SecurityInside Live: CISO Day 2020

Todos sabemos la importancia del flujo de información dentro de una industria tan cambiante y retadora como la de la ciberseguridad. Si eres CISO, CIO, responsable de ciberseguridad, experto en la materia, investigador o hacker… serás bienvenido a CISO Day 2020, un evento centrado en el responsable de la ciberseguridad corporativa.

Si recuerdas, ya hemos hablado en este blog otras veces de la importancia del CISO, en este evento se profundiza en su importancia desde varios puntos de vista.

CISO DAY 2020 basa su agenda en 6 niveles fundamentales de la ciberseguridad: Estratégico (CISO), Analítico (Ciberinteligencia), Institucional (INCIBE), Innovador (CyberStartup), Security (Proveedores) y Técnico (Hacking).

En este enlace tienes toda la información que necesitas sobre la agenda y en este sobre los ponentes que van a dar las charlas.

Y no olvides que, si no puedes ir y lo quieres ver, tienes acceso al streaming. Si no lo ves es porque no quieres 😀

Leer más

SID2020

SecurityInside Live: Día de Internet Segura 2020

El Día de Internet Segura, “Safer Internet Day” (SID, por sus siglas en inglés) es un evento promovido por la red INSAFE/INHOPE con el apoyo de la Comisión Europea, que se celebra cada mes de febrero con el objetivo de promover un uso seguro y positivo de las tecnologías digitales, especialmente entre niños y jóvenes. El SID se celebra el segundo día de la segunda semana del segundo mes del año y reúne a millones de personas de todo el mundo para impulsar cambios positivos y concienciar acerca de la seguridad en Internet, organizando distintos eventos y actividades.

Leer más

Software Defined Perimeter

SDP – Software Defined Perimeter: 10 motivos por los que es interesante

Hoy os traigo el resultado de mi actualización en relación a las soluciones SDP (Software Defined Perimeter) con las que me he encontrado hace poco, espero que os resulte interesante.

Como mucho de vosotros sabéis, las redes privadas virtuales (VPN) basadas en perímetro se despliegan para proporcionar acceso a empleados o terceros a las redes de la empresa. Hasta hace poco tiempo, este era uno de los mecanismos habituales para mantener un acceso remoto seguro.

Este tipo de conexiones son muy utilizadas debido al creciente (y maravilloso) auge tanto de los entornos cloud como del teletrabajo (con empleados que trabajan desde casa, en cafeterías o aeropuertos).

Sin embargo, el daño que se deriva de las intrusiones en la red es tan grande que los inconvenientes de los servicios VPN basados en el perímetro se están haciendo más tangibles que nunca. En este contexto, las empresas están empezando a considerar alternativas como las soluciones SDP (Perímetro Definido por Software), que aprovechan el paradigma de confianza cero.

¿Pero, qué es SDP?

La premisa de la arquitectura de red empresarial tradicional es crear una red interna separada del mundo exterior por un perímetro fijo que consiste en una serie de funciones de firewalls que bloquean la entrada de los usuarios externos, pero que permiten la salida de los usuarios internos.

Los perímetros fijos tradicionales ayudan a proteger los servicios internos de las amenazas externas mediante técnicas sencillas para bloquear la visibilidad y la accesibilidad desde el exterior del perímetro a las aplicaciones y la infraestructura internas. Pero las debilidades de este modelo de perímetro fijo tradicional son cada vez más problemáticas debido a la popularidad de los dispositivos gestionados por los usuarios y los ataques de phishing, que proporcionan un acceso no fiable dentro del perímetro, y a que el SaaS y el IaaS extienden el perímetro a Internet.

sdp_different_users

Los perímetros definidos por software tratan estos problemas dando a los propietarios de las aplicaciones la habilidad de desplegar perímetros que retienen el valor del modelo tradicional de invisibilidad e inaccesibilidad, pero que pueden ser desplegados en cualquier lugar (en Internet, en la nube, en un CPD, en la red corporativa privada, …)

Me interesa, ¿cómo funciona esto del SDP?

La arquitectura del SDP consta de dos componentes: Los Hosts SDP y los Controladores SDP que pueden iniciar o aceptar conexiones. Estas acciones se gestionan mediante interacciones con los controladores SDP a través de un canal de control (ver figura 1). Así, en un perímetro definido por software, el plano de control está separado del plano de datos para permitir una mayor escalabilidad. Además, todos los componentes pueden ser redundantes para una mayor disponibilidad.

Software Defined Perimeter Architecture

Figura 1: La arquitectura del Perímetro Definido por Software consiste en dos componentes: Hosts SDP y Controladores SDP

El marco SDP tiene el siguiente flujo de trabajo (ver figura 2).

  1. Uno o más controladores SDP se ponen en línea y se conectan a los servicios opcionales de autenticación y autorización adecuados (por ejemplo, PKI, huellas digitales de dispositivos, geolocalización, SAML, OpenID, OAuth, LDAP, Kerberos, autenticación multifactorial y otros servicios similares).
  2. Se ponen en línea uno o más Hosts SDP de aceptación. Estos hosts se conectan y se autentican con los Controladores. Sin embargo, no reconocen la comunicación de ningún otro Host y no responderán a ninguna petición no proporcionada.
  3. Cada uno de los Host SDP de inicio que se pone en línea se conecta y se autentica con los Controladores SDP.
  4. Después de autentificar el Host SDP de inicio, los Controladores SDP determinan una lista de Hosts de aceptación a los que el Host de inicio está autorizado a comunicarse.
  5. El Controlador SDP indica a los Hosts SDP aceptantes que acepten la comunicación del Host Iniciador, así como cualquier política opcional requerida para las comunicaciones cifradas.
  6. El controlador SDP proporciona al host SDP iniciador la lista de hosts de aceptación, así como las políticas opcionales necesarias para las comunicaciones cifradas.
  7. El Host SDP iniciador inicia una conexión VPN mutua con todos los Hosts de aceptación autorizados.
Software_Defined_Perimeter_Workflow

Figura 2: Flujo de trabajo de la arquitectura del perímetro definido por el software

 

10 razones de esta tendencia que está tomando fuerza

  1. Problemas de seguridad con las VPN tradicionales

Las empresas se han expuesto más a las violaciones de datos. Los empleados que trabajan a distancia, así como la migración a la nube, son factores que complican la protección efectiva del perímetro de la red. Los servicios tradicionales de VPN son demasiado indulgentes, lo que permite al personal acceder a muchas más áreas de la red de las que necesitan para su trabajo diario. Como resultado, estos recursos asumen una visibilidad injustificada y se vuelven más susceptibles de ser comprometidos.

  1. Acceso remoto y aislamiento de la red sin confianza

Desde el punto de vista de la seguridad, las soluciones SDP tienen una serie de ventajas sobre la VPN. En primer lugar, no existen zonas de confianza en este escenario. Un administrador de TI debe definir claramente y conceder privilegios de usuario para acceder a aplicaciones específicas. A los dispositivos de los usuarios se les asignan conexiones «punto a punto». El resto de los recursos de la red están aislados y permanecen completamente inaccesibles. Algunas soluciones SDP permiten la autenticación continua así como la verificación de usuarios y/o dispositivos a nivel de paquetes, utilizando una tecnología de red basada en ID. Todo el tráfico de la red se registra para su posterior auditoría y análisis.

  1. Los inconvenientes de utilizar una VPN

Todo empleado que haya utilizado una VPN empresarial anteriormente sabe que estos servicios funcionan de forma lenta y poco fiable. Si está utilizando aplicaciones dispersas geográficamente, se sentirá frustrado por tener que conectarse o desconectarse todo el tiempo y hacer un seguimiento de la ubicación a la que se está conectando cuando acceda a una aplicación que necesita.

  1. SDP: basta con conectarse una vez para acceder a todo lo que necesita

Con la solución SDP adecuada, los usuarios finales conectados pueden acceder a las aplicaciones necesarias independientemente de su ubicación. Las soluciones basadas en navegadores que no utilizan agentes de software facilitan el acceso a los empleados que utilizan dispositivos personales, así como a los contratistas, socios y clientes.

  1. Dolor de cabeza de los administradores

En el caso de la migración a la nube, la gestión de la VPN se complica. Los administradores de TI tienen que configurar y coordinar las políticas de VPN y cortafuegos en diferentes ubicaciones geográficas. Esto, a su vez, dificulta la prevención de accesos no autorizados.

  1. Discrepancias en la configuración

Las VPNs necesitan ser configuradas por separado en cada centro de datos y en la nube. Con SDP, los administradores pueden añadir un recurso de red a la plataforma una vez y, a continuación, gestionar todas las políticas en la nube de forma centralizada. Una ventaja más de utilizar soluciones SDP totalmente basadas en la nube es que muy pocos elementos están sujetos a una configuración y mantenimiento adicionales cuando se concede el acceso dentro de un centro de datos o una nube privada virtual. Todas las actividades, incluidas las relacionadas con la seguridad, se realizan en la nube.

  1. Escalado costoso

A medida que las organizaciones añaden nuevos usuarios y aumentan el número de servicios cloud que aprovechan, gastan mucho más en VPNs y cortafuegos. La razón se reduce a la necesidad de adquirir licencias adicionales y dispositivos más potentes.

  1. El potencial de un crecimiento desenfrenado

Si una organización utiliza una solución de SDP basada en la nube, la expansión no es casi nunca un problema. No importa cuántos usuarios estén conectados y cuántas aplicaciones necesiten, este servicio permite un escalado gradual en la nube sin necesidad de equipos costosos.

  1. Flexible pero no gratuito

Las VPNs proporcionan flexibilidad ya que pueden conectar múltiples puntos finales distribuidos geográficamente, centros de datos y nubes privadas virtuales. Sin embargo, se necesitan recursos significativos y gastos crecientes para establecer y mantener estas conexiones.

  1. Conecte todo sin complicaciones

Las soluciones SDP permiten a las empresas proporcionar a sus empleados acceso a recursos informáticos específicos de la empresa sin necesidad de aumentar los requisitos de control y los gastos.

Conclusiones

El profundo conocimiento de los mecanismos de acceso remoto seguro incentiva a las organizaciones que están migrando a la nube a desplegar soluciones SDP. Estos servicios implementan una política de acceso a la red personalizada para los usuarios y los recursos de forma individual. Estos recursos permanecen invisibles para los usuarios no autorizados, lo que reduce la superficie potencial de ataque. La orientación al cliente de las soluciones SDP hace que sean más fáciles de controlar, aplicables en todos los ámbitos, adecuadamente protegidas y flexibles. Estas características superan los beneficios de los servicios VPN tradicionales por lo que no os extrañe que veamos esta tecnología mucho más en un futuro cercano.

 

Fuentes:

https://en.wikipedia.org/wiki/Software_Defined_Perimeter

https://www.vectoritcgroup.com/tech-magazine/cybersecurity/el-modelo-sdp-desbanca-a-las-soluciones-vpn/

https://www.perimeter81.com/blog/network/5-reasons-why-you-need-to-replace-your-vpn-with-sdp/

https://www.metanetworks.com/sdp-vs-vpn-5-reasons-to-make-the-switch/

HIPAA for dummies – Seguridad en entorno sanitario (I)

Desde que estoy en Accenture, he trabajado en diferentes proyectos y clientes de un tamaño mucho mayor a lo que me había encontrado hasta ahora. He trabajado con grandes bancos, multinacionales IT, operadores de telecomunicaciones, … y uno muy interesante: un gran cliente del entorno sanitario.

Dentro de este tipo de clientes, me he topado con algo que tampoco conocía. El gran control sobre los datos sensibles sanitarios en E.E.U.U., es un punto que se lleva muchas horas dentro de la seguridad de un proyecto. Entender, clasificar y defender correctamente este tipo de información es crucial…

Cuando arranqué mi primer proyecto de este tipo, me enfrenté por primera vez con la Health Insurance Portability and Accountability Act of 1996, HIPAA para los amigos. Con esta serie de entradas, trato de hacer un resumen de todo lo aprendido en este tiempo, espero que os sirva si os llega algún proyecto con este requisito:

¿Por qué se creó HIPAA?

Health Insurance Portability and Accountability Act (HIPAA) se creó principalmente con el objetivo de modernizar el flujo de infomación relativa a la atención médica, hablamos de todo tipo de información mantenida por centros médicos e industrias de seguros de salud. Dicha información debe protegerse contra fraude, robo y fuga (en cuanto a portabilidades de personas con condiciones preexistentes).

Cuando se aprobó la Ley en 1996, solo requería que el Secretario de Salud y Servicios Humanos (HSS) propusiera normas para proteger la información de salud identificable individualmente. El primer conjunto de estándares no se publicó hasta 1999, y las primeras propuestas para la Regla de Privacidad solo surgieron en el año 2000.

La legislación HIPAA ha evolucionado significativamente desde entonces. No solo se ha modificado el lenguaje de la Ley para abordar los avances en tecnología, sino que el alcance de la Ley se ha ampliado para abarcar a los Asociados Comerciales, proveedores de servicios externos que realizan una función en nombre de una Entidad Cubierta por HIPAA que implica el uso o divulgación de información de salud protegida (PHI).

Health Insurance Portability and accountability act

Las regulaciones de HIPAA están controladas por la Oficina de Derechos Civiles (OCR) del Departamento de Salud y Servicios Humanos de los EEUU. Los Procuradores Generales del Estado también pueden tomar medidas contra las Entidades Cubiertas y los Asociados Comerciales que no cumplan con HIPAA. Tanto OCR como los Fiscales Generales del Estado tienen la autoridad de imponer sanciones financieras a las Entidades Cubiertas y a los Asociados Comerciales por violaciones de la HIPAA.

¿Cuál es el propósito de HIPAA?

Además del propósito original de HIPAA, la forma en que se implementa cambia constantemente para adaptarse a los avances tecnológicos y los cambios en las prácticas de trabajo, lo que ha resultado en nuevas amenazas para la privacidad del paciente y la seguridad de los PHI. Para entender esto es importante tener en cuenta que la legislación original de HIPAA se redactó ocho años antes de que Facebook surgiera y once años antes del lanzamiento del primer iPhone.

Por lo tanto, desde la Regla de Privacidad original, ha habido una serie de nuevas Reglas de HIPAA, además de que OCR ha emitido una guía frecuente sobre cómo las Entidades Cubiertas y los Asociados Comerciales deben abordar temas como las políticas BYOD o computación en la nube.

Gran parte del lenguaje original de HIPAA ha permanecido inalterado porque, a pesar del cambiante panorama tecnológico, fue escrito para cubrir una gran cantidad de escenarios diversos. Por lo tanto, si una Entidad cubierta es un centro médico que mantiene registros de pacientes o una compañía de seguros que transfiere los derechos de atención médica de una persona que está cambiando de trabajo, el propósito de HIPAA sigue siendo el mismo que en 1996.

HIPAA también es neutral en tecnología y no favorece una forma de abordar una vulnerabilidad de seguridad sobre otra, siempre que el mecanismo introducido para corregir una falla o vulnerabilidad esté sujeto a una evaluación de riesgos y se registre la razón para implementarlo en lugar de una medida específica.

Entendiendo HIPAA «for dummies»

De forma rápida y sencilla, se detallan a continuación los dieciocho identificadores personales que podrían permitir que se identifique a una persona. Cuando estos identificadores personales se combinan con datos de salud, la información se conoce como «Información de salud protegida» o «PHI». Cuando se almacena o comunica electrónicamente, el acrónimo «PHI» está precedido por una «e», es decir, «ePHI».

Nombres o parte de nombresCualquier otra característica de identificación única
Identificadores geográficosFechas directamente relacionadas con una persona
Detalles del número de teléfonoDetalles del número de fax
Detalles de las direcciones de correo electrónicoDetalles de la Seguridad Social
Números de registros médicosNúmeros de beneficiarios de seguros de salud
Detalles de cuenta bancariaCertificado o números de licencia
Detalles de la matrícula del vehículoIdentificadores del dispositivo y números de serie
Webs URLsDetalles de la dirección IP
Huellas dactilares, retina y huellas de vozCara completa o cualquier imagen fotográfica comparable

La conclusión principal para el cumplimiento de HIPAA es que cualquier empresa o individuo que entre en contacto con PHI debe promulgar y aplicar políticas, procedimientos y salvaguardas apropiadas para proteger los datos. Las infracciones de la HIPAA ocurren cuando no se han promulgado y aplicado políticas, procedimientos y salvaguardas apropiadas, incluso cuando una persona no autorizada no ha revelado o accedido a la PHI.

Las violaciones habituales de HIPAA suelen estar relacionadas con:

  • Falta de análisis de riesgo adecuados
  • Falta de capacitación integral de los empleados
  • Acuerdos inadecuados de socios comerciales
  • Divulgaciones inapropiadas de PHI
  • La ignorancia de la regla mínima necesaria
  • No informar infracciones dentro del plazo prescrito

Algunas violaciones de HIPAA son delitos accidentales, por ejemplo, dejar un documento que contiene PHI en un escritorio a la vista de cualquier persona que pase. Sin embargo, OCR no considera que la ignorancia sea una excusa adecuada para las violaciones de HIPAA.

En próximos programas…

Espero que esta introducción a HIPAA os haya parecido interesante, sobre todo si os enfrentáis a un proyecto que tenga que estar sujeto a esta regulación. En breve continuaré ampliando información de este tema, no te lo pierdas!

35 enlaces básicos para ser un experto en Azure Security Services

Entre las labores diarias de mi rol en Accenture Security, tengo que proponer y utilizar todo tipo de servicios de seguridad nativos de las diferentes nubes con las que trabajo (os recuerdo que pertenezco al equipo Cloud Security). De hecho, esta semana he tenido que trabajar en un proyecto que requería el uso de los Azure Security Services, lo que me ha movido a preparar esta entrada.

Con la rapidez a la que AWS, Azure y GCP crecen en servicios generales y de seguridad, es complicado mantenerse actualizado. Sin embargo, en mi caso, es parte de mis obligaciones estar al tanto de las soluciones para poder ofrecer las mejores opciones a los proyectos en los que participo.

Por eso, me gustaría crear tres entradas para las tres nubes principales en las que tener a mano esta información tan interesante. Así que, sin demora, arrancamos con Azure:

Seguridad general de Azure

ServicioDESCRIPCIÓN
Azure Security CenterSolución de protección que proporciona administración de la seguridad y protección avanzada contra amenazas para cargas de trabajo en la nube híbrida.
Azure Key VaultAlmacén de secretos seguro para las contraseñas, las cadenas de conexión y otra información que necesita para mantener sus aplicaciones en funcionamiento.
Registros de Azure MonitorServicio de supervisión que recopila datos de telemetría y otros datos, y proporciona un motor de lenguaje de consultas y análisis para proporcionar información detallada sobre sus aplicaciones y recursos. Puede utilizarse solo o con otros servicios como Security Center.
Documentación de Azure Dev/Test LabServicio que ayuda a los desarrolladores y evaluadores a crear rápidamente entornos de Azure al tiempo que se optimizan los recursos y se controlan los costos.

Seguridad para almacenamiento

ServicioDESCRIPCIÓN
Azure Storage Service EncryptionCaracterística de seguridad que permite cifrar automáticamente los datos en Azure Storage.
Documentación de StorSimpleSolución de almacenamiento integrada que administra las tareas de almacenamiento entre los dispositivos locales y el almacenamiento en la nube de Azure.
Cifrado del lado de cliente y Almacén de claves de Azure para el Almacenamiento de Microsoft AzureSolución de cifrado en lado de cliente que cifra los datos en aplicaciones de cliente antes de cargarlos en Azure Storage. También descifra los datos mientras se descargan.
Firmas de acceso compartido, Parte 1: Descripción del modelo SASUna firma de acceso compartido ofrece acceso delegado a recursos en la cuenta de almacenamiento.
Acerca de las cuentas de Azure StorageMétodo de control de acceso para Azure Storage que se utiliza para la autenticación cuando se accede a la cuenta de almacenamiento.
Introducción a Almacenamiento de archivos de Azure en WindowsTecnología de seguridad de red que habilita el cifrado de red automático para el protocolo de uso compartido de archivos Bloque de mensajes del servidor (SMB).
Análisis de Azure StorageTecnología de generación y registro de métricas para los datos de la cuenta de almacenamiento.

Seguridad de bases de datos

ServicioDESCRIPCIÓN
Azure SQL FirewallCaracterística de control de acceso de red que protege frente a ataques basados en red a una base de datos.
Cifrado de nivel de celda de Azure SQLTecnología de seguridad de base de datos que proporciona cifrado en un nivel más pormenorizado.
Cifrado de conexión de Azure SQLPara proporcionar seguridad, SQL Database controla el acceso con reglas de firewall que limitan la conectividad por dirección IP, con mecanismos de autenticación que requieren a los usuarios que demuestren su identidad y con mecanismos de autorización que limitan a los usuarios el acceso a datos y acciones específicos.
Always Encrypted (Database Engine)Protege la información confidencial, como números de tarjetas de crédito o números de identificación nacionales (por ejemplo, números de la seguridad social de EE. UU.), almacenados en bases de datos de Azure SQL Database o SQL Server.
Cifrado de datos transparente de Azure SQLCaracterística de seguridad de base de datos que cifra el almacenamiento de una base de datos completa.
Auditoría de Azure SQL DatabaseCaracterística de auditoría de bases de datos que realiza un seguimiento de eventos de bases de datos y los escribe en un registro de auditoría de su cuenta de Azure Storage.

Administración de identidades y acceso

ServicioDESCRIPCIÓN
Control de acceso basado en rol de AzureCaracterística de control de acceso diseñada para que los usuarios accedan únicamente a los recursos necesarios en función de sus roles dentro de la organización.
Azure Active DirectoryRepositorio de autenticación basado en la nube que admite un directorio en la nube de varios inquilinos y varios servicios de administración de identidades en Azure.
Azure Active Directory B2CServicio de administración de identidades que permite controlar la manera en que los clientes se registran, inician sesión y administran sus perfiles al usar las aplicaciones de Azure.
Azure Active Directory Domain ServicesUna versión en la nube y administrada de Active Directory Domain Services.
Azure Multi-Factor AuthenticationAprovisionamiento de seguridad que utiliza diferentes formas de autenticación y comprobación antes de permitir el acceso a información protegida.

Copia de seguridad y recuperación ante desastres

ServicioDESCRIPCIÓN
Azure BackupServicio de Azure que se usa para realizar copias de seguridad y restaurar los datos en la nube de Azure.
Azure Site RecoveryServicio en línea que replica las cargas de trabajo que se ejecutan en máquinas físicas y virtuales desde un sitio principal a una ubicación secundaria para poder recuperar los servicios después de un error.

Redes

ServicioDESCRIPCIÓN
Grupos de seguridad de redCaracterística de control de acceso basado en la red que utiliza una tupla de 5 elementos para permitir o denegar las decisiones.
Acerca de VPN GatewayDispositivo de red que se usa como un punto de conexión VPN para permitir el acceso entre entornos locales a las redes virtuales de Azure.
Introducción a Puerta de enlace de aplicacionesEquilibrador de carga de aplicación web avanzado que puede enrutar en función de la dirección URL y realizar descargas SSL.
Firewall de aplicaciones web (WAF)Una característica de Application Gateway que ofrece una protección centralizada de las aplicaciones web contra las vulnerabilidades de seguridad más habituales.
Equilibrador de carga de AzureEquilibrador de carga de red para aplicaciones TCP/UDP.
Información técnica de ExpressRouteVínculo WAN dedicado entre las redes locales y las redes virtuales de Azure.
Azure Traffic ManagerEquilibrador de carga de DNS global.
Habilitación del proxy de la aplicación de Azure ADServidor front-end de autenticación usado para proteger el acceso remoto a las aplicaciones web hospedadas en los entornos locales.
Azure FirewallSe trata de un servicio de seguridad de red administrado y basado en la nube que protege los recursos de Azure Virtual Network.
Azure DDoS ProtectionJunto con los procedimientos recomendados de diseño de aplicaciones, constituyen una defensa frente a los ataques DDoS.
Puntos de conexión de servicio de red virtualEstos extienden el espacio de direcciones privadas de la red virtual y la identidad de la red virtual a los servicios de Azure mediante una conexión directa.

Fuente: https://docs.microsoft.com/es-es/azure/security/azure-security-services-technologies