Gestin de Seguridad de la Informacin

Profesor: Mgtr. Gonzalo Martin Valdivia Benites

CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS, CRISC(t)

Maestra ISC : Direccin Estratgica de TI - USAT

 Acceso
Flujo de
informacin
entre un
sujeto y un
objeto.
 Gestin de accesos
En base a la Necesidad-de-saber (Need
to know)

Sistema de gestin de accesos, a travs

de un flujo con niveles autorizacin y
aprobacin.
Dueos de informacin definidos
Custodios de informacin definidos
Roles y permisos definidos (MOF)
Fases de Control
de Acceso
Autorizacin

Autenticacin

Identificacin
 I. Identificacin Login ID
II. Autenticacin

Que es lo que
soy ?

Que es lo que
tengo ?

Que es lo que se
?
Contraseas
Tokens autenticacin de doble facto
Autenticacin de doble factor
 Opciones de autenticacin
Fortaleza Relativa

PIN PIN PIN

+ + + +
No Password
Policy
Password
Policy + + +

Password

Weaker Stronger
III. Autorizacin
 Single
Sign On
SSO
 SSO
Permite al usuario acceder a varios sistemas
con una sola instancia de identificacin, a travs
de un solo producto que hace interface con:

Aplicaciones Web
Sistemas distribuidos
Seguridad de red y acceso
remoto
Mecanismos de Autenticacin: SSO
 Ventajas

Reduce la carga
administrativa

Reduce tiempo de
Mejor auditora de
accesos Ventajas acceso por nico
usuario

No es necesario el
us de muchos
usuarios/contraseas
 Desventajas
No siempre
es sencillo de
implementar

Mayor costo
en cuanto a
nico punto las
de hackeo Desventajas integraciones
de los
sistemas

nico punto
de falla
Biometria
 Biometria
Estudia y mide los datos de los seres
vivientes.
"bios" (vida) y "metros" (medida)
Sirve para la identificacin automtica o la
verificacin de la identidad de un sujeto,
sobre la base de sus caractersticas fsicas
o de su comportamiento.
 Tipos

Biometra esttica Biometra dinmica

Huellas dactilares
Geometra de la mano
Anlisis del iris
Anlisis de retina
Venas del dorso de la mano.
Reconocimiento Facial.
Patrn de Voz
Firma manuscrita
Dinmica de tecleo
Cadencia del paso
Anlisis gestual.
 Comparativo
Caracterst Huella Geometria Retina Iris Rostro Firma Voz
ica dactilar de la
mano
Facilidad Alto Alto Bajo Medio Medio Alto Alto
de uso
Causas de Suciedad, Heridas, Lentes Baja Iluminacin Variabilida Ruido,
error sequedad, edad iluminacin , edad, d de la resfriado,
edad lentes, firma estado de
cabello nimo
Precisin Alta Alta Muy Alta Muy Alta Alta Alta Alta

Costo Bajo Medio Alto Alto Medio Medio Bajo

Aceptacin Medio Medio Muy Bajo Bajo Medio Medio Alto

usuario
Nivel Alto Alto Muy Alto Muy Alto Medio Medio Medio
Seguridad
Estabilidad Alto Medio Ato Alto Medio Medio Medio
en el
tiempo
Seguridad Informtica Criptografia
Martin Valdivia
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS
Criptografia
 Criptografa
Permite transmisin
de informacin sobre
canales inseguros.

Asegura la
confidencialidad de
la informacin.
Elementos de la criptografia
Algoritmo
Llave
Longitud de la Llave
 Principio de Kerckhoff

En 1883 Auguste
Kerckhoff enunci que
en un sistema
criptogrfico solo la
clave debe ser el
elemento secreto.
Tipos
 Criptografa
simtrica

https://www.youtube.com/watch?v=
46Pwz2V-t8Q
Criptografa simtrica
Una misma llave encripta
y desencripta.
Algoritmos
DES (56 bits)
3DES 3 llaves de 56
bits
AES (128, 192, 256
bits )
IDEA
Blowfish
RC5
Salsa20
Criptografa
Asimtrica

https://www.youtube.co
m/watch?v=On1clzor4x4
Criptografa
Asimtrica

Usa 2 llaves:
Privada y
Pblica

Algoritmos
RSA (Rivest,
Shamir,
Adleman)
El Gamal
Curva Eliptica
 Funciones
Hash

https://www.youtube.com/watch?v=
7TA0jkxREr8
Funciones
Hash
Algoritmo de
una sola va
Algoritmo
altamente
sensible
Algoritmos:
MD5, SHA-II,
SHA-III
 Aplicaciones
Secure sockets layer (SSL/TLS)
IP security
SSH
Secure multipurpose Internet mail extensions
(S/MIME)
3D Secure
Firma Digital
Algoritmo de la Firma digital
 PKI
Es el conjunto de servicios de seguridad
que posibilitan el uso y administracin de:

certificados y criptografa de llave pblica,

en sistemas de computacin distribuida
incluyendo llaves, certificados y polticas.

Page 35
PKI
Componentes PKI
Certificado
digital

Certification
Autoridad
Practice
certificadora
Statement
(CA)
(CPS)

PKI

Lista de
Autoridad
revocacin
de registro
de
(RA)
certificado
Malware

https://www.youtube.com/
watch?v=NPsjN8AvNQM
 Adware
Muestra
publicidad de
distintos
productos o
servicios.

Fuente: Seguridad en el ordenador. Universitat d Alacant

3
Troyano
Software daino
disfrazado de
software legtimo
que permite que un
extrao controle
nuestro PC.

3
 Dialer
Programa que llama
a un nmero de
telfono diferente al
de la conexin para
que el usuario
pague la llamada de
larga distancia.

4
 Hijacker
Hijacker
Realiza cambios en la
configuracin del
navegador para
redirigir a webs de
caractersticas
indeseables
(pornogrficas,
copias de webs
bancarias, ...)

4
 Keylogger
Registra pulsaciones del teclado.

4
Spam
Correos
publicitarios que
son enviados de
forma masiva e
indiscriminada a
direcciones
electrnicas.

4
 Spyware
Programa espa que
recopila informacin
sobre los hbitos del
usuario (navegacin,
programas ms
usados, ...) para luego
enviarla a travs de
Internet y que sea
utilizada con fines
comerciales.

4
Ventanas emergentes
Ventanas que aparecen constantemente en el navegador
mostrando publicidad y que dificultan la navegacin.

4
 Virus

Programa que
altera el normal
funcionamiento
de la PC y
realiza cambios
en el sistema
sin autorizacin
del usuario.

4
 Worms

No alteran los
archivos del
sistema,
residen en
memoria y se
duplican a s
mismos.

47
Botnet
Envia SPAM
Envia Malware
Aloja Phishing
Ataque DDOS
Aloja Warez
Rootkits
Se disfrazan como software del Sistema.
Ramsomware
Secuestro de datos
 APTs
Un grupo o
organizacin
que opera una
campaa de
robo de
propiedad
intelectual
usando
malware
 Motivacin

QIF
T uickT
are F ime
needed
(Uncom
toand athisdecom
pressed)
see picture.
pressor
 Cmo hacen dinero?

Robando informacin financiera

Robando datos sensitivos
Sirviendo cono hosts de phishing
Centros de control Bot
Ataques distribuidos
 Stuxnet
Stuxnet es el prototipo
funcional de una ciber-
arma", que dar el
pistoletazo de salida a una
nueva guerra
armamentista en el
mundo. En esta ocasin,
ser una carrera ciber-
armamentista.

Eugene Karspersky

https://www.youtube.com/watch?v=
Ak3qp4qRAiY
Malware en
mviles
 Malware en Moviles

Android es la Troyano mas

plataforma comn: SMS
mas atacada trojan

Troyanos 1er troyano de

bancarios: Android :
Zeus y SpyEye Agosto 2010

Fuente: Karspersy 2010

5
 Malware
en
Moviles

https://www.youtube.com/watch?
v=9n8OZyo4nG0
57
 Explosin de Malware

Fuente: Karspersy 2010

58
Fuente: Blue Coat Systems 2014 Mobile Malware report
 Ejemplo de infeccin
Explosin de Malware

Fuente: Karspersy 2010

59
Fuente: Blue Coat Systems 2014 Mobile Malware report
Anatomia de un mvil hackeado
 Malware en Aplicaciones legtimas

Angry Birds para

iPhone tena acceso a
los datos de los
contactos y que poda
compartirlos con Rovio
Rovio Mobile anunci
200 millones de
descargas. 1

1 Rovio. Mayo 2011 6

En Google Play
aparecieron
aplicaciones de
Apple Inc

6
 Malware
Defensa en profundidad
Polticas de seguridad
Proteccin en el permetro
Proteccin en los servidores
Proteccin en los desktops
Mnimo privilegio posible
Mnimo punto de exposicin
Fuentes de informacin
ASC - Anti-Spyware Coalition
APWG - Anti-Phishing WG
AVAR - Association of Anti-virus
Asia Researchers
AVIEN - Anti-virus Information
Exchange Network
EICAR - European Institute for
Computer Antivirus Research
CERT - Computer Emergency
Response Team
ICSA LABS
ISC2
SANS
SIG Security - Swedish Information
Processing Societys Special
Interest Group Security
Virus Bulletin
Conferences
 Gestin de Seguridad de la Informacin
Profesor: Mgtr. Gonzalo Martin Valdivia Benites
CISA, CISM, CCISO, ISMS-LA, ITIL-F, CLOUD-F, ISO 27002,CISCS, CRISC(t)

Maestra ISC : Direccin Estratgica de TI - USAT

Ingeniera Social
Usted puede tener la
mejor tecnologa,
firewalls, sistemas de
deteccin de ataques,
dispositivos biomtricos,
etc. Lo nico que se
necesita es un llamado
a un empleado
desprevenido e ingresan
sin ms. Tienen todo en
sus manos."

Kevin Mitnick.
 Ingenieria social
Las personas son el eslabon ms debil en la
cadena de la seguridad

La ingenieria social es el metodo mas

efectivo para sortear los obstaculos de
seguridad.

Un ingeniero social tratar de explotar esta

vulnerabilidad antes de gastar tiempo y
esfuerzo en otros metodos.
La ingenieria social se aprovecha de:

El deseo de ayudar
La tendencia a confiar en la gente
El miedo a meterse en problemas
 Cmo nos atacan?
Todo objetivo se vale de una estrategia para
lograrlo.
 Cmo nos atacan?
Preparar un ataque a un sistema informtico: versin, bug,
etc.

Elaborar una lista sobre el objetivo.

Gustos, vicios, marca de cigarrillos, matrcula del coche,

modelo, mvil, DNI, nombre de los hijos, de la mujer, de la
novia, figuras principales en su vida, se elabora un perfil
psicolgico de la persona.

Fuente: Internet, basura, amigos, familiares, personas

mayores, abuelas, o nios, hijos, hermanos, etc.
Poniendo la trampa
Conociendo a la vctima, se podr predecir
como actuar frente a determinados
estmulos.
Conociendo sus gustos, sus deseos, es
fcil llevarlo por donde se quiera.
 Tcnicas
Pretexting
Phishing
Spear Phishing
IVR/Phone Phishing (Vishing)
Shoulder Surfing
Dumpster Diving
Road Apples
Quid pro quo Something for something
Otros tipos
 Pretexting
Usa un escenario inventado (normalmente
por telefono) para obtener infomacin

El pretexto es el escenario creado con

alguna informacin vlida para conseguir
ms informacion
 Ejemplo pretexting
Sr. Perez: Alo?

Atacante: Alo, Sr. Perez. Soy Jos Mendoza

de Soporte Tcnico. Estamos teniendo
restricciones de espacio en disco en el
servidor principal de archivos y vamos a
mover algunas carpetas de los usuarios a
otro disco hoy a las 8 de la noche. Su
usuario ser parte de esta migracin, y
estar temporalmente sin servicio.
 Ejemplo Pretexting
Sr. Perez: Ah, Ok. Bueno, a las 8 de la noche
ya no estar en la Oficina.

Llamante: No hay problema. Asegurese de

salir del Sistema. Solo necesito chequear un
par de cosas. Cual era su usuario, jperez?

Sr. Perez: Si, es jperez. Ninguno de mis

archivos se perder, verdad ?
 Ejemplo Pretexting
Llamante: No Sr. Perez. Pero chequeare su
cuenta para estar seguro. Cual es su password,
para chequear porsiaca?

Sr. Perez: Mi password es febrero$, todo con

letras minusculas.

Llamante: Ok, Sr. Perez, dejeme ver Si, no

habr ningun problema con sus archivos
Muchas Gracias

Sr. Perez: Gracias a ti. Nos vemos.

 Phishing
Usualmente llega por
email de un negocio
legtimo uno que
usamos
Incluye un sentido de
urgencia
Bancos y sitios de
compras por tarjeta
de crdito son los
blancos mas
frecuentes.
Ejemplo
BCP
 Ejemplo

https://www.youtube.com/watch?v=lLpFIRARKqo
 Spear Phishing
emails dirigidos exclusivamente a un blanco

Aparecen como si vinieran de una persona

legitima que se conoce
Un Gerente
Una persona que trabaja
La Mesa de Ayuda
 IVR/Phone Phishing (Vishing)
Dirigo a llamar a un numero telefnico
El IVR parece legtimo

Los Sistemas IVR normalmente solicitan el ingreso de

informacin personal
PIN
Password
SSN

Incluso podria ser transferido a un representante

 Implicancias del vishing
La gente confia mas en el sistema telefnico que
en el Internet.
La gente ya espera interactuar con operadores no-
humanos
Mas gente puede ser atacada por telefono que por
computadora.
La gente de edad son facilmente engaables

Tomado de : Vishing as an Emerging Attack Vector. Casey C. Rackley

 Shoulder Surfing
Muy usada en aeropuertos, coffee shops, areas Wi-Fi en
hoteles, lugares publicos.
Consiste en la observacin para obtener logins y
passwords
Revelacin de tarjetas de credito
Informacin confidencial puede ser revelada
Cajeros automaticos de Bancos, bloqueos de seuridad,
teclados de alarma
Incluye piggy backing alguien inresa a un area segura
basado en una auenticacin valida.
 Dumpster Diving
Obtener informacin de la basura
Que se puede obtener ?
Informacin Confidencial, informacin personal y datros
de tarjetas de creditos.
Informacin de bancos
Lista de telefonos
No es raro obtener informacin de la basura
Control: Destructores cruzados de informacin
confidencial
Road Apples
Medios fiscos
( CDs, USBs)
Etiquetados para
llamar la
curiosidad
Una vez
colocados carga
Troyanos o virus
para rastrear
keystrokes
Usado para
obtener IDs y
passwords
 Quid pro quo
Algo para algo
Concursos de chapitas
Promociones
Encuestas
Regalos por intercambio de Informacin
 Otros tipos de Ingeniera Social
Spoofing/hacking IDs de emails populares como Yahoo,
Gmail, Hotmail
Conexiones Wi-Fi gratuitas
Punto-a-Punto
Paginas Web y direcciones email
Estafas en el cajero automtico
 Conclusiones
La ingeniera social NUNCA PASAR DE
MODA.

Es un arte, el arte que deja la tica de

lado.

El ingrediente necesario detrs de todo

gran ataque.
 Contramedidas
La mejor manera de estar protegido pasa por el
conocimiento.

Concientizar a los usuarios

Pruebas peridicas
Programa de concientizacin a usuarios (Security
Awareness Program)
SP 800-50
 Programa de Concientizacin

Despliegue en lugares visibles (posters,

flayers, corchos, merchandising)
Aplicaciones
Web
 Arquitectura Multicapa

DCOM
BBDD
WebServer

Browser WebService

WebServer
BBDD

RPC

Interfaz de Usuario Lgica de la Aplicacin Datos

Fuente: Seguridad en Aplicaciones Web Chema Alonso
 Amenazas
Zone-h.org contabiliza miles de intrusiones Web
con xito cada da.
En 2010 1.5 millones de websites fueron
desfiguradas (defaced).
Se atacan todas las tecnologas
Los ataques se han escalado desde el sistema
operativo a la aplicacin.
Ataques no masivos.
Motivos:
Econmicos
Venganza
Reto
Just For Fun
Fuente: Seguridad en Aplicaciones Web Chema Alonso
 Cdigo y poder
El cdigo fuente es poder
Tanto para defenderse como para atacar
Compartir el cdigo es compartir el poder.
Con los atacantes y defensores
Publicar el cdigo fuente sin hacer nada ms
degrada la seguridad
Por el contrario, publicar el cdigo fuente permite
a los defensores y a otros elevar la seguridad al
nivel que les convenga.

Fuente: Seguridad en Aplicaciones Web Chema Alonso

 Software Seguro
El software Fiable es aquel que hace lo que se supone
que debe hacer.
El software Seguro es aquel que hace lo que se supone
que debe hacer, y nada mas.
Son los sorprendentes algo mas los que producen inseguridad.
Para estar seguro, se debe de ejecutar solo software
perfecto
O, hacer algo para mitigar ese algo mas

Fuente: Seguridad en Aplicaciones Web Chema Alonso

www.owasp.org
TOP 10 OWASP

1. Sql Injection
2. Broken Authentication and session management
3. XSS Scripting
4. Insecure data Objects references
5. Security misconfiguration
6. Sensitive Data Exposure
7. Missing function Level Access Control
8. Cross Site Request Forgery
9. Components with know vulnerabilities
10. Unvalidated redirects and forwards
Inyeccin SQL

https://www.youtube.com/watch?v
=LSySUX8n-PQ
 Cross Site
Scripting XSS
https://www.youtube.com/watch?v=_Z9RQSnf8-g

https://www.youtube.com/watch
?v=_Z9RQSnf8-g
Vulnerabilidades Capa 8
 Vulnerabilidades
Falta de conocimiento de estandares (OWASP,
SD3, SAMM, ISO )

Administradores/Desarrolladores no formados en
Seguridad
El Hacking tico es reactivo

Falta de conocimiento del riesgo

Fuente: Seguridad en Aplicaciones Web Chema Alonso

 Tipos de Ataques
Hacking Google

Administradores predecibles
http://www.misitio.com/administracion
http://www.misitio.com/privado
http://www.misitio.com/gestion
http://www.misitio.com/basedatos

Ficheros log pblicos

WS_ftp.log

Estadsticas pblicas
Webalyzer / Google Analytics

Fuente: Seguridad en Aplicaciones Web Chema Alonso

 Contramedidas
Escribir cdigo seguro utilizando mejores practicas
SAMM, OWASP, ISO 27034

Formacin en Seguridad de Aplicaciones

Medidas Tcnicas:
Robots.txt
Captcha / Re-Captcha

Fuente: Seguridad en Aplicaciones Web Chema Alonso

 CAPTCHA
Control para evitar intentos
automatizados de acceso.

Se debe implementar
despus de un numero
determinado de intentos
fallidos (x ejm 5).

https://www.youtube.com/
watch?v=xiod1PLPfHs
Fuente: Seguridad en Aplicaciones Web Chema Alonso
 Robots.txt
Mtodo consultivo para
evitar que ciertos bots que
analizan los sitios Web u
otros robots que investigan
todo o una parte del acceso
de un sitio Web, agreguen
informacin innecesaria a
los resultados de bsqueda
(por ejm en Google).
https://www.youtube.com/watc
h?v=xiod1PLPfHs

Fuente: Seguridad en Aplicaciones Web Chema Alonso

 Vulnerabilidades CAPTCHA

http://www.viruslist.com/sp/analysis?pubid=20727
1280
http://www.kaspersky.com/about/news/virus/2015/Kaspersky-Lab-discovers-Podec-
first-Trojan-to-trick-CAPTCHA-into-thinking-its-human
 Vulnerabilidades CAPTCHA

http://www.viruslist.com/sp/analysis?pubid=2072712
80
Fuente: Imperva Application Defense Center.
 Errores en implementacin
Instalaciones default
Implementacin nula de auditoria a BBDD
Contraseas de administracin inseguras
Roles no definidos del DBA
Instalacin en Sistema Operativo inseguro
Remocin de herramientas innecesarias
 Falta de Actualizacin
No aplicacin de parches a motor de BBDD
Enfoque (si lo hay) en parches al Sistema
Operativo
Caso mas representativo: Gusano SQL
slammer
 Fuga de Datos
Acceso de informacin por el DBA
Acceso de informacin por los Analistas y
Programadores
Contraseas de administracin inseguras
Falta de cambio de contraseas
Falta de encriptacin de datos sensibles
Copia de datos de ambientes de Produccin
a ambientes de Soporte, Test y Desarrollo.
 Robo de backups
Backups no autorizados
Backups no encriptados
Acceso a repositorios del Backup
Almacenamiento del Backup de la Base de
Datos
Traslado de los backups
 Abuso
Acceso a datos sensibles por parte del DBA
Acceso de datos sensible por parte de los
analistas y programadores
Falta de auditoria a
Pases a produccin sin control
 Falta de segregacin
Bloqueo de accesos para evitar fraudes
Super usuarios
Usuarios de la aplicacin
Enmascaramiento on the fly
 Inconsistencia de BBDD
Falta de integridad referencial
Inconsistencia de datos
Necesidad de ingreso a BBDD para tareas
de soporte y correccin.
Fuente-, Chris Smith
Cyber breaches
 Worlds Biggest Data Breaches

http://www.informationisbeautiful.net/visualizations/worlds-biggest-
data-breaches-hacks/
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch?v=_Z9RQSnf8-g
https://www.youtube.com/watch?v=_Z9RQSnf8-g
Hackactivismo
Anonymous
Defacing al MEF
Lulszec Asbanc
Lulzsec Mininter
LulzSec Mininter
LulzSec Ataque a FFAA Chile
Celebgate
El caso NSA
 El caso Snowden
Mayor filtracin de la historia
Revel los abusos del
espionaje de la NSA
Objetivo de la NSA: Collect It
All
Programas:
PRISM
SIGINT
MUSCULAR
BULLRUN
OLYMPIA
 El caso Snowden
Mayor filtracin de la historia
Espionaje a todos
Objetivo de la NSA: Collect It
All
Programas:
PRISM
SIGINT
MUSCULAR
BULLRUN
OLYMPIA
Operacin PRISM Acceso a los datos de las empresas
Facebook, Microsoft, Yahoo, Google, Skype, Apple
Skype
 Five Eyes Alliance

USA - NSA
UK - GCHQ
Canada
Australia
New Zealand
 Warner bros.

Tecnologas de Seguridad
 Analistas de la industria TI

http://www.gartner.com/technology/research http://www.forrester.com/marketing/policies/forrester-
/methodologies/research_mq.jsp wave-methodology.html
I. Personas
Identity and
Access
Governance
(IAG)
Ciclo de Vida de la Identidad Digital
Nuevos Empleados entran en
la Empresa
Propagacin

Cuentas &
Polticas

Revocacin Mantenimiento/Gestin
Empleados dejan Cambios y Soporte a
la Empresa Usuarios
 Aprovisionamiento de usuarios
Proceso automatizado para establecer y mantener los permisos de
acceso en los diferentes recursos de la organizacin basado en
polticas del negocio y la identidad.

X
Contratacin CRM
Rol

Modificacin de atributos clave

Solicitud de nuevos accesos X X
SAP R/3
Sistema RRHH
Fin de relacin

X
AS/400

X
Aplicacin
In-House

Deloitte 159
Cuadrante mgico Gartner IAG
II. Datos
Prevencin
de Prdida
de
Informacin
DLP
Data Loss Prevention
Cuadrante mgico Gartner DLP
Proteccin de BBDD
 Proteccin de BBDD

Accesos no autorizados tipo SQL Injection

Accesos no autorizados internos (ejm. del

DBA)

Robo de credenciales

No Cumplimiento de Leyes y Regulaciones

 Controles

Prevenir ataques a la BBDD

Alertas en tiempo real
Auditoria el trafico hacia la BBDD
Auditoria de transacciones( incluyendo SELECT)
Monitoreo y bloqueo a los DBAs y Super
Usuarios el acceso a los Datos Sensibles
Identificacin de vulnerabilidades
Integracin con SIEM
Ejemplo de deteccin Inyeccin SQL
Ejemplo de log de Auditoria
Ejemplo de logs de red, auditoria y BDD
Proteccin de Base de Datos

Audit Vault and Database Firewall

Proteccin de base de Datos
Enterprise
Backup
Systems
 Backup
Las tecnologas de backup incorporan
nuevos productos, soluciones y tcnicas
para proteger, respaldar y recuperar datos
de servidores fsicos y virtuales,
aplicaciones, imgenes de sistema y
endpoints.
Cuadrante Magico Gartner EBS
III. Aplicaciones
 Web
Application
Firewall
 Web Application Firewall (WAF)
Hardware/Software que protege de las
amenazas/ ataques dirigidos a las
Aplicaciones Web.

Protege contra: SQL Injection, Cross Site

Scripting, Remote and Local File Inclusion,
Buffer Overflows, Cookie Poisoning, etc.
Cuadrante mgico Gartner WAF
Application Security Testing
 Application Security Testing

Analizar y prueba aplicaciones en busca de

vulnerabilidades de seguridad usando
tecnologas :
AST esttica (SAST)
AST dinmico (DAST)
AST interactiva (IAST).
 AST esttica (SAST)
Puede analizar programas fuente o cdigo
binario para identificar vulnerabilidades de
seguridad en la programacin del Ciclo de
Vida del Software.
 AST dinmica (DAST)
Analiza las aplicaciones en funcionamiento
(o "casi ) durante las fases de pruebas o
produccin.
Simula ataques contra una aplicacin web,
analizando las reacciones de la aplicacin
para determinar si es vulnerable.
 IAST
Combina las fortalezas de CET y DAST.
Se implementa como un agente dentro del
entorno de prueba (por ejemplo, Java Virtual
Machine [JVM] o. NET CLR)

Observa los posibles ataques y es capaz de

determinar una secuencia de instrucciones
que lleva a un exploit.
Cuadrante mgico Gartner AST
IV. Infraestructura
Networking
SIEM
 Security Information and Event
Manager (SIEM)

Analiza miles de datos de eventos de

seguridad en tiempo real para la gestin de
amenazas internas y externas.

Recopila, almacena, analiza e informa los

registros para la respuesta a incidentes,
anlisis forense y cumplimiento regulatorio.
 Security Information and Event
Manager (SIEM)

Los eventos se combina con informacin

contextual de los usuarios, los activos, las
amenazas y las vulnerabilidades.

Los datos se normalizan para que se puedan

correlacionar y analizar.
Fuentes de Eventos
Syslog
SNMP Trap
Dispositivos de Red
Servidores / Estaciones
Aplicaciones
NetFlow
Captura de paquetes
Cuadrante mgico SIEM
 NAC
Network Access Control
 Network Access Control (NAC)
Utiliza la infraestructura de la red para hacer
cumplir la poltica de seguridad en todos los
dispositivos que pretenden acceder a los
recursos informticos de la red.

Limita el dao causado por amenazas

emergentes contra la seguridad.
Cuadrante mgico Gartner NAC
Enterprise Network Firewall
 Enterprise Network Firewall

Los Firewalls empresariales soportan

implementaciones y despliegues grandes y/o
complejos, incluidos zonas desmilitarizadas (DMZ) de
varios niveles e incluso versiones virtuales.
Firewall de Nueva Generacin (NGFW)

Identificacin de
aplicaciones, no de
puertos.
Vinculacin de la
aplicacin al usuario, no a
la IP.
Cuadrante mgico Gartner Firewall
 Intrusion
Prevention
System
 IPS
Inspecciona el trfico de red que ha pasado
a travs de los dispositivos de seguridad
como firewalls, Secure Web gateways y
Secure Email Gateways.

Detecta a travs de varios mtodos

( firmas, deteccin de anomalas de
protocolo, el monitoreo del comportamiento
o heurstica).
 IPS
Cuando se despliegan en lnea, pueden
bloquear los ataques con alta confianza.

Los IPS evolucionarn a los IPS de Nueva

Generacin (NGIPSs).
Cuadrante mgico Gartner IPS
 Web
Secure
Gateway
 Web Secure Gateway
Protege la navegacin Web.
Filtra el malware / software no deseado
Hace cumplir las polticas de una Empresa.
Estos filtros incluyen el filtrado de URL,
deteccin y filtrado de cdigo malicioso.
Puede tener DLP.
Cuadrante mgico Gartner WSG
Secure EMail Gateway (SEG)
 Secure EMail Gateway (SEG)
Proteccin contra correo electrnico no
deseado (SPAM)
Proteccin contra malware.
Inspeccin de contenido de correo
electrnico saliente.
DLP de correo
Cifrado de mensajes de correo electrnico.
SPAM
Cuadrante mgico Gartner SEG
 UTM
Unified Threat
Management
 De muchos dispositivos a uno
Traditional Network Security Solutions The UTM Solution

Stand-alone, non-integrated security Real-time, integrated security intelligence

Mix of off the shelf systems and applications ASIC-accelerated performance
Higher total cost of ownership Lower total cost of ownership
Difficult to deploy / manage / use Easy to deploy / manage / use
211
 Proteccin Completa

WAN
Antispam
Optimization
Evolution of Firewall Security Endpoint
Antivirus/ Data Loss
Protection/
Antispyware Prevention
NAC
Web
VPN
Filtering

App
Firewall IPS
Control

Wireless SSL
LAN Inspection
IPv6,
Vulnerability VoIP
Dynamic
Mgmt
Routing

212
Cuadrante mgico Gartner UTM
V. Infraestructura
Endpoints
 Endpoint Protection Platforms
Antimalware
Antispyware
Firewall Personal
HIPS
Control de dispositivos y puertos
Encriptacion disco y archivo
DLP de endpoint
Evaluacin de vulnerabilidades
Mobile Device Management
Cuadrante magico EPP
Antimalware de Nueva Generacin
 Antimalware de Nueva Generacin

Completan los sistemas de defensa

tradicionales como los Firewalls, los
Firewalls de nueva generacin (NGFW), los
IPS, las soluciones antivirus y los Web
Secure Gateway que no pueden detener
amenazas avanzadas.
Anti Malware Nueva Generacin
Enterprise Mobility Management
 Enterprise Mobility Management
Antes conocido como MDM (Mobile Device
Management).

Permite asegurar, monitorear y administrar

contenido y aplicaciones para dispositivos
mviles.
 Enterprise Mobility Management
Permiten:
Inventario de hardware / inventario de apps /
Configuracin del OS / Mobile App
Deployment / Configuracin de apps /
Control Remoto / Acciones remotas
(Remote Wipe) / gestin de contenidos.
Cuadrante mgico Gartner EMM
Servicios de Seguridad Gestionada
MSSs
 Alcance de los servicios
Monitored or managed firewalls or intrusion prevention systems (IPSs)
Monitoring or managed intrusion detection systems (IDSs)
Distributed denial of service (DDoS) protection
Managed secure messaging gateways
Managed secure Web gateways
Security information management (SIM)
Security event management
Managed vulnerability scanning of networks, servers, databases or
applications
Security vulnerability or threat notification services
Log management and analysis
Reporting associated with monitored/managed devices and incident
response
 Cuadrante mgico
Servicios Seguridad Gestionada (USA)