Publicado el 1 de Abril del 2018
345 visualizaciones desde el 1 de Abril del 2018
1,9 MB
25 paginas
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
“SEGURIDAD, UNA PLATAFORMA DE VALOR PARA EL NEGOCIO”
Presentada por:
Ezequiel Sallis
Director de I+D
Claudio Caracciolo
Director de SP
Aclaración:
© Todos los derechos reservados. No está permitida la
reproducción parcial o total del material de esta
sesión, ni su tratamiento informático, ni la
transmisión de ninguna forma o por cualquier
medio, ya sea electrónico, mecánico, por
fotocopia, por registro u otros métodos, sin el
permiso previo y por escrito de los titulares de los
derechos. Si bien este Congreso ha sido concebido
para difusión y promoción en el ámbito de la
profesión a nivel internacional, previamente
deberá solicitarse una autorización por escrito y
mediar la debida aprobación para su uso.
Agenda
ü Situación Actual
ü Problemática
§ Seguridad Física
§ Seguridad en Sistemas Operativos
§ Seguridad en Almacenamiento de Datos
§ Seguridad en Control de Accesos
§ Otros
ü Contramedidas
ü Demo
ü Conclusiones
4
Situacion Actual (Deja-vu)
Los dispositivos móviles dejaron de ser únicamente un Gadget
tecnológico para pasar a formar parte de un fenómeno social y
empresarial.
Sus capacidades de procesamiento, usabilidad y conectividad se
incrementan de manera vertiginosa.
Las redes de telefonía móvil que los soportan, han crecido tanto
tecnológicamente como geográficamente permitiendo el acceso
a la información en cualquier lugar de manera efectiva.
Tanto el acceso a la información corporativa como a contenidos
sociales y ociosos se están mudando hacia la “cuarta pantalla” y
los vectores de ataque tradicionales no son la excepción.
5
Situacion Actual
Por el contrario de lo que sucede con los sistemas operativos de
las maquinas de escritorio, el mercado de los dispositivos
móviles posee una mayor oferta y diversidad.
El mercado de los dispositivos móviles esta liderado por los
smartphones pero las Tablets sin duda, jugaran un papel
fundamental en las empresas en el corto plazo (si es que ya no
lo están jugando J )
6
Situacion Actual - Actores principales
RIM OS (RIM)
IOS (Apple)
Android (Google)
Windows Mobile (Microsoft)
WebOS (HP)
Symbian (Nokia)
7
Problematica
Escenarios del mundo corporativo ante los dispositivos moviles
ü Plataforma unica, integrada y estandarizada.
ü Plaforma unica, integrada, estandarizada con excepciones.
ü Plataforma IGWT
In God We Trust
8
Problematica
Así como las notebooks fueron desplazando a las estaciones de
trabajo, hoy en día los dispositivos móviles van ocupando ese
lugar tan privilegiado. En la pelea por ocuparlo, los actores
principales del mercado se enfocan en “la experiencia del
usuario” trabajando en los temas de seguridad de manera
reactiva.
9
Problemática – Seguridad Fisica
Como en los viejos tiempos, la perdida y/o el robo representan
hoy en día el problema mas significativo.
En el mejor de los casos, solo deberíamos lamentar la perdida
del hardware, de no ser así, es solo el principio del problema.
El escenario corporativo mas afectado es el IGWT ya que
desconoce la existencia de los equipos en la red, de la
información almacenada en el mismo (claves, datos, mails, etc)
e incluso hasta de la perdida producida.
10
Problemática – Seguridad en
Sistemas Operativos
La diversidad y segmentación (fragmentación) de los sistemas
operativos disponibles para los dispositivos móviles plantea
desde el inicio un complejo escenario:
ü Administración de perfiles de multi-usuario
ü Arquitectura de seguridad (basados en ID o Privilegios)
ü Segmentación/fragmentación de versiones
ü Gestión y remediación de vulnerabilidades
11
Problemática – Seguridad en
Aplicaciones
Si bien existe multiplicidad de problemas a nivel aplicación,
quizás la forma mas clara de representarla se resuma en estos
cuatro ítems:
ü Ausencia de buenas practicas de desarrollo seguro
ü Errores de diseño (Usabilidad vs Seguridad)
ü Instalación de software no controlado (legal e ilegal)
ü Firmado de aplicaciones
ü Malware
ü Canales de comunicación inseguros
12
12
Problemática – Seguridad en
Aplicaciones
Problemática – Seguridad en
Almacenamiento de Datos
La mayoría de los dispositivos móviles poseen mas de una zona
donde almacenar los datos, independientemente de su
arquitectura. Todos los actores están de acuerdo en que
deben protegerlos, sin embargo no todos lo hacen de la misma
forma:
ü Cifrado a nivel de RAM
ü Cifrado a nivel de ROM
ü Cifrado a nivel de Memoria de Local
ü Cifrado a nivel de Memoria de Almacenamiento Extraible (SD)
Problemática – Seguridad en
Almacenamiento de Datos
Problemática – Seguridad en
Almacenamiento de Datos
Problemática – Seguridad en
Control de Accesos
Muy relacionado con el acceso físico, y conformando la primer
barrera de protección, el PIN o CLAVE se convierte en un factor
primordial.
ü Claves débiles (predictibilidad y tamaño)
ü Teclados complejos para claves complejas
ü Ingeniería social (shoulder surfing)
ü Almacenamiento inseguro de claves en los dispositivos
ü Ausencia de múltiples capas de validación.
17
Problemática – Seguridad en
Control de Accesos
Problemática – Otros aspectos
relevantes
ü 802.11
ü Bluetooth
ü 3G / EDGE / GSM
ü USB / Mini USB / etc
ü Privacidad (Geolocalización y Metadatos)
19
Contramedidas
20
Contramedidas
Definir estándares de seguridad independientemente de la
plataforma.
Concienciación de usuarios.
Utilizar los sistemas de administración centralizada (Mobile
Device Manager) para las plataformas implementadas:
- Habilitar borrado remoto.
- Habilitar bloqueo remoto.
- Geolocalización del equipo.
- Aplicación de Politicas (OTA)
21
Contramedidas
Robustecer controles de acceso según criticidad del
dispositivo/dueño (Pin a nivel de OS, Pin a nivel de SIM,
Medios Extraíbles, autenticación por aplicación y factor de
autenticación múltiple)
Cifrado de la información (medios de almacenamiento locales,
extraíbles y memorias).
Gestión de aplicaciones:
- Soluciones antimalware.
- Utilización de canales seguros por cualquier interface.
- Descarga de fuentes confiables.
22
Conclusiones
Los dispositivos móviles, son mas que una moda.
Administrarlos de manera descentralizada es como
implementar parches maquina por maquina en nuestra red.
Si los usuarios no entienden el problema, las soluciones son
poco viables.
Los problemas de seguridad ya los conocemos, solo se
mudaron a otro escenario.
Igualmente recuerde…
23
Conclusiones
Es Argentino pero atiende en todas partes, las 24 hs.
Gracias por
haber asistido a
nuestra charla!
24
Para mayor información:
Claudio Caracciolo
ccaracciolo (at) root-secure.com
Director de SP
Twitter: @holesec
Ezequiel Sallis
esallis (at) root-secure.com
Director de I+D
Twitter: @simubucks
Los invitamos a sumarse al grupo “Segurinfo” en
Comentarios de: Dispositivos Moviles ¿Y ahora qué? (0)
No hay comentarios