GNU/Linux >> Tutoriales Linux >  >> Linux

Seguridad de la información 101:lo que su empresa necesita saber

Los fundamentos de la seguridad de la información

En esta presentación, cubriremos los aspectos esenciales de cómo proteger su propiedad intelectual, principalmente cuando se relaciona con la información de la que depende su negocio. Desde una perspectiva técnica, solo una pequeña parte de esta presentación trata sobre las herramientas para proteger su negocio; aunque el sesgo de esta guía será hacia las herramientas de Linux, los principios se relacionan con cualquier sistema informático y sistema operativo. Computadoras de escritorio/estaciones de trabajo, Mac, Windows o Linux; proteger cada parte de las TIC de su lugar de trabajo es increíblemente importante. Casi todas las empresas confían en las TIC como el linaje de todos los segmentos de sus operaciones.

Formato y público objetivo

Esta guía está en formato de presentación, para que pueda presentarla a colegas del lugar de trabajo que deseen capacitarse o aumentar sus conocimientos sobre principios, métodos y herramientas de seguridad.

La audiencia prevista es para profesionales de las TIC en las empresas, pero sigue siendo adecuada para cualquier persona interesada en IS (seguridad de la información).

Si desea ver el esquema de la diapositiva, desplácese hasta debajo de la presentación.

¡Deja que Alistair te lo presente!

Si está interesado en que el autor le brinde a su empresa una presentación atractiva, capacitación, consulta o soporte sobre cualquiera de los temas tratados en esta presentación, o con los sistemas de información comercial en general (p. ej. Linux y código abierto), entonces ingrese toque. Alistair tiene años de habilidades de presentación y es un líder técnico sénior, habiendo trabajado para empresas de renombre como Amazon y GE, así como para empresas medianas en todo el mundo.

Paquete de diapositivas


No se pudo iniciar esta presentación de diapositivas. Intente actualizar la página o verla en otro navegador.

Seguridad de la información 101

Lo que su negocio necesita saber

Una guía de los por qué , el cómo es y el qué es de proteger su negocio contra los riesgos de seguridad de la información.

(C) Derechos de autor Alistair Ross 2017 | www.linuxnewbieguide.org


Temas tratados en esta presentación:

  • ¿Por qué es importante la seguridad de la información?
  • Cosas que debes saber
  • ¿Quién estaría interesado en explotar mis sistemas TIC?
  • ¿Qué tipo de ataques se pueden realizar?
  • ¿Cómo puedo protegerme contra cada tipo de ataque?
  • Herramientas
  • Planificación para lo peor
  • Lecturas adicionales.

¿Por qué es importante la seguridad de la información?

  • El daño que puede causar a su negocio:
    • Pérdida de propiedad intelectual.
    • Pérdida de reputación, cuota de mercado y marca.
    • Extorsión y rescate (incluida la pérdida de fondos bancarios directos).


Perfiles de riesgo

  • En primer lugar, analicemos el perfil de riesgo de su empresa.
    • Desde la perspectiva del propietario de su empresa:
    • Su información lo es todo, es el elemento vital de los negocios modernos.
  • El perfil de interés en su infraestructura:
    • El valor de la potencia informática "gratuita" para los atacantes.

Cosas que debes saber 1/4:

  • Definición de seguridad de la información, la tríada de la CIA:
    • C Confidencialidad:protección de su información frente a accesos no autorizados.
    • Yo ntegridad:La información es como debe ser, no modificada de forma no autorizada (o incluso errónea).
    • A disponibilidad:garantizar que la información que tiene esté siempre disponible.

Cosas que debes saber 2/4:

Los tres elementos principales de la seguridad son:

Personas

Proceso


Tecnología

Cosas que debes saber 3/4:

  • Su organización debe tener una política de SI.
    • Aunque , recuerde que si lo hace oneroso para su personal, lo evitarán en cada oportunidad. La seguridad tiene que ver con un compromiso efectivo.
  • Simplemente tener un firewall no es la respuesta:se necesita una defensa en profundidad.
  • Es cuestión de cuándo , no si te explotan.

Cosas que debes saber 4/4:

  • Confianza. Su negocio se basa en ello, sin embargo:
    • Su personal y proveedores puede ser hostil!
      • Es posible que no se den cuenta de un atentado contra ellos.
      • Pueden instalar software, abrir documentos e ir a sitios que hacen "cosas malas".
      • Pueden hacer el mal intencionalmente.
  • El hecho de que esté en la nube no significa que sea seguro. Solo es tan bueno como las personas que lo colocan en la nube y la empresa que opera el servicio en la nube.

¿Quién estaría interesado en explotar mis sistemas TIC?

  • Atacantes dirigidos
    • Personal/Ex-personal descontento
    • Golpeadores contratados
    • Oportunistas
  • Atacantes no dirigidos
    • Guión para niños
  • Bots/Spambots.

¿Qué tipo de ataques se pueden realizar?

  • Ingeniería Social:

  • Suplantación de identidad
  • Salida de datos basada en personas (intencional y no intencionada). – Datos que salen de la puerta (y en la nube).
  • Rescate/Chantaje.
  • Presencialmente, por correo postal, correo electrónico personal y teléfono.

¿Qué tipo de ataques se pueden realizar? (continuación...)

  • Explotaciones físicas

    • HID (dispositivos de interfaz humana) (por ejemplo, Rubber Ducky, Bash Bunny)
    • Tapping de red LAN (por ejemplo, Great Scott Throwing Star Lan Tap)
    • WiFi (p. ej., la piña WiFi)
    • Robar documentos en papel, etc.

Qué tipo de ataques se pueden realizar (cont...)

  • Exploits basados ​​en la red y en Internet

    • Explotación de vulnerabilidades
    • DNS, envenenamiento/redireccionamiento de DHCP
    • Descarga y ofuscación de SSL
    • Ataques MITM (Hombre en el medio)
    • (D)Ataques DoS
    • Ransomware y malware
    • Ataques de fuerza bruta/Diccionario y Rainbowtable

¿Cómo puedo protegerme contra cada tipo de ataque?

Ingeniería Social:

  • ¡Entrenamiento, entrenamiento, entrenamiento!
  • Verificar todas las fuentes de solicitudes.
  • Tenga en cuenta la información que está divulgando (pública o de otro tipo).
    • ¿La persona que pregunta realmente necesita/debería necesitar esa información?
  • Determine cuáles de sus activos son más valiosos para los delincuentes.
  • Mantente fuerte, no te rompas. Repórtelo de inmediato.

Físico:

  • Cerradura y llaves
  • Cierre la sesión de su máquina cuando se vaya (o al menos ciérrela con una contraseña).
  • Elimine los datos de manera responsable (trituración, reciclaje de computadoras). Mecanismos de autenticación, Auditabilidad.

¿Cómo puedo protegerme contra cada tipo de ataque? (continuación...)

Protección contra exploits basada en la red y en Internet:

  • Contraseña, 2FA, Token. Cifrado.
    • Autenticación de usuario final, directorios.
    • Las contraseñas en conmutadores, cortafuegos, SAN, servidores y cuentas en la nube son aún más importantes.
    • Auditoría de usuarios administrativos. Garantizar que los niveles de acceso a la red sean adecuados.

(continuación...)

  • Monitoreo y escaneo, análisis de registros.
  • Parches/Actualizaciones.
  • Si está abierto a Internet, primero pregunte por qué. Luego haz:
    • Cerrar puertos/servicios innecesarios.
    • Proxy/Proxy inverso
    • Limitación de IP de origen (cortafuegos)
    • Conexiones VPN
    • Amazon/Azure/nube:VPC, etc.
    • Detener la información de la versión que se muestra (por ejemplo, status.html, phpinfo.php).

(continuación...)

  • Cifrado
    • Cifrado asimétrico:Texto sin formato -> Clave pública -> Texto cifrado -> Clave privada -> Texto sin formato).
    • Comprobación de validez con hash MD5.
    • Autoridades de certificación:en quién confiar (la Lista de autoridades de confianza) y cuándo puede salir mal.
    • Mensajes/correo electrónico encriptados.

(continuación...)

  • Controles de red (p. ej., Wi-Fi y cortafuegos inseguros)
    • No se conecte automáticamente a puntos de acceso Wi-Fi públicos gratuitos/abiertos, ni a aquellos que utilicen WEP.
    • Confiar en que WiFi SSID realmente es el SSID que dice ser.

Políticas y Formación de su personal

  • Seguridad de la contraseña, autenticación de 2 factores, aplicación de la misma.
  • Evite almacenar datos restringidos en dispositivos móviles y dispositivos extraíbles (por ejemplo, memorias USB).
    • Robo
    • Uso indebido
    • Vulnerabilidades móviles:ejecutables y drive-bys (bluetooth, etc.)
    • Dispositivos personales en el lugar de trabajo.

Políticas y formación de su personal (cont...)

  • Sistemas de mensajería inseguros (¡sí, eso significa usted, correo electrónico!), cuentas de correo electrónico personales para el trabajo.
  • Compartir contraseñas, enviar contraseñas en 'claro'.
  • Almacenamiento en la nube y aplicaciones en la nube:
    • Integridad de los proveedores de la nube y cómo cuidan su seguridad (seguridad de la contraseña, etc.).
    • Proveedores de la nube que van a la quiebra
    • Políticas del proveedor de la nube con respecto a su información.
  • Hacer clic en enlaces acortados, archivos adjuntos de correo electrónico, macros, ventanas emergentes, ventanas subyacentes, enlaces erróneos.

Políticas y formación de su personal (cont...)

  • Operaciones de recursos humanos y TI:incorporación, desvinculación y contratación.
  • Hacer que el personal que no sea de TI informe cualquier sospecha de riesgo o infracción de seguridad.
  • Haga que su junta ejecutiva brinde orientación sobre la clasificación de datos; utilice una matriz RASCI que tenga en cuenta el valor de cada nivel de activo, ordenado por criticidad para la operación comercial y reputación.
  • Haga un inventario de todas las cosas (software, hardware, direcciones IP, personas)
    • Lo que está autorizado frente a lo que no está autorizado.
  • Para desarrolladores:revisión de código, uso de herramientas.

Políticas y formación de su personal (cont...)

  • El personal de TI debe programar rutinariamente auditorías de seguridad (diarias, semanales. ¡Mensualmente puede ser demasiado tarde!). Considera:
    • Niveles de parche,
    • Lista de vulnerabilidades de CVE, verificación cruzada con aplicaciones visibles externamente al menos.
    • Ejecución/análisis de informes de herramientas de seguridad.

Herramientas

  • Escaneo de puertos:NMAP, ShieldsUp!
    • Números de puerto comunes (/etc/services).
  • OpenVAS:análisis de vulnerabilidades.
  • OSSec:detección de intrusos.
  • Kali Linux:(distribución de pruebas de penetración) y MetaSploit Framework (Windows, Mac, Linux).
  • SecurityOnion :distribución de Linux para la detección de intrusos y la supervisión de la seguridad.
  • Herramientas de análisis de paquetes TCPDump/Wireshark.
  • Tripwire:auditoría de cambios de archivos.
  • Fail2Ban :bloqueo de acceso temporal basado en IP a través de firewall.
  • SELinux/AppArmor

Herramientas (continuación)

  • Para programadores:
    • Métodos generales de inyección SQL
    • Introducción de datos generales y métodos de formulario basados ​​en HTML
    • Métodos generales XSS (Cross-Site Scripting)
    • OWASP (Proyecto de Seguridad de Aplicaciones Web Abiertas).
    • Maldita aplicación web vulnerable (PHP)
    • BrakeMan (aplicaciones de Ruby on Rails)

Herramientas (continuación)

  • Para usuarios finales:la última línea de defensa :<último>
  • Windows GPO (Política de grupo) para hacer cumplir las políticas.
  • Antivirus, Antimalware.
  • Cortafuegos personal.

Planificación para lo peor

  • Haga un plan, que comprenda lo siguiente (al menos)...
  • Cuando ocurre un ataque, ¿cómo volvemos al trabajo?
    • Detente y piensa:no entres en pánico.
      • El cortafuegos bloquea el servidor inmediatamente.
      • Hacer una copia del disco y trabajar en la copia .

Planificación para lo peor (continuación)

  • Realizar análisis forenses/recopilar pruebas
    • Encontrar procesos en ejecución y controladores de archivos (procfs, lsof).
    • Buscar procesos sospechosos (ps auxwww)
    • Análisis de procesos (strace, ltrace)
    • Recopilación de registros
    • Buscando archivos ocultos y sospechosos (/tmp, /dev. Haciendo una búsqueda basada en mtime).
    • Usuarios registrados (quién/w, último)
    • Nuevas cuentas de usuario (¡indica pocas habilidades!) /etc/passwd.

Planificación para lo peor (continuación)

  • Informar los hallazgos a las partes interesadas del negocio.
    • Debida diligencia empresarial y cuándo informar a las autoridades.
    • Cadena de custodia. No haga cambios, planee usarlo como evidencia en la corte.
    • Ayudando a su ejecutivo con el mensaje a sus clientes.
  • ¿Recuperarse de las copias de seguridad o invocar el plan BC?

Lecturas adicionales

  • Los 20 principales controles de seguridad críticos de SANS
  • Libro de Kevin Mitnick sobre ingeniería social
  • Las 10 principales vulnerabilidades de OWASP
  • Lista de vulnerabilidades de CVE

Aprendizajes clave/Puntos de acción

La seguridad de la información es importante.

  • ¡No dejes que sea una ocurrencia tardía!

Personas, Procesos y Tecnología:

  • Una fórmula ganadora para obtener I.S. bien

  • Gente:educación, ingeniería social, exploits físicos, extorsión, candado y llave.
  • Proceso:Inventario, Política.
  • Tecnología:vulnerabilidades de servicio, herramientas (incluso automatizadas), supervisión y alertas.

  • Tener un cortafuegos no es la respuesta. ¡Defensa en profundidad!


Contorno de la diapositiva

En la presentación se trataron los siguientes temas:

  • ¿Por qué es importante la seguridad de la información?
    • El perfil de interés en su negocio
      • ¡Tu información lo es todo y es vulnerable!
      • Exfiltración de datos.
    • El perfil de interés en su infraestructura.
      • El valor de la potencia informática gratuita para los atacantes.
    • El daño que puede causar a su negocio:
      • Pérdida de propiedad intelectual, y,
      • Pérdida de reputación, cuota de mercado y marca.
      • Extorsión y rescate (incluida la pérdida de fondos bancarios directos).
  • Cosas que debe saber:
    • Definición de seguridad de la información, la tríada de la CIA:
      • C Confidencialidad:protección de su información frente a accesos no autorizados.
      • Yo ntegridad:La información es como debe ser, no modificada de forma no autorizada (o incluso errónea).
      • A disponibilidad:garantizar que la información que tiene esté siempre disponible.
    • Principales elementos de seguridad:
      • Personas
      • Proceso
      • Tecnología
    • Tener una política. Cuándo es importante y cuándo es una carga.
    • Un cortafuegos no es la respuesta:defensa en profundidad.
    • Cuándo , no si te explotan.
    • Confianza:su negocio se basa en ella, sin embargo:
      • ¡Su personal y proveedores pueden ser hostiles!
        • Es posible que no se den cuenta de un atentado contra ellos.
        • Pueden instalar software, abrir documentos e ir a sitios que hacen cosas malas.
        • Pueden hacer el mal intencionalmente.
    • La nube !=Seguro
  • ¿Quién estaría interesado en explotar mis sistemas TIC?
    • Atacantes dirigidos
      • Personal/Ex-personal descontento
      • Golpeadores contratados
      • Oportunistas
    • Atacantes no dirigidos
      • Guión para niños
    • Bots/Spambots.
  • ¿Qué tipo de ataques se pueden realizar?
    • Ingeniería social:
      • Suplantación de identidad
      • Salida de datos basada en personas (intencional y no intencionada). – Datos que salen de la puerta (y en la nube).
      • Rescate/Chantaje.
      • Presencialmente, por correo postal, correo electrónico personal y teléfono.
    • Hazañas físicas
      • HID (dispositivos de interfaz humana) (por ejemplo, Rubber Ducky, Bash Bunny)
      • Tapping de red LAN (por ejemplo, Great Scott Throwing Star Lan Tap)
      • WiFi (p. ej., la piña WiFi)
    • Exploits basados ​​en la red y en Internet.
      • Explotación de vulnerabilidades
      • DNS, envenenamiento/redireccionamiento de DHCP
      • Descarga y ofuscación de SSL
      • Ataques MITM (Hombre en el medio)
      • (D)Ataques DoS
      • Ransomware y malware
      • Fuerza bruta
  • ¿Cómo puedo protegerme contra cada tipo de ataque?
    • Social:
      • Verificar, verificar y confiar.
    • Físico:
      • Cerradura y llaves
      • Cierre la sesión de su máquina cuando se vaya (o al menos ciérrela con una contraseña).
      • Elimine los datos de manera responsable (trituración, reciclaje de computadoras). Mecanismos de autenticación, Auditabilidad.
    • Protección contra exploits basada en la red y en Internet.
      • Contraseña, 2FA, Token. Cifrado.
        • Autenticación de usuario final, directorios.
        • Las contraseñas en conmutadores, cortafuegos, SAN, servidores y cuentas en la nube son aún más importantes.
        • Auditoría de usuarios administrativos. Garantizar que los niveles de acceso a la red sean adecuados.
      • Monitoreo y escaneo, análisis de registros.
      • Parches/Actualizaciones.
      • Si está abierto a Internet, ¿por qué?
        • Cierre de puertos/servicios.
        • Proxy/Proxy inverso
        • Limitación de IP de origen
        • Conexiones VPN
        • Amazon/Azure/nube:VPC, etc.
        • Detener la información de la versión que se muestra (por ejemplo, status.html, phpinfo.php).
      • Cifrado
        • Cifrado asimétrico:Texto sin formato -> Clave pública -> Texto cifrado -> Clave privada -> Texto sin formato).
        • Comprobación de validez con hash MD5.
        • Autoridades de certificación:en quién confiar (la Lista de autoridades de confianza) y cuándo puede salir mal.
        • Mensajes/correo electrónico encriptados.
      • Controles de red (p. ej., Wi-Fi y cortafuegos inseguros)
        • No se conecte automáticamente a puntos de acceso Wi-Fi públicos gratuitos/abiertos, ni a aquellos que utilicen WEP.
        • Confiar en que WiFi SSID realmente es el SSID que dice ser.
      • Políticas y capacitación de su personal:personal administrativo/de operaciones, gerencia, desarrolladores.
        • Seguridad de la contraseña, autenticación de 2 factores, aplicación de la misma.
        • Evite almacenar datos restringidos en dispositivos móviles y dispositivos extraíbles (por ejemplo, memorias USB).
          • Robo
          • Uso indebido
          • Vulnerabilidades móviles:ejecutables y drive-bys (bluetooth, etc.)
          • Dispositivos personales en el lugar de trabajo.
        • Sistemas de mensajería inseguros (¡sí, eso significa usted, correo electrónico!), cuentas de correo electrónico personales para el trabajo.
        • Compartir contraseñas, enviar contraseñas en 'claro'.
        • Almacenamiento en la nube y aplicaciones en la nube:
          • Integridad de los proveedores de la nube y cómo cuidan su seguridad (seguridad de la contraseña, etc.).
          • Proveedores de la nube que van a la quiebra
          • Políticas del proveedor de la nube con respecto a su información.
          • Hacer clic en enlaces acortados, archivos adjuntos de correo electrónico, macros, ventanas emergentes, ventanas subyacentes, enlaces erróneos.
        • Operaciones de recursos humanos y TI:incorporación, desvinculación y contratación.
        • Hacer que el personal que no sea de TI informe cualquier sospecha de riesgo o infracción de seguridad.
        • Haga que su junta ejecutiva brinde orientación sobre la clasificación de datos; utilice una matriz RASCI que tenga en cuenta el valor de cada nivel de activo, ordenado por criticidad para la operación comercial y reputación.
        • Haga un inventario de todas las cosas (software, hardware, direcciones IP, personas)
          • Lo que está autorizado frente a lo que no está autorizado.
        • Para desarrolladores:revisión de código, uso de herramientas.
      • El personal de TI debe programar rutinariamente auditorías de seguridad (diarias, semanales. ¡Mensualmente puede ser demasiado tarde!). Considera:
        • Niveles de parche,
        • Lista de vulnerabilidades de CVE, verificación cruzada con aplicaciones visibles externamente al menos.
        • Ejecución/análisis de informes de herramientas de seguridad.
    • Herramientas:
      • Escaneo de puertos NMAP.
        • Números de puerto comunes (/etc/services).
      • Análisis de vulnerabilidades de OpenVAS.
      • Detección de intrusos OSSec.
      • Kali Linux y MetaSploit Framework (Windows, Mac, Linux).
      • TCPDump/Wireshark
      • Cebolla de seguridad
      • Auditoría de archivos Tripwire
      • SELinux/AppArmor
      • Para programadores:
        • Métodos generales de inyección SQL
        • Introducción de datos generales y métodos de formulario basados ​​en HTML
        • Métodos generales XSS (Cross-Site Scripting)
        • OWASP (Proyecto de Seguridad de Aplicaciones Web Abiertas).
        • Maldita aplicación web vulnerable (PHP)
        • BrakeMan (aplicaciones de Ruby on Rails)
      • Para usuarios finales:la última línea de defensa :<último>
      • Windows GPO (Política de grupo) para hacer cumplir las políticas.
      • Antivirus, Antimalware.
      • Cortafuegos personal.
  • Planificación para lo peor
    • Cuando (no si) ocurre un ataque, ¿cómo volvemos al negocio?
      • Detente y piensa:no entres en pánico.
        • Bloqueo de cortafuegos inmediatamente
      • Realizar análisis forenses/recopilar pruebas
        • Encontrar procesos en ejecución y controladores de archivos (procfs, lsof).
        • Análisis de paquetes (strace, )
        • Recopilación de registros
        • Buscar archivos ocultos y sospechosos (/tmp, /opt. Hacer una búsqueda basada en mtime).
      • Informar los hallazgos a las partes interesadas del negocio.
        • Debida diligencia empresarial y cuándo informar a las autoridades.
      • ¿Recuperarse de las copias de seguridad o invocar el plan BC?
  • Lecturas adicionales
    • Los 20 principales controles de seguridad críticos de SANS
    • Libro de Kevin Mitnick sobre ingeniería social
    • Las 10 principales vulnerabilidades de OWASP
    • Lista de vulnerabilidades de CVE


    • Linux

    1. ¿Cuál es tu truco de terminal Linux favorito?

    2. ¿Cuál es tu administrador de paquetes de Linux favorito?

    3. Comandos de Linux para mostrar la información de su hardware

    4. Feliz aniversario GNOME:¿Cuál es tu versión favorita?

    5. ¿Cuál es tu truco de terminal Linux favorito?

    ¿Cuál es tu distribución de Linux favorita?

    Seguridad de CI/CD:cómo proteger su tubería de CI/CD

    Mostrar información de red en Linux usando la herramienta What IP

    Diseccionando el comando libre:lo que el administrador de sistemas de Linux necesita saber

    Nunca le hagas esto a tu linux rm -rf * / un comando para romper todo linux

    Cómo configurar el CRM ONLYOFFICE para las necesidades de su negocio