hosts de aceptación autorizados.
Software_Defined_Perimeter_Workflow

Figura 2: Flujo de trabajo de la arquitectura del perímetro definido por el software

 

10 razones de esta tendencia que está tomando fuerza

  1. Problemas de seguridad con las VPN tradicionales

Las empresas se han expuesto más a las violaciones de datos. Los empleados que trabajan a distancia, así como la migración a la nube, son factores que complican la protección efectiva del perímetro de la red. Los servicios tradicionales de VPN son demasiado indulgentes, lo que permite al personal acceder a muchas más áreas de la red de las que necesitan para su trabajo diario. Como resultado, estos recursos asumen una visibilidad injustificada y se vuelven más susceptibles de ser comprometidos.

  1. Acceso remoto y aislamiento de la red sin confianza

Desde el punto de vista de la seguridad, las soluciones SDP tienen una serie de ventajas sobre la VPN. En primer lugar, no existen zonas de confianza en este escenario. Un administrador de TI debe definir claramente y conceder privilegios de usuario para acceder a aplicaciones específicas. A los dispositivos de los usuarios se les asignan conexiones «punto a punto». El resto de los recursos de la red están aislados y permanecen completamente inaccesibles. Algunas soluciones SDP permiten la autenticación continua así como la verificación de usuarios y/o dispositivos a nivel de paquetes, utilizando una tecnología de red basada en ID. Todo el tráfico de la red se registra para su posterior auditoría y análisis.

  1. Los inconvenientes de utilizar una VPN

Todo empleado que haya utilizado una VPN empresarial anteriormente sabe que estos servicios funcionan de forma lenta y poco fiable. Si está utilizando aplicaciones dispersas geográficamente, se sentirá frustrado por tener que conectarse o desconectarse todo el tiempo y hacer un seguimiento de la ubicación a la que se está conectando cuando acceda a una aplicación que necesita.

  1. SDP: basta con conectarse una vez para acceder a todo lo que necesita

Con la solución SDP adecuada, los usuarios finales conectados pueden acceder a las aplicaciones necesarias independientemente de su ubicación. Las soluciones basadas en navegadores que no utilizan agentes de software facilitan el acceso a los empleados que utilizan dispositivos personales, así como a los contratistas, socios y clientes.

  1. Dolor de cabeza de los administradores

En el caso de la migración a la nube, la gestión de la VPN se complica. Los administradores de TI tienen que configurar y coordinar las políticas de VPN y cortafuegos en diferentes ubicaciones geográficas. Esto, a su vez, dificulta la prevención de accesos no autorizados.

  1. Discrepancias en la configuración

Las VPNs necesitan ser configuradas por separado en cada centro de datos y en la nube. Con SDP, los administradores pueden añadir un recurso de red a la plataforma una vez y, a continuación, gestionar todas las políticas en la nube de forma centralizada. Una ventaja más de utilizar soluciones SDP totalmente basadas en la nube es que muy pocos elementos están sujetos a una configuración y mantenimiento adicionales cuando se concede el acceso dentro de un centro de datos o una nube privada virtual. Todas las actividades, incluidas las relacionadas con la seguridad, se realizan en la nube.

  1. Escalado costoso

A medida que las organizaciones añaden nuevos usuarios y aumentan el número de servicios cloud que aprovechan, gastan mucho más en VPNs y cortafuegos. La razón se reduce a la necesidad de adquirir licencias adicionales y dispositivos más potentes.

  1. El potencial de un crecimiento desenfrenado

Si una organización utiliza una solución de SDP basada en la nube, la expansión no es casi nunca un problema. No importa cuántos usuarios estén conectados y cuántas aplicaciones necesiten, este servicio permite un escalado gradual en la nube sin necesidad de equipos costosos.

  1. Flexible pero no gratuito

Las VPNs proporcionan flexibilidad ya que pueden conectar múltiples puntos finales distribuidos geográficamente, centros de datos y nubes privadas virtuales. Sin embargo, se necesitan recursos significativos y gastos crecientes para establecer y mantener estas conexiones.

  1. Conecte todo sin complicaciones

Las soluciones SDP permiten a las empresas proporcionar a sus empleados acceso a recursos informáticos específicos de la empresa sin necesidad de aumentar los requisitos de control y los gastos.

Conclusiones

El profundo conocimiento de los mecanismos de acceso remoto seguro incentiva a las organizaciones que están migrando a la nube a desplegar soluciones SDP. Estos servicios implementan una política de acceso a la red personalizada para los usuarios y los recursos de forma individual. Estos recursos permanecen invisibles para los usuarios no autorizados, lo que reduce la superficie potencial de ataque. La orientación al cliente de las soluciones SDP hace que sean más fáciles de controlar, aplicables en todos los ámbitos, adecuadamente protegidas y flexibles. Estas características superan los beneficios de los servicios VPN tradicionales por lo que no os extrañe que veamos esta tecnología mucho más en un futuro cercano.

 

Fuentes:

https://en.wikipedia.org/wiki/Software_Defined_Perimeter

https://www.vectoritcgroup.com/tech-magazine/cybersecurity/el-modelo-sdp-desbanca-a-las-soluciones-vpn/

https://www.perimeter81.com/blog/network/5-reasons-why-you-need-to-replace-your-vpn-with-sdp/

https://www.metanetworks.com/sdp-vs-vpn-5-reasons-to-make-the-switch/

7 tipos de cuentas privilegiadas en Digital Identity

Durante el trabajo suelo tener que lidiar de una forma u otra con cuentas privilegiadas, son cuentas que se presentan en diferentes formas y que plantean riesgos de seguridad significativos si no se protegen, gestionan y supervisan de forma adecuada.

En esta entrada quería hacer un resumen de aquellas con las que trato habitualmente y que incluyen:

1) Las cuentas administrativas locales

Son cuentas no personales que proporcionan acceso administrativo sólo al host o instancia local. Las cuentas de administración local son utilizadas rutinariamente por el personal IT para realizar el mantenimiento de estaciones de trabajo, servidores, dispositivos de red, bases de datos, mainframes, etc. A menudo, para facilitar su uso, tienen la misma contraseña en toda una plataforma u organización. El uso de una contraseña compartida en miles de hosts convierte a las cuentas administrativas locales en un blanco fácil de usar que las amenazas avanzadas explotan de forma rutinaria.

2) Las cuentas de usuario con privilegios

Son credenciales a las que se han concedido privilegios administrativos en uno o más sistemas. Esta es típicamente una de las formas más comunes de acceso privilegiado a cuentas que se otorga en una red empresarial, permitiendo a los usuarios tener derechos administrativos, por ejemplo, en sus escritorios locales o a través de los sistemas que administran. A menudo estas cuentas tienen contraseñas únicas y complejas. El poder que ejercen a través de los sistemas gestionados hace necesario monitorizar continuamente su uso.

3) Las cuentas administrativas de dominio

Tienen acceso administrativo privilegiado a todas las estaciones de trabajo y servidores del dominio. Aunque estas cuentas son pocas en número, proporcionan el acceso más amplio y robusto a través de la red. Con el control total sobre todos los controladores de dominio y la capacidad de modificar la pertenencia de cada cuenta administrativa dentro del dominio, tener estas credenciales comprometidas es a menudo el peor escenario para cualquier organización.

4) Las cuentas de emergencia

Proporcionan a los usuarios no privilegiados acceso administrativo a sistemas seguros en caso de emergencia y a veces se denominan cuentas «firecall» o «breakglass». Aunque el acceso privilegiado a estas cuentas suele requerir la aprobación de la dirección por razones de seguridad, suele ser un proceso manual ineficaz que suele carecer de auditabilidad.

5) Las cuentas de servicio

Pueden ser cuentas locales privilegiadas o cuentas de dominio que son utilizadas por una aplicación o servicio para interactuar con el sistema operativo. En algunos casos, estas cuentas de servicio tienen privilegios de administración de dominio en función de los requisitos de la aplicación para la que se utilizan. Las cuentas de servicio local pueden interactuar con una variedad de componentes de Windows, lo que dificulta la coordinación de los cambios de contraseña.

6) Las cuentas de Active Directory o de servicios de dominio

Hacen que los cambios de contraseña sean aún más complicados, ya que requieren coordinación entre varios sistemas. Este desafío a menudo lleva a una práctica común de cambiar raramente las contraseñas de las cuentas de servicio, lo que representa un riesgo significativo en toda la empresa.

7) Las cuentas de aplicación

Son cuentas utilizadas por las aplicaciones para acceder a bases de datos, ejecutar trabajos por lotes, scripts o proporcionar acceso a otras aplicaciones. Estas cuentas privilegiadas suelen tener un amplio acceso a la información subyacente de la empresa que reside en aplicaciones y bases de datos. Las contraseñas de estas cuentas suelen estar incrustadas y almacenadas en archivos de texto no cifrados, una vulnerabilidad que se replica en varios servidores para proporcionar una mayor tolerancia a las fallas de las aplicaciones. Esta vulnerabilidad representa un riesgo significativo para una organización porque las aplicaciones a menudo alojan los datos exactos a los que se dirigen los APT.

Y como la cosa va de sietes, de regalo, os dejo este enlace a siete maneras de proteger cuentas privilegiadas.

Espero que os haya gustado, ¡hasta la próxima!

SecurityInside Live: VIII Foro de la Ciberseguridad del Cyber Security Center (ISMS Forum)

Hoy se celebra la VIII edición del Foro de la Ciberseguridad del Cyber Security Center que organiza el ISMS Forum Spain. Para el que no lo conozca, decir que es una red abierta de conocimiento que conecta empresas, organismos públicos y privados, investigadores y profesionales comprometidos con el desarrollo de la Seguridad de la Información en España. Ya son más de 150 empresas y más de 850 profesionales asociados.

Leer más

HIPAA for dummies – Seguridad en entorno sanitario (I)

Desde que estoy en Accenture, he trabajado en diferentes proyectos y clientes de un tamaño mucho mayor a lo que me había encontrado hasta ahora. He trabajado con grandes bancos, multinacionales IT, operadores de telecomunicaciones, … y uno muy interesante: un gran cliente del entorno sanitario.

Dentro de este tipo de clientes, me he topado con algo que tampoco conocía. El gran control sobre los datos sensibles sanitarios en E.E.U.U., es un punto que se lleva muchas horas dentro de la seguridad de un proyecto. Entender, clasificar y defender correctamente este tipo de información es crucial…

Cuando arranqué mi primer proyecto de este tipo, me enfrenté por primera vez con la Health Insurance Portability and Accountability Act of 1996, HIPAA para los amigos. Con esta serie de entradas, trato de hacer un resumen de todo lo aprendido en este tiempo, espero que os sirva si os llega algún proyecto con este requisito:

¿Por qué se creó HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) se creó principalmente con el objetivo de modernizar el flujo de infomación relativa a la atención médica, hablamos de todo tipo de información mantenida por centros médicos e industrias de seguros de salud. Dicha información debe protegerse contra fraude, robo y fuga (en cuanto a portabilidades de personas con condiciones preexistentes).

Cuando se aprobó la Ley en 1996, solo requería que el Secretario de Salud y Servicios Humanos (HSS) propusiera normas para proteger la información de salud identificable individualmente. El primer conjunto de estándares no se publicó hasta 1999, y las primeras propuestas para la Regla de Privacidad solo surgieron en el año 2000.

La legislación HIPAA ha evolucionado significativamente desde entonces. No solo se ha modificado el lenguaje de la Ley para abordar los avances en tecnología, sino que el alcance de la Ley se ha ampliado para abarcar a los Asociados Comerciales, proveedores de servicios externos que realizan una función en nombre de una Entidad Cubierta por HIPAA que implica el uso o divulgación de información de salud protegida (PHI).

Health Insurance Portability and accountability act

Las regulaciones de HIPAA están controladas por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EEUU. Los Procuradores Generales del Estado también pueden tomar medidas contra las Entidades Cubiertas y los Asociados Comerciales que no cumplan con HIPAA. Tanto OCR como los Fiscales Generales del Estado tienen la autoridad de imponer sanciones financieras a las Entidades Cubiertas y a los Asociados Comerciales por violaciones de la HIPAA.

¿Cuál es el propósito de HIPAA?

Además del propósito original de HIPAA, la forma en que se implementa cambia constantemente para adaptarse a los avances tecnológicos y los cambios en las prácticas de trabajo, lo que ha resultado en nuevas amenazas para la privacidad del paciente y la seguridad de los PHI. Para entender esto es importante tener en cuenta que la legislación original de HIPAA se redactó ocho años antes de que Facebook surgiera y once años antes del lanzamiento del primer iPhone.

Por lo tanto, desde la Regla de Privacidad original, ha habido una serie de nuevas Reglas de HIPAA, además de que OCR ha emitido una guía frecuente sobre cómo las Entidades Cubiertas y los Asociados Comerciales deben abordar temas como las políticas BYOD o computación en la nube.

Gran parte del lenguaje original de HIPAA ha permanecido inalterado porque, a pesar del cambiante panorama tecnológico, fue escrito para cubrir una gran cantidad de escenarios diversos. Por lo tanto, si una Entidad cubierta es un centro médico que mantiene registros de pacientes o una compañía de seguros que transfiere los derechos de atención médica de una persona que está cambiando de trabajo, el propósito de HIPAA sigue siendo el mismo que en 1996.

HIPAA también es neutral en tecnología y no favorece una forma de abordar una vulnerabilidad de seguridad sobre otra, siempre que el mecanismo introducido para corregir una falla o vulnerabilidad esté sujeto a una evaluación de riesgos y se registre la razón para implementarlo en lugar de una medida específica.

Entendiendo HIPAA «for dummies»

De forma rápida y sencilla, se detallan a continuación los dieciocho identificadores personales que podrían permitir que se identifique a una persona. Cuando estos identificadores personales se combinan con datos de salud, la información se conoce como «Información de salud protegida» o «PHI». Cuando se almacena o comunica electrónicamente, el acrónimo «PHI» está precedido por una «e», es decir, «ePHI».

Nombres o parte de nombres Cualquier otra característica de identificación única
Identificadores geográficos Fechas directamente relacionadas con una persona
Detalles del número de teléfono Detalles del número de fax
Detalles de las direcciones de correo electrónico Detalles de la Seguridad Social
Números de registros médicos Números de beneficiarios de seguros de salud
Detalles de cuenta bancaria Certificado o números de licencia
Detalles de la matrícula del vehículo Identificadores del dispositivo y números de serie
Webs URLs Detalles de la dirección IP
Huellas dactilares, retina y huellas de voz Cara completa o cualquier imagen fotográfica comparable

La conclusión principal para el cumplimiento de HIPAA es que cualquier empresa o individuo que entre en contacto con PHI debe promulgar y aplicar políticas, procedimientos y salvaguardas apropiadas para proteger los datos. Las infracciones de la HIPAA ocurren cuando no se han promulgado y aplicado políticas, procedimientos y salvaguardas apropiadas, incluso cuando una persona no autorizada no ha revelado o accedido a la PHI.

Las violaciones habituales de HIPAA suelen estar relacionadas con:

  • Falta de análisis de riesgo adecuados
  • Falta de capacitación integral de los empleados
  • Acuerdos inadecuados de socios comerciales
  • Divulgaciones inapropiadas de PHI
  • La ignorancia de la regla mínima necesaria
  • No informar infracciones dentro del plazo prescrito

Algunas violaciones de HIPAA son delitos accidentales, por ejemplo, dejar un documento que contiene PHI en un escritorio a la vista de cualquier persona que pase. Sin embargo, OCR no considera que la ignorancia sea una excusa adecuada para las violaciones de HIPAA.

En próximos programas…

Espero que esta introducción a HIPAA os haya parecido interesante, sobre todo si os enfrentáis a un proyecto que tenga que estar sujeto a esta regulación. En breve continuaré ampliando información de este tema, no te lo pierdas!